Embed Size (px)
Citation preview
1
IFACI
Comité de Bâle sur le contrôle bancaire
L'audit interne dans les banques et les relations des autorités de
tutelle avec les auditeurs
Août 2001
BANK FOR INTERNATIONAL SETTLEMENTS
2
IFACI
Copyright © 2002 de l’IFACI – 40, avenue Hoche – 75 008 Paris. Tous droits réservés. Conformément aux lois et accords de copyright, aucun partie de cette publication ne peut être reproduite, inclus dans un système de recherche documentaire, ou transmis sous quelque forme ou par quelque moyen que ce soit – par un procédé électronique, mécanique, par photocopie, enregistrement ou autre – sans l’accord écrit et préalable de l’auteur.
3
IFACI
AVANT PROPOS
L’IFACI a le plaisir de vous proposer une traduction du document du Comité de Bâle publié en août 2001 sous le titre « Internal audit in banks and the supervisor’s relationship with auditors ». Cette traduction a été réalisée par Christiane Dufayet, auditeur interne au Crédit Foncier de France, avec la contribution de Florence Bergeret, Responsable de la Recherche de l’IFACI ; qu’elles en soient remerciées. L’IFACI, Institut Français de l’Audit et du Contrôle Internes (www.ifaci.com) est, en France, l’unique organisation professionnelle dont la vocation est d’assurer la promotion et le développement de la pratique de l’audit interne . Fondé en 1965 sous un statut associatif, l’Institut fédère près de deux mille professionnels de l’audit issus de plus de six cents organismes des secteurs public et privé. Au niveau international, il est affilié à The Institute of Internal Auditors (IIA) qui regroupe soixante-quinze mille spécialistes de l’audit interne répartis dans plus de cent vingt pays. Il est, en outre, l’Institut moteur de l’Union Francophone de l’Audit Interne (UFAI). Fort d’une organisation nationale et régionale, l’IFACI développe son action autour de cinq objectifs principaux : - contribuer à la professionnalisation des auditeurs internes ; - être un lieu d’échanges professionnels ; - être un vecteur de promotion de l’audit interne ; - être le porte-parole auprès des organismes professionnels et institutionnels, - être, enfin, un lieu de réflexion sur la fonction d’audit interne et son évolution. Ce dernier objectif est la finalité de l’activité Recherche qui s’inscrit parfaitement dans la devise de l’IIA : « Le progrès par le partage ». Elle s’organise autour de 8 unités de recherche et 6 groupes professionnels, parmi lesquels le Groupe Banque, fort de quelque 500 adhérents. Ce groupe mène ses réflexions et ses travaux sur divers thèmes, tels que la détection et la prévention du blanchiment de l’argent, la lutte contre la fraude, les référentiels des systèmes d’information, les risques opérationnels ou tout autre thème d’actualité qui sont le plus souvent présentés dans le cadre de réunions d’information. Louis Vaurs Délégué Général, IFACI
4
IFACI
Table des matières : Page Introduction 5 Définition de l'audit interne 6 Missions et objectifs de l'audit interne 6 Principes applicables à l'audit interne 8 Principe de permanence et de continuité 8 Principe d’indépendance 8 Charte d'audit 9 Impartialité 9 Compétence professionnelle 10 Champ d’intervention 10 Procédure interne d'évaluation des besoins en fonds propres 12 Le fonctionnement de l'audit interne 13 Méthodes de travail et types d'audit 13 Analyse des risques et plan d'audit 13 Procédures 14 Management du service d'audit interne 14 Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs externes 15 Relations entre les autorités de tutelle et le service d'audit interne 15 Relations entre les auditeurs internes et les auditeurs externes 16 Relations entre les autorités de tutelle et les auditeurs externes 16 Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs internes 18 Le Comité d'audit 19 Définition 19 Composition, pouvoirs et fonctionnement 19 Principales fonctions 19 L'externalisation de l'audit interne 20 Définition 20 Externalisation de l'audit interne 20 Externalisation de l'audit interne dans les banques de petite taille 22
5
IFACI
Groupe de travail « Sujets comptables » du Comité de Bâle sur la supervision bancaire
Président :
Prof Arnold Schilder, De Nederlandsche Bank, Amsterdam
Commission Bancaire et Financière, Bruxelles Mr Marc Pickeur Office of the Superintendent of Financial Institutions Canada, Ms Donna Bovolaneas Toronto Commission Bancaire, Paris Mr Philippe Bui Deutsche Bundesbank, Frankfurt am Main Mr Karl-Heinz Hillen Bundesaufsichtsamt für das Kreditwesen, Bonn Mr Ludger Hanenberg Banca d’Italia, Rome Dr Carlo Calandrini Bank of Japan, Tokyo Mr Hiroshi Ota Financial Services Agency, Tokyo Mr Nobuhiro Hayashi Commission de Surveillance du Secteur Financier, Mr Guy Haas Luxembourg De Nederlandsche Bank, Amsterdam Mr Michael Dobbyn
Mr André van Dorssen Banco d'España, Madrid Mr Anselmo Diaz Finansinspektionen, Stockholm Mr Hans Hultin Eidgenössische Bankenkommission, Bern Mr Stephan Rieder Bank of England, London Mr Ian Michael Financial Services Authority, London Ms Deborah Chesworth Board of Governors of the Federal Reserve System, Mr Gerald Edwards Washington, DC Federal Reserve Bank of New York Mr James Beit Office of the Comptroller of the Currency, Washington, DC Mr Zane Blackburn Federal Deposit Insurance Corporation, Washington, DC Mr Robert Storch Observateurs Commission Européenne, Bruxelles Mr Vittorio Pinelli Oesterreichische Nationalbank, Vienna Mr Martin Hammer Saudi Arabian Monetary Agency, Riyadh Mr Tariq Javed Monetary Authority of Singapore, Singapore Mr Timothy Ng Secretariat Secretariat of the Basel Committee on Banking Supervision, Mr Bengt A Mettinger Bank for International Settlements
6
IFACI
Introduction
1. Au titre de ses efforts constants pour traiter et promouvoir le contrôle bancaire en encourageant de saines pratiques, le Comité de Bale sur le contrôle bancaire ( Le Comité ) publie le présent document sur l'audit interne dans les banques et la relation des autorités de tutelle avec les auditeurs internes et externes. Un contrôle interne adéquat au sein de la banque doit être complété par une fonction d'audit interne efficace qui évalue, de façon indépendante, les dispositifs de contrôle de l'organisation. Les auditeurs externes, pour leur part, y contribuent en formulant des observations sur l'efficacité du dispositif. Le respect de la réglementation et des procédures ainsi que les actions correctrices appropriées, engagées par le management en réponse aux faiblesses du contrôle interne identifiées par les auditeurs internes et externes, répondent aux préoccupations des autorités de tutelle bancaires. En définitive, la coopération entre l'autorité de tutelle, l'auditeur interne et l’auditeur externe optimise la supervision. 2. Les principes énoncés dans ce document sont d'application générale même s'ils sont destinés à être appliqués dans un cadre spécifique de supervision. L'utilisation de procédés de supervision internes ou externes diffère de façon significative selon les pays. De la même façon, le degré d'implication des auditeurs externes dans la fonction de supervision varie largement. Bien que l'approche choisie par les superviseurs de chaque pays dépende de ces différents facteurs, tous les membres du Comité sont d'accord sur les principes énoncés dans le présent document. 3. Ce document fait référence à une structure manageriale composée d'un conseil d'administration et d’une Direction Générale. Le Comité est conscient qu'il existe des différences significatives dans les structures législatives et réglementaires des différents pays en ce qui concerne les fonctions du Conseil d'Administration et de la Direction Générale. Dans certains pays le Conseil d'Administration a pour principale, voire pour seule fonction, la supervision des instances exécutives (encadrement supérieur et management dans son ensemble) afin de s'assurer que ces dernières assument leurs tâches. C'est la raison pour laquelle, dans certains pays, on l'appelle Conseil de Surveillance. Cela signifie que ce conseil n'a aucune fonction exécutive. Dans d'autres pays, en revanche, le conseil a une compétence plus large en ce qu'il détermine les lignes directrices générales pour la gestion de la banque. Compte tenu de ses différences, les notions de Conseil d'Administration et de Direction Générale sont utilisées dans ce document non pour identifier des organes de décision au sens juridique, mais plutôt pour désigner deux instances de décision au sein d'une banque. Les principes posés dans ce document doivent s'appliquer en conformité avec les structures manageriales des entreprises de chaque pays. Il serait utile de consulter à ce sujet le document du Comité de Bâle "L'optimisation du gouvernement d'entreprise dans les organisations bancaires " publié en septembre 1999. 4. Le présent document constitue un guide de base pour les autorités de tutelle tout en précisant leur point de vue sur l'audit interne dans les banques et les relations entre les superviseurs et les auditeurs externes et internes. Le Comité encourage les efforts déployés pour harmoniser et améliorer les normes de l'audit interne au plan international. Le Comité souhaite qu’il soit tenu compte des règles prudentielles dans le développement des normes nationales et internationales d'audit interne. 5. Au sein d'une banque, une fonction d'audit interne organisée selon les principes posés dans le présent document, facilite le travail des autorités de tutelle de la banque. Un contrôle interne structuré, associé à une fonction d'audit interne, et un audit externe indépendant participent à un gouvernement d'entreprise sain qui, à son tour, peut contribuer à une coopération entre le management de la banque et les autorités de tutelle. Une fonction d'audit interne efficace est, pour le management, ainsi que pour les autorités de tutelle de la banque, une source appréciable d'information sur la qualité du dispositif de contrôle interne. 6. Les principes énoncés dans ce document s'appliquent à toutes les banques, y compris à celles qui font partie d'un groupe et aux sociétés holding dont les filiales sont majoritairement des banques.
7
IFACI
7. Ce document précise les lignes directrices publiées par le Comité en 1998 et intitulées " Dispositifs de contrôle interne au sein des banques", en particulier les normes de la fonction d'audit interne. Le document de 1998 prévoit des règles internationales de supervision de l'évaluation du contrôle interne de la banque fondées sur un dispositif de contrôle interne moderne et évolué.
La définition de l'audit interne : 8. En juin 1999, les instances dirigeantes de l’IIA, the Institute of Internal Auditors, ont approuvé la définition suivante : "L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité". 9. L'objectivité et l'impartialité, primordiales pour le service de l'audit interne dans le domaine bancaire, n'excluent pas nécessairement la possibilité qu’il s'investisse dans une activité de conseil. Conseiller la Direction Générale sur le développement de contrôles internes est souvent une façon peu onéreuse de s'assurer que le management prend une décision avisée quand des mesures de contrôle interne apparaissent nécessaires. Cependant le conseil sous d'autres formes doit rester une activité annexe à la fonction de base de l'audit interne qui est une fonction indépendante d'évaluation au sein d'une banque pour examiner et évaluer ses dispositifs de contrôle interne, y compris dans le domaine du reporting financier. Les auditeurs internes ne doivent pas se censurer pour analyser et critiquer les dispositifs de contrôle interne mis en œuvre par, ou sous l'égide de la Direction Générale, même s’ils ont eux-mêmes donné des conseils sur les contrôles à mettre en place. 10. Certaines banques ont décidé de mettre en place une auto-évaluation des processus de contrôle. Cette démarche peut se définir comme un processus normé qui permet au management et/ou à un service d'analyser ses activités ou ses fonctions et d'évaluer l'efficacité des procédures de contrôle interne qui y sont associées. On peut considérer qu'il s'agit là d'une technique utile pour évaluer l'efficacité du contrôle interne, sans que ce soit pour autant un substitut à l'audit interne.
Missions et objectifs de l’audit interne Principe n°1 Le Conseil d'Administration de la banque a la responsabilité finale de s’assurer que la Direction Générale établit et maintient : - un système de contrôle interne approprié et efficace ; - un processus d'évaluation des divers risques engendrés par les activités de la banque ; - un système de comparaison entre les risques et le niveau de fonds propres de la banque ; - des dispositifs propres à s'assurer du respect des lois, des règlements ainsi que de la
réglementation prudentielle et interne. Au moins une fois par an, le Conseil d'Administration doit vérifier le système de contrôle interne et le dispositif d'adéquation des fonds propres. 11. Le Conseil d'administration doit vérifier régulièrement que la banque a mis en place des dispositifs de contrôle interne pour une conduite normée et prudente des affaires (en se référant à des objectifs clairement définis). Le Conseil d'Administration doit également s'assurer que la banque a mis en place une procédure de limitation des risques par rapport au niveau des fonds propres de la banque. Enfin, le Conseil d’Administration doit s’assurer que la banque a mis en place des processus :
8
IFACI
- pour identifier et contrôler, de manière appropriée, les risques inhérents à la poursuite de ses objectifs ;
- pour tester l’intégrité, la fiabilité et le caractère opportun de l’information financière et de gestion, et
- pour surveiller le respect des lois et règlements, des réglementations prudentielles, ainsi que des plans, règles et procédures internes.
Principe n°2 La Direction Générale de la banque est responsable de la mise en place d'instruments d'identification, de mesure, de surveillance et de contrôle des risques encourus par l'entreprise. Au moins une fois par an, la Direction Générale de la banque est tenue de faire un rapport au Conseil d'Administration sur l'étendue et l'efficacité du dispositif de contrôle interne et d'adéquation des fonds propres. 12. La Direction Générale doit mettre en place une structure organisationnelle qui attribue de façon claire les responsabilités, établit les relations hiérarchiques et les obligations en termes de reporting et s'assure que les délégations de pouvoirs sont effectivement appliquées. La Direction Générale est également responsable de la mise en place d'instruments d'identification, de mesure, de surveillance et de contrôle des risques. En définitive, elle définit la politique de contrôle interne appropriée et surveille l'adéquation et l'efficacité du dispositif de contrôle interne Principe n°3 L'audit interne participe à la surveillance permanente du dispositif de contrôle interne et du processus d'évaluation interne des fonds propres de l'établissement dans la mesure où il fournit une évaluation indépendante de leur adéquation et de leur conformité avec les procédures et la politique décidée par la banque. Dans l'exercice de cette mission, la fonction d'audit interne aide la Direction Générale et le Conseil d'Administration à assumer effectivement et efficacement les responsabilités décrites ci-dessus. 13. D'un point de vue général, le champ d'intervention de l'audit interne porte sur les domaines suivants : • l'examen et l'évaluation du bien fondé et de l'efficacité des dispositifs de contrôle interne ; • le contrôle de l'application et de l'efficacité des procédures de management du risque et des
méthodes de mesure du risque ; • le contrôle du management et des systèmes d'information financière, y compris l'informatique, et
les services de l’e-banking ; • le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des rapports
financiers ; • le contrôle des moyens de sauvegarde des actifs ; • le contrôle du système de mesure des risques par rapport aux fonds propres de la banque ; • l'évaluation de l'intérêt économique et de l'efficacité des opérations ; • les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de contrôle
interne ; • le contrôle des dispositifs mis en place pour s'assurer qu’ils sont conformes aux exigences légales
et réglementaires, aux codes de conduite, et à la mise en œuvre des politiques et procédures ; • le contrôle de la sincérité, de la fiabilité et de l'opportunité des reporting réglementaires ; • la conduite d'enquêtes spéciales. 14. La Direction Générale doit s’assurer que le service d’audit interne est tenu totalement informé des nouveaux développements et produits, des initiatives et des changements opérationnels, ceci afin d’être sûr que les risques associés sont identifiés très tôt.
9
IFACI
Principes applicables à l'audit interne
Principe de permanence et de continuité Principe n°4 Toutes les banques doivent disposer d'une fonction permanente d'audit interne. Dans l'accomplissement de ses tâches et responsabilités, la Direction Générale devrait prendre toutes les mesures nécessaires pour que la banque puisse compter de façon continue sur une fonction d'audit interne compétente et appropriée à sa taille et à la nature de ses opérations. Elle doit dégager pour le service d'audit interne les ressources et les moyens humains nécessaires à la réalisation de ses objectifs. 15. Dans les banques d'une certaine taille et dans les banques dont l'activité est complexe, les missions d'audit interne doivent normalement être conduites par un département d'audit interne disposant d’un effectif à plein temps. Dans les banques plus petites, l'audit interne peut être externalisé auprès d'un prestataire externe. Certains pays autorisent les petites banques à recourir à des évaluations indépendantes des éléments clés de contrôle interne en tant qu'alternative à l'audit interne. 16. Les normes énumérées dans ce document pour un service d'audit interne s'appliquent de la même façon aux activités d'audit interne externalisées. 17. L'application du principe n°4 aux groupes est évoquée au principe n° 9. Principe d'indépendance Principe 5 La fonction d'audit interne de la banque doit être indépendante des activités auditées et également des processus de contrôle de premier niveau. En d'autres termes, l'audit interne doit bénéficier d'un statut approprié au sein de la banque et conduire ses missions avec objectivité et impartialité. 18. Le service d'audit interne doit être en mesure d'exercer sa mission de sa propre initiative dans tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire un rapport sur ses résultats et évaluations et de les communiquer en interne. Le principe d'indépendance implique le rattachement du service d'audit interne, soit au Président de la banque, soit au Conseil d'Administration, soit à son Comité d'audit (s'il existe), en fonction de la structure de direction de la société. 19. Le responsable de l'audit interne doit avoir l'autorisation de communiquer directement et de sa propre initiative au Conseil d'Administration, au Président du Conseil d'Administration, aux membres du Comité d'Audit (s'il existe) ou avec les auditeurs externes, selon les modalités définies par chaque banque dans sa charte d'audit. 1 Ce reporting peut, par exemple, porter sur des décisions prises par le management de la banque qui sont contraires aux dispositions légales ou réglementaires.
1 Dans certains pays, la loi encourage les organisations à mettre en place un dispositif de communication largement accessible à des personnes internes ou externes à l’organisation et leur permettant de faire part de problèmes importants. Dans ces pays, la loi protège les employés qui révèlent les irrégularités et les méfaits dont ils ont pu avoir connaissance.
10
IFACI
20. Le principe d'indépendance exige également l'absence de tout conflit d'intérêts entre les auditeurs internes et la banque. Le niveau de rémunération des auditeurs internes doit être cohérent avec les objectifs de l'audit interne. La fonction d'audit interne doit faire l'objet d'une revue indépendante. Celle-ci peut être effectuée par une autorité indépendante, par exemple un auditeur externe ou par le Comité d'Audit, s'il existe. Charte d'audit Principe 6 Toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le statut et l'autorité de la fonction d'audit interne au sein de la banque. 21. Une charte d'audit interne détermine au minimum : • les objectifs et le champ d’intervention de l'audit interne ; • la position de l'audit interne dans l'organisation, ses pouvoirs, ses responsabilités, et ses relations
avec les autres fonctions de contrôle ; • la responsabilité du responsable de l'audit interne. 22. La charte doit être rédigée et mise à jour périodiquement par le service d'audit interne ; elle doit être approuvée par la Direction Générale et cette approbation confirmée par le Conseil d'Administration agissant en tant que superviseur, ou par le Comité d'audit, s'il existe. 23. Dans la charte, la Direction Générale de la banque donne au service d'audit interne le droit de prendre des initiatives et l'autorise à avoir directement accès et à communiquer avec tout membre du personnel, à contrôler toute activité ou entité de la banque, à avoir accès à tout enregistrement comptable, dossier ou rapport de la banque, y compris à l'information destinée au management, et aux minutes de tout organe consultatif ou exécutif, toutes les fois que c'est nécessaire pour l'accomplissement de ses missions. 24. La charte d'audit doit prévoir les conditions dans lesquelles le service d'audit peut être amené à exercer une activité de consultant ou de conseil ou à effectuer d'autres tâches particulières. 25. La charte doit être diffusée à l'ensemble de l'organisation. Impartialité Principe 7 La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit doit pouvoir effectuer ses missions sans préjugé et sans subir de pression. 26. Pour être objectif et impartial le service d'audit interne doit lui-même chercher à éviter tout conflit d'intérêts. A cette fin, les missions des auditeurs au sein du service d'audit doivent changer périodiquement chaque fois que c'est possible. Les auditeurs recrutés en interne ne doivent pas auditer des activités ou des fonctions qu'ils ont exercées au cours des douze derniers mois. 27. Le souci d'impartialité contraint le service d'audit interne à ne pas s'impliquer dans les opérations de la banque, dans les choix ou la mise en œuvre de dispositifs de contrôle interne. Dans le cas contraire, il assumerait une part de responsabilité dans ces activités, ce qui nuirait à l'indépendance de son jugement.
11
IFACI
28. Néanmoins, le principe d'impartialité ne porte pas atteinte à la possibilité offerte au management de solliciter du service d'audit interne un avis sur des questions spécifiques relatives aux principes de contrôle interne à respecter. La Direction Générale peut, par exemple, pour des raisons d'efficacité, demander un avis quand elle envisage d'importantes réorganisations, le démarrage d'activités nouvelles importantes ou risquées, la création de nouveaux établissements pour des activités à risques, la mise en œuvre ou la réorganisation des systèmes informatiques, de contrôle des risques et de remontée d’information, etc....Il va de soi que la mise en place et le développement éventuels de toutes ces mesures est de la responsabilité des managers. En effet, l’activité de conseil constitue une tâche annexe qui ne doit en aucun cas porter préjudice à la mission principale, à la responsabilité ou à l'indépendance du service d'audit interne. Dans ces conditions, les rapports d'audit interne peuvent contenir des recommandations relatives aux lacunes et faiblesses relevées et des suggestions pour améliorer le contrôle interne. Compétence professionnelle Principe 8 La compétence professionnelle de tous les auditeurs internes et de la fonction d'audit interne dans son ensemble est primordiale pour le bon fonctionnement de la fonction d'audit interne dans la banque. 29. La compétence professionnelle de chaque auditeur, sa motivation, sa formation continue sont des préalables à l'efficacité du service d'audit interne. La compétence professionnelle doit être estimée en tenant compte de la nature de la fonction et de la capacité de l'auditeur à réunir l'information, à contrôler, à évaluer et à communiquer. A cet égard, il faut aussi prendre en compte la complexité technique croissante des activités bancaires et la diversité accrue des tâches dévolues à l'audit interne résultant du développement du secteur financier. 30. La compétence professionnelle et notamment la connaissance et l'expérience du service d'audit interne lui-même mérite une attention particulière. Le principe énoncé implique une compétence suffisante du service dans son ensemble pour auditer tous les secteurs de la banque. 31. L'exercice permanent de tâches similaires ou un travail de routine peuvent affecter négativement le sens critique de l'auditeur. Il est donc recommandé, chaque fois que c'est possible, de faire tourner l'effectif du service d'audit interne. Les permutations doivent s'effectuer de façon à ne pas compromettre l'indépendance des auditeurs internes. 32. L'entretien de la compétence professionnelle suppose une formation continue de chaque membre de l'équipe. L'ensemble de l'effectif doit avoir des connaissances à jour suffisantes sur les techniques d'audit et les activités bancaires. Champ d’intervention Principe 9 Toutes les activités et toutes les entités de la banque doivent entrer dans le champ d’intervention de l'audit interne. 33. Aucune des activités ou entités de la banque, y compris les activités de succursales ou filiales ainsi que les activités externalisées, ne peut être exclue du champ d’intervention du service d'audit interne. Le service d'audit interne doit avoir accès à tout rapport, dossier ou donnée de la banque, y compris l’information destinée au management, ainsi qu’aux minutes de tout organe consultatif ou exécutif, chaque fois que c'est utile pour l'exécution de sa mission.
12
IFACI
34. D'un point de vue général, le champ de l'audit interne comprend le contrôle et l'évaluation de la pertinence et de l'efficacité du contrôle interne, et de la façon dont les responsabilités de chacun sont assumées. A bien des égards, il s'agit d'une analyse du risque du système de contrôle interne de la banque. 35. Le service d'audit interne doit évaluer, en particulier : • la conformité de la banque à la réglementation et aux contrôles des risques (à la fois quantifiables
et non quantifiables) ; • la fiabilité ( y compris l'intégrité, l'exactitude et l'exhaustivité ) ainsi que la disponibilité en temps
opportun de l'information financière et de celle destinée au management ; • la continuité et la fiabilité des systèmes d’information ; • l'organisation des services. 36. Le service d'audit interne doit se préoccuper des dispositions légales et réglementaires qui régissent les opérations de la banque, les politiques, principes, règles, lignes de conduite édictées par les autorités de tutelle relatives à l'organisation et à la gestion des banques. Cependant cela ne signifie pas que l'audit interne doit assumer les fonctions de contrôle de la conformité. 37. Certaines banques ont mis en place des services séparés pour contrôler une activité ou une entité spécifique de la banque. De tels services font partie du dispositif de contrôle interne et leur existence ne dispense pas le service d'audit interne d'auditer ces activités ou entités spécifiques. Cependant dans un souci d'efficacité, le service d'audit interne peut, pour effectuer sa tâche, utiliser les informations transmises par les différents services de contrôle. Néanmoins, le service d'audit interne conserve l'entière responsabilité de contrôler et évaluer le fonctionnement adéquat du dispositif de contrôle interne des activités ou entités concernées de la banque. 38. Si la banque a une succursale importante à l'étranger, le service d'audit interne devra réfléchir à la mise en place d’une équipe locale pour s'assurer de la continuité et de l'efficacité de son travail. Elle fera partie du service d'audit interne de la banque et sera organisée dans le respect des principes énoncés dans ce document. 39. En tant qu'entités juridiques distinctes, les filiales bancaires et non bancaires sont responsables de leur propre contrôle interne et de leur propre fonction d'audit interne dans le respect des dispositions de ce document ; dans ces filiales, la fonction d'audit interne peut être assumée par le service d'audit interne de la maison mère. Quand les filiales disposent de leurs propres services d'audit interne, ceux-ci doivent rendre compte au service d'audit interne de la maison mère. Dans cette hypothèse, la maison mère doit prendre toutes les mesures nécessaires, sans préjudice des dispositions et obligations légales et réglementaires locales, pour s'assurer que son service d'audit interne a un accès illimité à toutes les activités et entités des filiales et qu'il effectue des audits sur place à intervalles réguliers. 40. Pour les succursales à l'étranger comme pour les filiales, les principes d'audit interne sont édictés de façon centralisée par la maison mère. Cette dernière doit donner les instructions d'audit pour l'ensemble du groupe. Le service d'audit interne de la banque maison mère doit participer au recrutement et à l'évaluation des auditeurs internes locaux. 41. Dans l'hypothèse d'une structure plus complexe, la fonction d'audit interne doit être organisée en conformité avec les principes énoncés dans ce document.
13
IFACI
Procédure interne d'évaluation des fonds propres Principe 10 Dans le cadre de la procédure interne d'évaluation des besoins en fonds propres de la banque, l'audit interne doit régulièrement contrôler de façon indépendante le processus de management des risques, mis en place par la banque pour rapprocher le risque du niveau de fonds propres et la méthode utilisée pour surveiller la conformité à la politique de fonds propres définie en interne. 42. Les méthodes d'identification des risques et d'évaluation des fonds propres de la banque diffèrent du processus de management des risques qui habituellement met davantage l'accent sur le contrôle des stratégies commerciales développées pour optimiser l'arbitrage risque /marges dans les différents secteurs de la banque. 43. La banque doit désigner de façon claire la personne ou le service responsable du contrôle de l'adéquation des fonds propres. Cette tâche peut être confiée au service d'audit interne ou à une personne ou un service, suffisamment indépendants des activités de la banque. 44. L'autorité de tutelle peut apprécier les méthodes internes d'évaluation par une banque de ses besoins en fonds propres et sa conformité avec les ratios de fonds propres réglementaires à partir du travail effectué par les auditeurs internes et externes si leur travail a été orienté en ce sens.
14
IFACI
Fonctionnement de l'audit interne
Méthodes de travail et types d'audit Principe 11 La fonction d'audit interne suppose l'établissement d'un plan d'audit, l'examen et l'évaluation de l'information mise à disposition, la communication de ses résultats, le suivi des recommandations et des questions traitées. 45. On distingue différents types d'audit interne. On peut citer sans prétendre à l'exhaustivité : • l'audit financier, dont la finalité est de s'assurer de la fiabilité des procédures comptables, de
l'information et des états comptables qui en résultent ; • l'audit de conformité, dont la finalité est de s'assurer de qualité et de la pertinence des procédures
mises en place pour garantir la conformité aux lois, règlements, politiques et procédures ; • l'audit opérationnel dont la finalité est de s'assurer de la qualité et de la pertinence des systèmes et
procédures, d'analyser les structures et l’organisation, en exerçant un esprit critique, d'évaluer l'adéquation des ressources et méthodes aux objectifs assignés ;
• l'audit de management dont la finalité est d'évaluer la qualité de l'approche du risque et du contrôle interne par les managers, dans le cadre des objectifs de la banque.
46. Le service d'audit interne contrôle et évalue l'ensemble des activités de la banque dans toutes ses entités. Il ne doit donc pas se focaliser sur un seul type d'audit mais utiliser le type le plus approprié, en fonction de l'objectif d'audit. En outre, le service d'audit interne ne doit pas se limiter, à cet égard, à l'audit des différents services de la banque. Il doit aussi porter une attention particulière à l'audit d'une activité bancaire dans laquelle plusieurs entités de la banque sont engagées Analyse des risques et plan d'audit 47. La direction du service d'audit interne prépare un plan de toutes les missions à effectuer. Le plan d'audit inclut le calendrier et la durée des missions d'audit interne planifiées. Le plan d'audit est fondé sur une analyse méthodique des risques qui permet à l'auditeur interne de bien appréhender les activités significatives de l'institution et les risques qui y sont associés. Le management du service d'audit interne doit établir les principes applicables à la méthode d'évaluation des risques par écrit et les mettre à jour régulièrement en fonction des changements dans le système de contrôle interne ou dans les méthodes de travail, et en intégrant les nouveaux domaines d'activité. L'analyse du risque porte sur l’ensemble des activités et entités de la banque et concerne l'intégralité des systèmes de contrôle interne. Un plan d'audit sur plusieurs années est établi, en se fondant sur les résultats de l'analyse des risques et en tenant compte du degré de risque inhérent à chaque activité. Le plan doit aussi prendre en compte les développements en projet et les innovations, le taux de risque généralement plus élevé des nouvelles activités, et l'objectif d'auditer toutes les activités et entités significatives avec une périodicité raisonnable (principe du cycle d'audit de trois ans par exemple). Toutes ses préoccupations permettront de déterminer l'étendue, la nature et la fréquence des missions à effectuer. 48. Le plan d'audit du service doit être réaliste c'est à dire qu'il doit prévoir du temps pour d'autres missions et activités telles que des contrôles ou des enquêtes spécifiques, des conseils et avis, et la formation. Le plan comprend un état détaillé des ressources nécessaires en termes de personnel et autres ressources. En ce qui concerne les moyens humains, il faut réfléchir non seulement au nombre de personnes mais aussi aux compétences professionnelles nécessaires. 49. Le plan d'audit est rédigé par le service d'audit interne et approuvé par le président de la banque ou par le Conseil d'administration ou par le Comité d'audit (s'il existe). L'accord sur le plan
15
IFACI
engage la banque à mettre à la disposition du service d'audit interne les moyens appropriés. Le plan d'audit doit être régulièrement revu et mis à jour chaque fois que c'est nécessaire. Procédures 50. Pour chaque mission, un programme d'audit doit être établi. Le programme décrit les objectifs ainsi que le plan de travail estimé nécessaire pour les atteindre. C'est un outil relativement souple qui devra être adapté et complété en fonction des risques identifiés. 51. Toutes les procédures d'audit, inhérentes à la mission devraient être documentées par des papiers de travail. Ceux-ci doivent refléter les contrôles qui ont été effectués et mettre en lumière les constats énoncés dans le rapport. Les papiers de travail doivent être élaborés suivant une méthode bien déterminée. Cette méthode doit permettre de fournir des informations suffisantes pour vérifier que la mission a été correctement effectuée et permettre à d'autres de vérifier son déroulement. 52. Un rapport écrit pour chaque mission doit être rédigé aussi vite que possible. Il est transmis à l'audité et à ses supérieurs hiérarchiques et, généralement sous une forme synthétique, à la Direction Générale. 53. Le rapport d'audit présente la finalité et le champ d’intervention de l'audit interne, ses constats et recommandations et les réponses de l'audité. Il met en évidence les thèmes sur lesquels on est parvenu à un consensus à la fin de la mission. Le service d'audit interne précise l'importance relative des insuffisances constatées et des recommandations proposées. 54. Le service d'audit interne tient un registre des missions effectuées et des rapports transmis. 55. La direction de la banque doit s'assurer que les recommandations du service d'audit interne sont mises en œuvre de façon appropriée. Elle doit donc approuver une procédure mise en place par le service d'audit interne pour s'assurer de l'examen et au besoin du calendrier de mise en œuvre des recommandations du service d'audit interne. 56. Le service d'audit interne suit les recommandations émises pour voir si elles sont appliquées. Un bilan de la mise en œuvre de ces recommandations est communiqué au moins tous les six mois à la Direction Générale, au Conseil d'Administration ou au Comité d'audit, s'il existe, conformément au cadre de gouvernement d’entreprise existant. Management du service d'audit interne Principe 12 Le responsable du service d'audit interne est le garant du respect par son service de principes sains d'audit interne. 57. Le responsable de l'audit interne doit s'assurer du respect de principes sains , tels que les Normes pour la Pratique Professionnelle de l'Audit Interne de l'IIA. Il doit veiller à la rédaction d'une charte d'audit, d'un plan d'audit ainsi que de procédures et instructions internes. Il doit se préoccuper continuellement de la compétence professionnelle et de la formation de son équipe et s'assurer qu'il dispose des moyens nécessaires. Il doit prêter attention à la motivation de son équipe et à sa conscience professionnelle. 58. Le service d'audit interne doit régulièrement faire un reporting à la Direction Générale ou au Conseil d'Administration ou au Comité d'Audit, s’il existe, sur l'efficacité du contrôle interne et sur l'atteinte des objectifs du service d'audit interne. Il doit également les tenir informés de l’avancement du plan d'audit. Dans le cadre de sa fonction de superviseur, le Conseil d'administration ou le Comité d'Audit doit régulièrement discuter de l'organisation et des moyens (à la fois humains et autres ) du service d'audit interne ainsi que du plan d'audit, des rapports d'activité, de la synthèse des recommandations de l'audit interne et du degré d’avancement de leur mise en œuvre.
16
IFACI
Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs externes Relations entre les autorités de tutelle et le service d'audit interne Principe n°13 Les autorités de tutelle doivent évaluer le travail réalisé par le service d'audit interne de la banque et, si elles en sont satisfaites, lui faire confiance pour identifier les secteurs comportant des risques potentiels. 59. Diverses dispositions réglementaires au sujet du contrôle interne dans les banques émanent des autorités de tutelle. Bien que la réglementation soit plus ou moins développée selon les pays, elle comprend en général des principes de base tendant à promouvoir un dispositif de contrôle approprié ainsi qu'une réglementation sur les fonds propres. La plupart des autorités de tutelle ont rédigé des règlements, des pratiques et des procédures dans différents domaines comme le management du risque crédit et les autres risques bancaires principaux ( tels que les risques sur le marché des changes, le risque de taux, la gestion des liquidités, les systèmes informatiques et de télécommunication, et la gestion des risques sur le marché à terme des instruments financiers). 60. Pour évaluer la qualité du contrôle interne, les autorités de tutelle disposent de plusieurs approches. L'une d'entre elles consiste à évaluer le travail du service d'audit interne, y compris les contrôles des dispositifs d'identification, de mesure, de suivi et de contrôle des risques mis en place par la Direction Générale. Si elles sont satisfaites de la qualité du travail du service d'audit interne, les autorités de tutelle peuvent utiliser les rapports d'audit interne comme premier élément pour identifier les lacunes de contrôle dans la banque ou pour identifier les zones de risque potentiel que les auditeurs internes n'ont pas contrôlées récemment. Principe n° 14 Les autorités de tutelle doivent consulter périodiquement les auditeurs internes pour s'enquérir des zones de risque identifiées et des mesures prises. Elles peuvent s'entretenir à cette occasion de l'étendue de la collaboration entre le service d'audit interne de la banque et les auditeurs externes. 61. Cette consultation est fondamentale d’un point de vue prudentiel sachant qu’une politique hasardeuse peut nuire à la protection des déposants et autres créanciers, aux intérêts des actionnaires, et au fonctionnement correct du système de crédit. Bien que la mission du service d'audit interne soit vaste, il n’appartient pas à ce dernier d'établir la politique interne de la banque. De même, il ne peut, en général, contester les orientations politiques, à l'exception des règles relatives au contrôle interne, ou critiquer l'opportunité de certaines décisions politiques. Néanmoins, cette règle n'empêche pas le service d'audit interne de réagir et d'informer le Conseil d'Administration ou son Comité d'Audit, s'il existe, chaque fois que le management de la banque prend des décisions contraires aux dispositions légales ou réglementaires, ou à la politique décidée par la banque et à ses procédures écrites. 62. Il est de bonne pratique chaque fois que le chef du service d'audit interne change de fonction, que les autorités de tutelle soient informées, en temps opportun, par la direction de la banque des circonstances qui ont conduit à cette mesure. Lorsque le responsable du service d'audit est relevé de ses fonctions, l'autorité de tutelle devrait envisager de le rencontrer.
17
IFACI
Principe n°15 Les autorités de tutelle sont encouragées à organiser des réunions régulières pour s'entretenir des problèmes d'ordre politique avec les responsables d'audit interne des banques sous leur contrôle. 63. Les responsables d'audit interne des banques devraient s’unir pour organiser des consultations sectorielles avec les autorités de tutelle en vue de s'entretenir de sujets d'intérêts communs. Relations entre les auditeurs internes et les auditeurs externes Principe n° 16 Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et externes de façon à rendre leur collaboration aussi réelle et efficace que possible. 64. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, en raison
de leurs activités d'audit et notamment, de leurs entretiens avec la direction générale et le Conseil d'Administration ou le Comité d'Audit, s’il existe, ainsi que par leurs recommandations pour l'amélioration du contrôle interne.
65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le calendrier et l'étendue des procédures d'audit externe. Cependant, l’auditeur externe (le Commissaire aux comptes en France) est seul responsable de son opinion sur les états financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès aux rapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention de l'auditeur interne et qui pourrait avoir une incidence sur son travail. De même, l’auditeur externe doit informer l'auditeur interne de tout problème important qui pourrait le concerner. 66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi avec celui des auditeurs externes. La coordination entre les services d'audit nécessite des rencontres périodiques pour s'entretenir de questions d'intérêt commun, procéder à l'échange des rapports d'audit et des notes de la direction et convenir de techniques, méthodes et terminologie communes. Relations entre les autorités de tutelle et les auditeurs externes Principe n°17 Les travaux effectués par un auditeur externe pour le compte d'une autorité de tutelle doivent avoir un fondement légal ou contractuel. Toute mission assignée par les autorités de tutelle à l’auditeur externe doit être complémentaire à ses travaux d'audit habituels et correspondre à sa sphère de compétences. 67. Selon la norme IAPS 1004 (International Auditing Practice Statement) de l’IFAC, International Federation of Accountants, intitulée "la relation entre les autorités de tutelle de la banque et les auditeurs externes des banques" (en cours de révision), les autorités de tutelle et les auditeurs externes ont des préoccupations complémentaires : la notion de stabilité de l'établissement bancaire pour l'autorité de tutelle est complémentaire de la notion de "continuité de l'exploitation" de l’auditeur externe. En effet, les processus de contrôle interne qui permettent d’assurer à la fois un management sûr et prudent et l’établissement d’états financiers fiables sont complémentaires. En outre, l'existence d'un système comptable adéquat intéresse aussi bien les autorités de tutelle que les auditeurs externes. 68. Le rôle exact des auditeurs externes varie d'un pays à l'autre. Il est constant, néanmoins, qu'on attend d'eux une compréhension accrue du système de contrôle interne de la banque dans la mesure où
18
IFACI
l’exactitude des états financiers en dépend. On attend également de leur part un rapport sur les insuffisances matérielles identifiées, à l'attention de la Direction Générale et, dans beaucoup de pays, à l'attention des autorités de tutelle. La Direction Générale et le Conseil d'Administration ou son Comité d'audit, s'il existe, doivent s'assurer de la mise en œuvre des mesures préconisées pour remédier aux déficiences de contrôle interne soulignées dans les rapports des auditeurs externes. Cette fonction d'alerte de la part des auditeurs externes s'intègre dans la fonction préventive des autorités de tutelle. 69. Dans beaucoup de domaines, les travaux de l'autorité de tutelle et de l’auditeur externe peuvent être mutuellement utiles. Les auditeurs externes peuvent trouver des indications utiles dans les informations recueillies par l'autorité de tutelle à la suite d'une inspection sur place, d'entretiens avec le management ou toute autre communication avec la banque. Dans les pays où les auditeurs externes entretiennent d'étroites relations avec les autorités de tutelle, ils sont fréquemment conduits à exprimer leur avis sur le fonctionnement et la qualité du service d'audit interne. Les notes de la Direction Générale et autres rapports donnent aux autorités de tutelle un aperçu intéressant du contrôle interne de la banque. 70. Dans certaines circonstances, l’auditeur externe prend conscience que des informations qu'il a obtenues peuvent être intéressantes pour l'autorité de tutelle ou requérir de sa part des mesures urgentes. Plusieurs d'entre elles sont énumérées dans l'ISA 260 (International Standards on Auditing, IFAC) « Communications of Audit Matters with those charged with Corporate Governance » 2. Afin de compléter les cas recensés dans L'ISA 260, on peut citer les hypothèses suivantes susceptibles d'intéresser les autorités de tutelle : • information révélant une carence conduisant à la non satisfaction de l’une des exigences
nécessaires pour l'agrément bancaire ; • conflit grave au sein des instances dirigeantes ou départ inattendu d'un cadre responsable d'une
fonction clé ; • information révélatrice d'un possible non-respect de la loi, des règlements, des statuts de la
banque, de la charte ou du règlement intérieur ; • intention signalée de l’auditeur externe (Commissaire aux comptes) de démissionner ou
changement de celui-ci ;
- 2 Par exemple : - l’approche générale et le champ d’intervention de l'audit interne, y compris toute limite attendue et
toute exigence supplémentaire ; - le choix ou les changements des principes et méthodes comptables qui ont ou sont susceptibles d'avoir
une incidence matérielle sur la présentation des état financiers de l'entité. - l'incidence potentielle sur les états financiers des risques significatifs avérés ou latents tels que les
litiges en cours ; - les ajustements proposés par l'audit, qu'ils aient ou non été retenus par l'entité, qui ont ou pourraient
avoir une incidence significative sur les état financiers de l'entité ; - incertitudes matérielles, liées à la conjoncture, susceptibles de jeter un doute sur la capacité de
l'entreprise à assurer sa continuité d’exploitation ; - désaccords avec la Direction Générale sur des sujets qui pris individuellement ou globalement peuvent
avoir une incidence significative sur les comptes annuels de l'entité ou sur le rapport de l’auditeur externe. Les informations communiquées doivent préciser si le différend a été ou non résolu, et la signification de la question soulevée ;
- modifications du rapport de l’auditeur externe demandées ; - autres sujets méritant l'attention de ceux qui sont chargés du gouvernement d'entreprise, tels que
défaillances matérielles du contrôle interne, doutes sur l'honnêteté de l'encadrement, fraude dans laquelle l'encadrement est impliqué et tous autres sujets identifiés dans le cadre de la mission d’audit.
19
IFACI
• modification radicale dans la politique de risque de la banque et émergence de risques latents. 71. Dans beaucoup de pays, il est attendu ou exigé de rapporter aux autorités de tutelle, en temps voulu, les éléments ci-dessus mentionnés. 72. Le fondement de la relation entre les autorités de tutelle et les auditeurs externes se trouve dans la Norme IAPS 1004 (en cours de révision). Il est primordial que toute tâche que l’auditeur externe accomplit pour le compte de l'autorité de tutelle repose sur un cadre légal ou un accord contractuel entre la banque et l'autorité de tutelle. Le texte légal ou contractuel doit aborder la question de la confidentialité. Il est également important de préciser que le travail de l’auditeur externe pour l'autorité de tutelle doit être complémentaire de son travail d'audit habituel et relever de sa compétence. Les demandes de l'autorité de tutelle doivent être clairement définies. 73. Dans certains pays, le rôle de l’auditeur externe comprend des tâches additionnelles d'un intérêt particulier pour l'autorité de tutelle telles que : • la revue des méthodes utilisées par la banque pour établir ses normes de rentabilité ; • l’évaluation de l'adéquation entre l'organisation et le dispositif de contrôle interne ; • l’évaluation du respect par la banque des lois et règlements ; • l’évaluation du dispositif de contrôle interne de la banque ( y compris le service d'audit interne) ; • l’expression d'une opinion sur l'observation des règles comptables appropriées. 74. Il est recommandé que des dispositions légales soient prises en faveur des auditeurs externes afin qu'ils ne puissent être tenus responsables des informations révélées de bonne foi aux autorités de tutelle, en application des lois et réglementations en vigueur. 75. Les autorités de tutelle peuvent détenir des informations qui peuvent aider l’auditeur externe à comprendre leurs préoccupations ou qui peuvent avoir une influence significative sur leur travail d'audit ou leurs autres responsabilités en matière de reporting. Il est important qu'existe une voie légale pour permettre à l'autorité de tutelle de révéler ces informations aux auditeurs externes lorsque cela lui permet de mieux atteindre ses objectifs. Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs internes. Principe n° 18 La coopération entre autorité de tutelle, auditeur externe et auditeur interne a pour objectif de rendre les travaux de toutes les parties concernées plus rationnels et efficaces afin d'optimiser le contrôle. La coopération peut se matérialiser par des réunions périodiques. 76. L'objectif de la coopération est de rendre la contribution de tous les intervenants concernés plus efficiente et efficace afin d'optimiser le contrôle de l'autorité de tutelle, même si chaque intervenant assume en priorité ses propres responsabilités. 77. Dans certains pays, cette coopération se matérialise par des rencontres périodiques. Il se peut que l'autorité de tutelle juge la présence de la Direction Générale opportune lors de ces rencontres. Au cours de ces réunions, chacun apporte des informations sur des domaines d'intérêt commun et une attention particulière est portée aux domaines qui seront contrôlés et sur le calendrier de travail. Les trois parties en présence évoquent aussi la mise en œuvre par l'organisation des recommandations des auditeurs internes et externes 78. La coopération présuppose une relation de confiance entre la banque, l’auditeur externe et l'autorité de tutelle. Sans confiance, la coopération n'est pas possible. En conséquence, l'autorité de tutelle attend de la Direction Générale de la banque une information sur les décisions, les faits ou les développements qui pourraient avoir une influence significative sur la situation de la banque.
20
IFACI
Le Comité d'audit Définition 79. Le comité d'audit est habituellement considéré comme une émanation du Conseil d'Administration ; il est composé de directeurs n'ayant pas de fonction opérationnelle et indépendants de la Direction Générale. Cependant, sa composition et sa dénomination peuvent varier selon les pays. Principe 19 La création d'un comité d'audit permanent est une solution pour résoudre les difficultés pratiques qui peuvent être générées par la mission, dévolue au Conseil d'Administration, de créer et maintenir un dispositif de contrôle approprié. En outre, un tel comité renforce à la fois le contrôle interne et l'audit interne et externe. Les banques sont en conséquence incitées à mettre en place un comité d'audit permanent, surtout si leurs activités sont complexes. Les filiales des banques doivent réfléchir à l'opportunité de créer un comité d'audit au sein de leur Conseil d'Administration. Composition, pouvoirs et fonctionnement 80. Pour la création d'un comité d'audit, le Conseil d'Administration devrait établir une charte écrite, indiquant la composition du Comité d'audit, ses pouvoirs et ses devoirs, ainsi que les modalités du reporting au Conseil d'Administration. Ce document devrait être approuvé par le Conseil d'Administration, revu et mis à jour périodiquement. 81. Un comité d'audit devrait être composé d'au moins trois membres du Conseil d'administration qui ne font pas ou n'ont pas fait partie de la Direction Générale de la banque. Lorsque la présence au Comité d'audit de dirigeants de l’organisation est autorisée par les lois et règlements nationaux, ils ne doivent pas représenter la majorité des membres. Les membres doivent avoir des compétences compatibles avec les obligations du comité. L’un d'entre eux, au moins, doit avoir des compétences financières, comptables ou d'audit. Pour des raisons d'efficacité, les personnes suivantes devraient être autorisées à assister régulièrement aux réunions du Comité d'audit : le Président Directeur Général ou un membre de la Direction Générale, le responsable de l'audit interne et l’auditeur externe. 82. Le comité d'audit peut demander à avoir accès à tout document ou tableau de bord et donner tout ordre de mission ou d'enquête. Le Comité d'audit rend compte régulièrement au Conseil d'Administration. Principales fonctions 83. Le Comité d'Audit doit encourager la communication entre les membres du Conseil d'administration, la Direction Générale, le service d'audit interne, l’auditeur externe et les autorités de tutelle. 84. Le Comité d'Audit approuve la charte d'audit interne, le plan d'audit ainsi que le budget nécessaire (moyens humains et matériels). Il est destinataire des rapports d'activité et de la synthèse des principales recommandations de l'audit interne ainsi que des plans d'action du management pour les mettre en œuvre. 85. L’auditeur externe présente son plan d'audit au Comité d'Audit et l'informe de ses conclusions et recommandations.
21
IFACI
86. Le Comité d'audit débat régulièrement sur : - le fonctionnement du dispositif de contrôle interne ; - les activités du service d'audit interne ; - les zones de risque opérationnelles, à couvrir dans l'année par l'audit interne ou externe ; - la fiabilité et la sincérité de l'information financière diffusée au management et à l'extérieur ; - tous les problèmes significatifs comptables ou d’audit identifiés par les travaux d'audit interne ou
externe ; - la conformité de la banque avec les dispositions légales ou réglementaires, ses statuts, sa charte et
les règlements ou règles instituées par le conseil d'administration. 87. Le comité d'audit doit rédiger des recommandations au Conseil d'Administration pour la désignation de l’Auditeur externe. Le comité d'audit fixe et revoit régulièrement les termes de son contrat. 88. Certaines autorités de tutelle s'attachent à rencontrer régulièrement le président du comité d'audit de chaque banque pour faciliter leur compréhension du processus de gouvernement d’entreprise et du fonctionnement de la banque. Ces réunions donnent l'opportunité au comité d'audit de s'entretenir de toute difficulté rencontrée avec le management de la banque et aux autorités de tutelle de se forger une opinion sur l'efficacité du Comité d'Audit.
L'externalisation de l'audit interne Définition : 89. Un accord d'externalisation de l'audit interne est un contrat passé entre l'établissement et un prestataire de services extérieur pour fournir des services d'audit interne. 90. Une externalisation ciblée et limitée (sous-traitance) peut être très profitable lorsqu'elle apporte, par exemple, à une mission d'audit spécifique, des connaissances et un savoir-faire très spécialisés, qui ne sont pas disponibles en interne. En revanche, l'externalisation n'est pas sans risque pour la banque, tel que perte ou affaiblissement du contrôle sur l'activité d’audit interne externalisée. Ce risque doit être géré et maîtrisé. En outre, l'externalisation peut porter atteinte aux pouvoirs des autorités de tutelle pour obtenir des informations ou exiger des changements dans la manière dont l'activité externalisée est menée. L'externalisation des activités essentielles de la banque, et notamment l’audit interne, peut affaiblir les fondements mêmes de son droit à exercer ses activités. Externalisation de l'audit interne Principe 20 Que les activités d’audit interne soient externalisées ou non, le Conseil d’Administration et la Direction Générale gardent la responsabilité finale d’assurer que le dispositif de contrôle interne et l’audit interne sont appropriés et fonctionnent efficacement. 91. Certains pays exigent que le service d'audit interne d'une banque ait les compétences et des moyens suffisants pour auditer les activités clés de la banque et pour évaluer le fonctionnement et l'efficacité du contrôle interne de ces activités. Cependant, il est couramment accepté qu'un expert externe (dans le cadre d’une opération de sous-traitance) puisse effectuer des missions que l'audit interne n'a pas les moyens de réaliser (ou des moyens insuffisants). Néanmoins, les recommandations ci-après relatives à l'externalisation de l'audit interne, s'appliquent à ce cas d’espèce.
22
IFACI
En tout état de cause, le responsable de l'audit doit s'assurer, dans la mesure du possible, que les connaissances mises en œuvre par l'expert profite à son service en faisant participer, si possible, à la mission confiée à l'expert un ou plusieurs auditeurs de son équipe. 92. Il se peut que, dans d'autres pays, les banques confient l’entière activité de l'audit interne à un prestataire extérieur. Dans ces conditions, l'entreprise devra conserver un cadre expérimenté à la tête de l'audit interne avec une petite équipe d'auditeurs internes. Le prestataire extérieur a un rôle d'assistance auprès des auditeurs pour déterminer les risques à auditer. Il recommande et met en œuvre les audits approuvés par le responsable de l'audit et établit avec lui des rapports conjoints à l'attention du Conseil d'Administration ou du Comité d'Audit. Néanmoins, il est inhabituel dans beaucoup de pays, sinon dans la plupart, qu'une grande banque ayant une activité internationale, externalise, en totalité ou en grande partie, la fonction d'audit interne. 93. Plusieurs pays exigent que le prestataire extérieur soit totalement indépendant de l’auditeur externe, de l'entreprise ou du groupe de ce dernier. D'autres admettent des contrats d'externalisation avec le même groupe ou cabinet que celui qui audite les comptes. Néanmoins, comme ce contrat est de nature à compromettre en fait ou en apparence l'indépendance de l'auditeur externe, les banques concernées devraient se référer aux règles sur l'indépendance publiées par les instances professionnelles compétentes des auditeurs externes ou par les autorités de tutelle des banques ou autres autorités gouvernementales. 3 94. Le prestataire extérieur doit être une entreprise compétente, financièrement saine, disposant des connaissances et de l'expertise appropriées. 95. Il convient d'établir un contrat écrit entre le prestataire extérieur et la banque. La Direction Générale devra s'assurer que la banque signe un contrat valable, pour une durée suffisante, avec un prestataire qui a les compétences professionnelles requises en fonction des caractéristiques de la banque concernée. 96. Le contrat devra définir les missions et responsabilités du prestataire externe et prévoir, de façon explicite, l'approbation préalable de la Direction Générale à l'analyse du risque effectuée par le prestataire extérieur et au plan d’audit qui a été établi. 97. Le contrat devra prévoir, également, l'accès à tout moment aux dossiers concernés du prestataire de service, y compris son plan de travail et ses papiers de travail, par la Direction Générale ou son représentant, l’auditeur externe ou son représentant et les autorités de tutelle. 98. Le contrat prévoira l'engagement du prestataire à mettre en œuvre les moyens nécessaires pour accomplir sa mission selon le plan d'audit. Un avenant sera nécessaire pour modifier les termes du contrat, particulièrement pour approfondir les travaux d'audit si des problèmes significatifs se révèlent. 99. Quand une organisation a recours à l'externalisation, cela augmente ses risques opérationnels. Les autorités de tutelle souhaitent que les banques analysent l'impact que cette situation aura sur la cartographie des risques et le dispositif de contrôle interne. Dans l'hypothèse d’une rupture soudaine du contrat, l'organisation devrait avoir un plan d'urgence. En raison des possibilités offertes en matière d'audit interne de faire appel à d'autres fournisseurs, le plan d'urgence fera référence, le plus souvent, à un prestataire remplaçant. Etant donné le temps qui sera nécessaire pour recourir à un autre prestataire, la banque devra envisager un recours temporaire accru à ses propres auditeurs internes. Externalisation de l'audit interne dans les petites banques
3 Par exemple le projet de recommandation de la Commission Européenne sur l'indépendance réglementaire des auditeurs et les obligations d'indépendance des auditeurs édictées aux Etats Unis par la SEC (Securities and Exchange Commission).
23
IFACI
100. On admet généralement, pour certaines petites banques dont la taille et l'étendue des risques ne justifient pas de confier la fonction d'audit interne à une personne à temps complet, d'externaliser toutes les activités d'audit interne auprès d'un prestataire extérieur. Tous les principes relatifs à l'audit interne restent applicables lorsque l'intégralité des activités d'audit interne est externalisée. 101.Dans cette hypothèse, la Direction Générale est responsable de la prise en compte des recommandations de l'audit et de la désignation des personnes qui seront chargées de les mettre en oeuvre.
