1

Comité de
Bâle sur le
contrôle
bancaire

L'audit interne dans les

banques et les relations des
autorités de tutelle avec les
auditeurs

Août 2001
2

BANK FOR INTERNATIONAL SETTLEMENTS

AVANT PROPOS

L’IFACI a le plaisir de vous proposer une traduction du document du Comité de Bâle

publié en août 2001 sous le titre “ Internal audit in banks and the supervisor’s relationship
with auditors ”.

Cette traduction a été réalisée par Christiane Dufayet, auditeur interne au Crédit Foncier
de France, avec la contribution de Florence Bergeret, Responsable de la Recherche de
l’IFACI ; qu’elles en soient remerciées.

L’IFACI, Institut Français de l’Audit et du Contrôle Internes (www.ifaci.com) est, en

France, l’unique organisation professionnelle dont la vocation est d’assurer la promotion
et le développement de la pratique de l’audit interne. Fondé en 1965 sous un statut
associatif, l’Institut fédère près de deux mille professionnels de l’audit issus de plus de
six cents organismes des secteurs public et privé. Au niveau international, il est affilié à
The Institute of Internal Auditors (IIA) qui regroupe soixante-quinze mille spécialistes de
l’audit interne répartis dans plus de cent vingt pays. Il est, en outre, l’Institut moteur de
l’Union Francophone de l’Audit Interne (UFAI).

Fort d’une organisation nationale et régionale, l’IFACI développe son action autour de
cinq objectifs principaux :
- contribuer à la professionnalisation des auditeurs internes ;
- être un lieu d’échanges professionnels ;
- être un vecteur de promotion de l’audit interne ;
- être le porte-parole auprès des organismes professionnels et institutionnels,
- être, enfin, un lieu de réflexion sur la fonction d’audit interne et son évolution.

Ce dernier objectif est la finalité de l’activité Recherche qui s’inscrit parfaitement dans la
devise de l’IIA : “ Le progrès par le partage ”. Elle s’organise autour de 8 unités de
recherche et 6 groupes professionnels, parmi lesquels le Groupe Banque, fort de quelque
500 adhérents.

Ce groupe mène ses réflexions et ses travaux sur divers thèmes, tels que la détection et la
prévention du blanchiment de l’argent, la lutte contre la fraude, les référentiels des
systèmes d’information, les risques opérationnels ou tout autre thème d’actualité qui sont
le plus souvent présentés dans le cadre de réunions d’information.
3

Louis Vaurs
Délégué Général, IFACI
4

Table des matières :

Page

Introduction
5

Définition de l'audit interne

6

Missions et objectifs de l'audit interne

6

Principes applicables à l'audit interne

8
Principe de permanence et de continuité
8
Principe d’indépendance
8
Charte d'audit
9
Impartialité
9
Compétence professionnelle
10
Champ d’intervention
10
Procédure interne d'évaluation des besoins en fonds propres
12

Le fonctionnement de l'audit interne

13
Méthodes de travail et types d'audit
13
Analyse des risques et plan d'audit
13
Procédures
14
Management du service d'audit interne
14

Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs
externes 15
Relations entre les autorités de tutelle et le service d'audit interne
15
Relations entre les auditeurs internes et les auditeurs externes
16
5

Relations entre les autorités de tutelle et les auditeurs externes

16
Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs internes
18

Le Comité d'audit
19
Définition
19
Composition, pouvoirs et fonctionnement
19
Principales fonctions
19

L'externalisation de l'audit interne

20
Définition
20
Externalisation de l'audit interne
20
Externalisation de l'audit interne dans les banques de petite taille
22
6

Groupe de travail “ Sujets comptables ”

du Comité de Bâle sur la supervision bancaire

Président :
Prof Arnold Schilder,
De Nederlandsche Bank, Amsterdam

Commission Bancaire et Financière, Bruxelles Mr Marc Pickeur

Office of the Superintendent of Financial Institutions Canada, Ms Donna
Bovolaneas
Toronto
Commission Bancaire, Paris Mr Philippe Bui
Deutsche Bundesbank, Frankfurt am Main Mr Karl-Heinz
Hillen
Bundesaufsichtsamt für das Kreditwesen, Bonn Mr Ludger
Hanenberg
Banca d’Italia, Rome Dr Carlo
Calandrini
Bank of Japan, Tokyo Mr Hiroshi Ota
Financial Services Agency, Tokyo Mr Nobuhiro
Hayashi
Commission de Surveillance du Secteur Financier, Mr Guy Haas
Luxembourg
De Nederlandsche Bank, Amsterdam Mr Michael
Dobbyn
Mr André van
Dorssen
Banco d'España, Madrid Mr Anselmo Diaz
Finansinspektionen, Stockholm Mr Hans Hultin
Eidgenössische Bankenkommission, Bern Mr Stephan
Rieder
Bank of England, London Mr Ian Michael
Financial Services Authority, London Ms Deborah
Chesworth
Board of Governors of the Federal Reserve System, Mr Gerald
Edwards
Washington, DC
Federal Reserve Bank of New York Mr James Beit
Office of the Comptroller of the Currency, Washington, DC Mr Zane
Blackburn
Federal Deposit Insurance Corporation, Washington, DC Mr Robert Storch

Observateurs
Commission Européenne, Bruxelles Mr Vittorio
Pinelli
Oesterreichische Nationalbank, Vienna Mr Martin
Hammer
Saudi Arabian Monetary Agency, Riyadh Mr Tariq Javed
Monetary Authority of Singapore, Singapore Mr Timothy Ng
7

Secretariat
Secretariat of the Basel Committee on Banking Supervision, Mr Bengt A
Mettinger
Bank for International Settlements
8

Introduction

1. Au titre de ses efforts constants pour traiter et promouvoir le contrôle bancaire en

encourageant de saines pratiques, le Comité de Bale sur le contrôle bancaire ( Le Comité )
publie le présent document sur l'audit interne dans les banques et la relation des autorités
de tutelle avec les auditeurs internes et externes. Un contrôle interne adéquat au sein de la
banque doit être complété par une fonction d'audit interne efficace qui évalue, de façon
indépendante, les dispositifs de contrôle de l'organisation. Les auditeurs externes, pour
leur part, y contribuent en formulant des observations sur l'efficacité du dispositif. Le
respect de la réglementation et des procédures ainsi que les actions correctrices
appropriées, engagées par le management en réponse aux faiblesses du contrôle interne
identifiées par les auditeurs internes et externes, répondent aux préoccupations des
autorités de tutelle bancaires. En définitive, la coopération entre l'autorité de tutelle,
l'auditeur interne et l’auditeur externe optimise la supervision.

2. Les principes énoncés dans ce document sont d'application générale même s'ils
sont destinés à être appliqués dans un cadre spécifique de supervision. L'utilisation de
procédés de supervision internes ou externes diffère de façon significative selon les pays.
De la même façon, le degré d'implication des auditeurs externes dans la fonction de
supervision varie largement. Bien que l'approche choisie par les superviseurs de chaque
pays dépende de ces différents facteurs, tous les membres du Comité sont d'accord sur les
principes énoncés dans le présent document.

3. Ce document fait référence à une structure manageriale composée d'un conseil

d'administration et d’une Direction Générale. Le Comité est conscient qu'il existe des
différences significatives dans les structures législatives et réglementaires des différents
pays en ce qui concerne les fonctions du Conseil d'Administration et de la Direction
Générale. Dans certains pays le Conseil d'Administration a pour principale, voire pour
seule fonction, la supervision des instances exécutives
(encadrement supérieur et management dans son ensemble) afin de s'assurer que ces
dernières assument leurs tâches. C'est la raison pour laquelle, dans certains pays, on
l'appelle Conseil de Surveillance. Cela signifie que ce conseil n'a aucune fonction
exécutive. Dans d'autres pays, en revanche, le conseil a une compétence plus large en ce
qu'il détermine les lignes directrices générales pour la gestion de la banque. Compte tenu
de ses différences, les notions de Conseil d'Administration et de Direction Générale sont
utilisées dans ce document non pour identifier des organes de décision au sens juridique,
mais plutôt pour désigner deux instances de décision au sein d'une banque. Les principes
posés dans ce document doivent s'appliquer en conformité avec les structures
manageriales des entreprises de chaque pays. Il serait utile de consulter à ce sujet le
document du Comité de Bâle "L'optimisation du gouvernement d'entreprise dans les
organisations bancaires " publié en septembre 1999.

4. Le présent document constitue un guide de base pour les autorités de tutelle tout
en précisant leur point de vue sur l'audit interne dans les banques et les relations entre les
superviseurs et les auditeurs externes et internes. Le Comité encourage les efforts déployés
pour harmoniser et améliorer les normes de l'audit interne au plan international. Le Comité
souhaite qu’il soit tenu compte des règles prudentielles dans le développement des normes
nationales et internationales d'audit interne.

5. Au sein d'une banque, une fonction d'audit interne organisée selon les principes
9

posés dans le présent document, facilite le travail des autorités de tutelle de la banque. Un
contrôle interne structuré, associé à une fonction d'audit interne, et un audit externe
indépendant participent à un gouvernement d'entreprise sain qui, à son tour, peut
contribuer à une coopération entre le management de la banque et les autorités de tutelle.
Une fonction d'audit interne efficace est, pour le management, ainsi que pour les autorités
de tutelle de la banque, une source appréciable d'information sur la qualité du dispositif de
contrôle interne.

6. Les principes énoncés dans ce document s'appliquent à toutes les banques, y

compris à celles qui font partie d'un groupe et aux sociétés holding dont les filiales sont
majoritairement des banques.

7. Ce document précise les lignes directrices publiées par le Comité en 1998 et

intitulées " Dispositifs de contrôle interne au sein des banques", en particulier les normes
de la fonction d'audit interne. Le document de 1998 prévoit des règles internationales de
supervision de l'évaluation du contrôle interne de la banque fondées sur un dispositif de
contrôle interne moderne et évolué.

La définition de l'audit interne :

8. En juin 1999, les instances dirigeantes de l’IIA, the Institute of Internal Auditors,
ont approuvé la définition suivante :
"L'Audit Interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacité".

9. L'objectivité et l'impartialité, primordiales pour le service de l'audit interne dans le

domaine bancaire, n'excluent pas nécessairement la possibilité qu’il s'investisse dans une
activité de conseil. Conseiller la Direction Générale sur le développement de contrôles
internes est souvent une façon peu onéreuse de s'assurer que le management prend une
décision avisée quand des mesures de contrôle interne apparaissent nécessaires. Cependant
le conseil sous d'autres formes doit rester une activité annexe à la fonction de base de
l'audit interne qui est une fonction indépendante d'évaluation au sein d'une banque pour
examiner et évaluer ses dispositifs de contrôle interne, y compris dans le domaine du
reporting financier. Les auditeurs internes ne doivent pas se censurer pour analyser et
critiquer les dispositifs de contrôle interne mis en œuvre par, ou sous l'égide de la
Direction Générale, même s’ils ont eux-mêmes donné des conseils sur les contrôles à
mettre en place.

10. Certaines banques ont décidé de mettre en place une auto-évaluation des processus
de contrôle. Cette démarche peut se définir comme un processus normé qui permet au
management et/ou à un service d'analyser ses activités ou ses fonctions et d'évaluer
l'efficacité des procédures de contrôle interne qui y sont associées. On peut considérer qu'il
s'agit là d'une technique utile pour évaluer l'efficacité du contrôle interne, sans que ce soit
pour autant un substitut à l'audit interne.
10

Missions et objectifs de l’audit interne

Principe n°1

Le Conseil d'Administration de la banque a la responsabilité finale de s'assurer que

la Direction Générale établit et maintient :
- un système de contrôle interne approprié et efficace ;
- un processus d'évaluation des divers risques engendrés par les activités de la
banque ;
- un système de comparaison entre les risques et le niveau de fonds propres de la
banque ;
- des dispositifs propres à s'assurer du respect des lois, des règlements ainsi que de
la réglementation prudentielle et interne.
Au moins une fois par an, le Conseil d'Administration doit vérifier le système de
contrôle interne et le dispositif d'adéquation des fonds propres.

11. Le Conseil d'administration doit vérifier régulièrement que la banque a mis en

place des dispositifs de contrôle interne pour une conduite normée et prudente des affaires
(en se référant à des objectifs clairement définis). Le Conseil d'Administration doit
également s'assurer que la banque a mis en place une procédure de limitation des risques
par rapport au niveau des fonds propres de la banque.
Enfin, le Conseil d’Administration doit s’assurer que la banque a mis en place des
processus :
- pour identifier et contrôler, de manière appropriée, les risques inhérents à la poursuite
de ses objectifs ;
- pour tester l’intégrité, la fiabilité et le caractère opportun de l’information financière et
de gestion, et
- pour surveiller le respect des lois et règlements, des réglementations prudentielles,
ainsi que des plans, règles et procédures internes.

Principe n°2

La Direction Générale de la banque est responsable de la mise en place d'instruments

d'identification, de mesure, de surveillance et de contrôle des risques encourus par
l'entreprise.
Au moins une fois par an, la Direction Générale de la banque est tenue de faire un
rapport au Conseil d'Administration sur l'étendue et l'efficacité du dispositif de
contrôle interne et d'adéquation des fonds propres.

12. La Direction Générale doit mettre en place une structure organisationnelle qui
attribue de façon claire les responsabilités, établit les relations hiérarchiques et les
obligations en termes de reporting et s'assure que les délégations de pouvoirs sont
effectivement appliquées. La Direction Générale est également responsable de la mise en
place d'instruments d'identification, de mesure, de surveillance et de contrôle des risques.
En définitive, elle définit la politique de contrôle interne appropriée et surveille
l'adéquation et l'efficacité du dispositif de contrôle interne

Principe n°3

L'audit interne participe à la surveillance permanente du dispositif de contrôle

interne et du processus d'évaluation interne des fonds propres de l'établissement
11

dans la mesure où il fournit une évaluation indépendante de leur adéquation et de

leur conformité avec les procédures et la politique décidée par la banque. Dans
l'exercice de cette mission, la fonction d'audit interne aide la Direction Générale et le
Conseil d'Administration à assumer effectivement et efficacement les responsabilités
décrites ci-dessus.

13. D'un point de vue général, le champ d'intervention de l'audit interne porte sur les
domaines suivants :
• l'examen et l'évaluation du bien fondé et de l'efficacité des dispositifs de contrôle
interne ;
• le contrôle de l'application et de l'efficacité des procédures de management du risque
et des méthodes de mesure du risque ;
• le contrôle du management et des systèmes d'information financière, y compris
l'informatique, et les services de l’e-banking ;
• le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des
rapports financiers ;
• le contrôle des moyens de sauvegarde des actifs ;
• le contrôle du système de mesure des risques par rapport aux fonds propres de la
banque ;
• l'évaluation de l'intérêt économique et de l'efficacité des opérations ;
• les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de
contrôle interne ;
• le contrôle des dispositifs mis en place pour s'assurer qu’ils sont conformes aux
exigences légales et réglementaires, aux codes de conduite, et à la mise en œuvre des
politiques et procédures ;
• le contrôle de la sincérité, de la fiabilité et de l'opportunité des reporting
réglementaires ;
• la conduite d'enquêtes spéciales.

14. La Direction Générale doit s’assurer que le service d’audit interne est tenu
totalement informé des nouveaux développements et produits, des initiatives et des
changements opérationnels, ceci afin d’être sûr que les risques associés sont identifiés très
tôt.

Principes applicables à l'audit interne

Principe de permanence et de continuité

Principe n°4

Toutes les banques doivent disposer d'une fonction permanente d'audit interne. Dans
l'accomplissement de ses tâches et responsabilités, la Direction Générale devrait
prendre toutes les mesures nécessaires pour que la banque puisse compter de façon
continue sur une fonction d'audit interne compétente et appropriée à sa taille et à la
nature de ses opérations. Elle doit dégager pour le service d'audit interne les
ressources et les moyens humains nécessaires à la réalisation de ses objectifs.

15. Dans les banques d'une certaine taille et dans les banques dont l'activité est
12

complexe, les
missions d'audit interne doivent normalement être conduites par un département d'audit
interne disposant d’un effectif à plein temps. Dans les banques plus petites, l'audit interne
peut être externalisé auprès d'un prestataire externe. Certains pays autorisent les petites
banques à recourir à des évaluations indépendantes des éléments clés de contrôle interne
en tant qu'alternative à l'audit interne.

16. Les normes énumérées dans ce document pour un service d'audit interne
s'appliquent de la
même façon aux activités d'audit interne externalisées.

17. L'application du principe n°4 aux groupes est évoquée au principe n° 9.

Principe d'indépendance

Principe 5

La fonction d'audit interne de la banque doit être indépendante des activités auditées
et également des processus de contrôle de premier niveau. En d'autres termes, l'audit
interne doit bénéficier d'un statut approprié au sein de la banque et conduire ses
missions avec objectivité et impartialité.

18. Le service d'audit interne doit être en mesure d'exercer sa mission de sa propre
initiative dans
tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire
un rapport sur ses résultats et évaluations et de les communiquer en interne. Le principe
d'indépendance implique le rattachement du service d'audit interne, soit au Président de la
banque, soit au Conseil d'Administration, soit à son Comité d'audit (s'il existe), en fonction
de la structure de direction de la société.

19. Le responsable de l'audit interne doit avoir l'autorisation de communiquer

directement et de sa
propre initiative au Conseil d'Administration, au Président du Conseil d'Administration,
aux membres du Comité d'Audit (s'il existe) ou avec les auditeurs externes, selon les
modalités définies par chaque banque dans sa charte d'audit. 1 Ce reporting peut, par
exemple, porter sur des décisions prises par le management de la banque qui sont
contraires aux dispositions légales ou réglementaires.

20. Le principe d'indépendance exige également l'absence de tout conflit d'intérêts

entre les auditeurs internes et la banque. Le niveau de rémunération des auditeurs internes
doit être cohérent avec les objectifs de l'audit interne. La fonction d'audit interne doit faire
l'objet d'une revue indépendante. Celle-ci peut être effectuée par une autorité
indépendante, par exemple un auditeur externe ou par le Comité d'Audit, s'il existe.

1 Dans certains pays, la loi encourage les organisations à mettre en place un dispositif de
communication largement accessible à des personnes internes ou externes à l’organisation et leur
permettant de faire part de problèmes importants. Dans ces pays, la loi protège les employés qui
révèlent les irrégularités et les méfaits dont ils ont pu avoir connaissance.
13

Charte d'audit

Principe 6

Toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le
statut et l'autorité de la fonction d'audit interne au sein de la banque.

21. Une charte d'audit interne détermine au minimum :

• les objectifs et le champ d’intervention de l'audit interne ;

• la position de l'audit interne dans l'organisation, ses pouvoirs, ses responsabilités, et
ses relations avec les autres fonctions de contrôle ;
• la responsabilité du responsable de l'audit interne.

22. La charte doit être rédigée et mise à jour périodiquement par le service d'audit
interne ; elle doit être approuvée par la Direction Générale et cette approbation confirmée
par le Conseil d'Administration agissant en tant que superviseur, ou par le Comité d'audit,
s'il existe.

23. Dans la charte, la Direction Générale de la banque donne au service d'audit interne
le droit de prendre des initiatives et l'autorise à avoir directement accès et à communiquer
avec tout membre du personnel, à contrôler toute activité ou entité de la banque, à avoir
accès à tout enregistrement comptable, dossier ou rapport de la banque, y compris à
l'information destinée au management, et aux minutes de tout organe consultatif ou
exécutif, toutes les fois que c'est nécessaire pour l'accomplissement de ses missions.

24. La charte d'audit doit prévoir les conditions dans lesquelles le service d'audit peut
être amené à exercer une activité de consultant ou de conseil ou à effectuer d'autres tâches
particulières.

25. La charte doit être diffusée à l'ensemble de l'organisation.

Impartialité

Principe 7

La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit
doit pouvoir effectuer ses missions sans préjugé et sans subir de pression.

26. Pour être objectif et impartial le service d'audit interne doit lui-même chercher à
éviter tout conflit d'intérêts. A cette fin, les missions des auditeurs au sein du service
d'audit doivent changer périodiquement chaque fois que c'est possible. Les auditeurs
recrutés en interne ne doivent pas auditer des activités ou des fonctions qu'ils ont exercées
au cours des douze derniers mois.

27. Le souci d'impartialité contraint le service d'audit interne à ne pas s'impliquer dans
les opérations de la banque, dans les choix ou la mise en œuvre de dispositifs de contrôle
interne. Dans le cas contraire, il assumerait une part de responsabilité dans ces activités, ce
qui nuirait à l'indépendance de son jugement.
14

28. Néanmoins, le principe d'impartialité ne porte pas atteinte à la possibilité offerte

au management de solliciter du service d'audit interne un avis sur des questions
spécifiques relatives aux principes de contrôle interne à respecter. La Direction Générale
peut, par exemple, pour des raisons d'efficacité, demander un avis quand elle envisage
d'importantes réorganisations, le démarrage d'activités nouvelles importantes ou risquées,
la création de nouveaux établissements pour des activités à risques, la mise en œuvre ou la
réorganisation des systèmes informatiques, de contrôle des risques et de remontée
d’information, etc....Il va de soi que la mise en place et le développement éventuels de
toutes ces mesures est de la responsabilité des managers.
En effet, l’activité de conseil constitue une tâche annexe qui ne doit en aucun cas porter
préjudice à la mission principale, à la responsabilité ou à l'indépendance du service d'audit
interne. Dans ces conditions, les rapports d'audit interne peuvent contenir des
recommandations relatives aux lacunes et faiblesses relevées et des suggestions pour
améliorer le contrôle interne.

Compétence professionnelle

Principe 8

La compétence professionnelle de tous les auditeurs internes et de la fonction d'audit

interne dans son ensemble est primordiale pour le bon fonctionnement de la fonction
d'audit interne dans la banque.

29. La compétence professionnelle de chaque auditeur, sa motivation, sa formation

continue sont des préalables à l'efficacité du service d'audit interne. La compétence
professionnelle doit être estimée en tenant compte de la nature de la fonction et de la
capacité de l'auditeur à réunir l'information, à contrôler, à évaluer et à communiquer. A cet
égard, il faut aussi prendre en compte la complexité technique croissante des activités
bancaires et la diversité accrue des tâches dévolues à l'audit interne résultant du
développement du secteur financier.

30. La compétence professionnelle et notamment la connaissance et l'expérience du

service d'audit interne lui-même mérite une attention particulière. Le principe énoncé
implique une compétence suffisante du service dans son ensemble pour auditer tous les
secteurs de la banque.

31. L'exercice permanent de tâches similaires ou un travail de routine peuvent affecter

négativement le sens critique de l'auditeur. Il est donc recommandé, chaque fois que c'est
possible, de faire tourner l'effectif du service d'audit interne. Les permutations doivent
s'effectuer de façon à ne pas compromettre l'indépendance des auditeurs internes.

32. L'entretien de la compétence professionnelle suppose une formation continue de

chaque membre de l'équipe. L'ensemble de l'effectif doit avoir des connaissances à jour
suffisantes sur les techniques d'audit et les activités bancaires.

Champ d’intervention

Principe 9

Toutes les activités et toutes les entités de la banque doivent entrer dans le champ
15

d’intervention de l'audit interne.

33. Aucune des activités ou entités de la banque, y compris les activités de succursales
ou filiales ainsi que les activités externalisées, ne peut être exclue du champ d’intervention
du service d'audit interne. Le service d'audit interne doit avoir accès à tout rapport, dossier
ou donnée de la banque, y compris l’information destinée au management, ainsi qu’aux
minutes de tout organe consultatif ou exécutif, chaque fois que c'est utile pour l'exécution
de sa mission.

34. D'un point de vue général, le champ de l'audit interne comprend le contrôle et
l'évaluation de la pertinence et de l'efficacité du contrôle interne, et de la façon dont les
responsabilités de chacun sont assumées. A bien des égards, il s'agit d'une analyse du
risque du système de contrôle interne de la banque.

35. Le service d'audit interne doit évaluer, en particulier :

• la conformité de la banque à la réglementation et aux contrôles des risques (à la fois

quantifiables et non quantifiables) ;
• la fiabilité ( y compris l'intégrité, l'exactitude et l'exhaustivité ) ainsi que la
disponibilité en temps opportun de l'information financière et de celle destinée au
management ;
• la continuité et la fiabilité des systèmes d’information ;
• l'organisation des services.

36. Le service d'audit interne doit se préoccuper des dispositions légales et

réglementaires qui régissent les opérations de la banque, les politiques, principes, règles,
lignes de conduite édictées par les autorités de tutelle relatives à l'organisation et à la
gestion des banques. Cependant cela ne signifie pas que l'audit interne doit assumer les
fonctions de contrôle de la conformité.

37. Certaines banques ont mis en place des services séparés pour contrôler une activité
ou une entité spécifique de la banque. De tels services font partie du dispositif de contrôle
interne et leur existence ne dispense pas le service d'audit interne d'auditer ces activités ou
entités spécifiques.
Cependant dans un souci d'efficacité, le service d'audit interne peut, pour effectuer sa
tâche, utiliser les informations transmises par les différents services de contrôle.
Néanmoins, le service d'audit interne conserve l'entière responsabilité de contrôler et
évaluer le fonctionnement adéquat du dispositif de contrôle interne des activités ou entités
concernées de la banque.

38. Si la banque a une succursale importante à l'étranger, le service d'audit interne

devra réfléchir à la mise en place d’une équipe locale pour s'assurer de la continuité et de
l'efficacité de son travail. Elle fera partie du service d'audit interne de la banque et sera
organisée dans le respect des principes énoncés dans ce document.

39. En tant qu'entités juridiques distinctes, les filiales bancaires et non bancaires sont
responsables de leur propre contrôle interne et de leur propre fonction d'audit interne dans
le respect des dispositions de ce document ; dans ces filiales, la fonction d'audit interne
peut être assumée par le service d'audit interne de la maison mère. Quand les filiales
disposent de leurs propres services d'audit interne, ceux-ci doivent rendre compte au
16

service d'audit interne de la maison mère. Dans cette hypothèse, la maison mère doit
prendre toutes les mesures nécessaires, sans préjudice des dispositions et obligations
légales et réglementaires locales, pour s'assurer que son service d'audit interne a un accès
illimité à toutes les activités et entités des filiales et qu'il effectue des audits sur place à
intervalles réguliers.

40. Pour les succursales à l'étranger comme pour les filiales, les principes d'audit
interne sont édictés de façon centralisée par la maison mère. Cette dernière doit donner les
instructions d'audit pour l'ensemble du groupe. Le service d'audit interne de la banque
maison mère doit participer au recrutement et à l'évaluation des auditeurs internes locaux.

41. Dans l'hypothèse d'une structure plus complexe, la fonction d'audit interne doit
être organisée en conformité avec les principes énoncés dans ce document.

Procédure interne d'évaluation des fonds propres

Principe 10

Dans le cadre de la procédure interne d'évaluation des besoins en fonds propres de la

banque, l'audit interne doit régulièrement contrôler de façon indépendante le
processus de management des risques, mis en place par la banque pour rapprocher le
risque du niveau de fonds propres et la méthode utilisée pour surveiller la conformité
à la politique de fonds propres définie en interne.

42. Les méthodes d'identification des risques et d'évaluation des fonds propres de la
banque diffèrent du processus de management des risques qui habituellement met
davantage l'accent sur le contrôle des stratégies commerciales développées pour optimiser
l'arbitrage risque /marges dans les différents secteurs de la banque.

43. La banque doit désigner de façon claire la personne ou le service responsable du

contrôle de l'adéquation des fonds propres. Cette tâche peut être confiée au service d'audit
interne ou à une personne ou un service, suffisamment indépendants des activités de la
banque.

44. L'autorité de tutelle peut apprécier les méthodes internes d'évaluation par une
banque de ses besoins en fonds propres et sa conformité avec les ratios de fonds propres
réglementaires à partir du travail effectué par les auditeurs internes et externes si leur
travail a été orienté en ce sens.
17

Fonctionnement de l'audit interne

Méthodes de travail et types d'audit

Principe 11
La fonction d'audit interne suppose l'établissement d'un plan d'audit, l'examen et
l'évaluation de l'information mise à disposition, la communication de ses résultats, le
suivi des recommandations et des questions traitées.

45. On distingue différents types d'audit interne. On peut citer sans prétendre à
l'exhaustivité :
• l'audit financier, dont la finalité est de s'assurer de la fiabilité des procédures
comptables, de l'information et des états comptables qui en résultent ;
• l'audit de conformité, dont la finalité est de s'assurer de qualité et de la pertinence des
procédures mises en place pour garantir la conformité aux lois, règlements, politiques
et procédures ;
• l'audit opérationnel dont la finalité est de s'assurer de la qualité et de la pertinence des
systèmes et procédures, d'analyser les structures et l’organisation, en exerçant un
esprit critique, d'évaluer l'adéquation des ressources et méthodes aux objectifs
assignés ;
• l'audit de management dont la finalité est d'évaluer la qualité de l'approche du risque et
du contrôle interne par les managers, dans le cadre des objectifs de la banque.

46. Le service d'audit interne contrôle et évalue l'ensemble des activités de la banque
dans toutes ses entités. Il ne doit donc pas se focaliser sur un seul type d'audit mais utiliser
le type le plus approprié, en fonction de l'objectif d'audit. En outre, le service d'audit
interne ne doit pas se limiter, à cet égard, à l'audit des différents services de la banque. Il
doit aussi porter une attention particulière à l'audit d'une activité bancaire dans laquelle
plusieurs entités de la banque sont engagées

Analyse des risques et plan d'audit

47. La direction du service d'audit interne prépare un plan de toutes les missions à
effectuer. Le plan d'audit inclut le calendrier et la durée des missions d'audit interne
planifiées. Le plan d'audit est fondé sur une analyse méthodique des risques qui permet à
l'auditeur interne de bien appréhender les activités significatives de l'institution et les
risques qui y sont associés. Le management du service d'audit interne doit établir les
principes applicables à la méthode d'évaluation des risques par écrit et les mettre à jour
régulièrement en fonction des changements dans le système de contrôle interne ou dans les
méthodes de travail, et en intégrant les nouveaux domaines d'activité. L'analyse du risque
porte sur l’ensemble des activités et entités de la banque et concerne l'intégralité des
systèmes de contrôle interne.
Un plan d'audit sur plusieurs années est établi, en se fondant sur les résultats de l'analyse
des risques et en tenant compte du degré de risque inhérent à chaque activité. Le plan doit
aussi prendre en compte les développements en projet et les innovations, le taux de risque
généralement plus élevé des nouvelles activités, et l'objectif d'auditer toutes les activités et
entités significatives avec une périodicité raisonnable (principe du cycle d'audit de trois
ans par exemple). Toutes ses préoccupations permettront de déterminer l'étendue, la nature
18

et la fréquence des missions à effectuer.

48. Le plan d'audit du service doit être réaliste c'est à dire qu'il doit prévoir du temps
pour d'autres missions et activités telles que des contrôles ou des enquêtes spécifiques, des
conseils et avis, et la formation. Le plan comprend un état détaillé des ressources
nécessaires en termes de personnel et autres ressources. En ce qui concerne les moyens
humains, il faut réfléchir non seulement au nombre de personnes mais aussi aux
compétences professionnelles nécessaires.

49. Le plan d'audit est rédigé par le service d'audit interne et approuvé par le président
de la banque ou par le Conseil d'administration ou par le Comité d'audit (s'il existe).
L'accord sur le plan engage la banque à mettre à la disposition du service d'audit interne
les moyens appropriés. Le plan d'audit doit être régulièrement revu et mis à jour chaque
fois que c'est nécessaire.

Procédures

50. Pour chaque mission, un programme d'audit doit être établi. Le programme décrit
les objectifs ainsi que le plan de travail estimé nécessaire pour les atteindre. C'est un outil
relativement souple qui devra être adapté et complété en fonction des risques identifiés.

51. Toutes les procédures d'audit, inhérentes à la mission devraient être documentées
par des papiers de travail. Ceux-ci doivent refléter les contrôles qui ont été effectués et
mettre en lumière les constats énoncés dans le rapport. Les papiers de travail doivent être
élaborés suivant une méthode bien déterminée. Cette méthode doit permettre de fournir
des informations suffisantes pour vérifier que la mission a été correctement effectuée et
permettre à d'autres de vérifier son déroulement.

52. Un rapport écrit pour chaque mission doit être rédigé aussi vite que possible. Il est
transmis à l'audité et à ses supérieurs hiérarchiques et, généralement sous une forme
synthétique, à la Direction Générale.

53. Le rapport d'audit présente la finalité et le champ d’intervention de l'audit interne,

ses constats et recommandations et les réponses de l'audité. Il met en évidence les thèmes
sur lesquels on est parvenu à un consensus à la fin de la mission. Le service d'audit interne
précise l'importance relative des insuffisances constatées et des recommandations
proposées.

54. Le service d'audit interne tient un registre des missions effectuées et des rapports
transmis.

55. La direction de la banque doit s'assurer que les recommandations du service

d'audit interne sont mises en œuvre de façon appropriée.
Elle doit donc approuver une procédure mise en place par le service d'audit interne pour
s'assurer de l'examen et au besoin du calendrier de mise en œuvre des recommandations du
service d'audit interne.

56. Le service d'audit interne suit les recommandations émises pour voir si elles sont
appliquées. Un bilan de la mise en œuvre de ces recommandations est communiqué au
moins tous les six mois à la Direction Générale, au Conseil d'Administration ou au Comité
d'audit, s'il existe, conformément au cadre de gouvernement d’entreprise existant.
19

Management du service d'audit interne

Principe 12
Le responsable du service d'audit interne est le garant du respect par son service de
principes sains d'audit interne.

57. Le responsable de l'audit interne doit s'assurer du respect de principes sains , tels
que les Normes pour la Pratique Professionnelle de l'Audit Interne de l'IIA. Il doit veiller à
la rédaction d'une charte d'audit, d'un plan d'audit ainsi que de procédures et instructions
internes. Il doit se préoccuper continuellement de la compétence professionnelle et de la
formation de son équipe et s'assurer qu'il dispose des moyens nécessaires. Il doit prêter
attention à la motivation de son équipe et à sa conscience professionnelle.
58. Le service d'audit interne doit régulièrement faire un reporting à la Direction
Générale ou au Conseil d'Administration ou au Comité d'Audit, s’il existe, sur l'efficacité
du contrôle interne et sur l'atteinte des objectifs du service d'audit interne. Il doit
également les tenir informés de l’avancement du plan d'audit. Dans le cadre de sa fonction
de superviseur, le Conseil d'administration ou le Comité d'Audit doit régulièrement
discuter de l'organisation et des moyens (à la fois humains et autres ) du service d'audit
interne ainsi que du plan d'audit, des rapports d'activité, de la synthèse des
recommandations de l'audit interne et du degré d’avancement de leur mise en œuvre.

Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs
externes

Relations entre les autorités de tutelle et le service d'audit interne

Principe n°13

Les autorités de tutelle doivent évaluer le travail réalisé par le service d'audit interne
de la banque et, si elles en sont satisfaites, lui faire confiance pour identifier les
secteurs comportant des risques potentiels.

59. Diverses dispositions réglementaires au sujet du contrôle interne dans les banques
émanent des autorités de tutelle. Bien que la réglementation soit plus ou moins développée
selon les pays, elle comprend en général des principes de base tendant à promouvoir un
dispositif de contrôle approprié ainsi qu'une réglementation sur les fonds propres. La
plupart des autorités de tutelle ont rédigé des règlements, des pratiques et des procédures
dans différents domaines comme le management du risque crédit et les autres risques
bancaires principaux ( tels que les risques sur le marché des changes, le risque de taux, la
gestion des liquidités, les systèmes informatiques et de télécommunication, et la gestion
des risques sur le marché à terme des instruments financiers).

60. Pour évaluer la qualité du contrôle interne, les autorités de tutelle disposent de
plusieurs approches. L'une d'entre elles consiste à évaluer le travail du service d'audit
interne, y compris les contrôles des dispositifs d'identification, de mesure, de suivi et de
contrôle des risques mis en place par la Direction Générale. Si elles sont satisfaites de la
qualité du travail du service d'audit interne, les autorités de tutelle peuvent utiliser les
rapports d'audit interne comme premier élément pour identifier les lacunes de contrôle
dans la banque ou pour identifier les zones de risque potentiel que les auditeurs internes
20

n'ont pas contrôlées récemment.

Principe n° 14

Les autorités de tutelle doivent consulter périodiquement les auditeurs internes pour
s'enquérir des zones de risque identifiées et des mesures prises. Elles peuvent
s'entretenir à cette occasion de l'étendue de la collaboration entre le service d'audit
interne de la banque et les auditeurs externes.

61. Cette consultation est fondamentale d’un point de vue prudentiel sachant qu’une
politique hasardeuse peut nuire à la protection des déposants et autres créanciers, aux
intérêts des actionnaires, et au fonctionnement correct du système de crédit. Bien que la
mission du service d'audit interne soit vaste, il n’appartient pas à ce dernier d'établir la
politique interne de la banque. De même, il ne peut, en général, contester les orientations
politiques, à l'exception des règles relatives au contrôle interne, ou critiquer l'opportunité
de certaines décisions politiques.
Néanmoins, cette règle n'empêche pas le service d'audit interne de réagir et d'informer le
Conseil d'Administration ou son Comité d'Audit, s'il existe, chaque fois que le
management de la banque prend des décisions contraires aux dispositions légales ou
réglementaires, ou à la politique décidée par la banque et à ses procédures écrites.

62. Il est de bonne pratique chaque fois que le chef du service d'audit interne change
de fonction, que les autorités de tutelle soient informées, en temps opportun, par la
direction de la banque des circonstances qui ont conduit à cette mesure.
Lorsque le responsable du service d'audit est relevé de ses fonctions, l'autorité de tutelle
devrait envisager de le rencontrer.

Principe n°15

Les autorités de tutelle sont encouragées à organiser des réunions régulières pour
s'entretenir des problèmes d'ordre politique avec les responsables d'audit interne des
banques sous leur contrôle.

63. Les responsables d'audit interne des banques devraient s’unir pour organiser des
consultations sectorielles avec les autorités de tutelle en vue de s'entretenir de sujets
d'intérêts communs.

Relations entre les auditeurs internes et les auditeurs externes

Principe n° 16

Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et
externes de façon à rendre leur collaboration aussi réelle et efficace que possible.

64. Les auditeurs externes ont une influence notable sur la qualité des contrôles
internes, en raison de leurs activités d'audit et notamment, de leurs entretiens avec
la direction générale et le Conseil d'Administration ou le Comité d'Audit, s’il
existe, ainsi que par leurs recommandations pour l'amélioration du contrôle
interne.
21

65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le
calendrier et l'étendue des procédures d'audit externe. Cependant, l’auditeur externe (le
Commissaire aux comptes en France) est seul responsable de son opinion sur les états
financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès aux
rapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention
de l'auditeur interne et qui pourrait avoir une incidence sur son travail. De même,
l’auditeur externe doit informer l'auditeur interne de tout problème important qui pourrait
le concerner.

66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes
ne fait pas double emploi avec celui des auditeurs externes. La coordination entre les
services d'audit nécessite des rencontres périodiques pour s'entretenir de questions d'intérêt
commun, procéder à l'échange des rapports d'audit et des notes de la direction et convenir
de techniques, méthodes et terminologie communes.

Relations entre les autorités de tutelle et les auditeurs externes

Principe n°17

Les travaux effectués par un auditeur externe pour le compte d'une autorité de
tutelle doivent avoir un fondement légal ou contractuel. Toute mission assignée par
les autorités de tutelle à l’auditeur externe doit être complémentaire à ses travaux
d'audit habituels et correspondre à sa sphère de compétences.

67. Selon la norme IAPS 1004 (International Auditing Practice Statement) de l’IFAC,
International Federation of Accountants, intitulée "la relation entre les autorités de tutelle
de la banque et les auditeurs externes des banques" (en cours de révision), les autorités de
tutelle et les auditeurs externes ont des préoccupations complémentaires : la notion de
stabilité de l'établissement bancaire pour l'autorité de tutelle est complémentaire de la
notion de "continuité de l'exploitation" de l’auditeur externe. En effet, les processus de
contrôle interne qui permettent d’assurer à la fois un management sûr et prudent et
l’établissement d’états financiers fiables sont complémentaires. En outre, l'existence d'un
système comptable adéquat intéresse aussi bien les autorités de tutelle que les auditeurs
externes.
68. Le rôle exact des auditeurs externes varie d'un pays à l'autre. Il est constant,
néanmoins, qu'on attend d'eux une compréhension accrue du système de contrôle interne
de la banque dans la mesure où l’exactitude des états financiers en dépend. On attend
également de leur part un rapport sur les insuffisances matérielles identifiées, à l'attention
de la Direction Générale et, dans beaucoup de pays, à l'attention des autorités de tutelle.
La Direction Générale et le Conseil d'Administration ou son Comité d'audit, s'il existe,
doivent s'assurer de la mise en œuvre des mesures préconisées pour remédier aux
déficiences de contrôle interne soulignées dans les rapports des auditeurs externes. Cette
fonction d'alerte de la part des auditeurs externes s'intègre dans la fonction préventive des
autorités de tutelle.

69. Dans beaucoup de domaines, les travaux de l'autorité de tutelle et de l’auditeur

externe peuvent être mutuellement utiles. Les auditeurs externes peuvent trouver des
indications utiles dans les informations recueillies par l'autorité de tutelle à la suite d'une
inspection sur place, d'entretiens avec le management ou toute autre communication avec
22

la banque.
Dans les pays où les auditeurs externes entretiennent d'étroites relations avec les autorités
de tutelle, ils sont fréquemment conduits à exprimer leur avis sur le fonctionnement et la
qualité du service d'audit interne.
Les notes de la Direction Générale et autres rapports donnent aux autorités de tutelle un
aperçu intéressant du contrôle interne de la banque.

70. Dans certaines circonstances, l’auditeur externe prend conscience que des
informations qu'il a obtenues peuvent être intéressantes pour l'autorité de tutelle ou
requérir de sa part des mesures urgentes. Plusieurs d'entre elles sont énumérées dans l'ISA
260 (International Standards on Auditing, IFAC) “ Communications of Audit Matters with
those charged with Corporate Governance ” 2.

Afin de compléter les cas recensés dans L'ISA 260, on peut citer les hypothèses suivantes
susceptibles d'intéresser les autorités de tutelle :
• information révélant une carence conduisant à la non satisfaction de l’une des
exigences nécessaires pour l'agrément bancaire ;
• conflit grave au sein des instances dirigeantes ou départ inattendu d'un cadre
responsable d'une fonction clé ;
• information révélatrice d'un possible non-respect de la loi, des règlements, des statuts
de la banque, de la charte ou du règlement intérieur ;
• intention signalée de l’auditeur externe (Commissaire aux comptes) de démissionner
ou changement de celui-ci ;
• modification radicale dans la politique de risque de la banque et émergence de risques
latents.

71. Dans beaucoup de pays, il est attendu ou exigé de rapporter aux autorités de tutelle, en
temps voulu, les éléments ci-dessus mentionnés.

2 Par exemple :
- l’approche générale et le champ d’intervention de l'audit interne, y compris toute limite
attendue et toute exigence supplémentaire ;
- le choix ou les changements des principes et méthodes comptables qui ont ou sont
susceptibles d'avoir une incidence matérielle sur la présentation des état financiers de
l'entité.
- l'incidence potentielle sur les états financiers des risques significatifs avérés ou latents
tels que les litiges en cours ;
- les ajustements proposés par l'audit, qu'ils aient ou non été retenus par l'entité, qui ont ou
pourraient avoir une incidence significative sur les état financiers de l'entité ;
- incertitudes matérielles, liées à la conjoncture, susceptibles de jeter un doute sur la
capacité de l'entreprise à assurer sa continuité d’exploitation ;
- désaccords avec la Direction Générale sur des sujets qui pris individuellement ou
globalement peuvent avoir une incidence significative sur les comptes annuels de l'entité ou
sur le rapport de l’auditeur externe. Les informations communiquées doivent préciser si le
différend a été ou non résolu, et la signification de la question soulevée ;
- modifications du rapport de l’auditeur externe demandées ;
- autres sujets méritant l'attention de ceux qui sont chargés du gouvernement d'entreprise,
tels que défaillances matérielles du contrôle interne, doutes sur l'honnêteté de
l'encadrement, fraude dans laquelle l'encadrement est impliqué et tous autres sujets
identifiés dans le cadre de la mission d’audit.
23

72. Le fondement de la relation entre les autorités de tutelle et les auditeurs externes se
trouve dans la Norme IAPS 1004 (en cours de révision). Il est primordial que toute tâche
que l’auditeur externe accomplit pour le compte de l'autorité de tutelle repose sur un cadre
légal ou un accord contractuel entre la banque et l'autorité de tutelle. Le texte légal ou
contractuel doit aborder la question de la confidentialité. Il est également important de
préciser que le travail de l’auditeur externe pour l'autorité de tutelle doit être
complémentaire de son travail d'audit habituel et relever de sa compétence. Les demandes
de l'autorité de tutelle doivent être clairement définies.

73. Dans certains pays, le rôle de l’auditeur externe comprend des tâches additionnelles
d'un intérêt particulier pour l'autorité de tutelle telles que :
• la revue des méthodes utilisées par la banque pour établir ses normes de rentabilité ;
• l’évaluation de l'adéquation entre l'organisation et le dispositif de contrôle interne ;
• l’évaluation du respect par la banque des lois et règlements ;
• l’évaluation du dispositif de contrôle interne de la banque ( y compris le service
d'audit interne) ;
• l’expression d'une opinion sur l'observation des règles comptables appropriées.

74. Il est recommandé que des dispositions légales soient prises en faveur des auditeurs
externes afin qu'ils ne puissent être tenus responsables des informations révélées de bonne
foi aux autorités de tutelle, en application des lois et réglementations en vigueur.

75. Les autorités de tutelle peuvent détenir des informations qui peuvent aider l’auditeur
externe à comprendre leurs préoccupations ou qui peuvent avoir une influence
significative sur leur travail d'audit ou leurs autres responsabilités en matière de reporting.
Il est important qu'existe une voie légale pour permettre à l'autorité de tutelle de révéler
ces informations aux auditeurs externes lorsque cela lui permet de mieux atteindre ses
objectifs.

Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs
internes.

Principe n° 18

La coopération entre autorité de tutelle, auditeur externe et auditeur interne a pour

objectif de rendre les travaux de toutes les parties concernées plus rationnels et
efficaces afin d'optimiser le contrôle. La coopération peut se matérialiser par des
réunions périodiques.

76. L'objectif de la coopération est de rendre la contribution de tous les intervenants

concernés plus efficiente et efficace afin d'optimiser le contrôle de l'autorité de tutelle,
même si chaque intervenant assume en priorité ses propres responsabilités.

77. Dans certains pays, cette coopération se matérialise par des rencontres périodiques. Il
se peut que l'autorité de tutelle juge la présence de la Direction Générale opportune lors de
ces rencontres. Au cours de ces réunions, chacun apporte des informations sur des
domaines d'intérêt commun et une attention particulière est portée aux domaines qui seront
contrôlés et sur le calendrier de travail. Les trois parties en présence évoquent aussi la
mise en œuvre par l'organisation des recommandations des auditeurs internes et externes
24

78. La coopération présuppose une relation de confiance entre la banque, l’auditeur

externe et l'autorité de tutelle. Sans confiance, la coopération n'est pas possible. En
conséquence, l'autorité de tutelle attend de la Direction Générale de la banque une
information sur les décisions, les faits ou les développements qui pourraient avoir une
influence significative sur la situation de la banque.

Le Comité d'audit

Définition

79. Le comité d'audit est habituellement considéré comme une émanation du Conseil
d'Administration ; il est composé de directeurs n'ayant pas de fonction opérationnelle et
indépendants de la Direction Générale. Cependant, sa composition et sa dénomination
peuvent varier selon les pays.

Principe 19

La création d'un comité d'audit permanent est une solution pour résoudre les
difficultés pratiques qui peuvent être générées par la mission, dévolue au Conseil
d'Administration, de créer et maintenir un dispositif de contrôle approprié.
En outre, un tel comité renforce à la fois le contrôle interne et l'audit interne et
externe. Les banques sont en conséquence incitées à mettre en place un comité
d'audit permanent, surtout si leurs activités sont complexes. Les filiales des banques
doivent réfléchir à l'opportunité de créer un comité d'audit au sein de leur Conseil
d'Administration.

Composition, pouvoirs et fonctionnement

80. Pour la création d'un comité d'audit, le Conseil d'Administration devrait établir une
charte écrite, indiquant la composition du Comité d'audit, ses pouvoirs et ses devoirs, ainsi
que les modalités du reporting au Conseil d'Administration. Ce document devrait être
approuvé par le Conseil d'Administration, revu et mis à jour périodiquement.

81. Un comité d'audit devrait être composé d'au moins trois membres du Conseil
d'administration qui ne font pas ou n'ont pas fait partie de la Direction Générale de la
banque. Lorsque la présence au Comité d'audit de dirigeants de l’organisation est autorisée
par les lois et règlements nationaux, ils ne doivent pas représenter la majorité des
membres.
Les membres doivent avoir des compétences compatibles avec les obligations du comité.
L’un d'entre eux, au moins, doit avoir des compétences financières, comptables ou d'audit.
Pour des raisons d'efficacité, les personnes suivantes devraient être autorisées à assister
régulièrement aux réunions du Comité d'audit : le Président Directeur Général ou un
membre de la Direction Générale, le responsable de l'audit interne et l’auditeur externe.

82. Le comité d'audit peut demander à avoir accès à tout document ou tableau de bord et
donner tout ordre de mission ou d'enquête. Le Comité d'audit rend compte régulièrement
au Conseil d'Administration.
25

Principales fonctions

83. Le Comité d'Audit doit encourager la communication entre les membres du Conseil
d'administration, la Direction Générale, le service d'audit interne, l’auditeur externe et les
autorités de tutelle.

84. Le Comité d'Audit approuve la charte d'audit interne, le plan d'audit ainsi que le
budget nécessaire (moyens humains et matériels). Il est destinataire des rapports d'activité
et de la synthèse des principales recommandations de l'audit interne ainsi que des plans
d'action du management pour les mettre en œuvre.

85. L’auditeur externe présente son plan d'audit au Comité d'Audit et l'informe de ses
conclusions et recommandations.

86. Le Comité d'audit débat régulièrement sur :

- le fonctionnement du dispositif de contrôle interne ;
- les activités du service d'audit interne ;
- les zones de risque opérationnelles, à couvrir dans l'année par l'audit interne ou
externe ;
- la fiabilité et la sincérité de l'information financière diffusée au management et à
l'extérieur ;
- tous les problèmes significatifs comptables ou d’audit identifiés par les travaux d'audit
interne ou externe ;
- la conformité de la banque avec les dispositions légales ou réglementaires, ses statuts,
sa charte et les règlements ou règles instituées par le conseil d'administration.

87. Le comité d'audit doit rédiger des recommandations au Conseil d'Administration pour
la désignation de l’Auditeur externe. Le comité d'audit fixe et revoit régulièrement les
termes de son contrat.

88. Certaines autorités de tutelle s'attachent à rencontrer régulièrement le président du

comité d'audit de chaque banque pour faciliter leur compréhension du processus de
gouvernement d’entreprise et du fonctionnement de la banque. Ces réunions donnent
l'opportunité au comité d'audit de s'entretenir de toute difficulté rencontrée avec le
management de la banque et aux autorités de tutelle de se forger une opinion sur
l'efficacité du Comité d'Audit.

L'externalisation de l'audit interne

Définition :

89. Un accord d'externalisation de l'audit interne est un contrat passé entre l'établissement
et un prestataire de services extérieur pour fournir des services d'audit interne.

90. Une externalisation ciblée et limitée (sous-traitance) peut être très profitable
lorsqu'elle apporte, par exemple, à une mission d'audit spécifique, des connaissances et un
savoir-faire très spécialisés, qui ne sont pas disponibles en interne.
En revanche, l'externalisation n'est pas sans risque pour la banque, tel que perte ou
affaiblissement du contrôle sur l'activité d’audit interne externalisée. Ce risque doit être
géré et maîtrisé.
26

En outre, l'externalisation peut porter atteinte aux pouvoirs des autorités de tutelle pour
obtenir des informations ou exiger des changements dans la manière dont l'activité
externalisée est menée. L'externalisation des activités essentielles de la banque, et
notamment l’audit interne, peut affaiblir les fondements mêmes de son droit à exercer ses
activités.

Externalisation de l'audit interne

Principe 20
Que les activités d’audit interne soient externalisées ou non, le Conseil
d’Administration et la Direction Générale gardent la responsabilité finale d’assurer
que le dispositif de contrôle interne et l’audit interne sont appropriés et fonctionnent
efficacement.

91. Certains pays exigent que le service d'audit interne d'une banque ait les compétences et
des moyens suffisants pour auditer les activités clés de la banque et pour évaluer le
fonctionnement et l'efficacité du contrôle interne de ces activités. Cependant, il est
couramment accepté qu'un expert externe (dans le cadre d’une opération de sous-traitance)
puisse effectuer des missions que l'audit interne n'a pas les moyens de réaliser (ou des
moyens insuffisants). Néanmoins, les recommandations ci-après relatives à
l'externalisation de l'audit interne, s'appliquent à ce cas d’espèce.
En tout état de cause, le responsable de l'audit doit s'assurer, dans la mesure du possible,
que les connaissances mises en œuvre par l'expert profite à son service en faisant
participer, si possible, à la mission confiée à l'expert un ou plusieurs auditeurs de son
équipe.

92. Il se peut que, dans d'autres pays, les banques confient l’entière activité de l'audit
interne à un prestataire extérieur. Dans ces conditions, l'entreprise devra conserver un
cadre expérimenté à la tête de l'audit interne avec une petite équipe d'auditeurs internes. Le
prestataire extérieur a un rôle d'assistance auprès des auditeurs pour déterminer les risques
à auditer. Il recommande et met en œuvre les audits approuvés par le responsable de
l'audit et établit avec lui des rapports conjoints à l'attention du Conseil d'Administration ou
du Comité d'Audit. Néanmoins, il est inhabituel dans beaucoup de pays, sinon dans la
plupart, qu'une grande banque ayant une activité internationale, externalise, en totalité ou
en grande partie, la fonction d'audit interne.

93. Plusieurs pays exigent que le prestataire extérieur soit totalement indépendant de
l’auditeur externe, de l'entreprise ou du groupe de ce dernier. D'autres admettent des
contrats d'externalisation avec le même groupe ou cabinet que celui qui audite les
comptes. Néanmoins, comme ce contrat est de nature à compromettre en fait ou en
apparence l'indépendance de l'auditeur externe, les banques concernées devraient se
référer aux règles sur l'indépendance publiées par les instances professionnelles
compétentes des auditeurs externes ou par les autorités de tutelle des banques ou autres
autorités gouvernementales. 3

94. Le prestataire extérieur doit être une entreprise compétente, financièrement saine,

3 Par exemple le projet de recommandation de la Commission Européenne sur l'indépendance

réglementaire des auditeurs et les obligations d'indépendance des auditeurs édictées aux Etats
Unis par la SEC (Securities and Exchange Commission).
27

disposant des connaissances et de l'expertise appropriées.

95. Il convient d'établir un contrat écrit entre le prestataire extérieur et la banque. La

Direction Générale devra s'assurer que la banque signe un contrat valable, pour une durée
suffisante, avec un prestataire qui a les compétences professionnelles requises en fonction
des caractéristiques de la banque concernée.

96. Le contrat devra définir les missions et responsabilités du prestataire externe et

prévoir, de façon explicite, l'approbation préalable de la Direction Générale à l'analyse du
risque effectuée par le prestataire extérieur et au plan d’audit qui a été établi.

97. Le contrat devra prévoir, également, l'accès à tout moment aux dossiers concernés du
prestataire de service, y compris son plan de travail et ses papiers de travail, par la
Direction Générale ou son représentant, l’auditeur externe ou son représentant et les
autorités de tutelle.

98. Le contrat prévoira l'engagement du prestataire à mettre en œuvre les moyens

nécessaires pour accomplir sa mission selon le plan d'audit. Un avenant sera nécessaire
pour modifier les termes du contrat, particulièrement pour approfondir les travaux d'audit
si des problèmes significatifs se révèlent.

99. Quand une organisation a recours à l'externalisation, cela augmente ses risques
opérationnels. Les autorités de tutelle souhaitent que les banques analysent l'impact que
cette situation aura sur la cartographie des risques et le dispositif de contrôle interne. Dans
l'hypothèse d’une rupture soudaine du contrat, l'organisation devrait avoir un plan
d'urgence. En raison des possibilités offertes en matière d'audit interne de faire appel à
d'autres fournisseurs, le plan d'urgence fera référence, le plus souvent, à un prestataire
remplaçant.
Etant donné le temps qui sera nécessaire pour recourir à un autre prestataire, la banque
devra envisager un recours temporaire accru à ses propres auditeurs internes.

Externalisation de l'audit interne dans les petites banques

100. On admet généralement, pour certaines petites banques dont la taille et l'étendue des
risques ne justifient pas de confier la fonction d'audit interne à une personne à temps
complet, d'externaliser toutes les activités d'audit interne auprès d'un prestataire extérieur.
Tous les principes relatifs à l'audit interne restent applicables lorsque l'intégralité des
activités d'audit interne est externalisée.

101.Dans cette hypothèse, la Direction Générale est responsable de la prise en compte des
recommandations de l'audit et de la désignation des personnes qui seront chargées de les
mettre en oeuvre.