1

AUDIT INTERNE EN BANQUE

Denis Caprasse

Karin Maquet

6 dcembre 2000

2

Table des matires

Evolution de la fonction daudit interne

L environnement de lauditeur interne en banque

Contrle interne : cadre de rfrence COSO

La notion de risque

Relations entre COSO et lapproche daudit

Organisation dune banque

La stratgie daudit et sa ralisation

COBIT - un cadre de rfrence intgr pour valuer les systmes

dinformation

Le comit daudit

Avis et recommandations de la Commission bancaire et financire

La Collaboration entre les reviseurs, les auditeurs internes et la CBF

COSO et la mise en place de structures intgres de risk management

3

Evolution de la fonction

daudit interne

4

Audit interne : volution historique

AVANT-HIER UN MAL NECESSAIRE

HIER DESIR DE CHANGEMENT

AUJOURDHUI AUDIT PARTICIPATIF

LES NOUVELLES TENDANCES

LES DEFIS DU FUTUR

5

Laudit interne avant-hier

MARCHE

AUDITEUR

DEPARTEMENT AUDIT

Faible concurrence

Produits traditionnels

Gestion patriarcale

Mal ncessaire

Policier et pompier

Redoute des audits

Cherche les erreurs

Pas dembauche slective

Peu dautonomie

Sans accs hirarchique lev

Budgets limits & Missions routinires

6

Laudit interne dhier

MARCHE

AUDITEUR

DEPARTEMENT AUDIT

Concurrence accrue

Croissance volumes et produits

Dveloppements informatiques

Distinct de linspecteur

Spcialisation professionnelle

Prvention ; dtection

Qualit ; quantit

Auditeur du management

Expert impartial

Conseiller des directeurs

Banquier / Technicien Comptents

7

Laudit interne aujourdhui

MARCHE

AUDITEUR

DEPARTEMENT AUDIT

Concurrence multiple et diversifie

Dcentralisation des oprations

Rglementations en croissance

Dlgation force des pouvoirs

Problem solver

Conscient des cots

Validation de procdures

Collabore aux objectifs

Centr sur les risques

Soucieux de ses clients

Flexible et ractif

Grand utilisateur dinformatique

Soucieux de la formation

8

Audit interne : Les dfis du futur

QUALITE TOTALE DISPARITION DE LAUDIT?

Outsourcing - cosourcing Self controlled organisation - systmes de contrle intgr avec auto-valuation

EMERGENCE DE NOUVELLES MISSIONS?

EVOLUTION POSSIBLE DE LA FONCTION SURVEILLANT RISK MANAGER REACTIF PREVENTIF OBSERVATEUR EDUCATEUR SEPARATISTE AGENT DE COMMUNICATION

EFFETS SUR LES MISSIONS FOCALISATION SUR RISQUES ELEVES PARTICIPATION AUX CHANGEMENTS DISPONIBILITE POUR URGENCES ACCENTUATION DU COUT/BENEFICE

9

Stand Alone Audit Function

Participating With Management

Supporting Management

Self-Assessments

Process Focus

Enterprise Risk Management

Consultant Business

Enhancement/ Efficiency

Detection

Internal Auditor

Financial reporting

Transaction Focus

Risk Exposure/Identification

Prevention

Reactive Proactive Strategic

Lvolution du mtier daudit interne

10

Lvolution du mtier daudit interne

Nouvelle dfinition de laudit interne par le Institute of Internal Auditors:

Internal audit is an objective assurance and consulting activity that is independently managed within an organisation and guided by a philosophy of adding value to improve the operations of the organisation.

It assists an organisation to evaluate and improve the effectiveness of the organisations risk management, control, and governance processes.

11

Lenvironnement

de lauditeur interne

en banque

12

Internal control

Internal audit

Supervision by auditor

Supervision by CBF

Conception et pratique du contrle prudentiel

Les cercles concentriques du contrle prudentiel

Rapport CBF 1996-1997 pp 26-31

13

Le contrle interne

Circulaire CBF D1 97/4 du 30 juin 1997

Le contrle interne se dfinit gnralement comme lensemble des mesures qui, sous la responsabilit de la direction de ltablissement de crdit doivent assurer avec une certitude raisonnable :

une conduite des affaires ordonnes et prudente, encadre dobjectifs bien dfinis;

une utilisation conomique et efficace des moyens engags;

lintgrit et la fiabilit de linformation financire et celle relative la gestion;

le respect des lois et rglements ainsi que des politiques gnrales, plans et procdures internes

14

Le contrle interne

Les lments constitutifs un environnement dentreprise qui encourage une attitude

positive lgard du contrle;

des objectifs suivi de lidentification des risques et de leur analyse

la mise en place de systme dinformation et de communication ainsi quun reporting

la surveillance et l'valuation rgulire des mesures prises

15

Le contrle interne

Responsabilit du conseil dadministration de vrifier ladquation du contrle interne

Le comit de direction doit mettre en oeuvre un contrle interne adquat et procder son valuation

Laudit interne est une fonction indpendante qui a pour objet dexaminer et dvaluer le bon fonctionnement, lefficacit et lefficience du contrle interne

16

Le contrle interne

La Commission bancaire et financire a transpos les principes noncs dans le cadre de rfrence COSO

Comit de Ble Framework for internal control systems in banking

organisations - Septembre 1998

Management oversight and control culture

Risk recognition and assessment

Control activities and segregation of duties

Information and communication

Monitoring activities and correcting deficiencies

Transposition des principes COSO

17

Contrle interne

COSO ????

18

Contrle interne :

cadre de rfrence COSO

19

COSO : les concepts fondateurs

22

Globalisation

Empowerment Plus forte dlgation

Des structures organisationnelles moins pyramidales

Outsourcing/Technologies dcentralises

Ncessitant un

changement des

pratiques

oprationnelles

Forces externes

de changement

Changement des

facteurs de risque

oprationnel

Des risques accrus

23

L'accroissement des risques oprationnels rsulte de ces changements

0

2000

4000

6000

8000

10000

12000

1 2

Changement

Niveau de risque

L'enjeu : identifier ces risques temps pour rester

dynamique et augmenter la rsistance de l'entreprise.

Des risques accrus

24

Un risque accru face des procdures

de contrle interne adaptes une priode rvolue

Forces internes Forces externes

Procdures de

conformit et

de contrle

Shareholder value and corporate governance

Changements

organisationnels

Gestion des

cots

Rorganisation

des processus

Concurrence

Globalisation

Nouvelles

technologies

25

Robert Maxwell

Fraudes

Comt dOrange

Pertes sur produits drivs

Metallgeselleschaf

Pertes sur

positions spculatives

Groupe Crdit Lyonnais

Pertes importantes

Showa Shell

Sekiyu

f/x trading non autoris

United Way

Pratiques de gestion

douteuses

BCCI

Fraudes

Daiwa

$1 milliard de perte sur

positions spculatives

Barings

Positions non autorises

General Motors

Ventes fictives

Besoin

dun

contrle

accr Sumitomo

Positions non autorises

Et quelques exemples de scandales

26

Risques

L'Entreprise

Objectifs

Contrles

Ncessit d'une nouvelle culture du contrle

27

Une structure intgre pour le contrle interne

Commission Treadway forme en 1985

Commission Treadway publie le rapport en

1987 - demande un tude pour dvelopper une

structure intgre pour le contrle interne

Coopers & Lybrand a t slectionne pour

mener ltude et rdiger le rapport

Rapport intitul Internal Control - Integrated

Framework est publi en septembre 1992

STRUCTURE INTEGREE

POUR LE CONTROLE INTERNE

Committee of Sponsoring

Organizations of the

Treadway Commission

Une perception plus tendue de la notion de contrle intgrant la gestion des risques

par rapport aux objectifs de lentreprise

28

Une structure intgre pour le contrle interne

Contenu du rapport COSO Executive summary (septembre 92)

Framework (septembre 92)

Reporting to external parties (septembre 92)

Addendum to reporting to external parties (Mai 94)

Evaluation tools (septembre 92)

Internal Control Issues in Derivatives Usage (1999)

29

Une nouvelle perception du contrle interne

Le Contrle Interne est un processus,

mis en uvre par le conseil dadministration,

la direction et les membres du personnel de

toute entit conomique ou administrative, en

vue de fournir des assurances raisonnables

sur les objectifs limits :

Lefficacit et lefficience des oprations;

La fiabilit des documents et des rapports

financiers;

La conformit aux lois et rglements

applicables

Committee of Sponsoring Organizations

(COSO) of the Treadway Commission - 1992

30

Le cube COSO

31

Interactions entre les diffrents lments constitutifs

32

Lenvironnement de contrle

Donne le ton de lorganisation

Intgrit

Valeurs thiques

Comptences

Transmet la philosophie de

gestion

Responsabilit et responsabilisation

Autorit

Politique et dveloppement des

ressources humaines

The control environment sets the tone of the organisation

and communicates management philosophy

33

Lvaluation des risques

Identification et analyse des

risques menaant la

ralisation des objectifs de

lorganisation

risques stratgiques

risques oprationnels

risques organisationnels et

lis aux ressources humaines

Gestion du changement

Risk assessment is the effective management of change by the

identification and analysis of relevant risks

34

Les activits de contrle

Procdures lies la mise en

oeuvre de la gestion

Approbation, autorisations Vrifications et contrles physiques

Programme de qualit

Sparation des fonctions

etc ...

Mcanismes de gestion visant

la ralisation des objectifs

Control activities are procedures to implement and manage

objectives

35

Linformation et la communication

Gestion de la communication au

sein de lorganisation

Information de gestion adquate

communique dans des dlais

appropris

Identification et utilisation des

informations externes ad hoc

Timely and accurate access to information and

communication is critical to the control process

36

La surveillance

Mcanismes afin de rapporter

les dficiences majeures

Evaluation des systmes de

contrle

Activits ponctuelles et

continues

Monitoring is a continual process to assess control systems

and activities

37

COSO : la rfrence en matire de contrle interne

Approches du contrle interne

Traditionnelle COSO

Juxtaposition des

activits Intgration des

objectifs

From

Pilotage

Information &

Communication

Activits de Contrle

Evaluation du risque

Environment de Contrle

38

Permettre, Pas empcher

Idalement, les contrles devraient ...

39

Les procdures de contrles ne doivent ...

Ni alourdir

Ni survoler

40

Equilibre

Contrle Interne Risque d'Activit

Mais doivent correspondre au niveau des risques...

41

Le contrle interne, c'est l'affaire de tous !

Aujourd'hui, les meilleures entreprises savent que ...

42

Pilotage

Environnement de contrle

Evaluation des risques

Audit Externe

Audit Interne

Activits de contrle

Information &

Communication

Problme :

Qui contrle l'espace en blanc ?

Traditionnellement ...

43

Pourquoi COSO est une structure intgre?

Traditionelle COSO

Responsibilit duController/Audit Interne

Le contrle est la tche dechacun

Mecanisme Le contrle est bas sur lesrisques

Laccent sur les systmescomptables

Laccent est mis sur tousles risques oprationnels

Les contrles sont ajouts aux systmes

Le contrle est incorpordans les procduresoprationnelles

44

Adoption de COSO

CoCo

COSO GARP

Cadbury

King Report

Pays qui ont traduit COSO dans leur langue nationale

entre autres : Chine, France, Italie, Japon, Norvge, Pologne et Espagne

45

Mise en oeuvre de COSO

46

Phase I : Evaluation de

l'Environnement

Phase IV : Evaluation intgre

et

Recommandations

Phase II : Diagnostic par

cycle

Phase III : Revue des

procdures

Comit de

Direction

Approbation et Revue par le Conseil

d'Administration et / ou la Direction

Mise en place et pilotage continu

L'valuation du contrle - Mthodologie

47

Envoie un message fort l'organisation Est ouvert au changement S'adapte tout au long du processus Dtermine les plans d'amlioration Conduit la mise en place

S'assure que l'approche est rigoureuse et

structure, tout en demeurant flexible

Comit de

Direction

Le Comit de Direction joue un rle dterminant

48

Ides

Causes

Chercher au-del

des symptmes :

trouver les

causes profondes

Recherche des causes ...

49

Les principales limites du contrle interne

1. Assurance raisonnable et non absolue

2. Le Contrle Interne prcise les objectifs lis la ralisation et loptimisation des oprations, mais ne peut pas garantir leur ralisation

3. Dcalage inluctable entre les recommandations et leur application

50

Souvent, la solution passe par un changement de comportement !

51

La notion de risque

52

Une nouvelle perception des risques

53

Evolution de la perception du risque par le Management

Niveau oprationnel.

Risk monitoring est dlgu aux auditeurs internes

Le risque est un facteur ngatif contrler

Le risque est gr dans des silos organisationnels

La responsabilit du management en matire de gestion des risques est dlgue au niveau

infrieur

La mesure du risque est subjective

Des fonctions de risk management non structures

Le job du CEOs Job (avec le contrle du Conseil dadministration)

Le risque est galement considr comme une opportunit

Le risque est gr de manire intgre et couvre toutes les activits de lentreprise

La fonction de risk management est accepte par le senior et le line

management

Quantification/mesure du risque

Le risk management est intgr dans tous les systmes de gestion de lentreprise

from BACK ROOM to BOARD ROOM

Impact de cette nouvelle perception

54

Dfinition

RISQUE:

Tout vnement pouvant affecter la ralisation des objectifs

55

Les problmes suivants attirent lattention sur l importance dun systme de Risk Management intgr :

Environnement trs rglement

Marges troites

Globalisation

Technologie en volution constante

RISK MANAGEMENT

Diffrentiation comptitive

Complexit des marchs et des investissements

Convergence et Consolidation

Disponibilit de ressources qualifies

Les facteurs de risque

56

Danger Survenance dun danger non matris

Incertitude Ne pas rencontrer les attentes

Opportunit Matrise du risque

Elments constitutifs

57

Gestion de crise et compliance

Prserver la continuit des activits

Amlioration de la Shareholder value

Danger

Incertitude

Opportunit

Le continuum du risque

58

Crises management

and compliance

Business continuity

protection

Shareholder value

enhancement

Improved returns through

value-based management

Enhancing capital allocation

Protecting corporate reputation

Achieving global best practices

Understanding & evaluating business strategy risks

Understanding full range of risks facing business today

Avoiding personal liability failure (the personal fear factor)

Compliance with corporate governance standards (fiduciary responsibility)

Other company crises

Own company crises

Hazard

Uncertainty

Opportunity

Independent market survey findings 1997 - Diefenbach Elkins Survey Results

The Market Study - The Market Continuum

59

Danger

Incertitude

Opportunit

Compliance

et prvention

Performance

oprationnelle

Initiatives

stratgiques

Le continuum du risque

60

6

Une approche intgre de la gestion du risque

61

Objectifs

Return on Investment

Satisfaction des clients

Emploi

Amlioration de la Shareholder value

World class products

Environnement

Compliance

Preferred employer

Ethique

62

Risques

63

Les risques bancaires gnraux

Crdit Intrt Liquidit Devises March Oprationnel Settlement Juridique

64

Risque de crdit

Nombre de dbiteurs

Concentration

Gographique

Sectorielle

Culture prudente et conservatrice

Plafonds et limites

Procdure svre dapprobation

Suivi permanent des engagements

Partage des risques

Assurance crdit

FACTEURS DE PONDRATION

+

-

RISQUE DE DFAUT DE LA CONTREPARTIE

65

Risque dintrt

Volatilit des taux

Dysharmonie des positions

Limite des positions

Contrle permanent des positions

Couvertures systmatiques

A.L.M. performant

FACTEURS DE PONDRATION

+

-

RISQUE PROVOQUE PAR DES CHANGEMENTS

DE TAUX

66

Risque de liquidit

Crise des marchs montaires

Perte de confiance dans la banque

Concentration

des dpts

des emprunts

Financements L.T. placs C.T.

Disponibilit des fonds externes

Volume lev dactifs liquides

Rgime de protection des pargnants

A.L.M. performant

FACTEURS DE PONDRATION

+

-

RISQUE DINSUFFISANCE DE DISPONIBILITES

67

Risque de devises

Volatilit des taux

Dsquilibre des positions

Limites des positions

Contrle svre des positions

Techniques de couvertures

FACTEURS DE PONDRATION

+

-

RISQUE PROVOQUE PAR UN DESEQUILIBRE

DES TAUX DE CHANGE

68

Risque de march

politique agressive dinvestissements

Volatilit des marchs financiers

Accroissement du trading

Liquidit des march

Limites des volumes daction

Politique dinvestissement conservatrice

FACTEURS DE PONDRATION

+

-

RISQUE DAPPAUVRISSEMENTS DES ACTIFS FINANCIERS

69

Risque oprationnel

Nature des oprations

Volume des oprations

Qualit du management

Qualit du personnel

Qualit des systmes

Libert daction des dpartements

Outil de contrle Internes

Externes

FACTEURS DINFLUENCE

RISQUE DE PERTE, DERREUR OU DOMISSION INTERNE

70

Risque de settlement

Qualit des correspondants

Fixation de limites par contrepartie

Suivi rapide du Back Office

...

FACTEURS DINFLUENCE

RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE

71

Risque juridique

Complexit des contrats

Changement et inflation rglementaire

Soft law

Mise en oeuvre dun Legal Audit

...

FACTEURS DINFLUENCE

RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS

RISQUE DINFRACTION PAR RAPPORT A LENVIRONNEMENT LEGAL ET STATUTAIRE

72

Risque oprationnel

Exemples Dfaillance des systmes informatiques

Interruptions des activits

Accs et utilisations de donnes confidentielles

Manque de comptitivit suite une mauvaise gestion dactivits non core business

Gestion des prestataires de services

Canaux de distribution inefficaces

Mthodes de quantification des risques oprationnels OpVar (operational value at risk)

73

Gestion des risques oprationnels

Indicateurs dune mauvaise gestion des risques oprationnels

Pertes

Amendes et pnalits

Litiges

Suspens/rejets

Plaintes des clients

Constatations de laudit et des autorits de contrle

Fraudes

Dfaillances des systmes dinformation

Back Office Overtime

Rotation du personnel

76

Contrles - Cadre de rfrence COSO

Cadre de corporate governance reconnu par le monde financier

77

Exemples

Systme de mesure de risque

dpass

Systme dinformation inadquat

Elments de rconciliation

Mauvaise diversification du risque de crdit

Non respect du prescrit rglementaire et prudentiel

Dcisions imprudentes en matire doctroi de crdit et dinvestissement

Mauvaises notations par les agences de rating

Cots de financement excessifs

Allocation of capital mauvaise ou inadquate

Volatilit du rendement et du cours de laction

Contrles confins en silo

Fonction daudit interne dpasse/inefficace

Fraude et blanchiment dargent

Mauvais pricing des produits du fait dune non prise en compte de certains

risques

78

Evaluation COSO

1

2

3

4

5Integrity and Ethical values

Commitment to competence

Board of director or Audit Committee

Management philisophy and operating style

Organisational structure

Assignment of authority and responsibility

Human resource policies and practices

Entity-wide objectives

Activity level objectives

Risks

Managing change

Existence of policies and procedures

Application of controls in place

Information

Communication

Ongoing monitoring

Separate evaluations

Reporting deficiencies

COSO '97 COSO '99

Control environment

Risk assessment

Control activities

Information and communication

Monitoring

80

Alignement

81

Options possibles .

Options

Re-engineering des processus

Outsourcing des fonctions - Shared Services

Transfer Risk (Assurance)

Amliorer les contrles

82

Relations entre COSO et

lapproche daudit

83

Une approche daudit intgre

84

Une approche intgre de la gestion du risque

85

Approche daudit

Objectifs

Evaluation des

risques

Analyse des

contrles

Plan

dAction

86

Approche daudit

Objectifs

organisationnels

Evaluer les

risques

Dterminer les

contrles ncessaires

Stratgie daudit

Plan d audit

Plan

Annuel

Plan

Pluriannuel

87

Audit Interne : Application de la squence COSO

Dterminer

les objectifs

organisationnels

Evaluer

les risques

Dterminer

les contrles

ncessaires

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

Nouvelle mthodologie : Risk Based Auditing

Stratgie d audit:

88

Nouvelles mthodologies : Risk Based Auditing

Establish

Organisational

Objectives

Assess

Risk

Manage

Risk

What are the steps in

the business process?

What are the risks? How are risk managed?

What is the logical

sequence of steps the

auditable unit must take

to reach its objectives or

purposes? Practically

speaking, these steps are

usually combined or

grouped so that the total

does not exceed 12-15

steps.

What is the essential

elements of risk in each

step of business process?

Errors, omissions, delays,

and fraud are the most

common types or risks.

What techniques mitigate

the risks identified in

column B? It is sound

practice not only to

identify how the risks are

managed, but also to

document the evidence

for those actions, so that

an audit programme can

be derived quickly and

accurately

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

89

Les risques de contrle

Dangers des systmes

dinsuffisance

de faiblesses

de

Dtection Prvention

des

Erreurs ou fraudes

Fonction de la qualit des contrles de gestion internes externes etc.

90

Les risques de contrle

Risques derreurs, d'irrgularits

Systmes de prvention, dtection

(contrle interne)

Audit interne

Erreurs, irrgularits subsistantes

91

Incidence du contrle interne sur la stratgie daudit

La perception des risques et lapproche daudit

AR = IR * CR * DR

AR = audit risk

IR = inherent risk

CR = control risk

DR = detection risk

Impact

Opinion incorrecte (Mauvaise valuation des risques)

Approche inadapte (trop de tests substantifs par rapport aux risques en

prsence)

92

Approche daudit

Understand and assess control environment

Understand and update our information about the systems and the computer environment

Plan to rely on controls

and limit substantive tests?

Design substantive

tests to obtain high

assurance

Select and test monitoring controls to confirm

assessment

Design substantive tests - analytics and

moderate to low levels of substantive tests

Select and test key monitoring, application and

general computer controls to confirm assessment

Design substantive tests - mainly analytics

and tests for audit objectives not covered by

controls testing

Document and assess

application and general computer controls

No controls

reliance

YES

NO

High controls reliance Some

Controls

reliance

No tests

of controls

Document and assess

monitoring controls

93

Bnfices

Test les contrles cls

Diminue la charge de tests substantifs

Facilite lintervention (interim vs. final)

Travail plus enrichissant pour lquipe daudit

94

Classify by Risk Type

Identify Key Controls

Core Business Processes

Develop Internal

Audit Plan

Key Business Objectives

Strategic

Systems

Operational

Financial

Compliance

High

Moderate

High

High

Low

High

Low

Moderate

High

Low

Moderate

Low

Elments importants de la mthodologie Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit

Lvolution du mtier daudit interne

95

Organisation dune banque

96

Division dune banque

Exemples de subdivisions Par fonctions

Par mtiers

Par centres de profits

Par zones gographiques

Par produits

Par domaines dactivits

...

97

Division dune banque par fonctions

Exemples Tlcommunication

Rconciliation

Guichet / agences

A.L.M.

Analyse financire

Conservation des actifs

ressources humaines

Agents dlgus

...

98

Division dune banque par mtiers

Exemples Gestion du patrimoine

Corporate banking

Private banking

Mergers and acquisitions

Crdits

Trsorerie

...

99

Division dune banque par centres de profits

Exemples Trsorerie court terme

Trsorerie long terme

Change

Oprations particuliers

...

100

Division dune banque par rgions

Exemples Nord-ouest

Nord-est

Centre

Sud-ouest

Sud-est

International

...

101

Division dune banque par produits

Exemples Bons de caisse

Prts hypothcaires

Crdit dinvestissement

Livret d'pargne

CREDOC

OLO

Financial futures

...

102

Division dune banque sur base du bilan

Emplois

Ressources

Fiducie

Crdits

Val. mob.

Investissem.

Dpts

Emprunts

Gestion

Conservation

Corporate

Institut.

Consomma.

Actions

Effets

Obligations

Interbanc.

Corporate

Institut.

Interbanc.

Emissions

Discrtionn.

Assiste

Coffres

Correspond.

103

Division dune banque par domaines dactivits

RISQUES CREDIT

Trsorerie

Autres activits

Trading et investissement

Trade finance

Prts et engagements

Transfert de fonds

COMPENSATION

Dpts Activits fiduciaires

104

Division dune banque par domaines dactivits

Risques crdit Par contreparties

Secteur public

Grandes entreprises

P.M.E.

Particuliers

...

Par fonctions

Evaluation contreparties / garanties

Octroi - autorisation

Respect des lignes / limites

Consommation en fonds propres

...

105

Division dune banque par domaines dactivits

Dpts Par produits

Dpts vue

Dpts terme

Livrets d'pargne

Bons de caisse

...

Par fonctions

Ouverture de comptes

Gestion des dpts et retraits

Clture des comptes

Gestion des postes restantes

...

106

Division dune banque par domaines dactivits

Prts et engagements Par produits

Crdits hypothcaires

Prts personnels

Crdits dinvestissements

Financements et exploitation

...

Par fonctions

Octroi et approbation

Transferts de fonds

Gestion des en cours

Rmunration (intrts et commissions)

...

107

Division dune banque par domaines dactivits

Trade finance Par produits

Lettres de crdits

Forfaiting

Escomptes

Performance bonds

...

Par fonctions

Refinancements - mobilisation

Assurance (OND)

Octroi et documentations

Suivi des sinistres

...

108

Division dune banque par domaines dactivits

Autres activits

Par services

Conseil en financements

Assurances

Placements privs

Mergers / acquisitions

Immobilier

Emissions

...

Par fonctions

Etablissement : revue des contrats

Fixation des commissions

Documentation / analyse

...

109

Division dune banque par domaines dactivits

Trsorerie Par produits

Placements interbancaires

Repos

Certificats de dpts

Certificats de trsorerie

...

Par fonctions

A.L.M.

Etablissements : enregistrements des deals

Confirmations

Contrle des positions / limites

...

110

Division dune banque par domaines dactivits

Trading et investissements

Par produits

Change spot

Change terme

Swaps et drivs

Options et drivs

Obligations et actions

...

Par fonctions

Enregistrement / confirmation

Reporting / suivi des positions

Respects des limites / lignes

Instructions rglements

Evaluation / rsultats

...

111

Division dune banque par domaines dactivits

Activits fiduciaires Par services

Gestion de fortune

Discrtionnaire

Assiste

Conservation dactifs

Corporate actions

...

Par fonctions

Procdures dacceptation

Communication clientle

Sauvegarde des actifs

...

112

Division dune banque par domaines dactivits

Compensation

Par produits

Par domaines

Comptes Nostro - suivi des rconciliations

Comptes avec banques centrales

En cours de recouvrements

Conformit aux instructions internes / externes

...

113

La stratgie daudit

et sa ralisation

114

Stratgie daudit interne

Le but de la stratgie daudit interne focaliser les ressources disponibles sur les composants

prsentant les risques les plus levs

Outils permettant de mesurer / quantifier les risques

115

Audit Interne : Application de la squence COSO

Dterminer

les objectifs

organisationnels

Evaluer

les risques

Dterminer

les contrles

ncessaires

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

Nouvelle mthodologie : Risk Based Auditing

116

Classify by Risk Type

Identify Key Controls

Core Business Processes

Develop Internal

Audit Plan

Key Business Objectives

Strategic

Systems

Operational

Financial

Compliance

High

Moderate

High

High

Low

High

Low

Moderate

High

Low

Moderate

Low

Key Components Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit

Lvolution du mtier daudit interne

117

Identification des objectifs par processus

118

Identification des risques

119

Identification des contrles

120

Evaluation des risques et des contrles

121

Identifier et valuer les contrles - cls : exemples

Sparation des fonctions

Comptence du personnel

Autorisation et supervision

Restriction d'accs

122

Identification des gaps

123

Approche daudit

Understand and assess control environment

Understand and update our information about the systems and the computer environment

Plan to rely on controls

and limit substantive tests?

Design substantive

tests to obtain high

assurance

Select and test monitoring controls to confirm

assessment

Design substantive tests - analytics and

moderate to low levels of substantive tests

Select and test key monitoring, application and

general computer controls to confirm assessment

Design substantive tests - mainly analytics

and tests for audit objectives not covered by

controls testing

Document and assess

application and general computer controls

No controls

reliance

YES

NO

High controls reliance Some

Controls

reliance

No tests

of controls

Document and assess

monitoring controls

124

Bnfices

Test les contrles cls

Diminue la charge de tests substantifs

Facilite lintervention (interim vs. final)

Travail plus enrichissant pour lquipe daudit

125

Documenter les contrles/ procdures daudit

Objectif du contrle/ de la procdure daudit appliqu Documents de base Echantillon Travail effectu Constatations Conclusions

126

Documenter les contrles/ procdures daudit

Tenue des documents daudit identification du composant audit

titre du document daudit

rfrence la page de garde

date

rfrence au programme daudit

cross rfrences

identification de lauditeur

Evidence dune revue du travail effectu Rgles en matire de conservation et archivage des

dossiers

127

Les constatations et conclusions

Types de constatations possibles incidents isols

absences / dficiences de contrle interne

erreurs (non volontaires)

irrgularits ( caractre volontaire ou accept)

les fraudes

Lauditeur doit conclure, si sur base des constatations, il est en mesure daffirmer que lobjectif daudit a t rempli

128

Dfinition dun plan dactions

129

Dterminer un plan daudit pluriannuel

Le plan stratgique doit contenir les informations suivantes :

responsabilits et champ dintervention de laudit interne

budget des ressources par rapport aux composants

les priorits daudit

dtails des revues spcifiques et de leur sponsor spcifique

information quant la collaboration avec lauditeur externe

la nature et la frquence du reporting au comit daudit et la direction

Le plan stratgique doit tre formellement approuv par lautorit laquelle lAudit Interne rapporte fonctionnellement

130

Plan Pluriannuel

PRIORITE OU RISQUE PERIODICITE DES MISSIONS

ELEVE

MODERE

FAIBLE

INSIGNIFIANT

2 x/ an

1 x/ an

1 x/ an

1 x/ 3 ans

BUT

EFFICIENCE

RESSOURCES NECESSAIRES

MOYEN

CONSERVER RESERVE ANNUELLE POUR

MISSIONS AD HOC

131

Reporting au Management

132

Exemple doutil de travail : DB Notes

133

Dcomposition du travail faire en Area/Task/Step

134

Documentation du travail : WP, Issues, Coaching Notes

135

Evaluation de ltat davancement du travail et de la revue

136

Liste des problmes soulevs et recommandations faites

137

Gestion des points en suspens et des commentaires de revue

138

Project management : attribution de tches, de timing, de cots

139

Gestion du temps et/ou du budget

140

Reporting et suivi

Rapport daudit

Rapports rsums aux organes

de surveillance et de direction

(Comit daudit, Direction gnrale)

Rapport annuel dactivit

Suivi des rapports

141

Rapport daudit - les constatations

Traitement de leurs consquences

Erreurs

constates Faiblesses

constates

Extension

des travaux

Erreurs

isoles

Erreurs

systmatiques

Douteuses? Caractre douteux?

Non Oui Non

Mention Comit de

Direction

Recommandation

et suivi

142

Rapport daudit

Pas de format idal Contenu

executive summary

dcrire les objectifs et le travail accompli

les constatations doivent tre tayes

les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci

les commentaires des responsables des services audits doivent tre inclus dans le rapport final

143

Rapports rsums aux organes

de surveillance et de direction

Pas de format idal Contenu

aperu du travail effectu

les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci

les responsables pour lapplication des recommandations

un calendrier de mise en oeuvre

144

Rapport annuel dactivit

Pas de format idal Contenu

Revue du travail accompli

Les grands risques identifis

Un rsum des principales recommandations

Une valuation gnrale de la qualit du contrle interne

145

Suivi des rapports

En cas de dficiences importantes constates lors de contrles antrieurs, un suivi est ncessaire

Les rapports de suivi doivent comprendre les points soulevs lors du prcdent audit

les mesures prises par le management

ladquation des mesures prises

Pour les dficiences lgres, il y a lieu dassurer un suivi loccasion du prochain audit

Mise en place dune base de donnes des constatations et du suivi effectu

146

COBIT - Un cadre de rfrence intgr

pour valuer les systmes dinformation

147

COBIT - Un cadre de rfrence intgr

pour valuer les systmes dinformation

Control Objectives for Information and Related Technology

148

Centralised

IT Control

End-user

empowerment

IT role as enabler

ITs future an organisational shift

The future will require a dramatic rethinking of how IS organisations are run, how they are measured and controlled, and their relationship and involvement with the "business"

By 2001, 70 % of enterprises will have adapted their IT organisational structure into a "federated business of IT Model" (Gartner)

149

IT has been the longest running disappointment in business

in the last 30 Years! Jack Welch, CEO

GE, 1997

Personal & visual

contact

Complexity &

Growth

Technology can help fulfil a visionary dream, but often its

use is closer to a sobering nightmare! Vesa Vaino, CEO

Merita, 1998

Ten years ago we were afraid of rockets destroying

computing centres. right now, we should be aware of

software errors destroying rockets

Managements major control concern for IT

150

Typical five problems listed by senior executives*

IT investments are unrelated to business strategy

Payoff from IT investments is inadeqate

Theres too much (e)technology for technologysake

Relations between IT users and IT specialists is poor

System designers do not consider userspreferences and work habits

* Harvard Business Review

151

Networks

Operating System

DBMS

Applications

Diffrents niveaux de contrles

152

CobiT: Champ d intervention et objectifs

Dfinition des standards gnralement appliqus et accepts en matire de contrles des systmes informatiques

Approche convenant tant aux contrles des applications quaux systmes dinformation dans leur ensemble

Standards tablis sur cadre de rfrence dun modle de contrle de la fonction IT

Approche oriente vers le Management

153

CobiT Principles

IT

R

E

S

O

U

R

C

E

S Data

Applications

Technology

Facilities

People

Effectiveness

Efficiency

Confidentiality

Integrity

Availibility

Compliance

Reliability

I

N

F

O

R

M

A

T I

O

N

B

U

S

I

N

E

S

S

What you get

What you need

Monitoring

Planning & Organisation

Acquisition & Implementation

Delivery & Support

154

Business requirements=Information criteria

effectiveness - deals with information being relevant and pertinent to the business process as well as

being delivered in a timely, correct, consistent and usable manner.

efficiency - concerns the provision of information through the optimal (most productive and economical)

usage of resources.

confidentiality - concerns protection of sensitive information from unauthorized disclosure.

integrity - relates to the accuracy and completeness of information as well as to its validity in accordance

with the business' set of values and expectations.

availability - relates to information being available when required by the business process, and hence

also concerns the safeguarding of resources.

compliance - deals with complying with those laws, regulations and contractual arrangements to which

the business process is subject; i.e., externally imposed business criteria.

reliability of information - relates to systems providing management with appropriate information

for it to use in operating the entity, in providing financial reporting to users of the financial information, and

in providing information to report to regulatory bodies with regard to compliance with laws and regulations.

155

Information Technology resources

Data : Data objects in their widest sense, i.e., external and internal, structured

and non-structured, graphics, sound, etc.

Application Systems: Application systems is understood to be the sum of

manual and programmed procedures.

Technology: Technology covers hardware, operating systems, database

management systems, networking, multimedia, etc.

Facilities: Resources to house and support information systems.

People: Staff skills, awareness and productivity to plan, organise,acquire,

deliver, support and monitor information systems and services.

156

IT Processes

Natural grouping of processes,

often matching an organisational

domain of responsibility.

A series of joined activities with

natural (control) breaks.

Actions needed to achieve a

measurable result. Activities have

a life-cycle whereas tasks are

discrete.

Domains

Processes

Acivities

PO1 define a strategic IT plan

PO2 define the information architecture

PO3 determine technological direction

PO4 define the IT organisation and relationships

PO5 manage the investment in IT

PO6 communicate management aims and direction

PO7 manage human resources

PO8 ensure compliance with external requirements

PO9 assess risks

PO10 manage projects

PO11 manage quality

Planning & Organisation

157

CobiT Summary Table

158

CobiT Product Family

Implementation

Tool Set

EXECUTIVE SUMMARY

Framework with High-Level Control Objectives

Management Guidelines

Audit Guidelines

Detailed Control

Objectives

Key Performance and Goal Indicators Critical Succes Factors

Maturity Model

159

CobiT product definition

Executive Summary There is a Method ...

Framework The Method is ...

Control Objectives The desired results or purposes to be achieved by ...

Audit Guidelines Suggested Audit steps corresponding ...

Implementation Tool Set How to implement

Management Guidelines How to measure...

160

effe

ctiv

enes

sef

ficie

ncy

conf

iden

tiality

inte

grity

avai

labi

lity

com

plia

nce

relia

bility

peop

leap

plicat

ions

tech

nolo

gy

facilitie

sda

ta

Planning &

Organisation

Acquisiton &

Implementation

Delivery &

Support

Monitoring

IT Processes

Business

Requirements

Control

Statements

Control

Practices

The control of

which satisfy

is enabled by

and considers

P SPP P

CobiTs Waterfall and Navigation Aids

161

Control over the IT process of managing changes that satisfies the business requirement to minimise the likehood of disruption, unauthorised alternations, and errors is enabled by a management system which provides for the analysis, implementation and follow-up of all changes requested and made to the existing IT infrastructure and takes into consideration - identification of changes - categorisation, prioritisation and emergency procedures - Impact assessment - change authorisation - release management - software distribution

Example: IT Process Manage Changes

Key Goal Indicators

Reduced number# of errors introduced into systems due to changes

Reduced number# of disruptions (loss of availability) caused by poorly

managed change

Reduced impact of disruptions caused by change

Reduced level of resources and time required as a ratio to number# of changes

Number# of emergency fixes/time

.

Key Performance Indicators

Number# of different versions installed at the same time

Number# of software release/and distribution methods per platform

Number# of deviations from the standard configuration

Number# of emergency fixes for which the normal change management

process was not applied retro-actively

Ttime lage between availability of fix and implementation of it. .

ratio of accepted vs refused change implementation requests.

Critical Success Factors

Expedient and comprehensive acceptance test procedures are appliedprior to making the change.

There is a reliable hardware and software inventory.

There is segregation of duties between production and development

.

162

Le Comit d audit

163

Le comit daudit : une rgle fondamentale

du corporate governance

Le corporate governance comprend deux piliers importants :

Responsabilit : Rendre des comptes aux actionnaires et autres

intervenants

Communication : Comment lentreprise se prsente aux marchs

financiers et la communaut en gnral

Les comits daudit jouent un rle important dans ces deux processus

Il sagit dun organe de supervision assurant :

un contrle oprationnel du management

un contrle sur la fiabilit de linformation financire communique au

march

164

Limportance du comit daudit

Limportance des comits daudit composs majoritairement dadministrateurs indpendants est reconnue tant par les organes rglementaires (Commission europenne, SEC) que par les marchs

La plupart des codes de corporate governance contiennent des recommandations en la matire (adoption sur base volontaire)

Une enqute pan-Europenne mene par PwC en 1997(1) a rvl que mme en labsence de rgle contraignante

le taux dadoption tait relativement lev (plus de 60% des entreprises

interroges avaient mis en place un comit daudit)

Les pays o la pratique est la plus leve : Royaume-Uni, France et Suisse

(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997

165

Lmergence de pratiques de rfrence internationales

Influence du Rapport Cadbury (remplac par le Combined Code ) sur les autres codes de corporate governance

Prises de position par des instances internationales

Commission europenne - Financial Services Policy Group [FSPG] DG

XV - "The Commission will continue to work alongside public and

private bodies to improve the framework for corporate governance."

OCDE - Global Governance Principles

Banque Mondiale et OCDE - Global Corporate Governance Forum

Groupes de pression

CalPERS (The California Public Retirement System)

Global Principles for Corporate Governance

Corporate Governance Market Principles, France, Allemagne,

Royaume-Uni et Japon

166

Une constante volution du rle du comit d audit

Rle traditionnel limit :

La revue des tats financiers

Supervision des relations avec les auditeurs internes et externes

Lexamen des recommandations relatives au contrle interne

Nouveaux challenges

La globalisation des marchs

Technologie

Complexit des transactions

Difficults conomiques

Risk management

Emergence de lthique

167

Une constante volution du rle du comit daudit

La globalisation des marchs qui a engendr une comptition accrue

Les dveloppements technologiques (internet et autres) et leurs influences sur la communication de linformation

La complexit des transactions et le fait que dans certains pays, les entreprises peuvent choisir parmi diffrents rfrentiels comptables (national, US ou IAS)

Les difficults conomiques qui ont rcemment affect lextrme orient, la Russie, lAmrique latine

La mise en place de systme de contrle interne intgr (COSO, Turnbull, KonTraG) et la supervision des risques oprationnels

Lmergence du corporate citizenship et ladoption de rgles thiques propres lentreprise (linfluence prpondrante du risque de rputation)

168

Une constante volution du rle du comit daudit

Fin 1998, Arthur Levitt, le Prsident de la SEC lana un appel solennel pour le renforcement du contrle de l information financire par les conseils d administration

La constitution du Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees (cfr. section spcifique en fin dexpos)

169

La mise en place dun comit daudit

Un principe fondamental

Lindpendance des administrateurs composant le comit daudit

Les tapes accomplir pour mettre en place un comit daudit efficace

Rdiger une charte du comit daudit

Nommer des membres qualifis

Lindpendance et lobjectivit des membres

La dure du mandat

La frquence des runions du comit

Allouer des ressources suffisantes

Formation des membres

170

Rdiger une charte du comit daudit

Importance d une charte crite (termes de rfrence) qui prcise de manire claire le rle du comit

Cadre de rfrence tant pour le comit, ses membres, le conseil

dadministration, la direction, les auditeurs internes et les reviseurs

Quid de la communication de la charte aux actionnaires? (inclure celle-ci

dans le rapport annuel)

La charte doit tre revue et approuve par le conseil dadministration. Elle doit permettre au comit de travailler de manire efficace

Elle doit tre utilise bon escient - exemples:

Servir de base pour tablir lagenda des runions du comit

Etre revue annuellement afin de sassurer que les objectifs sont atteints

Servir de cadre de rfrence pour les rapports aux conseil dadministration

171

Contenu de la charte

Les objectifs

Les pouvoirs du comit daudit

L organisation (la composition du comit, la frquence et la dure des runions)

Les rles et responsabilits en ce compris les qualifications requises et la dure du mandat de ses membres

Contrle interne

Reporting financier

Respect des lois et rglementations

Respect du code de bonne conduite

Les relations avec la direction, les auditeurs internes et les reviseurs

Les responsabilits en matire de rapport

Autres responsabilits ventuelles

172

Nommer des membres qualifis

Qualits requises

Intgrit

Disponibilit (en temps et nergie)

Comprhension de lactivit de lentreprise, de ses produits et services

Connaissance des risques inhrents et des contrles mis en oeuvre

Esprit inquisiteur et capacit de jugement indpendant

Capacit de proposer des perspectives nouvelles et des suggestions

constructives

Connaissances comptables et financires

173

Nommer des membres qualifis

Engagement et disponibilit

Comprendre les activits de lentreprise

Prparation et prsence aux runions

Runions informelles

Considrer le nombre de mandats des candidats potentiels

Taille du comit d audit

Suffisamment grand pour prsenter une vue quilibre

Suffisamment petit pour oprer de manire efficace

Gnralement entre 3 et 6 membres

Une enqute pan-Europenne mene par PwC en 1997 a rvl que plus

de 70% des comits daudit taient composs de 3 4 membres (1)

(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997

174

Lindpendance et lobjectivit des membres

Des administrateurs indpendants

Du fait de son rle de supervision, lindpendance du comit daudit est

primordiale

Un comit uniquement compos d administrateurs indpendants est la

solution optimale

Indpendance?

Emploi ou ayant t employ au sein de l entreprise (au cours des 5

dernires annes)

Obtention dune rmunration / compensation de lentreprise ou dune

de ses filiales

Parent dun membre de la direction

Actionnaire principal ou tre le reprsentant de celui-ci

Administrateur dun actionnaire, dun client ou dun fournisseur

importants

175

La dure du mandat

En gnral : un terme 1 3 ans renouvelable 1 seule fois

Des termes plus longs ne sont pas incompatibles

Juste quilibre entre la continuit et la fracheur

Eviter que tous les mandats soient renouvels en mme temps

Utilit dun programme dvaluation de la performance des membres du comit daudit

176

La frquence des runions du comit

Dpend des objectifs et du champ dintervention du comit Les runions doivent tre rgulires et planifies (convocations, agenda, listes des participants, )

En moyenne, 3-4 runions par an

Un minimum de 3 runions correspondant aux phases du cycle de l laboration des tats financiers

Une runion avant la communication des rsultats intermdiaires

Une runion durant lexercice afin de discuter des programmes daudit

interne et externe, les questions de contrle interne afin didentifier les

ventuels problmes/domaines risques lis llaboration des tats

financiers en fin d exercice

Une runion avant lannonce des rsultats financiers (avec la mise

disposition des informations suivantes : annonce prliminaire, projet des

tats financiers, projet de rapport de gestion, commentaires sur la

performance financire et oprationnelle, constatations daudit)

177

Les principales responsabilits du Comit daudit

Le comit daudit exerce, pour le compte du conseil dadministration, la supervision des domaines et activits suivants :

Le contrle interne et du systme de risk management

Le reporting financier et le processus sous-jacent son laboration

Le processus mis en oeuvre pour assurer le respect des rglements

Le processus de suivi du respect du code de bonne conduite en vigueur au

sein de lentreprise

178

Le contrle interne

Lvaluation de la culture de contrle

Le conseil dadministration est responsable quant la mise en oeuvre dun

environnement de contrle interne adquat

Toutefois le comit daudit peut contribuer efficacement au renforcement

de la culture de contrle au sein de lentreprise. Il peut galement valuer

si le management communique de manire adquate limportance dun

bon systme de contrle interne ( tone at the top )

Le suivi de la mise en oeuvre des systmes de contrle interne

Le comit daudit sassurera que les actions prises par le management

garantissent la mise en oeuvre dun systme de contrle adquat

Les recommandations de laudit sont-elles mises en oeuvre?

Le comit daudit doit sassurer que les recommandations de laudit

(interne et externe) en la matire ont t correctement mises en place

179

Linformation financire

Les comptes annuels - un aspect primordial

Revoir le processus dlaboration des tats financiers (gestion des risques,

adquation des systmes comptables, mise en oeuvre des

recommandations de l audit en la matire, gestion du going concern )

Revoir les questions importantes de comptabilit et de reporting financier,

en ce compris les modifications de la rglementation en vigueur et

limpact de celles-ci sur les tats financiers

Le comit daudit doit revoir les tats financiers annuels et sassurer que

ceux-ci sont complets et consistants avec linformation dont disposent ses

membres. Il doit galement sassurer que les principes comptables ont t

respects

Revoir toutes les autres sections du rapport annuel et sassurer que les

commentaires sont consistants avec linformation dont disposent les

membres du comit daudit

Discuter les rsultats et constatations de l audit externe

180

Linformation financire

La revue de tout autre information financire sujette communication

De plus en plus, les comits daudit doivent revoir toutes les informations

financires publies par lentreprise :

annonces prliminaires

rsultats intermdiaires

briefings pour les analystes financiers

Le comit daudit doit comprendre

Comment la direction dveloppe cette information et limplication

ventuelle des auditeurs dans lexamen dune telle information

Obtenir de la direction et des auditeurs des explications quant au respect

des principes comptables et sassurer que linformation communique

rpond aux exigences en la matire

181

Les questions rglementaires, fiscales et juridiques

La revue de la fonction compliance

Le respect de la rglementation est devenu de plus en plus important

(particulirement dans les secteurs financiers)

Le comit daudit doit comprendre comment lentreprise sassure du

respect de ces rglementations :

Feedback du compliance officer

Briefing de la part du management

Avis des conseillers juridiques et fiscaux

Revue des rapports des autorits de contrle (CBF, OCA, )

La prvention des fraudes et des actes de corruption

182

Ethique et code de bonne conduite

Existence dun code de bonne conduite formalis

Corporate citizenship

Les socits dveloppent et mettent en oeuvre des codes de bonne

conduite. Le comit daudit devra valuer les mesures adoptes par le

conseil et la direction en la matire

Le comit daudit peut tre appel revoir la manire dont le code est mis

en oeuvre par la direction ( tone at the top )

Les procdures de suivi et de respect du code

Le comit daudit peut tre appel examiner les procdures mises en

place pour sassurer du respect du code de bonne conduite.

Le risque de rputation est-il correctement mesur?

Le comit daudit peut tre appel revoir les procdures mise en oeuvre

pour sauvegarder la rputation de lentreprise (cfr. Disney, Nike, Shell,

TotalFina)

183

Collaboration avec les auditeurs internes

Les responsabilits du comit daudit en la matire :

Revoir les activits et la structure organisationnelle de la fonction daudit

interne

Evaluer la qualification de la fonction daudit interne

Sassurer de lefficacit de laudit interne

184

Revues des activits et de la structure

organisationnelle de laudit interne

Le comit daudit doit runir les informations suivantes :

Revue de la charte daudit interne

Revue du programme daudit qui doit comprendre une valuation du profil

de risques de lentreprise

Les rapports d activits de laudit interne

Liste des projets et missions accomplies

Listes des projets en cours

Les principales constatations et recommandations

Une description du systme de suivi permettant de sassurer que les

recommandations sont mises en oeuvre par le management

Les informations relatives aux ressources actuelles du dpartement

Les plans de recrutement

185

Qualification de la fonction daudit interne

Le comit daudit doit sassurer des qualifications et des capacits des membres de laudit interne. Le comit d audit peut contribuer amliorer la qualit de laudit interne en dterminant si les auditeurs internes :

Ont ralis les objectifs qui leur taient assigns

Sont adquatement forms

Sont capables de matriser les systmes dinformation

Ont les qualifications professionnelles requises

Le comit daudit doit pouvoir valuer ladquation de la taille du dpartement daudit interne par rapport aux activits de lentreprise

Le comit daudit doit tre consult voire donner son approbation quant a lengagement, au remplacement ou la dmission du responsable du dpartement daudit interne

186

Efficacit de laudit interne

Le comit daudit doit sassurer que lentreprise utilise au mieux les ressources de laudit interne et lui fournit galement le support ncessaire laccomplissement de sa mission

Il devra s assurer que:

Le mandat de laudit interne est adquat

Laudit interne a une bonne matrise et comprhension des processus

oprationnels et des systmes dinformation

Laudit interne dispose des ressources suffisantes tant humaines que

financires

Le programme daudit est tabli dune manire adquate

Les domaines prsentant les risques les plus importants sont couvertes par

les investigations de laudit interne

Lentreprise met en oeuvre les recommandations de l audit interne

La collaboration avec les reviseurs est efficace

187

Efficacit de laudit interne (suite)

Le comit daudit devra galement considrer si la fonction pourrait tre mieux assure si certaines activits taient sous-traites (exemple : outsourcing de laudit informatique)

Il procdera ventuellement au benchmarking de la fonction daudit interne par rapport aux pratiques de rfrence

Revue indpendante des activits de laudit interne

188

Collaboration avec les reviseurs

Principales responsabilits du comit daudit

Revoir le champ dintervention de laudit et lapproche

Analyser les constatations de laudit des tats financiers

Analyser la performance des reviseurs

Considrer lindpendance des reviseurs

La participation du reviseur aux runions du comit daudit est conseille

189

Revoir le champ dintervention et lapproche

Revoir le champ dintervention et lapproche

Objectifs de laudit

Obligations en matire de reporting financiers et les dlais y affrents

Evaluation du systme de contrle interne

Les domaines sur lesquels laudit va se concentrer - Pourquoi?

Les changements de la rglementation comptable et leurs impacts

Limpact de certaines transactions sur les tats financiers

Revue des systmes dinformation

Coordination avec laudit interne

Audit des filiales - par qui, si par un autre reviseur, quelles sont les

procdures de reporting mises en oeuvre?

Responsabilit du reviseur dans la dtection derreurs matrielles, de

fraudes, dactes illgaux

190

Revoir le champ dintervention de laudit et lapproche

Le reviseur doit pouvoir avoir accs au comit:

En cas dventuelles restrictions imposes par la direction dans le cadre de

sa mission

La survenance de problmes importants et ncessitant une communication

immdiate (fraudes, malversations, systmes comptables dfaillants, )

191

Analyser les constatations de laudit des tats financiers

Runion du comit daudit, de la direction et du reviseur afin de prsenter les tats financiers et les constatations daudit

Le reviseur doit pouvoir prsenter les recommandations sur le contrle interne. Le comit doit interroger la direction sur les mesures correctrices mises/ mettre en oeuvre

Le comit daudit doit galement sassurer du suivi des recommandations mises lors des exercices prcdents

Ces discussions doivent avoir lieu avant la publication des comptes

Le comit Blue Ribbon recommande que le comit daudit aborde avec le reviseur la question de la qualit des rgles comptables adoptes par lentreprise

192

Analyser la performance des reviseurs

Critres pris en compte

Capacits professionnelles du reviseur et des collaborateurs impliqus

Lapproche daudit

La connaissance de lentreprise et de ses processus

La couverture gographique (dans le cas de groupe multinationaux)

Le comit daudit va galement fonder son jugement sur base dinformations quil demandera la direction (CFO et collaborateurs, Responsable de laudit interne, ). Il devra sassurer que les informations obtenues sont fiables et objectives

Le comit daudit doit galement revoir les honoraires et ventuellement les honoraires lis dautres travaux fournis par le reviseur ou un service li la socit daudit

Dans le cas de renouvellement du mandat ou de nouvelle nomination, le comit daudit doit pouvoir mettre un avis

193

Considrer lindpendance des reviseurs

Le comit daudit doit aborder la question de lindpendance du reviseur par rapport d autres services fournis (conseils en management, fiscalit, juridiques, )

194

La situation en Belgique

Recommandations de lautorit de march de la Bourse de Bruxelles labores par la Commission Belge du Corporate Governance (Commission Cardon) - 1998

Recommandations de la Commission bancaire et financire quant aux informations sur le corporate governance publier dans les rapports annuels - 1998

FEB - Recommandations en matire de corporate governance - 1998

Les directives de la CBF et de lOCA dans les secteurs bancaires et dassurances

195

La commission Cardon sur le corporate governance

Systme d adhsion et non de contrainte

Approche dite comply or explain (satisfaire ou expliquer)

Exposer dans le rapport annuel les circonstances ou les raisons spcifiques

expliquant une attitude divergente par rapport aux directives

Au titre 4 - Information et contrles : 4.3

La Commission Belge du Corporate Governance recommande de

mettre en place un comit d audit compos au moins de trois

administrateurs non excutifs, dont lordre de mission prcise

clairement les pouvoirs et les obligation

196

Les recommandations de la Commission Cardon

a Les comits daudit devraient formellement tre constitus au sein du conseil, auquel ils doivent rpondre et faire rapport rgulirement; leurs attributions devront tre communiques par crit, en ce qui concerne la composition des comits, leurs pouvoirs et leurs obligations; ils devront se runir au moins deux fois par an .

b Tous les membres devrait tre des administrateurs non-excutifs, la majorit dentre eux devraient tre des administrateurs indpendants au sens de la rgle 2.2 du prsent code .

c Le comit daudit devrait rencontrer les auditeurs internes et externes (y compris les commissaires reviseurs) au moins une fois par an. Cette rencontre peut avoir lieu en labsence de la direction pour sassurer quil ne subsiste aucun sujet de proccupation non rsolu .

197

Les recommandations de la Commission Cardon

d Le comit daudit devrait avoir le pouvoir explicite denquter dans toute matire qui relve de ses attributions, disposer des ressources ncessaires cette fin et de laccs toute linformation. Le comit devrait pouvoir demander des avis dexperts internes et externes et, le cas chant, inviter des experts externes assister au runions, compte tenue de la procdure dfinie au point 1.6 .

e La composition du comit devrait tre publie dans le rapport annuel .

198

Recommandations de la CBF quant aux informations sur le corporate

governance publier dans les rapports annuels

Comits crs par le conseil d administration

Indication des ventuels comits crs par le conseil dadministration

(autres que ceux viss au point 4 - gestion journalire), de leur

composition, de leurs attributions, de leur mode de fonctionnement et de

leur frquence de runions (exemples : bureau du conseil, comit

stratgique, comit daudit, comit des nominations, comit des

rmunrations, ) .

199

Recommandations de la FEB en matire de corporate governance

Recommandations publies en 1998

Inspire de Cadbury et vise essentiellement les grandes socits et

socits cotes

Adoption sur base volontaire

4.3 Le conseil d'administration doit exercer une fonction d'audit. Il peut constituer cette fin un comit d'audit dont il arrte la composition et la mission.

S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes :

a ) Il est une manation du conseil d'administration devant lequel il

est responsable et devant lequel il rend rgulirement compte de sa

mission. Il se runit au moins deux fois l'an .

b) La composition du comit est arrte par le conseil

d'administration.Il veillera ce qu'il comprenne des administrateurs

non excutifs et des administrateurs indpendants ....

200

Recommandations de la FEB en matire de corporate governance

S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes :

c) Les commissaires-rviseurs et, lorsqu'il y en a, le responsable de

l'audit interne ainsi que le directeur financier, devraient assister aux

runions du comit.Ces runions sont galement ouvertes tous les

administrateurs qui le souhaitent .

d) Le comit devrait entendre les commissaires-rviseurs au moins

une fois par an en-dehors de la prsence des administrateurs

excutifs .

e) Le comit possde les pouvoirs d'investigations les plus larges

dans son domaine, et peut par une dcision majoritaire faire appel

des professionnels extrieurs la socit et les faire assister le cas

chant ses runions .

f) La composition du comit est publie dans le rapport de gestion et

le prsident du comit rpond aux questions qui lui sont poses

l'assemble gnrale au sujet de l'activit du comit .

201

Avis et Recommandations de la

Commission bancaire et financire

202

Internal control

Internal audit

Supervision by auditor

Supervision by CBF

Conception et pratique du contrle prudentiel

Les cercles concentriques du contrle prudentiel

Rapport CBF 1996-1997 pp 26-31

203

Limportance du contrle interne

Le contrle interne :

Exigence de management

Exigences lgales/statutaires/prudentielles dans certains secteurs

Stratgie daudit

204

Exigences de management

Le management ne peut se fier uniquement aux contrles traditionnels pour protger la shareholder value.

Les contrles soft ainsi que les mcanismes de risk management sont les fondements dun systme de contrle interne intgr.

205

Exigences lgales, statutaires et prudentielles

Circulaire du 6 avril 1987 CBF formulait une srie de recommandations

relatives lexercice de la fonction daudit interne

Loi du 22 mars 1993 sur le statut et le contrle des tablissements de crdit

Article 20 instaure lobligation dune organisation administrative et comptable approprie et de procdures de contrle interne adquates

206

Exigences lgales, statutaires et prudentielles

Protocole sur lautonomie de la fonction bancaire Circulaire D1 97/4 du 30 juin 1997 sur le contrle

interne et laudit interne + Lettre circulaire D1/1690 du 9 juin 1998

8 grands principes traitant :

contrle interne

audit interne

comit daudit permanent - ce sujet cfr. section spcifique : Le comit daudit

Circulaire D1 99/1 du 12 mars 1999 sur les modalits du trialogue entre les Auditeurs Internes, les reviseurs agrs et la Commission

207

Exigences lgales, statutaires et prudentielles

Circulaire D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseur-audit interne

208

Autres exigences que celles de la CBF (pas exhaustif)

Framework for internal control systems in banking organisations - Basle Committee on Banking Supervision - September 1998

Recommandations en matire de Corporate Governance pour les socits cotes

Rapport de la Commission Cardon

Le conseil devrait veiller ce que la direction dveloppe et mette en oeuvre les instruments ncessaires afin dassurer un contrle interne suffisant et efficace

Cadbury/Hampel/Turnbull - Combined Code (Septembre 99)

Rapport du commissaire-reviseur sur ladquation du contrle interne

209

Contrle interne

Principe 1 Le conseil d'administration doit :

vrifier ladquation du contrle interne

stimuler une attitude positive lgard du contrle

Principe 2 Le comit de direction doit :

mettre en place un contrle interne adquat

procder son valuation

informer le conseil dadministration de ltat de la situation (le cas chant par lintermdiaire du comit daudit)

210

Audit interne

Principe 3 Le comit de direction doit

prendre les mesures pour que ltablissement dispose en permanence dune fonction daudit adquate

211

Audit interne

Principe 4 Le service daudit interne

est indpendant

rapporte directement au comit de direction

a la facult dinformer directement le conseil

d'administration et le comit daudit

dispose dun statut appropri dfini par la charte daudit

objectif et porte de la fonction

la place dans lorganisation, les comptences et

responsabilits

excute ses missions avec impartialit

ne peut pas tre impliqu dans les tches oprationnelles

212

Audit interne

Principe 5 La comptence de chaque auditeur et du service daudit

interne dans son ensemble est essentielle

motivation et formation permanente

comptence individuelle apprcie en fonction des missions

comptence dans son ensemble

rotation des tches pour viter laccoutumance

recours des experts externes et sous-traitance

Indpendance par rapport au commissaire-reviseur agr

213

Audit interne

Principe 6 Chaque activit et chaque entit de ltablissement entrent

dans le champ dinvestigation du service daudit interne

examen et valuation de ladquation du contrle interne

laudit interne vrifie :

le respect des politiques

la matrise des risques

la fiabilit de linformation financire, de gestion, de reporting

externe

la continuit et la fiabilit des systmes dinformation

le statut lgal de contrle

214

Audit interne

Principe 7 Le travail daudit comprend ltablissement dun plan

daudit, lexamen et lvaluation de linformation disponible, la communication des rsultats et leur suivi

Le plan daudit dtermine les objectifs atteindre

Ces objectifs peuvent ncessiter diffrentes mthodes

Audit de conformit, Audit financier, Audit oprationnel

Audit de gestion / management

Programme de travail

Documents de travail

Rapport crit

Suivi

215

Audit interne

Principe 8 Le responsable du service daudit interne dirige son service

de manire adquate

Respect des principes dicts par la CBF

Il est responsable de ltablissement

de la charte daudit interne

dun plan daudit pluriannuel fond sur une analyse mthodiques des

risques

de politiques et procdures crites en matire daudit interne

Communication au comits de direction et de surveillance

rapport dactivit, rsum des recommandations & tat du suivi

Tout remplacement du responsable de laudit interne doit tre notifi la

CBF

216

Comit daudit

Le protocole de lautonomie de la fonction bancaire Le conseil peut, sil le souhaite, se faire assister par un comit daudit

compos dadministrateurs non membres du comit de direction .

le comit daudit a pour but de faciliter lexercice effectif de la surveillance par le conseil dadministration. Il fonctionne soit sur une base permanente, soit dans le cadre de lexamen dun problme particulier .

De la mme manire que le conseil lui-mme, le comit daudit peut tout moment demander au comit de direction ou aux reviseurs des rapports spciaux sur tous aspects de lactivit de la banque. Il peut se faire produire tout renseignement ou document utile et faire procder toute investigation. Il peut notamment faire appel au service daudit interne de la banque, celui-ci demeurant toutefois sous la dpendance hirarchique du comit de direction. Le comit daudit fait rgulirement rapport au conseil dadministration. Son rle ne peut en aucune faon faire double emploi avec celui de laudit interne ni sy substituer .

Au cas o la banque souhaite crer un comit daudit, elle consulte pralablement la CBF au sujet de la dfinition des fonctions de ce comit et sa composition .

217

Comit daudit

Recommandation Le comit daudit permanent

rponse adquate aux difficults de lexercice collgial de la mission de surveillance

renforce le contrle interne et laudit interne

fortement recommand lorsque linstitution encoure des risques nombreux et complexes

Consultation pralable de la CBF avant la mise en place dun tel comit

218

Comit daudit

Charte du comit daudit dterminant composition

comptence

fonctionnement

modalits de rapport au conseil dadministration

Composition Au moins 3 administrateurs non membres du comit de

direction

Sans en tre membres, participent galement aux runions :

le prsident du comit de direction

lauditeur interne

le commissaire-reviseur agr

219

Comit daudit

Comptences Il peut

faire produire tout document ou renseignement

faire procder des investigations

fait appel laudit interne

Il doit

faire rapport rgulirement au conseil dadministration

Il ne peut pas

se substituer laudit interne

double emploi

laudit interne demeure sous la dpendance hirarchique du comit de direction

220

Comit daudit

Champ daction (en matire daudit interne) Favoriser la communication entre :

membres du conseil dadministration

membres du comit de direction

laudit interne

les commissaires-reviseurs agrs

la CBF

Valider la charte daudit

Valider le plan daudit et les moyens engags

Prendre connaissance du rapport dactivit

Prendre connaissance des principales recommandations et de leur suivi

221

Comit daudit

Champ daction (suite) Le commissaire-reviseur agr doit lui exposer son

programme daudit et faire part de ses conclusions et recommandations

Dlibration rgulire sur :

ltat du contrle interne

le fonctionnement du service daudit interne

linformation financire externe en ce compris

le respect des dispositions lgales et statutaires

Avis au conseil dadministration lors de la nomination du commissaire-reviseur agr

222

La Collaboration entre les reviseurs,

les auditeurs internes et la CBF

223

Relations audit interne et externe

EVOLUTION HISTORIQUE

1950 AUCUNE

COOPERATION

1970 ASSISTANCE DE

LAUDIT INTERNE

1990

COLLABORATION

MUTUELLE

DES AUDITEURS

1999

SYNERGIE CBF-

REVISEURS-

AUDIT INTERNE

224

Diffrences audit interne et externe

MANDATAIRES CONSEIL DIRECTION COMITE DAUDIT

LEGISLATEUR ACTIONNAIRE COM. BANCAIRE

DOMAINES

DINTERVENTION

SURVEILLANCE

PRODUIT FINAL

DETECTION DES FRAUDES

FINANCIER OPERATIONNEL GESTION

PLANS PROCEDURES REGLEMENT.

INTEGRITE ECONOMIE EFFICIENCE

FINANCIER COMPTABLE REGLEMENT.

LOIS COMM. REGLES COMPT. REGLEMENT.

COMPTES ANNUELS REGLEMENT.

RECOMMANDATIONS ATTESTATIONS

? ?

AUDIT INTERNE AUDIT EXTERNE

225

Dtection des fraudes

RESPONSABILITES MAL DEFINIES

RESPONSABILITE ULTIME

ADMINISTRATEURS

SI COMPTES ERRONES

COMMISSAIRE?

FRAUDES

FAILLITES

BANCAIRES FDIC

IMPROVEMENT

ACT (USA)

= EXAMEN ANNUEL DES CONTROLES INTERNES DES BANQUES > 150 M $

EXECUTER PAR AUDIT INTERNE OU EXTERNE

+ ATTESTATION DES COMMISSAIRES DE LA QUALITE ET DES RESULTATS DE LEXAMEN

AUDIT INTERNE?

226

Relations audit interne et externe

NORMES DISPONIBLES

AUDITEURS INTERNES

SIAS 5 INTERNAL AUDITORS RELATIONSHIP WITH

INDEPENDANT OUTSIDE AUDITORS

AUDITEURS EXTERNES

ISA 10 CONSIDERING THE WORK OF INTERNAL

AUDIT

REVISEURS DENTREPRISES

RECOM. UTILISATION DU TRAVAIL DUN SERVICE

DAUDIT INTERNE

PAS DE NORMES