Beruflich Dokumente
Kultur Dokumente
Comité de
Bâle sur le
contrôle
bancaire
Août 2001
2
AVANT PROPOS
Cette traduction a été réalisée par Christiane Dufayet, auditeur interne au Crédit Foncier
de France, avec la contribution de Florence Bergeret, Responsable de la Recherche de
l’IFACI ; qu’elles en soient remerciées.
Fort d’une organisation nationale et régionale, l’IFACI développe son action autour de
cinq objectifs principaux :
- contribuer à la professionnalisation des auditeurs internes ;
- être un lieu d’échanges professionnels ;
- être un vecteur de promotion de l’audit interne ;
- être le porte-parole auprès des organismes professionnels et institutionnels,
- être, enfin, un lieu de réflexion sur la fonction d’audit interne et son évolution.
Ce dernier objectif est la finalité de l’activité Recherche qui s’inscrit parfaitement dans la
devise de l’IIA : “ Le progrès par le partage ”. Elle s’organise autour de 8 unités de
recherche et 6 groupes professionnels, parmi lesquels le Groupe Banque, fort de quelque
500 adhérents.
Ce groupe mène ses réflexions et ses travaux sur divers thèmes, tels que la détection et la
prévention du blanchiment de l’argent, la lutte contre la fraude, les référentiels des
systèmes d’information, les risques opérationnels ou tout autre thème d’actualité qui sont
le plus souvent présentés dans le cadre de réunions d’information.
3
Louis Vaurs
Délégué Général, IFACI
4
Page
Introduction
5
Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs
externes 15
Relations entre les autorités de tutelle et le service d'audit interne
15
Relations entre les auditeurs internes et les auditeurs externes
16
5
Le Comité d'audit
19
Définition
19
Composition, pouvoirs et fonctionnement
19
Principales fonctions
19
Président :
Prof Arnold Schilder,
De Nederlandsche Bank, Amsterdam
Observateurs
Commission Européenne, Bruxelles Mr Vittorio
Pinelli
Oesterreichische Nationalbank, Vienna Mr Martin
Hammer
Saudi Arabian Monetary Agency, Riyadh Mr Tariq Javed
Monetary Authority of Singapore, Singapore Mr Timothy Ng
7
Secretariat
Secretariat of the Basel Committee on Banking Supervision, Mr Bengt A
Mettinger
Bank for International Settlements
8
Introduction
2. Les principes énoncés dans ce document sont d'application générale même s'ils
sont destinés à être appliqués dans un cadre spécifique de supervision. L'utilisation de
procédés de supervision internes ou externes diffère de façon significative selon les pays.
De la même façon, le degré d'implication des auditeurs externes dans la fonction de
supervision varie largement. Bien que l'approche choisie par les superviseurs de chaque
pays dépende de ces différents facteurs, tous les membres du Comité sont d'accord sur les
principes énoncés dans le présent document.
4. Le présent document constitue un guide de base pour les autorités de tutelle tout
en précisant leur point de vue sur l'audit interne dans les banques et les relations entre les
superviseurs et les auditeurs externes et internes. Le Comité encourage les efforts déployés
pour harmoniser et améliorer les normes de l'audit interne au plan international. Le Comité
souhaite qu’il soit tenu compte des règles prudentielles dans le développement des normes
nationales et internationales d'audit interne.
5. Au sein d'une banque, une fonction d'audit interne organisée selon les principes
9
posés dans le présent document, facilite le travail des autorités de tutelle de la banque. Un
contrôle interne structuré, associé à une fonction d'audit interne, et un audit externe
indépendant participent à un gouvernement d'entreprise sain qui, à son tour, peut
contribuer à une coopération entre le management de la banque et les autorités de tutelle.
Une fonction d'audit interne efficace est, pour le management, ainsi que pour les autorités
de tutelle de la banque, une source appréciable d'information sur la qualité du dispositif de
contrôle interne.
8. En juin 1999, les instances dirigeantes de l’IIA, the Institute of Internal Auditors,
ont approuvé la définition suivante :
"L'Audit Interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacité".
10. Certaines banques ont décidé de mettre en place une auto-évaluation des processus
de contrôle. Cette démarche peut se définir comme un processus normé qui permet au
management et/ou à un service d'analyser ses activités ou ses fonctions et d'évaluer
l'efficacité des procédures de contrôle interne qui y sont associées. On peut considérer qu'il
s'agit là d'une technique utile pour évaluer l'efficacité du contrôle interne, sans que ce soit
pour autant un substitut à l'audit interne.
10
Principe n°1
Principe n°2
12. La Direction Générale doit mettre en place une structure organisationnelle qui
attribue de façon claire les responsabilités, établit les relations hiérarchiques et les
obligations en termes de reporting et s'assure que les délégations de pouvoirs sont
effectivement appliquées. La Direction Générale est également responsable de la mise en
place d'instruments d'identification, de mesure, de surveillance et de contrôle des risques.
En définitive, elle définit la politique de contrôle interne appropriée et surveille
l'adéquation et l'efficacité du dispositif de contrôle interne
Principe n°3
13. D'un point de vue général, le champ d'intervention de l'audit interne porte sur les
domaines suivants :
• l'examen et l'évaluation du bien fondé et de l'efficacité des dispositifs de contrôle
interne ;
• le contrôle de l'application et de l'efficacité des procédures de management du risque
et des méthodes de mesure du risque ;
• le contrôle du management et des systèmes d'information financière, y compris
l'informatique, et les services de l’e-banking ;
• le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des
rapports financiers ;
• le contrôle des moyens de sauvegarde des actifs ;
• le contrôle du système de mesure des risques par rapport aux fonds propres de la
banque ;
• l'évaluation de l'intérêt économique et de l'efficacité des opérations ;
• les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de
contrôle interne ;
• le contrôle des dispositifs mis en place pour s'assurer qu’ils sont conformes aux
exigences légales et réglementaires, aux codes de conduite, et à la mise en œuvre des
politiques et procédures ;
• le contrôle de la sincérité, de la fiabilité et de l'opportunité des reporting
réglementaires ;
• la conduite d'enquêtes spéciales.
14. La Direction Générale doit s’assurer que le service d’audit interne est tenu
totalement informé des nouveaux développements et produits, des initiatives et des
changements opérationnels, ceci afin d’être sûr que les risques associés sont identifiés très
tôt.
Principe n°4
Toutes les banques doivent disposer d'une fonction permanente d'audit interne. Dans
l'accomplissement de ses tâches et responsabilités, la Direction Générale devrait
prendre toutes les mesures nécessaires pour que la banque puisse compter de façon
continue sur une fonction d'audit interne compétente et appropriée à sa taille et à la
nature de ses opérations. Elle doit dégager pour le service d'audit interne les
ressources et les moyens humains nécessaires à la réalisation de ses objectifs.
15. Dans les banques d'une certaine taille et dans les banques dont l'activité est
12
complexe, les
missions d'audit interne doivent normalement être conduites par un département d'audit
interne disposant d’un effectif à plein temps. Dans les banques plus petites, l'audit interne
peut être externalisé auprès d'un prestataire externe. Certains pays autorisent les petites
banques à recourir à des évaluations indépendantes des éléments clés de contrôle interne
en tant qu'alternative à l'audit interne.
16. Les normes énumérées dans ce document pour un service d'audit interne
s'appliquent de la
même façon aux activités d'audit interne externalisées.
Principe d'indépendance
Principe 5
La fonction d'audit interne de la banque doit être indépendante des activités auditées
et également des processus de contrôle de premier niveau. En d'autres termes, l'audit
interne doit bénéficier d'un statut approprié au sein de la banque et conduire ses
missions avec objectivité et impartialité.
18. Le service d'audit interne doit être en mesure d'exercer sa mission de sa propre
initiative dans
tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire
un rapport sur ses résultats et évaluations et de les communiquer en interne. Le principe
d'indépendance implique le rattachement du service d'audit interne, soit au Président de la
banque, soit au Conseil d'Administration, soit à son Comité d'audit (s'il existe), en fonction
de la structure de direction de la société.
1 Dans certains pays, la loi encourage les organisations à mettre en place un dispositif de
communication largement accessible à des personnes internes ou externes à l’organisation et leur
permettant de faire part de problèmes importants. Dans ces pays, la loi protège les employés qui
révèlent les irrégularités et les méfaits dont ils ont pu avoir connaissance.
13
Charte d'audit
Principe 6
Toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le
statut et l'autorité de la fonction d'audit interne au sein de la banque.
22. La charte doit être rédigée et mise à jour périodiquement par le service d'audit
interne ; elle doit être approuvée par la Direction Générale et cette approbation confirmée
par le Conseil d'Administration agissant en tant que superviseur, ou par le Comité d'audit,
s'il existe.
23. Dans la charte, la Direction Générale de la banque donne au service d'audit interne
le droit de prendre des initiatives et l'autorise à avoir directement accès et à communiquer
avec tout membre du personnel, à contrôler toute activité ou entité de la banque, à avoir
accès à tout enregistrement comptable, dossier ou rapport de la banque, y compris à
l'information destinée au management, et aux minutes de tout organe consultatif ou
exécutif, toutes les fois que c'est nécessaire pour l'accomplissement de ses missions.
24. La charte d'audit doit prévoir les conditions dans lesquelles le service d'audit peut
être amené à exercer une activité de consultant ou de conseil ou à effectuer d'autres tâches
particulières.
Impartialité
Principe 7
La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit
doit pouvoir effectuer ses missions sans préjugé et sans subir de pression.
26. Pour être objectif et impartial le service d'audit interne doit lui-même chercher à
éviter tout conflit d'intérêts. A cette fin, les missions des auditeurs au sein du service
d'audit doivent changer périodiquement chaque fois que c'est possible. Les auditeurs
recrutés en interne ne doivent pas auditer des activités ou des fonctions qu'ils ont exercées
au cours des douze derniers mois.
27. Le souci d'impartialité contraint le service d'audit interne à ne pas s'impliquer dans
les opérations de la banque, dans les choix ou la mise en œuvre de dispositifs de contrôle
interne. Dans le cas contraire, il assumerait une part de responsabilité dans ces activités, ce
qui nuirait à l'indépendance de son jugement.
14
Compétence professionnelle
Principe 8
Champ d’intervention
Principe 9
Toutes les activités et toutes les entités de la banque doivent entrer dans le champ
15
33. Aucune des activités ou entités de la banque, y compris les activités de succursales
ou filiales ainsi que les activités externalisées, ne peut être exclue du champ d’intervention
du service d'audit interne. Le service d'audit interne doit avoir accès à tout rapport, dossier
ou donnée de la banque, y compris l’information destinée au management, ainsi qu’aux
minutes de tout organe consultatif ou exécutif, chaque fois que c'est utile pour l'exécution
de sa mission.
34. D'un point de vue général, le champ de l'audit interne comprend le contrôle et
l'évaluation de la pertinence et de l'efficacité du contrôle interne, et de la façon dont les
responsabilités de chacun sont assumées. A bien des égards, il s'agit d'une analyse du
risque du système de contrôle interne de la banque.
37. Certaines banques ont mis en place des services séparés pour contrôler une activité
ou une entité spécifique de la banque. De tels services font partie du dispositif de contrôle
interne et leur existence ne dispense pas le service d'audit interne d'auditer ces activités ou
entités spécifiques.
Cependant dans un souci d'efficacité, le service d'audit interne peut, pour effectuer sa
tâche, utiliser les informations transmises par les différents services de contrôle.
Néanmoins, le service d'audit interne conserve l'entière responsabilité de contrôler et
évaluer le fonctionnement adéquat du dispositif de contrôle interne des activités ou entités
concernées de la banque.
39. En tant qu'entités juridiques distinctes, les filiales bancaires et non bancaires sont
responsables de leur propre contrôle interne et de leur propre fonction d'audit interne dans
le respect des dispositions de ce document ; dans ces filiales, la fonction d'audit interne
peut être assumée par le service d'audit interne de la maison mère. Quand les filiales
disposent de leurs propres services d'audit interne, ceux-ci doivent rendre compte au
16
service d'audit interne de la maison mère. Dans cette hypothèse, la maison mère doit
prendre toutes les mesures nécessaires, sans préjudice des dispositions et obligations
légales et réglementaires locales, pour s'assurer que son service d'audit interne a un accès
illimité à toutes les activités et entités des filiales et qu'il effectue des audits sur place à
intervalles réguliers.
40. Pour les succursales à l'étranger comme pour les filiales, les principes d'audit
interne sont édictés de façon centralisée par la maison mère. Cette dernière doit donner les
instructions d'audit pour l'ensemble du groupe. Le service d'audit interne de la banque
maison mère doit participer au recrutement et à l'évaluation des auditeurs internes locaux.
41. Dans l'hypothèse d'une structure plus complexe, la fonction d'audit interne doit
être organisée en conformité avec les principes énoncés dans ce document.
Principe 10
42. Les méthodes d'identification des risques et d'évaluation des fonds propres de la
banque diffèrent du processus de management des risques qui habituellement met
davantage l'accent sur le contrôle des stratégies commerciales développées pour optimiser
l'arbitrage risque /marges dans les différents secteurs de la banque.
44. L'autorité de tutelle peut apprécier les méthodes internes d'évaluation par une
banque de ses besoins en fonds propres et sa conformité avec les ratios de fonds propres
réglementaires à partir du travail effectué par les auditeurs internes et externes si leur
travail a été orienté en ce sens.
17
Principe 11
La fonction d'audit interne suppose l'établissement d'un plan d'audit, l'examen et
l'évaluation de l'information mise à disposition, la communication de ses résultats, le
suivi des recommandations et des questions traitées.
45. On distingue différents types d'audit interne. On peut citer sans prétendre à
l'exhaustivité :
• l'audit financier, dont la finalité est de s'assurer de la fiabilité des procédures
comptables, de l'information et des états comptables qui en résultent ;
• l'audit de conformité, dont la finalité est de s'assurer de qualité et de la pertinence des
procédures mises en place pour garantir la conformité aux lois, règlements, politiques
et procédures ;
• l'audit opérationnel dont la finalité est de s'assurer de la qualité et de la pertinence des
systèmes et procédures, d'analyser les structures et l’organisation, en exerçant un
esprit critique, d'évaluer l'adéquation des ressources et méthodes aux objectifs
assignés ;
• l'audit de management dont la finalité est d'évaluer la qualité de l'approche du risque et
du contrôle interne par les managers, dans le cadre des objectifs de la banque.
46. Le service d'audit interne contrôle et évalue l'ensemble des activités de la banque
dans toutes ses entités. Il ne doit donc pas se focaliser sur un seul type d'audit mais utiliser
le type le plus approprié, en fonction de l'objectif d'audit. En outre, le service d'audit
interne ne doit pas se limiter, à cet égard, à l'audit des différents services de la banque. Il
doit aussi porter une attention particulière à l'audit d'une activité bancaire dans laquelle
plusieurs entités de la banque sont engagées
47. La direction du service d'audit interne prépare un plan de toutes les missions à
effectuer. Le plan d'audit inclut le calendrier et la durée des missions d'audit interne
planifiées. Le plan d'audit est fondé sur une analyse méthodique des risques qui permet à
l'auditeur interne de bien appréhender les activités significatives de l'institution et les
risques qui y sont associés. Le management du service d'audit interne doit établir les
principes applicables à la méthode d'évaluation des risques par écrit et les mettre à jour
régulièrement en fonction des changements dans le système de contrôle interne ou dans les
méthodes de travail, et en intégrant les nouveaux domaines d'activité. L'analyse du risque
porte sur l’ensemble des activités et entités de la banque et concerne l'intégralité des
systèmes de contrôle interne.
Un plan d'audit sur plusieurs années est établi, en se fondant sur les résultats de l'analyse
des risques et en tenant compte du degré de risque inhérent à chaque activité. Le plan doit
aussi prendre en compte les développements en projet et les innovations, le taux de risque
généralement plus élevé des nouvelles activités, et l'objectif d'auditer toutes les activités et
entités significatives avec une périodicité raisonnable (principe du cycle d'audit de trois
ans par exemple). Toutes ses préoccupations permettront de déterminer l'étendue, la nature
18
48. Le plan d'audit du service doit être réaliste c'est à dire qu'il doit prévoir du temps
pour d'autres missions et activités telles que des contrôles ou des enquêtes spécifiques, des
conseils et avis, et la formation. Le plan comprend un état détaillé des ressources
nécessaires en termes de personnel et autres ressources. En ce qui concerne les moyens
humains, il faut réfléchir non seulement au nombre de personnes mais aussi aux
compétences professionnelles nécessaires.
49. Le plan d'audit est rédigé par le service d'audit interne et approuvé par le président
de la banque ou par le Conseil d'administration ou par le Comité d'audit (s'il existe).
L'accord sur le plan engage la banque à mettre à la disposition du service d'audit interne
les moyens appropriés. Le plan d'audit doit être régulièrement revu et mis à jour chaque
fois que c'est nécessaire.
Procédures
50. Pour chaque mission, un programme d'audit doit être établi. Le programme décrit
les objectifs ainsi que le plan de travail estimé nécessaire pour les atteindre. C'est un outil
relativement souple qui devra être adapté et complété en fonction des risques identifiés.
51. Toutes les procédures d'audit, inhérentes à la mission devraient être documentées
par des papiers de travail. Ceux-ci doivent refléter les contrôles qui ont été effectués et
mettre en lumière les constats énoncés dans le rapport. Les papiers de travail doivent être
élaborés suivant une méthode bien déterminée. Cette méthode doit permettre de fournir
des informations suffisantes pour vérifier que la mission a été correctement effectuée et
permettre à d'autres de vérifier son déroulement.
52. Un rapport écrit pour chaque mission doit être rédigé aussi vite que possible. Il est
transmis à l'audité et à ses supérieurs hiérarchiques et, généralement sous une forme
synthétique, à la Direction Générale.
54. Le service d'audit interne tient un registre des missions effectuées et des rapports
transmis.
56. Le service d'audit interne suit les recommandations émises pour voir si elles sont
appliquées. Un bilan de la mise en œuvre de ces recommandations est communiqué au
moins tous les six mois à la Direction Générale, au Conseil d'Administration ou au Comité
d'audit, s'il existe, conformément au cadre de gouvernement d’entreprise existant.
19
Principe 12
Le responsable du service d'audit interne est le garant du respect par son service de
principes sains d'audit interne.
57. Le responsable de l'audit interne doit s'assurer du respect de principes sains , tels
que les Normes pour la Pratique Professionnelle de l'Audit Interne de l'IIA. Il doit veiller à
la rédaction d'une charte d'audit, d'un plan d'audit ainsi que de procédures et instructions
internes. Il doit se préoccuper continuellement de la compétence professionnelle et de la
formation de son équipe et s'assurer qu'il dispose des moyens nécessaires. Il doit prêter
attention à la motivation de son équipe et à sa conscience professionnelle.
58. Le service d'audit interne doit régulièrement faire un reporting à la Direction
Générale ou au Conseil d'Administration ou au Comité d'Audit, s’il existe, sur l'efficacité
du contrôle interne et sur l'atteinte des objectifs du service d'audit interne. Il doit
également les tenir informés de l’avancement du plan d'audit. Dans le cadre de sa fonction
de superviseur, le Conseil d'administration ou le Comité d'Audit doit régulièrement
discuter de l'organisation et des moyens (à la fois humains et autres ) du service d'audit
interne ainsi que du plan d'audit, des rapports d'activité, de la synthèse des
recommandations de l'audit interne et du degré d’avancement de leur mise en œuvre.
Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs
externes
Principe n°13
Les autorités de tutelle doivent évaluer le travail réalisé par le service d'audit interne
de la banque et, si elles en sont satisfaites, lui faire confiance pour identifier les
secteurs comportant des risques potentiels.
59. Diverses dispositions réglementaires au sujet du contrôle interne dans les banques
émanent des autorités de tutelle. Bien que la réglementation soit plus ou moins développée
selon les pays, elle comprend en général des principes de base tendant à promouvoir un
dispositif de contrôle approprié ainsi qu'une réglementation sur les fonds propres. La
plupart des autorités de tutelle ont rédigé des règlements, des pratiques et des procédures
dans différents domaines comme le management du risque crédit et les autres risques
bancaires principaux ( tels que les risques sur le marché des changes, le risque de taux, la
gestion des liquidités, les systèmes informatiques et de télécommunication, et la gestion
des risques sur le marché à terme des instruments financiers).
60. Pour évaluer la qualité du contrôle interne, les autorités de tutelle disposent de
plusieurs approches. L'une d'entre elles consiste à évaluer le travail du service d'audit
interne, y compris les contrôles des dispositifs d'identification, de mesure, de suivi et de
contrôle des risques mis en place par la Direction Générale. Si elles sont satisfaites de la
qualité du travail du service d'audit interne, les autorités de tutelle peuvent utiliser les
rapports d'audit interne comme premier élément pour identifier les lacunes de contrôle
dans la banque ou pour identifier les zones de risque potentiel que les auditeurs internes
20
Principe n° 14
Les autorités de tutelle doivent consulter périodiquement les auditeurs internes pour
s'enquérir des zones de risque identifiées et des mesures prises. Elles peuvent
s'entretenir à cette occasion de l'étendue de la collaboration entre le service d'audit
interne de la banque et les auditeurs externes.
61. Cette consultation est fondamentale d’un point de vue prudentiel sachant qu’une
politique hasardeuse peut nuire à la protection des déposants et autres créanciers, aux
intérêts des actionnaires, et au fonctionnement correct du système de crédit. Bien que la
mission du service d'audit interne soit vaste, il n’appartient pas à ce dernier d'établir la
politique interne de la banque. De même, il ne peut, en général, contester les orientations
politiques, à l'exception des règles relatives au contrôle interne, ou critiquer l'opportunité
de certaines décisions politiques.
Néanmoins, cette règle n'empêche pas le service d'audit interne de réagir et d'informer le
Conseil d'Administration ou son Comité d'Audit, s'il existe, chaque fois que le
management de la banque prend des décisions contraires aux dispositions légales ou
réglementaires, ou à la politique décidée par la banque et à ses procédures écrites.
62. Il est de bonne pratique chaque fois que le chef du service d'audit interne change
de fonction, que les autorités de tutelle soient informées, en temps opportun, par la
direction de la banque des circonstances qui ont conduit à cette mesure.
Lorsque le responsable du service d'audit est relevé de ses fonctions, l'autorité de tutelle
devrait envisager de le rencontrer.
Principe n°15
Les autorités de tutelle sont encouragées à organiser des réunions régulières pour
s'entretenir des problèmes d'ordre politique avec les responsables d'audit interne des
banques sous leur contrôle.
63. Les responsables d'audit interne des banques devraient s’unir pour organiser des
consultations sectorielles avec les autorités de tutelle en vue de s'entretenir de sujets
d'intérêts communs.
Principe n° 16
Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et
externes de façon à rendre leur collaboration aussi réelle et efficace que possible.
64. Les auditeurs externes ont une influence notable sur la qualité des contrôles
internes, en raison de leurs activités d'audit et notamment, de leurs entretiens avec
la direction générale et le Conseil d'Administration ou le Comité d'Audit, s’il
existe, ainsi que par leurs recommandations pour l'amélioration du contrôle
interne.
21
65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le
calendrier et l'étendue des procédures d'audit externe. Cependant, l’auditeur externe (le
Commissaire aux comptes en France) est seul responsable de son opinion sur les états
financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès aux
rapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention
de l'auditeur interne et qui pourrait avoir une incidence sur son travail. De même,
l’auditeur externe doit informer l'auditeur interne de tout problème important qui pourrait
le concerner.
66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes
ne fait pas double emploi avec celui des auditeurs externes. La coordination entre les
services d'audit nécessite des rencontres périodiques pour s'entretenir de questions d'intérêt
commun, procéder à l'échange des rapports d'audit et des notes de la direction et convenir
de techniques, méthodes et terminologie communes.
Principe n°17
Les travaux effectués par un auditeur externe pour le compte d'une autorité de
tutelle doivent avoir un fondement légal ou contractuel. Toute mission assignée par
les autorités de tutelle à l’auditeur externe doit être complémentaire à ses travaux
d'audit habituels et correspondre à sa sphère de compétences.
67. Selon la norme IAPS 1004 (International Auditing Practice Statement) de l’IFAC,
International Federation of Accountants, intitulée "la relation entre les autorités de tutelle
de la banque et les auditeurs externes des banques" (en cours de révision), les autorités de
tutelle et les auditeurs externes ont des préoccupations complémentaires : la notion de
stabilité de l'établissement bancaire pour l'autorité de tutelle est complémentaire de la
notion de "continuité de l'exploitation" de l’auditeur externe. En effet, les processus de
contrôle interne qui permettent d’assurer à la fois un management sûr et prudent et
l’établissement d’états financiers fiables sont complémentaires. En outre, l'existence d'un
système comptable adéquat intéresse aussi bien les autorités de tutelle que les auditeurs
externes.
68. Le rôle exact des auditeurs externes varie d'un pays à l'autre. Il est constant,
néanmoins, qu'on attend d'eux une compréhension accrue du système de contrôle interne
de la banque dans la mesure où l’exactitude des états financiers en dépend. On attend
également de leur part un rapport sur les insuffisances matérielles identifiées, à l'attention
de la Direction Générale et, dans beaucoup de pays, à l'attention des autorités de tutelle.
La Direction Générale et le Conseil d'Administration ou son Comité d'audit, s'il existe,
doivent s'assurer de la mise en œuvre des mesures préconisées pour remédier aux
déficiences de contrôle interne soulignées dans les rapports des auditeurs externes. Cette
fonction d'alerte de la part des auditeurs externes s'intègre dans la fonction préventive des
autorités de tutelle.
la banque.
Dans les pays où les auditeurs externes entretiennent d'étroites relations avec les autorités
de tutelle, ils sont fréquemment conduits à exprimer leur avis sur le fonctionnement et la
qualité du service d'audit interne.
Les notes de la Direction Générale et autres rapports donnent aux autorités de tutelle un
aperçu intéressant du contrôle interne de la banque.
70. Dans certaines circonstances, l’auditeur externe prend conscience que des
informations qu'il a obtenues peuvent être intéressantes pour l'autorité de tutelle ou
requérir de sa part des mesures urgentes. Plusieurs d'entre elles sont énumérées dans l'ISA
260 (International Standards on Auditing, IFAC) “ Communications of Audit Matters with
those charged with Corporate Governance ” 2.
Afin de compléter les cas recensés dans L'ISA 260, on peut citer les hypothèses suivantes
susceptibles d'intéresser les autorités de tutelle :
• information révélant une carence conduisant à la non satisfaction de l’une des
exigences nécessaires pour l'agrément bancaire ;
• conflit grave au sein des instances dirigeantes ou départ inattendu d'un cadre
responsable d'une fonction clé ;
• information révélatrice d'un possible non-respect de la loi, des règlements, des statuts
de la banque, de la charte ou du règlement intérieur ;
• intention signalée de l’auditeur externe (Commissaire aux comptes) de démissionner
ou changement de celui-ci ;
• modification radicale dans la politique de risque de la banque et émergence de risques
latents.
71. Dans beaucoup de pays, il est attendu ou exigé de rapporter aux autorités de tutelle, en
temps voulu, les éléments ci-dessus mentionnés.
2 Par exemple :
- l’approche générale et le champ d’intervention de l'audit interne, y compris toute limite
attendue et toute exigence supplémentaire ;
- le choix ou les changements des principes et méthodes comptables qui ont ou sont
susceptibles d'avoir une incidence matérielle sur la présentation des état financiers de
l'entité.
- l'incidence potentielle sur les états financiers des risques significatifs avérés ou latents
tels que les litiges en cours ;
- les ajustements proposés par l'audit, qu'ils aient ou non été retenus par l'entité, qui ont ou
pourraient avoir une incidence significative sur les état financiers de l'entité ;
- incertitudes matérielles, liées à la conjoncture, susceptibles de jeter un doute sur la
capacité de l'entreprise à assurer sa continuité d’exploitation ;
- désaccords avec la Direction Générale sur des sujets qui pris individuellement ou
globalement peuvent avoir une incidence significative sur les comptes annuels de l'entité ou
sur le rapport de l’auditeur externe. Les informations communiquées doivent préciser si le
différend a été ou non résolu, et la signification de la question soulevée ;
- modifications du rapport de l’auditeur externe demandées ;
- autres sujets méritant l'attention de ceux qui sont chargés du gouvernement d'entreprise,
tels que défaillances matérielles du contrôle interne, doutes sur l'honnêteté de
l'encadrement, fraude dans laquelle l'encadrement est impliqué et tous autres sujets
identifiés dans le cadre de la mission d’audit.
23
72. Le fondement de la relation entre les autorités de tutelle et les auditeurs externes se
trouve dans la Norme IAPS 1004 (en cours de révision). Il est primordial que toute tâche
que l’auditeur externe accomplit pour le compte de l'autorité de tutelle repose sur un cadre
légal ou un accord contractuel entre la banque et l'autorité de tutelle. Le texte légal ou
contractuel doit aborder la question de la confidentialité. Il est également important de
préciser que le travail de l’auditeur externe pour l'autorité de tutelle doit être
complémentaire de son travail d'audit habituel et relever de sa compétence. Les demandes
de l'autorité de tutelle doivent être clairement définies.
73. Dans certains pays, le rôle de l’auditeur externe comprend des tâches additionnelles
d'un intérêt particulier pour l'autorité de tutelle telles que :
• la revue des méthodes utilisées par la banque pour établir ses normes de rentabilité ;
• l’évaluation de l'adéquation entre l'organisation et le dispositif de contrôle interne ;
• l’évaluation du respect par la banque des lois et règlements ;
• l’évaluation du dispositif de contrôle interne de la banque ( y compris le service
d'audit interne) ;
• l’expression d'une opinion sur l'observation des règles comptables appropriées.
74. Il est recommandé que des dispositions légales soient prises en faveur des auditeurs
externes afin qu'ils ne puissent être tenus responsables des informations révélées de bonne
foi aux autorités de tutelle, en application des lois et réglementations en vigueur.
75. Les autorités de tutelle peuvent détenir des informations qui peuvent aider l’auditeur
externe à comprendre leurs préoccupations ou qui peuvent avoir une influence
significative sur leur travail d'audit ou leurs autres responsabilités en matière de reporting.
Il est important qu'existe une voie légale pour permettre à l'autorité de tutelle de révéler
ces informations aux auditeurs externes lorsque cela lui permet de mieux atteindre ses
objectifs.
Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs
internes.
Principe n° 18
77. Dans certains pays, cette coopération se matérialise par des rencontres périodiques. Il
se peut que l'autorité de tutelle juge la présence de la Direction Générale opportune lors de
ces rencontres. Au cours de ces réunions, chacun apporte des informations sur des
domaines d'intérêt commun et une attention particulière est portée aux domaines qui seront
contrôlés et sur le calendrier de travail. Les trois parties en présence évoquent aussi la
mise en œuvre par l'organisation des recommandations des auditeurs internes et externes
24
Le Comité d'audit
Définition
79. Le comité d'audit est habituellement considéré comme une émanation du Conseil
d'Administration ; il est composé de directeurs n'ayant pas de fonction opérationnelle et
indépendants de la Direction Générale. Cependant, sa composition et sa dénomination
peuvent varier selon les pays.
Principe 19
La création d'un comité d'audit permanent est une solution pour résoudre les
difficultés pratiques qui peuvent être générées par la mission, dévolue au Conseil
d'Administration, de créer et maintenir un dispositif de contrôle approprié.
En outre, un tel comité renforce à la fois le contrôle interne et l'audit interne et
externe. Les banques sont en conséquence incitées à mettre en place un comité
d'audit permanent, surtout si leurs activités sont complexes. Les filiales des banques
doivent réfléchir à l'opportunité de créer un comité d'audit au sein de leur Conseil
d'Administration.
80. Pour la création d'un comité d'audit, le Conseil d'Administration devrait établir une
charte écrite, indiquant la composition du Comité d'audit, ses pouvoirs et ses devoirs, ainsi
que les modalités du reporting au Conseil d'Administration. Ce document devrait être
approuvé par le Conseil d'Administration, revu et mis à jour périodiquement.
81. Un comité d'audit devrait être composé d'au moins trois membres du Conseil
d'administration qui ne font pas ou n'ont pas fait partie de la Direction Générale de la
banque. Lorsque la présence au Comité d'audit de dirigeants de l’organisation est autorisée
par les lois et règlements nationaux, ils ne doivent pas représenter la majorité des
membres.
Les membres doivent avoir des compétences compatibles avec les obligations du comité.
L’un d'entre eux, au moins, doit avoir des compétences financières, comptables ou d'audit.
Pour des raisons d'efficacité, les personnes suivantes devraient être autorisées à assister
régulièrement aux réunions du Comité d'audit : le Président Directeur Général ou un
membre de la Direction Générale, le responsable de l'audit interne et l’auditeur externe.
82. Le comité d'audit peut demander à avoir accès à tout document ou tableau de bord et
donner tout ordre de mission ou d'enquête. Le Comité d'audit rend compte régulièrement
au Conseil d'Administration.
25
Principales fonctions
83. Le Comité d'Audit doit encourager la communication entre les membres du Conseil
d'administration, la Direction Générale, le service d'audit interne, l’auditeur externe et les
autorités de tutelle.
84. Le Comité d'Audit approuve la charte d'audit interne, le plan d'audit ainsi que le
budget nécessaire (moyens humains et matériels). Il est destinataire des rapports d'activité
et de la synthèse des principales recommandations de l'audit interne ainsi que des plans
d'action du management pour les mettre en œuvre.
85. L’auditeur externe présente son plan d'audit au Comité d'Audit et l'informe de ses
conclusions et recommandations.
87. Le comité d'audit doit rédiger des recommandations au Conseil d'Administration pour
la désignation de l’Auditeur externe. Le comité d'audit fixe et revoit régulièrement les
termes de son contrat.
Définition :
89. Un accord d'externalisation de l'audit interne est un contrat passé entre l'établissement
et un prestataire de services extérieur pour fournir des services d'audit interne.
90. Une externalisation ciblée et limitée (sous-traitance) peut être très profitable
lorsqu'elle apporte, par exemple, à une mission d'audit spécifique, des connaissances et un
savoir-faire très spécialisés, qui ne sont pas disponibles en interne.
En revanche, l'externalisation n'est pas sans risque pour la banque, tel que perte ou
affaiblissement du contrôle sur l'activité d’audit interne externalisée. Ce risque doit être
géré et maîtrisé.
26
En outre, l'externalisation peut porter atteinte aux pouvoirs des autorités de tutelle pour
obtenir des informations ou exiger des changements dans la manière dont l'activité
externalisée est menée. L'externalisation des activités essentielles de la banque, et
notamment l’audit interne, peut affaiblir les fondements mêmes de son droit à exercer ses
activités.
Principe 20
Que les activités d’audit interne soient externalisées ou non, le Conseil
d’Administration et la Direction Générale gardent la responsabilité finale d’assurer
que le dispositif de contrôle interne et l’audit interne sont appropriés et fonctionnent
efficacement.
91. Certains pays exigent que le service d'audit interne d'une banque ait les compétences et
des moyens suffisants pour auditer les activités clés de la banque et pour évaluer le
fonctionnement et l'efficacité du contrôle interne de ces activités. Cependant, il est
couramment accepté qu'un expert externe (dans le cadre d’une opération de sous-traitance)
puisse effectuer des missions que l'audit interne n'a pas les moyens de réaliser (ou des
moyens insuffisants). Néanmoins, les recommandations ci-après relatives à
l'externalisation de l'audit interne, s'appliquent à ce cas d’espèce.
En tout état de cause, le responsable de l'audit doit s'assurer, dans la mesure du possible,
que les connaissances mises en œuvre par l'expert profite à son service en faisant
participer, si possible, à la mission confiée à l'expert un ou plusieurs auditeurs de son
équipe.
92. Il se peut que, dans d'autres pays, les banques confient l’entière activité de l'audit
interne à un prestataire extérieur. Dans ces conditions, l'entreprise devra conserver un
cadre expérimenté à la tête de l'audit interne avec une petite équipe d'auditeurs internes. Le
prestataire extérieur a un rôle d'assistance auprès des auditeurs pour déterminer les risques
à auditer. Il recommande et met en œuvre les audits approuvés par le responsable de
l'audit et établit avec lui des rapports conjoints à l'attention du Conseil d'Administration ou
du Comité d'Audit. Néanmoins, il est inhabituel dans beaucoup de pays, sinon dans la
plupart, qu'une grande banque ayant une activité internationale, externalise, en totalité ou
en grande partie, la fonction d'audit interne.
93. Plusieurs pays exigent que le prestataire extérieur soit totalement indépendant de
l’auditeur externe, de l'entreprise ou du groupe de ce dernier. D'autres admettent des
contrats d'externalisation avec le même groupe ou cabinet que celui qui audite les
comptes. Néanmoins, comme ce contrat est de nature à compromettre en fait ou en
apparence l'indépendance de l'auditeur externe, les banques concernées devraient se
référer aux règles sur l'indépendance publiées par les instances professionnelles
compétentes des auditeurs externes ou par les autorités de tutelle des banques ou autres
autorités gouvernementales. 3
94. Le prestataire extérieur doit être une entreprise compétente, financièrement saine,
97. Le contrat devra prévoir, également, l'accès à tout moment aux dossiers concernés du
prestataire de service, y compris son plan de travail et ses papiers de travail, par la
Direction Générale ou son représentant, l’auditeur externe ou son représentant et les
autorités de tutelle.
99. Quand une organisation a recours à l'externalisation, cela augmente ses risques
opérationnels. Les autorités de tutelle souhaitent que les banques analysent l'impact que
cette situation aura sur la cartographie des risques et le dispositif de contrôle interne. Dans
l'hypothèse d’une rupture soudaine du contrat, l'organisation devrait avoir un plan
d'urgence. En raison des possibilités offertes en matière d'audit interne de faire appel à
d'autres fournisseurs, le plan d'urgence fera référence, le plus souvent, à un prestataire
remplaçant.
Etant donné le temps qui sera nécessaire pour recourir à un autre prestataire, la banque
devra envisager un recours temporaire accru à ses propres auditeurs internes.
100. On admet généralement, pour certaines petites banques dont la taille et l'étendue des
risques ne justifient pas de confier la fonction d'audit interne à une personne à temps
complet, d'externaliser toutes les activités d'audit interne auprès d'un prestataire extérieur.
Tous les principes relatifs à l'audit interne restent applicables lorsque l'intégralité des
activités d'audit interne est externalisée.
101.Dans cette hypothèse, la Direction Générale est responsable de la prise en compte des
recommandations de l'audit et de la désignation des personnes qui seront chargées de les
mettre en oeuvre.