Audit Interne Banque

1
AUDIT INTERNE EN BANQUE

Denis Caprasse
Karin Maquet
6 dcembre 2000
2
Table des matires
Evolution de la fonction daudit interne
L environnement de lauditeur interne en banque
Contrle interne : cadre de rfrence COSO
La notion de risque
Relations entre COSO et lapproche daudit
Organisation dune banque
La stratgie daudit et sa ralisation
COBIT - un cadre de rfrence intgr pour valuer les systmes
dinformation
Le comit daudit
Avis et recommandations de la Commission bancaire et financire
La Collaboration entre les reviseurs, les auditeurs internes et la CBF
COSO et la mise en place de structures intgres de risk management
3
Evolution de la fonction
daudit interne
4
Audit interne : volution historique
AVANT-HIER UN MAL NECESSAIRE

HIER DESIR DE CHANGEMENT

AUJOURDHUI AUDIT PARTICIPATIF

LES NOUVELLES TENDANCES
LES DEFIS DU FUTUR
5
Laudit interne avant-hier
MARCHE

AUDITEUR

DEPARTEMENT AUDIT
Faible concurrence
Produits traditionnels
Gestion patriarcale

Mal ncessaire
Policier et pompier
Redoute des audits
Cherche les erreurs

Pas dembauche slective
Peu dautonomie
Sans accs hirarchique lev
Budgets limits & Missions routinires
6
Laudit interne dhier
MARCHE

AUDITEUR

DEPARTEMENT AUDIT
Concurrence accrue
Croissance volumes et produits
Dveloppements informatiques

Distinct de linspecteur
Spcialisation professionnelle
Prvention ; dtection
Qualit ; quantit

Auditeur du management
Expert impartial
Conseiller des directeurs
Banquier / Technicien Comptents
7
Laudit interne aujourdhui
MARCHE

AUDITEUR

DEPARTEMENT AUDIT
Concurrence multiple et diversifie
Dcentralisation des oprations
Rglementations en croissance
Dlgation force des pouvoirs
Problem solver
Conscient des cots
Validation de procdures
Collabore aux objectifs
Centr sur les risques
Soucieux de ses clients
Flexible et ractif
Grand utilisateur dinformatique
Soucieux de la formation
8
Audit interne : Les dfis du futur
QUALITE TOTALE
DISPARITION DE LAUDIT?
Outsourcing - cosourcing
Self controlled organisation - systmes de contrle intgr avec auto-valuation
EMERGENCE DE NOUVELLES MISSIONS?

EVOLUTION POSSIBLE DE LA FONCTION
SURVEILLANT RISK MANAGER
REACTIF PREVENTIF
OBSERVATEUR EDUCATEUR
SEPARATISTE AGENT DE COMMUNICATION

EFFETS SUR LES MISSIONS
FOCALISATION SUR RISQUES ELEVES
PARTICIPATION AUX CHANGEMENTS
DISPONIBILITE POUR URGENCES
ACCENTUATION DU COUT/BENEFICE
9
Stand Alone
Audit Function
Participating With
Management
Supporting
Management
Self-Assessments
Process
Focus
Enterprise
Risk Management
Consultant
Business
Enhancement/
Efficiency
Detection
Internal Auditor
Financial
reporting
Transaction
Focus
Risk
Exposure/Identification
Prevention
Reactive Proactive Strategic
Lvolution du mtier daudit interne
10
Nouvelle dfinition de laudit interne par le Institute
of Internal Auditors:

Internal audit is an objective assurance and consulting
activity that is independently managed within an organisation
and guided by a philosophy of adding value to improve the
operations of the organisation.

It assists an organisation to evaluate and improve the
effectiveness of the organisations risk management, control,
and governance processes.

11
Lenvironnement
de lauditeur interne
en banque
12
Internal control
Internal audit
Supervision by auditor
Supervision by CBF
Conception et pratique du contrle prudentiel
Les cercles concentriques du contrle prudentiel
Rapport CBF 1996-1997 pp 26-31
13
Le contrle interne
Circulaire CBF D1 97/4 du 30 juin 1997
Le contrle interne se dfinit gnralement comme
lensemble des mesures qui, sous la responsabilit de la
direction de ltablissement de crdit doivent assurer
avec une certitude raisonnable :
une conduite des affaires ordonnes et prudente, encadre
dobjectifs bien dfinis;
une utilisation conomique et efficace des moyens engags;
lintgrit et la fiabilit de linformation financire et celle
relative la gestion;
le respect des lois et rglements ainsi que des politiques
gnrales, plans et procdures internes

14
Le contrle interne
Les lments constitutifs
un environnement dentreprise qui encourage une attitude
positive lgard du contrle;
des objectifs suivi de lidentification des risques et de leur
analyse
la mise en place de systme dinformation et de
communication ainsi quun reporting
la surveillance et l'valuation rgulire des mesures prises

15
Le contrle interne
Responsabilit du conseil dadministration de vrifier
ladquation du contrle interne

Le comit de direction doit mettre en oeuvre un
contrle interne adquat et procder son valuation

Laudit interne est une fonction indpendante qui a
pour objet dexaminer et dvaluer le bon
fonctionnement, lefficacit et lefficience du contrle
interne
16
Le contrle interne
La Commission bancaire et financire a transpos les
principes noncs dans le cadre de rfrence COSO

Comit de Ble
Framework for internal control systems in banking
organisations - Septembre 1998
Management oversight and control culture
Risk recognition and assessment
Control activities and segregation of duties
Information and communication
Monitoring activities and correcting deficiencies
Transposition des principes COSO
17
Contrle interne
COSO ????
18
Contrle interne :
cadre de rfrence COSO
19
COSO : les concepts fondateurs
22
Globalisation
Empowerment
Plus forte dlgation
Des structures organisationnelles moins pyramidales
Outsourcing/Technologies dcentralises
Ncessitant un
changement des
pratiques
oprationnelles
Forces externes
de changement
Changement des
facteurs de risque
oprationnel
Des risques accrus
23
L'accroissement des risques oprationnels rsulte de ces
changements
0
2000
4000
6000
8000
10000
12000
1 2
Changement
Niveau de risque
L'enjeu : identifier ces risques temps pour rester
dynamique et augmenter la rsistance de l'entreprise.
Des risques accrus
24
Un risque accru face des procdures
de contrle interne adaptes une priode rvolue
Forces internes Forces externes
Procdures de
conformit et
de contrle
Shareholder value and corporate governance
Changements
organisationnels
Gestion des
cots
Rorganisation
des processus
Concurrence
Globalisation
Nouvelles
technologies
25
Robert Maxwell
Fraudes
Comt dOrange
Pertes sur produits drivs
Metallgeselleschaf
Pertes sur
positions spculatives
Groupe Crdit Lyonnais
Pertes importantes
Showa Shell
Sekiyu
f/x trading non autoris
United Way
Pratiques de gestion
douteuses
BCCI
Fraudes
Daiwa
$1 milliard de perte sur
positions spculatives
Barings
Positions non autorises
General Motors
Ventes fictives
Besoin
dun
contrle
accr
Sumitomo
Positions non autorises
Et quelques exemples de scandales
26
Risques
L'Entreprise
Objectifs
Contrles
Ncessit d'une nouvelle culture du contrle
27
Une structure intgre pour le contrle interne
Commission Treadway forme en 1985

Commission Treadway publie le rapport en
1987 - demande un tude pour dvelopper une
structure intgre pour le contrle interne

Coopers & Lybrand a t slectionne pour
mener ltude et rdiger le rapport

Rapport intitul Internal Control - Integrated
Framework est publi en septembre 1992
STRUCTURE INTEGREE
POUR LE CONTROLE INTERNE
Committee of Sponsoring
Organizations of the
Treadway Commission
Une perception plus tendue de la notion de contrle intgrant la gestion des risques
par rapport aux objectifs de lentreprise
28
Une structure intgre pour le contrle interne
Contenu du rapport COSO
Executive summary (septembre 92)

Framework (septembre 92)

Reporting to external parties (septembre 92)

Addendum to reporting to external parties (Mai 94)

Evaluation tools (septembre 92)

Internal Control Issues in Derivatives Usage (1999)
29
Une nouvelle perception du contrle interne
Le Contrle Interne est un processus,
mis en uvre par le conseil dadministration,
la direction et les membres du personnel de
toute entit conomique ou administrative, en
vue de fournir des assurances raisonnables
sur les objectifs limits :

Lefficacit et lefficience des oprations;
La fiabilit des documents et des rapports
financiers;
La conformit aux lois et rglements
applicables
Committee of Sponsoring Organizations
(COSO) of the Treadway Commission - 1992
30
Le cube COSO
31
Interactions entre les diffrents lments constitutifs
32
Lenvironnement de contrle
Donne le ton de lorganisation
Intgrit
Valeurs thiques
Comptences
Transmet la philosophie de
gestion

Responsabilit et responsabilisation
Autorit
Politique et dveloppement des
ressources humaines
The control environment sets the tone of the organisation
and communicates management philosophy
33
Lvaluation des risques
Identification et analyse des
risques menaant la
ralisation des objectifs de
lorganisation
risques stratgiques
risques oprationnels
risques organisationnels et
lis aux ressources humaines
Gestion du changement

Risk assessment is the effective management of change by the
identification and analysis of relevant risks
34
Les activits de contrle
Procdures lies la mise en
oeuvre de la gestion

Approbation, autorisations
Vrifications et contrles physiques
Programme de qualit
Sparation des fonctions
etc ...
Mcanismes de gestion visant
la ralisation des objectifs

Control activities are procedures to implement and manage
objectives
35
Linformation et la communication
Gestion de la communication au
sein de lorganisation

Information de gestion adquate
communique dans des dlais
appropris

Identification et utilisation des
informations externes ad hoc
Timely and accurate access to information and
communication is critical to the control process
36
La surveillance
Mcanismes afin de rapporter
les dficiences majeures

Evaluation des systmes de
contrle

Activits ponctuelles et
continues
Monitoring is a continual process to assess control systems
and activities
37
COSO : la rfrence en matire de contrle interne
Approches du contrle interne
Traditionnelle
COSO
Juxtaposition des
activits
Intgration des
objectifs
From
Pilotage
Information &
Communication
Activits de Contrle
Evaluation du risque
Environment de Contrle
38
Permettre, Pas empcher
Idalement, les contrles devraient ...
39
Les procdures de contrles ne doivent ...
Ni alourdir
Ni survoler
40
Equilibre
Contrle Interne Risque d'Activit
Mais doivent correspondre au niveau des risques...
41
Le contrle interne, c'est l'affaire de tous !

Aujourd'hui, les meilleures entreprises savent que ...

42
Pilotage
Environnement de contrle
Evaluation des risques
Audit Externe
Audit Interne

Activits de contrle
Information &
Communication
Problme :
Qui contrle l'espace en blanc ?
Traditionnellement ...

43
Pourquoi COSO est une structure intgre?
Traditionelle COSO
Responsibilit du
Controller/Audit Interne
Le contrle est la tche de
chacun
Mecanisme Le contrle est bas sur les
risques
Laccent sur les systmes
comptables
Laccent est mis sur tous
les risques oprationnels
Les contrles sont
ajouts aux systmes
Le contrle est incorpor
dans les procdures
oprationnelles
44
Adoption de COSO
CoCo
COSO
GARP
Cadbury
King Report
Pays qui ont traduit COSO dans leur langue nationale
entre autres : Chine, France, Italie, Japon, Norvge, Pologne et Espagne
45
Mise en oeuvre de COSO
46
Phase I :
Evaluation de
l'Environnement
Phase IV :
Evaluation intgre
et
Recommandations
Phase II :
Diagnostic par
cycle
Phase III :
Revue des
procdures
Comit de
Direction
Approbation et Revue par le Conseil
d'Administration et / ou la Direction
Mise en place et pilotage continu
L'valuation du contrle - Mthodologie

47
Envoie un message fort l'organisation

Est ouvert au changement

S'adapte tout au long du processus

Dtermine les plans d'amlioration

Conduit la mise en place
S'assure que l'approche est rigoureuse et
structure, tout en demeurant flexible
Comit de
Direction
Le Comit de Direction joue un rle dterminant
48
Ides
Causes
Chercher au-del
des symptmes :
trouver les
causes profondes
Recherche des causes ...

49
Les principales limites du contrle interne
1. Assurance raisonnable et non absolue

2. Le Contrle Interne prcise les objectifs lis la
ralisation et loptimisation des oprations, mais
ne peut pas garantir leur ralisation

3. Dcalage inluctable entre les recommandations et
leur application
50
Souvent, la solution passe par un changement de comportement !
51
La notion de risque
52
Une nouvelle perception des risques
53
Evolution de la perception du risque par le Management
Niveau oprationnel.
Risk monitoring est dlgu aux auditeurs
internes
Le risque est un facteur ngatif contrler
Le risque est gr dans des silos
organisationnels
La responsabilit du management en matire
de gestion des risques est dlgue au niveau
infrieur
La mesure du risque est subjective
Des fonctions de risk management non
structures
Le job du CEOs Job (avec le contrle du
Conseil dadministration)
Le risque est galement considr comme
une opportunit
Le risque est gr de manire intgre et
couvre toutes les activits de lentreprise
La fonction de risk management est
accepte par le senior et le line
management
Quantification/mesure du risque
Le risk management est intgr dans
tous les systmes de gestion de lentreprise

from BACK ROOM to BOARD ROOM
Impact de cette nouvelle perception
54
Dfinition
RI SQUE:
Tout vnement
pouvant affecter
la ralisation des
objectifs
55
Les problmes suivants attirent lattention sur l importance dun
systme de Risk Management intgr :
Environnement
trs rglement
Marges troites
Globalisation
Technologie en
volution
constante
RISK
MANAGEMENT
Diffrentiation
comptitive
Complexit des
marchs et des
investissements
Convergence
et Consolidation
Disponibilit de
ressources
qualifies
Les facteurs de risque
56
Danger
Survenance dun danger non matris
I ncertitude
Ne pas rencontrer les attentes
Opportunit
Matrise du risque
Elments constitutifs
57
Gestion de crise et
compliance
Prserver la continuit
des activits
Amlioration de la
Shareholder value
Danger
I ncertitude
Opportunit
Le continuum du risque
58
Crises management
and compliance
Business continuity
protection
Shareholder value
enhancement
Improved returns through
value-based management
Enhancing capital allocation
Protecting corporate reputation
Achieving global best practices
Understanding & evaluating business strategy risks
Understanding full range of risks facing business today
Avoiding personal liability failure (the personal fear factor)
Compliance with corporate governance standards (fiduciary responsibility)
Other company crises
Own company crises
Hazard
Uncertainty
Opportunity
Independent market survey findings 1997 - Diefenbach Elkins Survey Results
The Market Study - The Market Continuum
59
Danger
I ncertitude
Opportunit
Compliance
et prvention
Performance
oprationnelle
Initiatives
stratgiques
Le continuum du risque
60
6
Une approche intgre de la gestion du risque
61
Objectifs
Return on Investment
Satisfaction des clients
Emploi
Amlioration de la Shareholder value
World class products
Environnement
Compliance
Preferred employer
Ethique
62
Risques
63
Les risques bancaires gnraux
Crdit
Intrt
Liquidit
Devises
March
Oprationnel
Settlement
Juridique

64
Risque de crdit
Nombre de dbiteurs
Concentration
Gographique
Sectorielle
Culture prudente et conservatrice
Plafonds et limites
Procdure svre dapprobation
Suivi permanent des engagements
Partage des risques
Assurance crdit
FACTEURS DE PONDRATION
+
-
RISQUE DE DFAUT DE LA CONTREPARTIE
65
Risque dintrt
Volatilit des taux
Dysharmonie des positions
Limite des positions
Contrle permanent des positions
Couvertures systmatiques
A.L.M. performant
+
-
RISQUE PROVOQUE PAR DES CHANGEMENTS
DE TAUX
66
Risque de liquidit
Crise des marchs montaires
Perte de confiance dans la banque
Concentration
des dpts
des emprunts
Financements L.T. placs C.T.
Disponibilit des fonds externes
Volume lev dactifs liquides
Rgime de protection des pargnants
A.L.M. performant
+
-
RISQUE DINSUFFISANCE DE DISPONIBILITES
67
Risque de devises
Volatilit des taux
Dsquilibre des positions
Limites des positions
Contrle svre des positions
Techniques de couvertures
+
-
RISQUE PROVOQUE PAR UN DESEQUILIBRE
DES TAUX DE CHANGE
68
Risque de march
politique agressive dinvestissements
Volatilit des marchs financiers
Accroissement du trading
Liquidit des march
Limites des volumes daction
Politique dinvestissement
conservatrice
+
-
RISQUE DAPPAUVRISSEMENTS DES ACTIFS
FINANCIERS
69
Risque oprationnel
Nature des oprations
Volume des oprations
Qualit du management
Qualit du personnel
Qualit des systmes
Libert daction des dpartements
Outil de contrle
Internes
Externes
FACTEURS DINFLUENCE
RISQUE DE PERTE, DERREUR OU DOMISSION INTERNE
70
Risque de settlement
Qualit des correspondants
Fixation de limites par contrepartie
Suivi rapide du Back Office
...
FACTEURS DINFLUENCE
RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE
71
Risque juridique
Complexit des contrats
Changement et inflation
rglementaire
Soft law
Mise en oeuvre dun Legal Audit
...
FACTEURS DINFLUENCE
RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS
RISQUE DINFRACTION PAR RAPPORT A LENVIRONNEMENT LEGAL ET
STATUTAIRE
72
Risque oprationnel

Exemples
Dfaillance des systmes informatiques
Interruptions des activits
Accs et utilisations de donnes confidentielles
Manque de comptitivit suite une mauvaise gestion
dactivits non core business
Gestion des prestataires de services
Canaux de distribution inefficaces
Mthodes de quantification des risques oprationnels
OpVar (operational value at risk)
73
Gestion des risques oprationnels
Indicateurs dune mauvaise gestion des risques
oprationnels
Pertes
Amendes et pnalits
Litiges
Suspens/rejets
Plaintes des clients
Constatations de laudit et des autorits de contrle
Fraudes
Dfaillances des systmes dinformation
Back Office Overtime
Rotation du personnel
76
Contrles - Cadre de rfrence COSO
Cadre de corporate governance reconnu par le monde financier
77
Exemples
Systme de mesure de risque
dpass
Systme dinformation inadquat
Elments de rconciliation
Mauvaise diversification du risque
de crdit
Non respect du prescrit
rglementaire et prudentiel
Dcisions imprudentes en matire
doctroi de crdit et dinvestissement
Mauvaises notations par les agences
de rating
Cots de financement excessifs
Allocation of capital mauvaise ou
inadquate
Volatilit du rendement et du cours de
laction
Contrles confins en silo
Fonction daudit interne
dpasse/inefficace
Fraude et blanchiment dargent
Mauvais pricing des produits du fait
dune non prise en compte de certains
risques
78
Evaluation COSO
1
2
3
4
5
Integrity and Ethical values
Commitment to competence
Board of director or Audit Committee
Management philisophy and operating style
Organisational structure
Assignment of authority and responsibility
Human resource policies and practices
Entity-wide objectives
Activity level objectives
Risks
Managing change
Existence of policies and procedures
Application of controls in place
Information
Communication
Ongoing monitoring
Separate evaluations
Reporting deficiencies
COSO '97 COSO '99
Control environment
Risk assessment
Control activities
Information and communication
Monitoring
80
Alignement
81
Options possibles .
Options
Re-engineering des processus
Outsourcing des fonctions - Shared
Services
Transfer Risk (Assurance)
Amliorer les contrles
82
Relations entre COSO et
lapproche daudit
83
Une approche daudit intgre
84
Une approche intgre de la gestion du risque
85
Approche daudit
Objectifs
Evaluation des
risques
Analyse des
contrles
Plan
dAction
86
Approche daudit
Objectifs
organisationnels
Evaluer les
risques
Dterminer les
contrles ncessaires
Stratgie daudit
Plan d audit
Plan
Annuel
Plan
Pluriannuel
87
Audit Interne : Application de la squence COSO
Dterminer
les objectifs
organisationnels
Evaluer
les risques
Dterminer
les contrles
ncessaires
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
Nouvelle mthodologie : Risk Based Auditing
Stratgie d audit:
88
Nouvelles mthodologies : Risk Based Auditing
Establish
Organisational
Objectives
Assess
Risk
Manage
Risk
What are the steps in
the business process?
What are the risks? How are risk managed?
What is the logical
sequence of steps the
auditable unit must take
to reach its objectives or
purposes? Practically
speaking, these steps are
usually combined or
grouped so that the total
does not exceed 12-15
steps.
What is the essential
elements of risk in each
step of business process?
Errors, omissions, delays,
and fraud are the most
common types or risks.
What techniques mitigate
the risks identified in
column B? It is sound
practice not only to
identify how the risks are
managed, but also to
document the evidence
for those actions, so that
an audit programme can
be derived quickly and
accurately
89
Les risques de contrle
Dangers des systmes
dinsuffisance
de faiblesses
de
Dtection Prvention
des
Erreurs ou fraudes
Fonction de la qualit des contrles
de gestion
internes
externes
etc.
90
Les risques de contrle
Risques derreurs, d'irrgularits
Systmes de prvention, dtection
(contrle interne)
Audit interne
Erreurs, irrgularits subsistantes
91
Incidence du contrle interne sur la stratgie daudit
La perception des risques et lapproche daudit

AR = IR * CR * DR

AR = audit risk
IR = inherent risk
CR = control risk
DR = detection risk

Impact
Opinion incorrecte (Mauvaise valuation des risques)
Approche inadapte (trop de tests substantifs par rapport aux risques en
prsence)
92
Approche daudit
Understand and assess control environment

Understand and update our information about the systems and the computer environment

Plan to rely on controls
and limit substantive tests?
Design substantive
tests to obtain high
assurance
Select and test monitoring controls to confirm
assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
Document and assess
application and general computer controls
No controls
reliance
YES
NO
High controls reliance
Some
Controls
reliance

No tests
of controls
Document and assess
monitoring controls
93
Bnfices
Test les contrles cls

Diminue la charge de tests substantifs

Facilite lintervention (interim vs. final)

Travail plus enrichissant pour lquipe daudit
94
Classify by
Risk Type
I dentify Key
Controls
Core Business Processes
Develop
I nternal
Audit
Plan
Key Business Objectives
Strategic
Systems
Operational
Financial
Compliance
High
Moderate
High
High
Low
High
Low
Moderate
High
Low
Moderate
Low
Elments importants de la mthodologie
Identifier les risques importants pour chaque objectif
Approche top-down en analysant les risques
Identifier les processus / contrles lis aux risques identifis
Dveloppement du plan daudit

95
Organisation dune banque
96
Division dune banque
Exemples de subdivisions
Par fonctions
Par mtiers
Par centres de profits
Par zones gographiques
Par produits
Par domaines dactivits
...
97
Division dune banque par fonctions
Exemples
Tlcommunication
Rconciliation
Guichet / agences
A.L.M.
Analyse financire
Conservation des actifs
ressources humaines
Agents dlgus
...
98
Division dune banque par mtiers
Exemples
Gestion du patrimoine
Corporate banking
Private banking
Mergers and acquisitions
Crdits
Trsorerie
...
99
Division dune banque par centres de profits
Exemples
Trsorerie court terme
Trsorerie long terme
Change
Oprations particuliers
...
100
Division dune banque par rgions
Exemples
Nord-ouest
Nord-est
Centre
Sud-ouest
Sud-est
International
...
101
Division dune banque par produits
Exemples
Bons de caisse
Prts hypothcaires
Crdit dinvestissement
Livret d'pargne
CREDOC
OLO
Financial futures
...
102
Division dune banque sur base du bilan
Emplois
Ressources
Fiducie
Crdits
Val. mob.
Investissem.
Dpts
Emprunts
Gestion
Conservation
Corporate
Institut.
Consomma.
Actions
Effets
Obligations
Interbanc.
Corporate
Institut.
Interbanc.
Emissions
Discrtionn.
Assiste
Coffres
Correspond.
103

Division dune banque par domaines dactivits
RISQUES CREDIT
Trsorerie
Autres activits
Trading et investissement
Trade finance
Prts et engagements
Transfert de fonds
COMPENSATION
Dpts Activits fiduciaires
104
Risques crdit
Par contreparties
Secteur public
Grandes entreprises
P.M.E.
Particuliers
...
Par fonctions
Evaluation contreparties / garanties
Octroi - autorisation
Respect des lignes / limites
Consommation en fonds propres
...
105
Dpts
Par produits
Dpts vue
Dpts terme
Livrets d'pargne
Bons de caisse
...
Par fonctions
Ouverture de comptes
Gestion des dpts et retraits
Clture des comptes
Gestion des postes restantes
...
106
Prts et engagements
Par produits
Crdits hypothcaires
Prts personnels
Crdits dinvestissements
Financements et exploitation
...
Par fonctions
Octroi et approbation
Transferts de fonds
Gestion des en cours
Rmunration (intrts et commissions)
...
107
Trade finance
Par produits
Lettres de crdits
Forfaiting
Escomptes
Performance bonds
...
Par fonctions
Refinancements - mobilisation
Assurance (OND)
Octroi et documentations
Suivi des sinistres
...
108
Autres activits
Par services
Conseil en financements
Assurances
Placements privs
Mergers / acquisitions
Immobilier
Emissions
...
Par fonctions
Etablissement : revue des contrats
Fixation des commissions
Documentation / analyse
...
109
Trsorerie
Par produits
Placements interbancaires
Repos
Certificats de dpts
Certificats de trsorerie
...
Par fonctions
A.L.M.
Etablissements : enregistrements des deals
Confirmations
Contrle des positions / limites
...
110
Trading et investissements
Par produits
Change spot
Change terme
Swaps et drivs
Options et drivs
Obligations et actions
...

Par fonctions
Enregistrement /
confirmation
Reporting / suivi des
positions
Respects des limites /
lignes
Instructions rglements
Evaluation / rsultats
...

111
Activits fiduciaires
Par services
Gestion de fortune
Discrtionnaire
Assiste
Conservation dactifs
Corporate actions
...
Par fonctions
Procdures dacceptation
Communication clientle
Sauvegarde des actifs
...
112
Compensation

Par produits

Par domaines
Comptes Nostro - suivi des rconciliations
Comptes avec banques centrales
En cours de recouvrements
Conformit aux instructions internes / externes
...
113
La stratgie daudit
et sa ralisation
114
Stratgie daudit interne
Le but de la stratgie daudit interne
focaliser les ressources disponibles sur les composants
prsentant les risques les plus levs

Outils permettant de mesurer / quantifier les risques
115
Audit Interne : Application de la squence COSO
Dterminer
les objectifs
organisationnels
Evaluer
les risques
Dterminer
les contrles
ncessaires
Nouvelle mthodologie : Risk Based Auditing
116
Classify by
Risk Type
I dentify Key
Controls
Core Business Processes
Develop
I nternal
Audit
Plan
Key Business Objectives
Strategic
Systems
Operational
Financial
Compliance
High
Moderate
High
High
Low
High
Low
Moderate
High
Low
Moderate
Low
Key Components
Identifier les risques importants pour chaque objectif
Approche top-down en analysant les risques
Identifier les processus / contrles lis aux risques identifis
Dveloppement du plan daudit

117
Identification des objectifs par processus
118
Identification des risques
119
Identification des contrles
120
Evaluation des risques et des contrles
121
Identifier et valuer les contrles - cls : exemples
Sparation des fonctions

Comptence du personnel

Autorisation et supervision

Restriction d'accs
122
Identification des gaps
123
Approche daudit
Understand and assess control environment

Understand and update our information about the systems and the computer environment

Plan to rely on controls
and limit substantive tests?
Design substantive
tests to obtain high
assurance
Select and test monitoring controls to confirm
assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
Document and assess
application and general computer controls
No controls
reliance
YES
NO
High controls reliance
Some
Controls
reliance

No tests
of controls
Document and assess
monitoring controls
124
Bnfices
Test les contrles cls

Diminue la charge de tests substantifs

Facilite lintervention (interim vs. final)

Travail plus enrichissant pour lquipe daudit
125
Documenter les contrles/ procdures daudit
Objectif du contrle/ de la procdure daudit appliqu
Documents de base
Echantillon
Travail effectu
Constatations
Conclusions
126
Documenter les contrles/ procdures daudit
Tenue des documents daudit
identification du composant audit
titre du document daudit
rfrence la page de garde
date
rfrence au programme daudit
cross rfrences
identification de lauditeur
Evidence dune revue du travail effectu
Rgles en matire de conservation et archivage des
dossiers
127
Les constatations et conclusions
Types de constatations possibles
incidents isols
absences / dficiences de contrle interne
erreurs (non volontaires)
irrgularits ( caractre volontaire ou accept)
les fraudes
Lauditeur doit conclure, si sur base des constatations,
il est en mesure daffirmer que lobjectif daudit a t
rempli
128
Dfinition dun plan dactions
129
Dterminer un plan daudit pluriannuel
Le plan stratgique doit contenir les informations
suivantes :
responsabilits et champ dintervention de laudit interne
budget des ressources par rapport aux composants
les priorits daudit
dtails des revues spcifiques et de leur sponsor spcifique
information quant la collaboration avec lauditeur externe
la nature et la frquence du reporting au comit daudit et la
direction
Le plan stratgique doit tre formellement approuv
par lautorit laquelle lAudit Interne rapporte
fonctionnellement
130
Plan Pluriannuel
PRIORITE OU RISQUE PERIODICITE DES MISSIONS
ELEVE
MODERE
FAIBLE
INSIGNIFIANT
2 x/ an
1 x/ an
1 x/ an
1 x/ 3 ans
BUT
EFFICIENCE
RESSOURCES NECESSAIRES
MOYEN
CONSERVER RESERVE ANNUELLE POUR
MISSIONS AD HOC
131
Reporting au Management
132
Exemple doutil de travail : DB Notes
133
Dcomposition du travail faire en Area/Task/Step
134
Documentation du travail : WP, Issues, Coaching Notes
135
Evaluation de ltat davancement du travail et de la revue
136
Liste des problmes soulevs et recommandations faites
137
Gestion des points en suspens et des commentaires de revue
138
Project management : attribution de tches, de timing, de cots
139
Gestion du temps et/ou du budget
140
Reporting et suivi
Rapport daudit
Rapports rsums
aux organes
de surveillance et
de direction
(Comit daudit,
Direction gnrale)
Rapport annuel
dactivit
Suivi des
rapports
141
Rapport daudit - les constatations
Traitement de leurs consquences
Erreurs
constates
Faiblesses
constates
Extension
des travaux
Erreurs
isoles
Erreurs
systmatiques
Douteuses? Caractre douteux?
Non Oui Non
Mention Comit de
Direction
Recommandation
et suivi
142
Rapport daudit
Pas de format idal
Contenu
executive summary
dcrire les objectifs et le travail accompli
les constatations doivent tre tayes
les recommandations doivent tre confrontes aux risques
sous-jacents la non application de celles-ci
les commentaires des responsables des services audits
doivent tre inclus dans le rapport final
143
Rapports rsums aux organes
de surveillance et de direction

Pas de format idal
Contenu
aperu du travail effectu
les recommandations doivent tre confrontes aux risques
sous-jacents la non application de celles-ci
les responsables pour lapplication des recommandations
un calendrier de mise en oeuvre
144
Rapport annuel dactivit
Pas de format idal
Contenu
Revue du travail accompli
Les grands risques identifis
Un rsum des principales recommandations
Une valuation gnrale de la qualit du contrle interne
145
Suivi des rapports
En cas de dficiences importantes constates lors de
contrles antrieurs, un suivi est ncessaire
Les rapports de suivi doivent comprendre
les points soulevs lors du prcdent audit
les mesures prises par le management
ladquation des mesures prises
Pour les dficiences lgres, il y a lieu dassurer un
suivi loccasion du prochain audit
Mise en place dune base de donnes des constatations
et du suivi effectu
146
COBIT - Un cadre de rfrence intgr
pour valuer les systmes dinformation
147
COBIT - Un cadre de rfrence intgr
pour valuer les systmes dinformation

Control Objectives for Information
and Related Technology
148
Centralised
ITControl
End-user
empowerment
ITroleasenabler
ITs future an organisational shift
The future will require a dramatic rethinking of how IS
organisations are run, how they are measured and
controlled, and their relationship and involvement with
the "business"
By 2001, 70 % of enterprises will have adapted their IT
organisational structure into a "federated business of IT
Model" (Gartner)
149
IT has been the longest running disappointment in business
in the last 30 Years!
J ack Welch, CEO
GE, 1997
Personal & visual
contact
Complexity &
Growth
Technology can help fulfil a visionary dream, but often its
use is closer to a sobering nightmare!
Vesa Vaino, CEO
Merita, 1998
Ten years ago we were afraid of rockets destroying
computing centres. right now, we should be aware of
software errors destroying rockets
Managements major control concern for IT
150
Typical five problems listed by senior executives*
IT investments are unrelated to business strategy
Payoff from IT investments is inadeqate
Theres too much (e)technology for technologysake
Relations between IT users and IT specialists is poor
System designers do not consider userspreferences and
work habits

* Harvard Business Review
151
Networks
Operating System
DBMS
Applications
Diffrents niveaux de contrles
152
CobiT: Champ d intervention et objectifs
Dfinition des standards gnralement appliqus et
accepts en matire de contrles des systmes
informatiques

Approche convenant tant aux contrles des
applications quaux systmes dinformation dans leur
ensemble

Standards tablis sur cadre de rfrence dun modle
de contrle de la fonction IT

Approche oriente vers le Management
153
CobiT Principles
IT

R
E
S
O
U
R
C
E
S
Data
Applications
Technology
Facilities
People
Effectiveness
Efficiency
Confidentiality
Integrity
Availibility
Compliance
Reliability
I
N
F
O
R
M
A
T I
O
N
B
U
S
I
N
E
S
S
What you get
What you need
Monitoring
Planning & Organisation
Acquisition & Implementation
Delivery & Support
154
Business requirements=Information criteria
effectiveness- deals with information being relevant and pertinent to the business process as well as
being delivered in a timely, correct, consistent and usable manner.
efficiency- concerns the provision of information through the optimal (most productive and economical)
usage of resources.
confidentiality- concerns protection of sensitive information from unauthorized disclosure.
integrity- relates to the accuracy and completeness of information as well as to its validity in accordance
with the business' set of values and expectations.
availability- relates to information being available when required by the business process, and hence
also concerns the safeguarding of resources.
compliance- deals with complying with those laws, regulations and contractual arrangements to which
the business process is subject; i.e., externally imposed business criteria.
reliability of information - relates to systems providing management with appropriate information
for it to use in operating the entity, in providing financial reporting to users of the financial information, and
in providing information to report to regulatory bodies with regard to compliance with laws and regulations.

155
Information Technology resources
Data : Data objects in their widest sense, i.e., external and internal, structured
and non-structured, graphics, sound, etc.
Application Systems: Application systems is understood to be the sum of
manual and programmed procedures.
Technology: Technology covers hardware, operating systems, database
management systems, networking, multimedia, etc.
Facilities: Resources to house and support information systems.
People: Staff skills, awareness and productivity to plan, organise,acquire,
deliver, support and monitor information systems and services.
156
IT Processes
Natural grouping of processes,
often matching an organisational
domain of responsibility.

A series of joined activities with
natural (control) breaks.

Actions needed to achieve a
measurable result. Activities have
a life-cycle whereas tasks are
discrete.
Domains
Processes
Acivities

PO1 define a strategic IT plan
PO2 define the information architecture
PO3 determine technological direction
PO4 define the IT organisation and relationships
PO5 manage the investment in IT
PO6 communicate management aims and direction
PO7 manage human resources
PO8 ensure compliance with external requirements
PO9 assess risks
PO10 manage projects
PO11 manage quality
Planning & Organisation
157
CobiT Summary Table
158
CobiT Product Family
Implementation
Tool Set
EXECUTIVE SUMMARY
Framework
with High-Level Control Objectives
Management
Guidelines
Audit
Guidelines
Detailed Control
Objectives
Key Performance and Goal Indicators
Critical Succes Factors

Maturity Model
159
CobiT product definition
Executive Summary
There is a Method ...
Framework
The Method is ...
Control Objectives
The desired results or purposes to be achieved by ...
Audit Guidelines
Suggested Audit steps corresponding ...
Implementation Tool Set
How to implement
Management Guidelines
How to measure...
160
e
f
f
e
c
t
i
v
e
n
e
s
s
e
f
f
i
c
i
e
n
c
y
c
o
n
f
i
d
e
n
t
i
a
l
i
t
y
i
n
t
e
g
r
i
t
y
a
v
a
i
l
a
b
i
l
i
t
y
c
o
m
p
l
i
a
n
c
e
r
e
l
i
a
b
i
l
i
t
y
p
e
o
p
l
e
a
p
p
l
i
c
a
t
i
o
n
s
t
e
c
h
n
o
l
o
g
y
f
a
c
i
l
i
t
i
e
s
d
a
t
a
Planning &
Organisation
Acquisiton &
Implementation
Delivery &
Support
Monitoring
IT Processes
Business
Requirements
Control
Statements
Control
Practices
The control of
which satisfy
is enabled by
and considers
P
S P P P
CobiTs Waterfall and Navigation Aids
161

Control over the IT process of
managing changes
that satisfies the business requirement
to minimise the likehood of disruption, unauthorised alternations,
and errors
is enabled by
a management system which provides for the analysis,
implementation and follow-up of all changes requested
and made to the existing IT infrastructure
and takes into consideration
- identification of changes
- categorisation, prioritisation and emergency
procedures
- Impact assessment
- change authorisation
- release management
- software distribution
Example: IT Process Manage Changes
Key Goal Indicators
Reduced number# of errors introduced into systems due to changes
Reduced number# of disruptions (loss of availability) caused by poorly
managed change
Reduced impact of disruptions caused by change
Reduced level of resources and time required as a ratio to number# of changes
Number# of emergency fixes/time
.

Key Performance Indicators
Number# of different versions installed at the same time
Number# of software release/and distribution methods per platform
Number# of deviations from the standard configuration
Number# of emergency fixes for which the normal change management
process was not applied retro-actively
Ttime lage between availability of fix and implementation of it. .
ratio of accepted vs refused change implementation requests.

Critical Success Factors
Expedient and comprehensive acceptance test procedures are applied
prior to making the change.
There is a reliable hardware and software inventory.
There is segregation of duties between production and development
.
162
Le Comit d audit
163
Le comit daudit : une rgle fondamentale
du corporate governance
Le corporate governance comprend deux piliers importants :
Responsabilit : Rendre des comptes aux actionnaires et autres
intervenants
Communication : Comment lentreprise se prsente aux marchs
financiers et la communaut en gnral
Les comits daudit jouent un rle important dans ces deux
processus
Il sagit dun organe de supervision assurant :
un contrle oprationnel du management
un contrle sur la fiabilit de linformation financire communique au
march
164
Limportance du comit daudit
Limportance des comits daudit composs majoritairement
dadministrateurs indpendants est reconnue tant par les organes
rglementaires (Commission europenne, SEC) que par les
marchs
La plupart des codes de corporate governance contiennent des
recommandations en la matire (adoption sur base volontaire)
Une enqute pan-Europenne mene par PwC en 1997(1) a
rvl que mme en labsence de rgle contraignante
le taux dadoption tait relativement lev (plus de 60% des entreprises
interroges avaient mis en place un comit daudit)
Les pays o la pratique est la plus leve : Royaume-Uni, France et Suisse
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997
165
Lmergence de pratiques de rfrence internationales
Influence du Rapport Cadbury (remplac par le Combined
Code ) sur les autres codes de corporate governance
Prises de position par des instances internationales
Commission europenne - Financial Services Policy Group [FSPG] DG
XV - "The Commission will continue to work alongside public and
private bodies to improve the framework for corporate governance."
OCDE - Global Governance Principles
Banque Mondiale et OCDE - Global Corporate Governance Forum
Groupes de pression
CalPERS (The California Public Retirement System)
Global Principles for Corporate Governance
Corporate Governance Market Principles, France, Allemagne,
Royaume-Uni et Japon

166
Une constante volution du rle du comit d audit
Rle traditionnel limit :
La revue des tats financiers
Supervision des relations avec les auditeurs internes et externes
Lexamen des recommandations relatives au contrle interne
Nouveaux challenges
La globalisation des marchs
Technologie
Complexit des transactions
Difficults conomiques
Risk management
Emergence de lthique
167
Une constante volution du rle du comit daudit
La globalisation des marchs qui a engendr une comptition
accrue
Les dveloppements technologiques (internet et autres) et leurs
influences sur la communication de linformation
La complexit des transactions et le fait que dans certains pays,
les entreprises peuvent choisir parmi diffrents rfrentiels
comptables (national, US ou IAS)
Les difficults conomiques qui ont rcemment affect lextrme
orient, la Russie, lAmrique latine
La mise en place de systme de contrle interne intgr (COSO,
Turnbull, KonTraG) et la supervision des risques oprationnels
Lmergence du corporate citizenship et ladoption de rgles
thiques propres lentreprise (linfluence prpondrante du
risque de rputation)
168
Une constante volution du rle du comit daudit
Fin 1998, Arthur Levitt, le Prsident de la SEC lana un appel
solennel pour le renforcement du contrle de l information
financire par les conseils d administration
La constitution du Blue Ribbon Committee on Improving the
Effectiveness of Corporate Audit Committees (cfr. section
spcifique en fin dexpos)

169
La mise en place dun comit daudit
Un principe fondamental
Lindpendance des administrateurs composant le comit daudit
Les tapes accomplir pour mettre en place un comit daudit
efficace
Rdiger une charte du comit daudit
Nommer des membres qualifis
Lindpendance et lobjectivit des membres
La dure du mandat
La frquence des runions du comit
Allouer des ressources suffisantes
Formation des membres

170
Rdiger une charte du comit daudit
Importance d une charte crite (termes de rfrence) qui prcise
de manire claire le rle du comit
Cadre de rfrence tant pour le comit, ses membres, le conseil
dadministration, la direction, les auditeurs internes et les reviseurs
Quid de la communication de la charte aux actionnaires? (inclure celle-ci
dans le rapport annuel)
La charte doit tre revue et approuve par le conseil
dadministration. Elle doit permettre au comit de travailler de
manire efficace
Elle doit tre utilise bon escient - exemples:
Servir de base pour tablir lagenda des runions du comit
Etre revue annuellement afin de sassurer que les objectifs sont atteints
Servir de cadre de rfrence pour les rapports aux conseil dadministration
171
Contenu de la charte

Les objectifs
Les pouvoirs du comit daudit
L organisation (la composition du comit, la frquence et la
dure des runions)
Les rles et responsabilits en ce compris les qualifications
requises et la dure du mandat de ses membres
Contrle interne
Reporting financier
Respect des lois et rglementations
Respect du code de bonne conduite
Les relations avec la direction, les auditeurs internes et les
reviseurs
Les responsabilits en matire de rapport
Autres responsabilits ventuelles
172
Qualits requises
Intgrit
Disponibilit (en temps et nergie)
Comprhension de lactivit de lentreprise, de ses produits et services
Connaissance des risques inhrents et des contrles mis en oeuvre
Esprit inquisiteur et capacit de jugement indpendant
Capacit de proposer des perspectives nouvelles et des suggestions
constructives
Connaissances comptables et financires
173
Engagement et disponibilit
Comprendre les activits de lentreprise
Prparation et prsence aux runions
Runions informelles
Considrer le nombre de mandats des candidats potentiels
Taille du comit d audit
Suffisamment grand pour prsenter une vue quilibre
Suffisamment petit pour oprer de manire efficace
Gnralement entre 3 et 6 membres
Une enqute pan-Europenne mene par PwC en 1997 a rvl que plus
de 70% des comits daudit taient composs de 3 4 membres (1)
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997

174
Lindpendance et lobjectivit des membres
Des administrateurs indpendants
Du fait de son rle de supervision, lindpendance du comit daudit est
primordiale
Un comit uniquement compos d administrateurs indpendants est la
solution optimale
Indpendance?
Emploi ou ayant t employ au sein de l entreprise (au cours des 5
dernires annes)
Obtention dune rmunration / compensation de lentreprise ou dune
de ses filiales
Parent dun membre de la direction
Actionnaire principal ou tre le reprsentant de celui-ci
Administrateur dun actionnaire, dun client ou dun fournisseur
importants
175
La dure du mandat
En gnral : un terme 1 3 ans renouvelable 1 seule fois
Des termes plus longs ne sont pas incompatibles
Juste quilibre entre la continuit et la fracheur
Eviter que tous les mandats soient renouvels en mme temps
Utilit dun programme dvaluation de la performance des
membres du comit daudit
176
La frquence des runions du comit
Dpend des objectifs et du champ dintervention du comit Les
runions doivent tre rgulires et planifies (convocations,
agenda, listes des participants, )
En moyenne, 3-4 runions par an
Un minimum de 3 runions correspondant aux phases du cycle
de l laboration des tats financiers
Une runion avant la communication des rsultats intermdiaires
Une runion durant lexercice afin de discuter des programmes daudit
interne et externe, les questions de contrle interne afin didentifier les
ventuels problmes/domaines risques lis llaboration des tats
financiers en fin d exercice
Une runion avant lannonce des rsultats financiers (avec la mise
disposition des informations suivantes : annonce prliminaire, projet des
tats financiers, projet de rapport de gestion, commentaires sur la
performance financire et oprationnelle, constatations daudit)
177
Les principales responsabilits du Comit daudit
Le comit daudit exerce, pour le compte du conseil
dadministration, la supervision des domaines et activits
suivants :
Le contrle interne et du systme de risk management
Le reporting financier et le processus sous-jacent son laboration
Le processus mis en oeuvre pour assurer le respect des rglements
Le processus de suivi du respect du code de bonne conduite en vigueur au
sein de lentreprise

178
Le contrle interne
Lvaluation de la culture de contrle
Le conseil dadministration est responsable quant la mise en oeuvre dun
environnement de contrle interne adquat
Toutefois le comit daudit peut contribuer efficacement au renforcement
de la culture de contrle au sein de lentreprise. Il peut galement valuer
si le management communique de manire adquate limportance dun
bon systme de contrle interne ( tone at the top )
Le suivi de la mise en oeuvre des systmes de contrle interne
Le comit daudit sassurera que les actions prises par le management
garantissent la mise en oeuvre dun systme de contrle adquat
Les recommandations de laudit sont-elles mises en oeuvre?
Le comit daudit doit sassurer que les recommandations de laudit
(interne et externe) en la matire ont t correctement mises en place
179
Linformation financire
Les comptes annuels - un aspect primordial
Revoir le processus dlaboration des tats financiers (gestion des risques,
adquation des systmes comptables, mise en oeuvre des
recommandations de l audit en la matire, gestion du going concern )
Revoir les questions importantes de comptabilit et de reporting financier,
en ce compris les modifications de la rglementation en vigueur et
limpact de celles-ci sur les tats financiers
Le comit daudit doit revoir les tats financiers annuels et sassurer que
ceux-ci sont complets et consistants avec linformation dont disposent ses
membres. Il doit galement sassurer que les principes comptables ont t
respects
Revoir toutes les autres sections du rapport annuel et sassurer que les
commentaires sont consistants avec linformation dont disposent les
membres du comit daudit
Discuter les rsultats et constatations de l audit externe
180
Linformation financire
La revue de tout autre information financire sujette
communication
De plus en plus, les comits daudit doivent revoir toutes les informations
financires publies par lentreprise :
annonces prliminaires
rsultats intermdiaires
briefings pour les analystes financiers
Le comit daudit doit comprendre
Comment la direction dveloppe cette information et limplication
ventuelle des auditeurs dans lexamen dune telle information
Obtenir de la direction et des auditeurs des explications quant au respect
des principes comptables et sassurer que linformation communique
rpond aux exigences en la matire

181
Les questions rglementaires, fiscales et juridiques
La revue de la fonction compliance
Le respect de la rglementation est devenu de plus en plus important
(particulirement dans les secteurs financiers)
Le comit daudit doit comprendre comment lentreprise sassure du
respect de ces rglementations :
Feedback du compliance officer
Briefing de la part du management
Avis des conseillers juridiques et fiscaux
Revue des rapports des autorits de contrle (CBF, OCA, )
La prvention des fraudes et des actes de corruption
182
Ethique et code de bonne conduite

Existence dun code de bonne conduite formalis
Corporate citizenship
Les socits dveloppent et mettent en oeuvre des codes de bonne
conduite. Le comit daudit devra valuer les mesures adoptes par le
conseil et la direction en la matire
Le comit daudit peut tre appel revoir la manire dont le code est mis
en oeuvre par la direction ( tone at the top )
Les procdures de suivi et de respect du code
Le comit daudit peut tre appel examiner les procdures mises en
place pour sassurer du respect du code de bonne conduite.
Le risque de rputation est-il correctement mesur?
Le comit daudit peut tre appel revoir les procdures mise en oeuvre
pour sauvegarder la rputation de lentreprise (cfr. Disney, Nike, Shell,
TotalFina)
183
Collaboration avec les auditeurs internes
Les responsabilits du comit daudit en la matire :

Revoir les activits et la structure organisationnelle de la fonction daudit
interne
Evaluer la qualification de la fonction daudit interne
Sassurer de lefficacit de laudit interne
184
Revues des activits et de la structure
organisationnelle de laudit interne

Le comit daudit doit runir les informations suivantes :
Revue de la charte daudit interne
Revue du programme daudit qui doit comprendre une valuation du profil
de risques de lentreprise
Les rapports d activits de laudit interne
Liste des projets et missions accomplies
Listes des projets en cours
Les principales constatations et recommandations
Une description du systme de suivi permettant de sassurer que les
recommandations sont mises en oeuvre par le management
Les informations relatives aux ressources actuelles du dpartement
Les plans de recrutement

185
Qualification de la fonction daudit interne
Le comit daudit doit sassurer des qualifications et des
capacits des membres de laudit interne. Le comit d audit peut
contribuer amliorer la qualit de laudit interne en dterminant
si les auditeurs internes :
Ont ralis les objectifs qui leur taient assigns
Sont adquatement forms
Sont capables de matriser les systmes dinformation
Ont les qualifications professionnelles requises
Le comit daudit doit pouvoir valuer ladquation de la taille
du dpartement daudit interne par rapport aux activits de
lentreprise
Le comit daudit doit tre consult voire donner son
approbation quant a lengagement, au remplacement ou la
dmission du responsable du dpartement daudit interne
186
Efficacit de laudit interne
Le comit daudit doit sassurer que lentreprise utilise au mieux
les ressources de laudit interne et lui fournit galement le
support ncessaire laccomplissement de sa mission
Il devra s assurer que:
Le mandat de laudit interne est adquat
Laudit interne a une bonne matrise et comprhension des processus
oprationnels et des systmes dinformation
Laudit interne dispose des ressources suffisantes tant humaines que
financires
Le programme daudit est tabli dune manire adquate
Les domaines prsentant les risques les plus importants sont couvertes par
les investigations de laudit interne
Lentreprise met en oeuvre les recommandations de l audit interne
La collaboration avec les reviseurs est efficace
187
Efficacit de laudit interne (suite)
Le comit daudit devra galement considrer si la fonction
pourrait tre mieux assure si certaines activits taient sous-
traites (exemple : outsourcing de laudit informatique)
Il procdera ventuellement au benchmarking de la fonction
daudit interne par rapport aux pratiques de rfrence
Revue indpendante des activits de laudit interne

188
Collaboration avec les reviseurs
Principales responsabilits du comit daudit
Revoir le champ dintervention de laudit et lapproche
Analyser les constatations de laudit des tats financiers
Analyser la performance des reviseurs
Considrer lindpendance des reviseurs
La participation du reviseur aux runions du comit daudit est
conseille
189
Revoir le champ dintervention et lapproche
Revoir le champ dintervention et lapproche
Objectifs de laudit
Obligations en matire de reporting financiers et les dlais y affrents
Evaluation du systme de contrle interne
Les domaines sur lesquels laudit va se concentrer - Pourquoi?
Les changements de la rglementation comptable et leurs impacts
Limpact de certaines transactions sur les tats financiers
Revue des systmes dinformation
Coordination avec laudit interne
Audit des filiales - par qui, si par un autre reviseur, quelles sont les
procdures de reporting mises en oeuvre?
Responsabilit du reviseur dans la dtection derreurs matrielles, de
fraudes, dactes illgaux
190
Revoir le champ dintervention de laudit et lapproche
Le reviseur doit pouvoir avoir accs au comit:
En cas dventuelles restrictions imposes par la direction dans le cadre de
sa mission
La survenance de problmes importants et ncessitant une communication
immdiate (fraudes, malversations, systmes comptables dfaillants, )

191
Analyser les constatations de laudit des tats financiers
Runion du comit daudit, de la direction et du reviseur afin de
prsenter les tats financiers et les constatations daudit
Le reviseur doit pouvoir prsenter les recommandations sur le
contrle interne. Le comit doit interroger la direction sur les
mesures correctrices mises/ mettre en oeuvre
Le comit daudit doit galement sassurer du suivi des
recommandations mises lors des exercices prcdents
Ces discussions doivent avoir lieu avant la publication des
comptes
Le comit Blue Ribbon recommande que le comit daudit
aborde avec le reviseur la question de la qualit des rgles
comptables adoptes par lentreprise
192
Analyser la performance des reviseurs
Critres pris en compte
Capacits professionnelles du reviseur et des collaborateurs impliqus
Lapproche daudit
La connaissance de lentreprise et de ses processus
La couverture gographique (dans le cas de groupe multinationaux)
Le comit daudit va galement fonder son jugement sur base
dinformations quil demandera la direction (CFO et
collaborateurs, Responsable de laudit interne, ). Il devra sassurer
que les informations obtenues sont fiables et objectives
Le comit daudit doit galement revoir les honoraires et
ventuellement les honoraires lis dautres travaux fournis par le
reviseur ou un service li la socit daudit
Dans le cas de renouvellement du mandat ou de nouvelle
nomination, le comit daudit doit pouvoir mettre un avis
193
Considrer lindpendance des reviseurs
Le comit daudit doit aborder la question de lindpendance du
reviseur par rapport d autres services fournis (conseils en
management, fiscalit, juridiques, )

194
La situation en Belgique
Recommandations de lautorit de march de la Bourse de
Bruxelles labores par la Commission Belge du Corporate
Governance (Commission Cardon) - 1998
Recommandations de la Commission bancaire et financire
quant aux informations sur le corporate governance publier
dans les rapports annuels - 1998
FEB - Recommandations en matire de corporate governance
- 1998
Les directives de la CBF et de lOCA dans les secteurs
bancaires et dassurances
195
La commission Cardon sur le corporate governance
Systme d adhsion et non de contrainte
Approche dite comply or explain (satisfaire ou expliquer)
Exposer dans le rapport annuel les circonstances ou les raisons spcifiques
expliquant une attitude divergente par rapport aux directives
Au titre 4 - Information et contrles : 4.3
La Commission Belge du Corporate Governance recommande de
mettre en place un comit d audit compos au moins de trois
administrateurs non excutifs, dont lordre de mission prcise
clairement les pouvoirs et les obligation

196
Les recommandations de la Commission Cardon
a Les comits daudit devraient formellement tre constitus au
sein du conseil, auquel ils doivent rpondre et faire rapport
rgulirement; leurs attributions devront tre communiques par
crit, en ce qui concerne la composition des comits, leurs
pouvoirs et leurs obligations; ils devront se runir au moins
deux fois par an .
b Tous les membres devrait tre des administrateurs non-
excutifs, la majorit dentre eux devraient tre des
administrateurs indpendants au sens de la rgle 2.2 du prsent
code .
c Le comit daudit devrait rencontrer les auditeurs internes et
externes (y compris les commissaires reviseurs) au moins une
fois par an. Cette rencontre peut avoir lieu en labsence de la
direction pour sassurer quil ne subsiste aucun sujet de
proccupation non rsolu .
197
Les recommandations de la Commission Cardon
d Le comit daudit devrait avoir le pouvoir explicite denquter
dans toute matire qui relve de ses attributions, disposer des
ressources ncessaires cette fin et de laccs toute
linformation. Le comit devrait pouvoir demander des avis
dexperts internes et externes et, le cas chant, inviter des
experts externes assister au runions, compte tenue de la
procdure dfinie au point 1.6 .
e La composition du comit devrait tre publie dans le rapport
annuel .
198
Recommandations de la CBF quant aux informations sur le corporate
governance publier dans les rapports annuels
Comits crs par le conseil d administration
Indication des ventuels comits crs par le conseil dadministration
(autres que ceux viss au point 4 - gestion journalire), de leur
composition, de leurs attributions, de leur mode de fonctionnement et de
leur frquence de runions (exemples : bureau du conseil, comit
stratgique, comit daudit, comit des nominations, comit des
rmunrations, ) .
199
Recommandations de la FEB en matire de corporate governance

Recommandations publies en 1998
Inspire de Cadbury et vise essentiellement les grandes socits et
socits cotes
Adoption sur base volontaire
4.3 Le conseil d'administration doit exercer une fonction
d'audit. Il peut constituer cette fin un comit d'audit dont il
arrte la composition et la mission.
S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes :
a ) Il est une manation du conseil d'administration devant lequel il
est responsable et devant lequel il rend rgulirement compte de sa
mission. Il se runit au moins deux fois l'an .
b) La composition du comit est arrte par le conseil
d'administration.Il veillera ce qu'il comprenne des administrateurs
non excutifs et des administrateurs indpendants ....
200
Recommandations de la FEB en matire de corporate governance

S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes :
c) Les commissaires-rviseurs et, lorsqu'il y en a, le responsable de
l'audit interne ainsi que le directeur financier, devraient assister aux
runions du comit.Ces runions sont galement ouvertes tous les
administrateurs qui le souhaitent .
d) Le comit devrait entendre les commissaires-rviseurs au moins
une fois par an en-dehors de la prsence des administrateurs
excutifs .
e) Le comit possde les pouvoirs d'investigations les plus larges
dans son domaine, et peut par une dcision majoritaire faire appel
des professionnels extrieurs la socit et les faire assister le cas
chant ses runions .
f) La composition du comit est publie dans le rapport de gestion et
le prsident du comit rpond aux questions qui lui sont poses
l'assemble gnrale au sujet de l'activit du comit .
201
Avis et Recommandations de la
Commission bancaire et financire
202
Internal control
Internal audit
Supervision by auditor
Supervision by CBF
Conception et pratique du contrle prudentiel
Les cercles concentriques du contrle prudentiel
Rapport CBF 1996-1997 pp 26-31
203
Limportance du contrle interne
Le contrle interne :

Exigence de management

Exigences lgales/statutaires/prudentielles dans
certains secteurs

Stratgie daudit
204
Exigences de management
Le management ne peut se fier uniquement aux
contrles traditionnels pour protger la shareholder
value.

Les contrles soft ainsi que les mcanismes de risk
management sont les fondements dun systme de
contrle interne intgr.
205
Exigences lgales, statutaires et prudentielles
Circulaire du 6 avril 1987
CBF formulait une srie de recommandations
relatives lexercice de la fonction daudit
interne

Loi du 22 mars 1993 sur le statut et le
contrle des tablissements de crdit
Article 20 instaure lobligation dune
organisation administrative et comptable
approprie et de procdures de contrle
interne adquates

206
Protocole sur lautonomie de la fonction bancaire
Circulaire D1 97/4 du 30 juin 1997 sur le contrle
interne et laudit interne + Lettre circulaire D1/1690 du
9 juin 1998
8 grands principes traitant :
contrle interne
audit interne
comit daudit permanent - ce sujet cfr. section
spcifique : Le comit daudit
Circulaire D1 99/1 du 12 mars 1999 sur les modalits
du trialogue entre les Auditeurs Internes, les reviseurs
agrs et la Commission
207
Circulaire D1 99/2 du 16 avril 1999 sur la synergie
CBF-reviseur-audit interne

208
Autres exigences que celles de la CBF (pas exhaustif)
Framework for internal control systems in banking
organisations - Basle Committee on Banking
Supervision - September 1998
Recommandations en matire de Corporate
Governance pour les socits cotes
Rapport de la Commission Cardon
Le conseil devrait veiller ce que la direction dveloppe
et mette en oeuvre les instruments ncessaires afin
dassurer un contrle interne suffisant et efficace
Cadbury/Hampel/Turnbull - Combined Code (Septembre 99)
Rapport du commissaire-reviseur sur ladquation du
contrle interne

209
Contrle interne
Principe 1
Le conseil d'administration doit :
vrifier ladquation du contrle interne
stimuler une attitude positive lgard du contrle

Principe 2
Le comit de direction doit :
mettre en place un contrle interne adquat
procder son valuation
informer le conseil dadministration de ltat de la
situation (le cas chant par lintermdiaire du comit
daudit)
210
Audit interne
Principe 3
Le comit de direction doit
prendre les mesures pour que ltablissement
dispose en permanence dune fonction daudit
adquate

211
Audit interne
Principe 4
Le service daudit interne
est indpendant
rapporte directement au comit de direction
a la facult dinformer directement le conseil
d'administration et le comit daudit
dispose dun statut appropri dfini par la charte
daudit
objectif et porte de la fonction
la place dans lorganisation, les comptences et
responsabilits
excute ses missions avec impartialit
ne peut pas tre impliqu dans les tches oprationnelles
212
Audit interne
Principe 5
La comptence de chaque auditeur et du service daudit
interne dans son ensemble est essentielle
motivation et formation permanente
comptence individuelle apprcie en fonction des
missions
comptence dans son ensemble
rotation des tches pour viter laccoutumance
recours des experts externes et sous-traitance
Indpendance par rapport au commissaire-reviseur agr
213
Audit interne
Principe 6
Chaque activit et chaque entit de ltablissement entrent
dans le champ dinvestigation du service daudit interne
examen et valuation de ladquation du contrle
interne
laudit interne vrifie :
le respect des politiques
la matrise des risques
la fiabilit de linformation financire, de gestion, de reporting
externe
la continuit et la fiabilit des systmes dinformation
le statut lgal de contrle
214
Audit interne
Principe 7
Le travail daudit comprend ltablissement dun plan
daudit, lexamen et lvaluation de linformation
disponible, la communication des rsultats et leur suivi
Le plan daudit dtermine les objectifs atteindre
Ces objectifs peuvent ncessiter diffrentes mthodes
Audit de conformit, Audit financier, Audit oprationnel
Audit de gestion / management
Programme de travail
Documents de travail
Rapport crit
Suivi
215
Audit interne
Principe 8
Le responsable du service daudit interne dirige son service
de manire adquate
Respect des principes dicts par la CBF
Il est responsable de ltablissement
de la charte daudit interne
dun plan daudit pluriannuel fond sur une analyse mthodiques des
risques
de politiques et procdures crites en matire daudit interne
Communication au comits de direction et de surveillance
rapport dactivit, rsum des recommandations & tat du suivi
Tout remplacement du responsable de laudit interne doit tre notifi la
CBF
216
Comit daudit
Le protocole de lautonomie de la fonction bancaire
Le conseil peut, sil le souhaite, se faire assister par un comit daudit
compos dadministrateurs non membres du comit de direction .
le comit daudit a pour but de faciliter lexercice effectif de la
surveillance par le conseil dadministration. Il fonctionne soit sur une
base permanente, soit dans le cadre de lexamen dun problme
particulier .
De la mme manire que le conseil lui-mme, le comit daudit peut
tout moment demander au comit de direction ou aux reviseurs des
rapports spciaux sur tous aspects de lactivit de la banque. Il peut se
faire produire tout renseignement ou document utile et faire procder
toute investigation. Il peut notamment faire appel au service daudit
interne de la banque, celui-ci demeurant toutefois sous la dpendance
hirarchique du comit de direction. Le comit daudit fait rgulirement
rapport au conseil dadministration. Son rle ne peut en aucune faon
faire double emploi avec celui de laudit interne ni sy substituer .
Au cas o la banque souhaite crer un comit daudit, elle consulte
pralablement la CBF au sujet de la dfinition des fonctions de ce comit
et sa composition .
217
Comit daudit
Recommandation
Le comit daudit permanent
rponse adquate aux difficults de
lexercice collgial de la mission de
surveillance
renforce le contrle interne et laudit
interne
fortement recommand lorsque
linstitution encoure des risques nombreux
et complexes
Consultation pralable de la CBF avant la
mise en place dun tel comit
218
Comit daudit
Charte du comit daudit dterminant
composition
comptence
fonctionnement
modalits de rapport au conseil dadministration
Composition
Au moins 3 administrateurs non membres du comit de
direction
Sans en tre membres, participent galement aux runions :
le prsident du comit de direction
lauditeur interne
le commissaire-reviseur agr
219
Comit daudit
Comptences
Il peut
faire produire tout document ou renseignement
faire procder des investigations
fait appel laudit interne
Il doit
faire rapport rgulirement au conseil dadministration
Il ne peut pas
se substituer laudit interne
double emploi
laudit interne demeure sous la dpendance
hirarchique du comit de direction
220
Comit daudit
Champ daction (en matire daudit interne)
Favoriser la communication entre :
membres du conseil dadministration
membres du comit de direction
laudit interne
les commissaires-reviseurs agrs
la CBF
Valider la charte daudit
Valider le plan daudit et les moyens engags
Prendre connaissance du rapport dactivit
Prendre connaissance des principales recommandations et de
leur suivi
221
Comit daudit
Champ daction (suite)
Le commissaire-reviseur agr doit lui exposer son
programme daudit et faire part de ses conclusions et
recommandations
Dlibration rgulire sur :
ltat du contrle interne
le fonctionnement du service daudit interne
linformation financire externe en ce compris
le respect des dispositions lgales et statutaires
Avis au conseil dadministration lors de la nomination du
commissaire-reviseur agr
222
La Collaboration entre les reviseurs,
les auditeurs internes et la CBF
223
Relations audit interne et externe
EVOLUTION HISTORIQUE
1950
AUCUNE
COOPERATION
1970
ASSISTANCE DE
LAUDIT INTERNE
1990
COLLABORATION
MUTUELLE
DES AUDITEURS
1999
SYNERGIE CBF-
REVISEURS-
AUDIT INTERNE
224
Diffrences audit interne et externe
MANDATAIRES
CONSEIL
DIRECTION
COMITE DAUDIT
LEGISLATEUR
ACTIONNAIRE
COM. BANCAIRE
DOMAINES
DINTERVENTION
SURVEILLANCE
PRODUIT FINAL
DETECTION DES FRAUDES
FINANCIER
OPERATIONNEL
GESTION
PLANS
PROCEDURES
REGLEMENT.
INTEGRITE
ECONOMIE
EFFICIENCE
FINANCIER
COMPTABLE
REGLEMENT.
LOIS COMM.
REGLES COMPT.
REGLEMENT.
COMPTES ANNUELS
REGLEMENT.
RECOMMANDATIONS ATTESTATIONS
? ?
AUDIT INTERNE AUDIT EXTERNE
225
Dtection des fraudes
RESPONSABILITES MAL DEFINIES
RESPONSABILITE ULTIME
ADMINISTRATEURS
SI COMPTES ERRONES
COMMISSAIRE?

FRAUDES
FAILLITES
BANCAIRES
FDIC
IMPROVEMENT
ACT (USA)
= EXAMEN ANNUEL DES CONTROLES INTERNES DES BANQUES > 150 M $
EXECUTER PAR AUDIT INTERNE OU EXTERNE
+ ATTESTATION DES COMMISSAIRES DE LA QUALITE ET DES RESULTATS DE LEXAMEN
AUDIT INTERNE?
226
NORMES DISPONIBLES
AUDITEURS INTERNES
SIAS 5 INTERNAL AUDITORS RELATIONSHIP WITH
INDEPENDANT OUTSIDE AUDITORS

AUDITEURS EXTERNES
ISA 10 CONSIDERING THE WORK OF INTERNAL
AUDIT

REVISEURS DENTREPRISES
RECOM. UTILISATION DU TRAVAIL DUN SERVICE
DAUDIT INTERNE
PAS DE NORMES SUR COOPERATION
227
AUDIT INTERNE - SIAS 5
EFFICACITE
COLLABORATION SOUHAITEE POUR ECONOMIE
EFFICIENCE
EFFICACITE = NECESSITE DE COMMUNICATION
ERREURS ET FAIBLESSES
ACTES ILLEGAUX
RESTRICTIONS DES TRAVAUX & DESACCORDS
ECONOMIE = NECESSITE DE RECONNAISSANCE
PLANS DINTERVENTION
ACCES AUX DOSSIERS & ECHANGE DE RAPPORTS
EFFICIENCE = NECESSITE DE COORDINATION
CHOIX DE NORMES COMMUNES POUR TRAVAUX COMMUNS
{
228
AUDIT EXTERNE - ISA 10
RAPPORTS
COMMISSAIRE SEUL RESPONSABLE TRAVAUX
DELEGATION
CONDITIONS DE COLLABORATION

ETENDUE DES TRAVAUX

EVALUATION
COMPETENCES

QUALITE

INDEPENDANCE

BANCAIRES
AUDIT
BANCAIRES
AUDIT
{
{
SI SATISFAISANTE
PLANIFICATION
SONDAGES LIMITES
229
Collaboration audit interne et externe
BENEFICE MUTUELS

POUR LAUDIT EXTERNE
AMELIORATION DES CONNAISSANCES
ORGANISATION INTERNE
OPERATIONS EXTERNES
INTRODUCTION FACILITEE DANS LA
BANQUE
CONCENTRATION SUR RISQUES
PRIORITAIRES
OUVERTURE MULTIDISCIPLINAIRE
}
DE LA BANQUE
230
BENEFICES MUTUELS

POUR LAUDIT INTERNE
APPORT DEXPERIENCES EXTERNES
INFORMATION REGLEMENTAIRE CONTINUE
COMPREHENSION DES OBJECTIFS DE REVISION
TECHNIQUE DE GESTION DES RISQUES

POUR LAUDIT EXTERNE ET INTERNE
PLUS DE DUPLICATIONS

231
COMMENT LAMELIORER?
COMBATTRE LES IDEES PRECONCUES
SEPARATION RECONNAISSANCE
HISTORIQUE MUTUELLE

LOCALISER LES CONTROLES A LEUR SOURCE
DO IT YOURSELF CONTROLES PAR LES
USAGERS (CSA)

IDENTIFIER LES ECONOMIES COMMUNES
ATTITUDE ATTITUDE
ENQUETEUR GESTIONNAIRE
RAPPORTEUR DES RISQUES
232
D1 99/1 nouvelles instructions aux reviseurs agrs
1. Cadre
Circulaire abordant le 3me cercle concentrique
Clarification du rle du reviseur agre afin damliorer lefficacit du
contrle prudentiel
2. Principales innovations
Collaboration entre les diffrents cercles
trialogue
objectif = optimaliser la collaboration
233
D1 99/2 : Synergies CBF- reviseurs - auditeurs internes
1. Introduction
Les cercles concentriques du modle de contrle prudentiel
Confiance mutuelle entre les diffrentes parties intresses
CBF entend mettre en oeuvre des synergies fondes sur des
principes clairement noncs

234
D1 99/2 : Lignes de forces
Ligne de force 1 :
Dans lintrt dun contrle bancaire adquat et en vue de
parvenir une synergie optimale, la CBF, les reviseurs agrs
et laudit interne sefforcent damliorer leur collaboration et
leur interaction
Ligne de force 2 :
Le surveillance interne exerce par ltablissement de crdit
lui-mme sappuie sur le contrle interne et laudit interne.
Dans ces domaines, la Commission sattache formuler les
bonnes pratiques bancaires et veille leur suivi

235
Ligne de force 3 :
La collaboration entre le reviseur et la Commission repose sur
le principe que les tches du reviseur, en tant que
collaborateur du contrle prudentiel, doivent constituer le
complment de sa mission de droit priv
Ligne de force 4 :
La Commission encourage la collaboration et la concertation
entre les groupes professionnels des reviseurs agrs et des
auditeurs internes. Elle tient tre tenue informe de cette
concertation
236
Ligne de force 5 :
Le contrle exerc par la Commission comprend tant des
examens sur place que des inspections. Les inspections seront
de prfrence, mais non exclusivement axes sur les
domaines dans lesquels la CBF dispose dindications laissant
prsumer un risque accru. Des inspections peuvent galement
tre effectues pour examiner, dans plusieurs tablissements,
la mme activit ou un aspect de celle-ci (inspections dites
thmatiques ou horizontales)
237
Ligne de force 6 :
Dans lexercice de son contrle, la Commission sappuie sur
la concertation priodique entre ses services et le responsable
du service daudit interne. La Commission recommande en
outre quau niveau du secteur, une concertation structure
prenne place entre les auditeurs internes, dans le but
dchange dinformation
Ligne de force 7 :
La collaboration entre la CBF, les reviseurs et les auditeurs
internes prend appui sur une concertation priodique entre les
parties concernes, tout en maintenant les responsabilits de
chacune delles

238
COSO et la mise en place de structures
intgres de risk management
239
Architecture de risk management"
240
Evolution
Environnement o lauto-contrle joue un rle
prpondrant
CSA/CRSA - control/risk self assessment
Processus de remise en question continue
Auditeur interne facilite et supervise le processus
Valeur ajoute de laudit interne
241
Mission
Le concept Enterprise-Wide Risk Architecture
242
Les mthodes conventionnelles pour grer les risques ne
permettent quune apprhension fragmente
Pourquoi une architecture ?
243
Stratgie
Risk Process
Infrastructure
Environnement
Larchitecture de risque met disposition une approche permettant didentifier,
valuer, amliorer, rapporter et prendre les mesures de corrections ncessaires
lgard de tous les risques prsents au sein dune entreprise
Une architecture de risque
244
1. Lengagement du Senior Management
2. Des langages et des processus communs
3. Un responsable du Risk Management et du processus
de changement
4. Un processus assurant un risk management continu
5. Une communication et une formation adquats
6. Des instruments de mesure
7. Renforcement via des mcanismes HR
8. Suivi du processus de risk management
Les lments ncessaires la mise en oeuvre dune architecture
245
Appliquer les mmes principes au sein du groupe
Approche
consistante
96
1. Lengagement du Senior Management
1. 1. Lengagement du Senior Management Lengagement du Senior Management
2. Des langages et des processus communs
2. Des langages et des processus communs 2. Des langages et des processus communs
3. Un responsable du Risk Management et du processus
de changement
3. Un responsable du Risk Management et du processus 3. Un responsable du Risk Management et du processus
de changement de changement
4. Un processus assurant un risk management continu
4. Un processus assurant un risk management continu 4. Un processus assurant un risk management continu
5. Une communication et une formation adquats
5. Une communication et une formation adquats 5. Une communication et une formation adquats
6. Des instruments de mesure
6. Des instruments de mesure 6. Des instruments de mesure
7. Renforcement via des mcanismes HR
7. Renforcement via des mcanismes HR 7. Renforcement via des mcanismes HR
8. Suivi du processus de risk management
8. Suivi du processus de risk management 8. Suivi du processus de risk management
Les lments ncessaires la mise en oeuvre dune
architecture
246
Dterminer les objectifs et les catgories de risque
Economique
Politique
Juridique
Technologique
Comptition
Change
Stagnation des marchs
Fournisseurs
March
Scurit/fraude
Stratgie
Changement IT
Personnel
Rputation/media
Production
Achats
Finance et reporting
Working capital
management
Management information
Contrles financiers
247
Etablir des cartographies de risque pour chaque entit
248
Outils de mise en oeuvre
249
Risk assessment and Analysis
Organization
& Culture
Processes
RISK
Mission clarity
Accountability
Documentation
Communication
Monitoring
Soft Controls
Hard Controls
250

Risk
People&Culture
BusinessProcess
Define
Objectives
ActionPlanning/
Accountabilities
Assess
Risks
Analyze
Controls
Control CultureSurvey
Missionclarity
Accountability
Documentation
Communication
Monitoring
Objective, Risk&
Control Alignment
FCASession
"Soft Controls"
"HardControls"
Methodology
Facilitated Control Assessment
In FCA sessions, business processes are analysed along two dimensions of risk :
251

Control Culture
Survey
ProcessMap
Review
DefineObjectives
ActionPlanning/
Accountabilities
AnalyzeControls
Reporting/
Follow-up
FCASession
SessionFlow
AssessRisks
Control Education
FCA relies upon a consistent application of CSA and ORCA methodologies
but session structure is highly flexible
252

253
Groupsystems
Electronic decision
conferencing software
Flexible, anonymous,
democratic
Standard agenda but
flexible
Ranking of key risks
Client then selects top
3-5 for action planning
Actions prioritized
254

Anonymously brainstorming, ranking and voting.
Groupsystems
255

Groupsystems
256

Groupsystems
257

Action
Planning
and
Reporting
Key Actions
Issues Analysis
Enterprise
Employee
Dept/Process
BU/Group
ORCA-
Objectives
Risks and
Control
Alignment
Risk &
Control
Survey
Risk management architecture capturing tools
258
Risk management architecture capturing tools
Leads management through a proven methodology and
framework for business risk and control assessment.
Provides an automated medium for performing an overall control
system evaluation based on the best practice of the COSO
integrated framework, applicable to all levels of an organization.
Provides an efficient platform for planning and executing
assessment of business objectives, risks and controls and
alignment at all levels of an organization, including specific
business processes.
Manages data and information emanating from risk and control
assessment projects for productive use by the organization.
Facilitates action toward risk management and control
improvement.
259
Comment automatiser le processus?
SABRA : Self Assessment Based Risk Analysis
260
261
262
Annexes

Autres cadres de rfrence :

KonTraG (D)

The Combined Code - Cadbury, Hampel, Turnbull (UK)

263
KonTraG (Allemagne)
Nouvelle lgislation sur le contrle et la transparence (Kontroll- und
Transparenzgesetz)
Effective pour les exercices dbutant aprs le 31 dcembre 1998
KonTraG est une consolidation des changements apports aux diffrentes
rglementations existantes
Diffrents types dentreprises sont affectes: AG and GmbH
Vise galement les filiales trangres si ces dernires ont un impact potentiel
sur le systme de risk management de la maison mre
La notion de risque est toutefois limite au danger
Risque selon KonTraG =
la possibilit quune activit conomique fasse lobjet
dune moins-value, subisse des pertes ou soit
confronte tout autre dsavantage conomique
264
KonTraG (Allemagne)
Meilleure dfinition des rles respectifs et des mesures de sgrgation des
tches en application des principes de corporate governance
Obligation de mettre en oeuvre un systme adquat de contrle des risques et
dun early warning system (comprenant lidentification du risque et son
valuation mais pas les mesures mettre en oeuvre)
Reporting spcifique dans les tats financiers sur les risques pouvant affecter le
dveloppement futur de lentreprise
Considrations sur lutilit dun dpartement daudit interne agissant en tant
que risk manager
Obligation du reviseur dentreprises de procder lexamen et lvaluation de:
Ladquation et l'efficacit du systme de contrle des risques (uniquement pour les
socits cote en bourse
Du fonctionnement de laudit interne en tant que risk manager
Rapport sur les risques pouvant affecter lavenir de lentreprise
265
Cadbury (Royaume Uni)
Rapport Cadbury fut publi en 1992 et visait promouvoir un code des
pratiques de rfrence (Best Practices) en matire corporate governance.
Cadbury recommandait que les administrateurs tablissent un rapport sur les
mesures adoptes quant la mise en oeuvre des rgles de corporate
governance :
Reconnaissance par les administrateurs du fait quils sont responsables du systme
de contrle interne en place au sein de lentreprise
Explication quun tel systme ne peut procurer une certitude absolue contre les
erreurs matrielles pouvant figurer dans les tats financiers
Description des principales procdures mise en place afin dassurer un systme de
contrle interne efficace
Confirmation par les administrateurs (ou le conseil dadministration) quils ont
procd la revue de lefficacit du systme de contrle interne
266
Hampel/Turnbull (Royaume Uni)
Combined Code publi en juin 1998 en y incluant les travaux de Cadbury
Dveloppements rcents : Turnbull requirements on Boards statement on
internal control in the annual report (septembre 1999)
Applicable toute entreprise cot au LSE
Obligation de sy conformer au terme de lexercice 2000
Les socits doivent rapporter si elles se conforment aux obligations du Code
et elles doivent dcrire les mesures mise en oeuvre en application des
principes du Code
Internal Control - Guidance for Directors on the Combined Code
Sur limportance du contrle interne et du risk management

267
Hampel/Turnbull (Royaume Uni)
Rapport de gestion annuel du conseil d'administration doit aborder les points
suivants :
Les changements depuis la dernire valuation
La nature des risques en prsence et laptitude de lentreprise pouvoir les contrer
Ltendue et la qualit du systme de contrle permanent des risques et du
systme de contrle interne
Ltendue et la frquence de la communication au conseil des rsultats affrents
ces contrle
Lefficacit du systme de gestion des risques
Lincidence des dfaillances des principaux contrles
Lefficacit du systme de communication auprs des investisseurs
268
Annexes
269
Annexes
Internal control - Integrated framework - Executive Summary - September 1992,
Committee of Sponsoring Organizations of the Treadway Commission
Institut des Reviseurs dEntreprises - Le gouvernement dentreprise et le commissaire-
reviseur - Rflexions et opinions - numro 5/1996 (extraits)
Framework for internal control systems in banking organisation - Basle Committee on
Banking Supervision - Basle September 1998
ISA 10 - Considering the work of internal audit
IRE - Recommandation relative lutilisation du travail dun service daudit interne
Rapport CBF 1996-1997 - extraits : Conception et pratique du contrle prudentiel
Circulaire CBF D1 97/4 du 30 juin 1997 sur le contrle interne et laudit interne
Circulaire CBF D1/1690 du 9 juin 1998 sur le contrle interne et laudit interne -
Questionnaire sur le contrle interne et laudit interne
Circulaire CBF D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseurs-audit interne

Audit Interne Banque

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Audit Interne Banque

Hochgeladen von

Copyright:

Verfügbare Formate

1

AUDIT INTERNE EN BANQUE

Das könnte Ihnen auch gefallen