1
AUDIT INTERNE EN BANQUE
Denis Caprasse
Karin Maquet
6 dcembre 2000
2
Table des matires
Evolution de la fonction daudit interne
L environnement de lauditeur interne en banque
Contrle interne : cadre de rfrence COSO
La notion de risque
Relations entre COSO et lapproche daudit
Organisation dune banque
La stratgie daudit et sa ralisation
COBIT - un cadre de rfrence intgr pour valuer les systmes
dinformation
Le comit daudit
Avis et recommandations de la Commission bancaire et financire
La Collaboration entre les reviseurs, les auditeurs internes et la CBF
COSO et la mise en place de structures intgres de risk management
3
Evolution de la fonction
daudit interne
4
Audit interne : volution historique
AVANT-HIER UN MAL NECESSAIRE
HIER DESIR DE CHANGEMENT
AUJOURDHUI AUDIT PARTICIPATIF
LES NOUVELLES TENDANCES
LES DEFIS DU FUTUR
5
Laudit interne avant-hier
MARCHE
AUDITEUR
DEPARTEMENT AUDIT
Faible concurrence
Produits traditionnels
Gestion patriarcale
Mal ncessaire
Policier et pompier
Redoute des audits
Cherche les erreurs
Pas dembauche slective
Peu dautonomie
Sans accs hirarchique lev
Budgets limits & Missions routinires
6
Laudit interne dhier
MARCHE
AUDITEUR
DEPARTEMENT AUDIT
Concurrence accrue
Croissance volumes et produits
Dveloppements informatiques
Distinct de linspecteur
Spcialisation professionnelle
Prvention ; dtection
Qualit ; quantit
Auditeur du management
Expert impartial
Conseiller des directeurs
Banquier / Technicien Comptents
7
Laudit interne aujourdhui
MARCHE
AUDITEUR
DEPARTEMENT AUDIT
Concurrence multiple et diversifie
Dcentralisation des oprations
Rglementations en croissance
Dlgation force des pouvoirs
Problem solver
Conscient des cots
Validation de procdures
Collabore aux objectifs
Centr sur les risques
Soucieux de ses clients
Flexible et ractif
Grand utilisateur dinformatique
Soucieux de la formation
8
Audit interne : Les dfis du futur
QUALITE TOTALE DISPARITION DE LAUDIT?
Outsourcing - cosourcing Self controlled organisation - systmes de contrle intgr avec auto-valuation
EMERGENCE DE NOUVELLES MISSIONS?
EVOLUTION POSSIBLE DE LA FONCTION SURVEILLANT RISK MANAGER REACTIF PREVENTIF OBSERVATEUR EDUCATEUR SEPARATISTE AGENT DE COMMUNICATION
EFFETS SUR LES MISSIONS FOCALISATION SUR RISQUES ELEVES PARTICIPATION AUX CHANGEMENTS DISPONIBILITE POUR URGENCES ACCENTUATION DU COUT/BENEFICE
9
Stand Alone Audit Function
Participating With Management
Supporting Management
Self-Assessments
Process Focus
Enterprise Risk Management
Consultant Business
Enhancement/ Efficiency
Detection
Internal Auditor
Financial reporting
Transaction Focus
Risk Exposure/Identification
Prevention
Reactive Proactive Strategic
Lvolution du mtier daudit interne
10
Lvolution du mtier daudit interne
Nouvelle dfinition de laudit interne par le Institute of Internal Auditors:
Internal audit is an objective assurance and consulting activity that is independently managed within an organisation and guided by a philosophy of adding value to improve the operations of the organisation.
It assists an organisation to evaluate and improve the effectiveness of the organisations risk management, control, and governance processes.
11
Lenvironnement
de lauditeur interne
en banque
12
Internal control
Internal audit
Supervision by auditor
Supervision by CBF
Conception et pratique du contrle prudentiel
Les cercles concentriques du contrle prudentiel
Rapport CBF 1996-1997 pp 26-31
13
Le contrle interne
Circulaire CBF D1 97/4 du 30 juin 1997
Le contrle interne se dfinit gnralement comme lensemble des mesures qui, sous la responsabilit de la direction de ltablissement de crdit doivent assurer avec une certitude raisonnable :
une conduite des affaires ordonnes et prudente, encadre dobjectifs bien dfinis;
une utilisation conomique et efficace des moyens engags;
lintgrit et la fiabilit de linformation financire et celle relative la gestion;
le respect des lois et rglements ainsi que des politiques gnrales, plans et procdures internes
14
Le contrle interne
Les lments constitutifs un environnement dentreprise qui encourage une attitude
positive lgard du contrle;
des objectifs suivi de lidentification des risques et de leur analyse
la mise en place de systme dinformation et de communication ainsi quun reporting
la surveillance et l'valuation rgulire des mesures prises
15
Le contrle interne
Responsabilit du conseil dadministration de vrifier ladquation du contrle interne
Le comit de direction doit mettre en oeuvre un contrle interne adquat et procder son valuation
Laudit interne est une fonction indpendante qui a pour objet dexaminer et dvaluer le bon fonctionnement, lefficacit et lefficience du contrle interne
16
Le contrle interne
La Commission bancaire et financire a transpos les principes noncs dans le cadre de rfrence COSO
Comit de Ble Framework for internal control systems in banking
organisations - Septembre 1998
Management oversight and control culture
Risk recognition and assessment
Control activities and segregation of duties
Information and communication
Monitoring activities and correcting deficiencies
Transposition des principes COSO
17
Contrle interne
COSO ????
18
Contrle interne :
cadre de rfrence COSO
19
COSO : les concepts fondateurs
22
Globalisation
Empowerment Plus forte dlgation
Des structures organisationnelles moins pyramidales
Outsourcing/Technologies dcentralises
Ncessitant un
changement des
pratiques
oprationnelles
Forces externes
de changement
Changement des
facteurs de risque
oprationnel
Des risques accrus
23
L'accroissement des risques oprationnels rsulte de ces changements
0
2000
4000
6000
8000
10000
12000
1 2
Changement
Niveau de risque
L'enjeu : identifier ces risques temps pour rester
dynamique et augmenter la rsistance de l'entreprise.
Des risques accrus
24
Un risque accru face des procdures
de contrle interne adaptes une priode rvolue
Forces internes Forces externes
Procdures de
conformit et
de contrle
Shareholder value and corporate governance
Changements
organisationnels
Gestion des
cots
Rorganisation
des processus
Concurrence
Globalisation
Nouvelles
technologies
25
Robert Maxwell
Fraudes
Comt dOrange
Pertes sur produits drivs
Metallgeselleschaf
Pertes sur
positions spculatives
Groupe Crdit Lyonnais
Pertes importantes
Showa Shell
Sekiyu
f/x trading non autoris
United Way
Pratiques de gestion
douteuses
BCCI
Fraudes
Daiwa
$1 milliard de perte sur
positions spculatives
Barings
Positions non autorises
General Motors
Ventes fictives
Besoin
dun
contrle
accr Sumitomo
Positions non autorises
Et quelques exemples de scandales
26
Risques
L'Entreprise
Objectifs
Contrles
Ncessit d'une nouvelle culture du contrle
27
Une structure intgre pour le contrle interne
Commission Treadway forme en 1985
Commission Treadway publie le rapport en
1987 - demande un tude pour dvelopper une
structure intgre pour le contrle interne
Coopers & Lybrand a t slectionne pour
mener ltude et rdiger le rapport
Rapport intitul Internal Control - Integrated
Framework est publi en septembre 1992
STRUCTURE INTEGREE
POUR LE CONTROLE INTERNE
Committee of Sponsoring
Organizations of the
Treadway Commission
Une perception plus tendue de la notion de contrle intgrant la gestion des risques
par rapport aux objectifs de lentreprise
28
Une structure intgre pour le contrle interne
Contenu du rapport COSO Executive summary (septembre 92)
Framework (septembre 92)
Reporting to external parties (septembre 92)
Addendum to reporting to external parties (Mai 94)
Evaluation tools (septembre 92)
Internal Control Issues in Derivatives Usage (1999)
29
Une nouvelle perception du contrle interne
Le Contrle Interne est un processus,
mis en uvre par le conseil dadministration,
la direction et les membres du personnel de
toute entit conomique ou administrative, en
vue de fournir des assurances raisonnables
sur les objectifs limits :
Lefficacit et lefficience des oprations;
La fiabilit des documents et des rapports
financiers;
La conformit aux lois et rglements
applicables
Committee of Sponsoring Organizations
(COSO) of the Treadway Commission - 1992
30
Le cube COSO
31
Interactions entre les diffrents lments constitutifs
32
Lenvironnement de contrle
Donne le ton de lorganisation
Intgrit
Valeurs thiques
Comptences
Transmet la philosophie de
gestion
Responsabilit et responsabilisation
Autorit
Politique et dveloppement des
ressources humaines
The control environment sets the tone of the organisation
and communicates management philosophy
33
Lvaluation des risques
Identification et analyse des
risques menaant la
ralisation des objectifs de
lorganisation
risques stratgiques
risques oprationnels
risques organisationnels et
lis aux ressources humaines
Gestion du changement
Risk assessment is the effective management of change by the
identification and analysis of relevant risks
34
Les activits de contrle
Procdures lies la mise en
oeuvre de la gestion
Approbation, autorisations Vrifications et contrles physiques
Programme de qualit
Sparation des fonctions
etc ...
Mcanismes de gestion visant
la ralisation des objectifs
Control activities are procedures to implement and manage
objectives
35
Linformation et la communication
Gestion de la communication au
sein de lorganisation
Information de gestion adquate
communique dans des dlais
appropris
Identification et utilisation des
informations externes ad hoc
Timely and accurate access to information and
communication is critical to the control process
36
La surveillance
Mcanismes afin de rapporter
les dficiences majeures
Evaluation des systmes de
contrle
Activits ponctuelles et
continues
Monitoring is a continual process to assess control systems
and activities
37
COSO : la rfrence en matire de contrle interne
Approches du contrle interne
Traditionnelle COSO
Juxtaposition des
activits Intgration des
objectifs
From
Pilotage
Information &
Communication
Activits de Contrle
Evaluation du risque
Environment de Contrle
38
Permettre, Pas empcher
Idalement, les contrles devraient ...
39
Les procdures de contrles ne doivent ...
Ni alourdir
Ni survoler
40
Equilibre
Contrle Interne Risque d'Activit
Mais doivent correspondre au niveau des risques...
41
Le contrle interne, c'est l'affaire de tous !
Aujourd'hui, les meilleures entreprises savent que ...
42
Pilotage
Environnement de contrle
Evaluation des risques
Audit Externe
Audit Interne
Activits de contrle
Information &
Communication
Problme :
Qui contrle l'espace en blanc ?
Traditionnellement ...
43
Pourquoi COSO est une structure intgre?
Traditionelle COSO
Responsibilit duController/Audit Interne
Le contrle est la tche dechacun
Mecanisme Le contrle est bas sur lesrisques
Laccent sur les systmescomptables
Laccent est mis sur tousles risques oprationnels
Les contrles sont ajouts aux systmes
Le contrle est incorpordans les procduresoprationnelles
44
Adoption de COSO
CoCo
COSO GARP
Cadbury
King Report
Pays qui ont traduit COSO dans leur langue nationale
entre autres : Chine, France, Italie, Japon, Norvge, Pologne et Espagne
45
Mise en oeuvre de COSO
46
Phase I : Evaluation de
l'Environnement
Phase IV : Evaluation intgre
et
Recommandations
Phase II : Diagnostic par
cycle
Phase III : Revue des
procdures
Comit de
Direction
Approbation et Revue par le Conseil
d'Administration et / ou la Direction
Mise en place et pilotage continu
L'valuation du contrle - Mthodologie
47
Envoie un message fort l'organisation Est ouvert au changement S'adapte tout au long du processus Dtermine les plans d'amlioration Conduit la mise en place
S'assure que l'approche est rigoureuse et
structure, tout en demeurant flexible
Comit de
Direction
Le Comit de Direction joue un rle dterminant
48
Ides
Causes
Chercher au-del
des symptmes :
trouver les
causes profondes
Recherche des causes ...
49
Les principales limites du contrle interne
1. Assurance raisonnable et non absolue
2. Le Contrle Interne prcise les objectifs lis la ralisation et loptimisation des oprations, mais ne peut pas garantir leur ralisation
3. Dcalage inluctable entre les recommandations et leur application
50
Souvent, la solution passe par un changement de comportement !
51
La notion de risque
52
Une nouvelle perception des risques
53
Evolution de la perception du risque par le Management
Niveau oprationnel.
Risk monitoring est dlgu aux auditeurs internes
Le risque est un facteur ngatif contrler
Le risque est gr dans des silos organisationnels
La responsabilit du management en matire de gestion des risques est dlgue au niveau
infrieur
La mesure du risque est subjective
Des fonctions de risk management non structures
Le job du CEOs Job (avec le contrle du Conseil dadministration)
Le risque est galement considr comme une opportunit
Le risque est gr de manire intgre et couvre toutes les activits de lentreprise
La fonction de risk management est accepte par le senior et le line
management
Quantification/mesure du risque
Le risk management est intgr dans tous les systmes de gestion de lentreprise
from BACK ROOM to BOARD ROOM
Impact de cette nouvelle perception
54
Dfinition
RISQUE:
Tout vnement pouvant affecter la ralisation des objectifs
55
Les problmes suivants attirent lattention sur l importance dun systme de Risk Management intgr :
Environnement trs rglement
Marges troites
Globalisation
Technologie en volution constante
RISK MANAGEMENT
Diffrentiation comptitive
Complexit des marchs et des investissements
Convergence et Consolidation
Disponibilit de ressources qualifies
Les facteurs de risque
56
Danger Survenance dun danger non matris
Incertitude Ne pas rencontrer les attentes
Opportunit Matrise du risque
Elments constitutifs
57
Gestion de crise et compliance
Prserver la continuit des activits
Amlioration de la Shareholder value
Danger
Incertitude
Opportunit
Le continuum du risque
58
Crises management
and compliance
Business continuity
protection
Shareholder value
enhancement
Improved returns through
value-based management
Enhancing capital allocation
Protecting corporate reputation
Achieving global best practices
Understanding & evaluating business strategy risks
Understanding full range of risks facing business today
Avoiding personal liability failure (the personal fear factor)
Compliance with corporate governance standards (fiduciary responsibility)
Other company crises
Own company crises
Hazard
Uncertainty
Opportunity
Independent market survey findings 1997 - Diefenbach Elkins Survey Results
The Market Study - The Market Continuum
59
Danger
Incertitude
Opportunit
Compliance
et prvention
Performance
oprationnelle
Initiatives
stratgiques
Le continuum du risque
60
6
Une approche intgre de la gestion du risque
61
Objectifs
Return on Investment
Satisfaction des clients
Emploi
Amlioration de la Shareholder value
World class products
Environnement
Compliance
Preferred employer
Ethique
62
Risques
63
Les risques bancaires gnraux
Crdit Intrt Liquidit Devises March Oprationnel Settlement Juridique
64
Risque de crdit
Nombre de dbiteurs
Concentration
Gographique
Sectorielle
Culture prudente et conservatrice
Plafonds et limites
Procdure svre dapprobation
Suivi permanent des engagements
Partage des risques
Assurance crdit
FACTEURS DE PONDRATION
+
-
RISQUE DE DFAUT DE LA CONTREPARTIE
65
Risque dintrt
Volatilit des taux
Dysharmonie des positions
Limite des positions
Contrle permanent des positions
Couvertures systmatiques
A.L.M. performant
FACTEURS DE PONDRATION
+
-
RISQUE PROVOQUE PAR DES CHANGEMENTS
DE TAUX
66
Risque de liquidit
Crise des marchs montaires
Perte de confiance dans la banque
Concentration
des dpts
des emprunts
Financements L.T. placs C.T.
Disponibilit des fonds externes
Volume lev dactifs liquides
Rgime de protection des pargnants
A.L.M. performant
FACTEURS DE PONDRATION
+
-
RISQUE DINSUFFISANCE DE DISPONIBILITES
67
Risque de devises
Volatilit des taux
Dsquilibre des positions
Limites des positions
Contrle svre des positions
Techniques de couvertures
FACTEURS DE PONDRATION
+
-
RISQUE PROVOQUE PAR UN DESEQUILIBRE
DES TAUX DE CHANGE
68
Risque de march
politique agressive dinvestissements
Volatilit des marchs financiers
Accroissement du trading
Liquidit des march
Limites des volumes daction
Politique dinvestissement conservatrice
FACTEURS DE PONDRATION
+
-
RISQUE DAPPAUVRISSEMENTS DES ACTIFS FINANCIERS
69
Risque oprationnel
Nature des oprations
Volume des oprations
Qualit du management
Qualit du personnel
Qualit des systmes
Libert daction des dpartements
Outil de contrle Internes
Externes
FACTEURS DINFLUENCE
RISQUE DE PERTE, DERREUR OU DOMISSION INTERNE
70
Risque de settlement
Qualit des correspondants
Fixation de limites par contrepartie
Suivi rapide du Back Office
...
FACTEURS DINFLUENCE
RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE
71
Risque juridique
Complexit des contrats
Changement et inflation rglementaire
Soft law
Mise en oeuvre dun Legal Audit
...
FACTEURS DINFLUENCE
RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS
RISQUE DINFRACTION PAR RAPPORT A LENVIRONNEMENT LEGAL ET STATUTAIRE
72
Risque oprationnel
Exemples Dfaillance des systmes informatiques
Interruptions des activits
Accs et utilisations de donnes confidentielles
Manque de comptitivit suite une mauvaise gestion dactivits non core business
Gestion des prestataires de services
Canaux de distribution inefficaces
Mthodes de quantification des risques oprationnels OpVar (operational value at risk)
73
Gestion des risques oprationnels
Indicateurs dune mauvaise gestion des risques oprationnels
Pertes
Amendes et pnalits
Litiges
Suspens/rejets
Plaintes des clients
Constatations de laudit et des autorits de contrle
Fraudes
Dfaillances des systmes dinformation
Back Office Overtime
Rotation du personnel
76
Contrles - Cadre de rfrence COSO
Cadre de corporate governance reconnu par le monde financier
77
Exemples
Systme de mesure de risque
dpass
Systme dinformation inadquat
Elments de rconciliation
Mauvaise diversification du risque de crdit
Non respect du prescrit rglementaire et prudentiel
Dcisions imprudentes en matire doctroi de crdit et dinvestissement
Mauvaises notations par les agences de rating
Cots de financement excessifs
Allocation of capital mauvaise ou inadquate
Volatilit du rendement et du cours de laction
Contrles confins en silo
Fonction daudit interne dpasse/inefficace
Fraude et blanchiment dargent
Mauvais pricing des produits du fait dune non prise en compte de certains
risques
78
Evaluation COSO
1
2
3
4
5Integrity and Ethical values
Commitment to competence
Board of director or Audit Committee
Management philisophy and operating style
Organisational structure
Assignment of authority and responsibility
Human resource policies and practices
Entity-wide objectives
Activity level objectives
Risks
Managing change
Existence of policies and procedures
Application of controls in place
Information
Communication
Ongoing monitoring
Separate evaluations
Reporting deficiencies
COSO '97 COSO '99
Control environment
Risk assessment
Control activities
Information and communication
Monitoring
80
Alignement
81
Options possibles .
Options
Re-engineering des processus
Outsourcing des fonctions - Shared Services
Transfer Risk (Assurance)
Amliorer les contrles
82
Relations entre COSO et
lapproche daudit
83
Une approche daudit intgre
84
Une approche intgre de la gestion du risque
85
Approche daudit
Objectifs
Evaluation des
risques
Analyse des
contrles
Plan
dAction
86
Approche daudit
Objectifs
organisationnels
Evaluer les
risques
Dterminer les
contrles ncessaires
Stratgie daudit
Plan d audit
Plan
Annuel
Plan
Pluriannuel
87
Audit Interne : Application de la squence COSO
Dterminer
les objectifs
organisationnels
Evaluer
les risques
Dterminer
les contrles
ncessaires
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
Nouvelle mthodologie : Risk Based Auditing
Stratgie d audit:
88
Nouvelles mthodologies : Risk Based Auditing
Establish
Organisational
Objectives
Assess
Risk
Manage
Risk
What are the steps in
the business process?
What are the risks? How are risk managed?
What is the logical
sequence of steps the
auditable unit must take
to reach its objectives or
purposes? Practically
speaking, these steps are
usually combined or
grouped so that the total
does not exceed 12-15
steps.
What is the essential
elements of risk in each
step of business process?
Errors, omissions, delays,
and fraud are the most
common types or risks.
What techniques mitigate
the risks identified in
column B? It is sound
practice not only to
identify how the risks are
managed, but also to
document the evidence
for those actions, so that
an audit programme can
be derived quickly and
accurately
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
89
Les risques de contrle
Dangers des systmes
dinsuffisance
de faiblesses
de
Dtection Prvention
des
Erreurs ou fraudes
Fonction de la qualit des contrles de gestion internes externes etc.
90
Les risques de contrle
Risques derreurs, d'irrgularits
Systmes de prvention, dtection
(contrle interne)
Audit interne
Erreurs, irrgularits subsistantes
91
Incidence du contrle interne sur la stratgie daudit
La perception des risques et lapproche daudit
AR = IR * CR * DR
AR = audit risk
IR = inherent risk
CR = control risk
DR = detection risk
Impact
Opinion incorrecte (Mauvaise valuation des risques)
Approche inadapte (trop de tests substantifs par rapport aux risques en
prsence)
92
Approche daudit
Understand and assess control environment
Understand and update our information about the systems and the computer environment
Plan to rely on controls
and limit substantive tests?
Design substantive
tests to obtain high
assurance
Select and test monitoring controls to confirm
assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
Document and assess
application and general computer controls
No controls
reliance
YES
NO
High controls reliance Some
Controls
reliance
No tests
of controls
Document and assess
monitoring controls
93
Bnfices
Test les contrles cls
Diminue la charge de tests substantifs
Facilite lintervention (interim vs. final)
Travail plus enrichissant pour lquipe daudit
94
Classify by Risk Type
Identify Key Controls
Core Business Processes
Develop Internal
Audit Plan
Key Business Objectives
Strategic
Systems
Operational
Financial
Compliance
High
Moderate
High
High
Low
High
Low
Moderate
High
Low
Moderate
Low
Elments importants de la mthodologie Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit
Lvolution du mtier daudit interne
95
Organisation dune banque
96
Division dune banque
Exemples de subdivisions Par fonctions
Par mtiers
Par centres de profits
Par zones gographiques
Par produits
Par domaines dactivits
...
97
Division dune banque par fonctions
Exemples Tlcommunication
Rconciliation
Guichet / agences
A.L.M.
Analyse financire
Conservation des actifs
ressources humaines
Agents dlgus
...
98
Division dune banque par mtiers
Exemples Gestion du patrimoine
Corporate banking
Private banking
Mergers and acquisitions
Crdits
Trsorerie
...
99
Division dune banque par centres de profits
Exemples Trsorerie court terme
Trsorerie long terme
Change
Oprations particuliers
...
100
Division dune banque par rgions
Exemples Nord-ouest
Nord-est
Centre
Sud-ouest
Sud-est
International
...
101
Division dune banque par produits
Exemples Bons de caisse
Prts hypothcaires
Crdit dinvestissement
Livret d'pargne
CREDOC
OLO
Financial futures
...
102
Division dune banque sur base du bilan
Emplois
Ressources
Fiducie
Crdits
Val. mob.
Investissem.
Dpts
Emprunts
Gestion
Conservation
Corporate
Institut.
Consomma.
Actions
Effets
Obligations
Interbanc.
Corporate
Institut.
Interbanc.
Emissions
Discrtionn.
Assiste
Coffres
Correspond.
103
Division dune banque par domaines dactivits
RISQUES CREDIT
Trsorerie
Autres activits
Trading et investissement
Trade finance
Prts et engagements
Transfert de fonds
COMPENSATION
Dpts Activits fiduciaires
104
Division dune banque par domaines dactivits
Risques crdit Par contreparties
Secteur public
Grandes entreprises
P.M.E.
Particuliers
...
Par fonctions
Evaluation contreparties / garanties
Octroi - autorisation
Respect des lignes / limites
Consommation en fonds propres
...
105
Division dune banque par domaines dactivits
Dpts Par produits
Dpts vue
Dpts terme
Livrets d'pargne
Bons de caisse
...
Par fonctions
Ouverture de comptes
Gestion des dpts et retraits
Clture des comptes
Gestion des postes restantes
...
106
Division dune banque par domaines dactivits
Prts et engagements Par produits
Crdits hypothcaires
Prts personnels
Crdits dinvestissements
Financements et exploitation
...
Par fonctions
Octroi et approbation
Transferts de fonds
Gestion des en cours
Rmunration (intrts et commissions)
...
107
Division dune banque par domaines dactivits
Trade finance Par produits
Lettres de crdits
Forfaiting
Escomptes
Performance bonds
...
Par fonctions
Refinancements - mobilisation
Assurance (OND)
Octroi et documentations
Suivi des sinistres
...
108
Division dune banque par domaines dactivits
Autres activits
Par services
Conseil en financements
Assurances
Placements privs
Mergers / acquisitions
Immobilier
Emissions
...
Par fonctions
Etablissement : revue des contrats
Fixation des commissions
Documentation / analyse
...
109
Division dune banque par domaines dactivits
Trsorerie Par produits
Placements interbancaires
Repos
Certificats de dpts
Certificats de trsorerie
...
Par fonctions
A.L.M.
Etablissements : enregistrements des deals
Confirmations
Contrle des positions / limites
...
110
Division dune banque par domaines dactivits
Trading et investissements
Par produits
Change spot
Change terme
Swaps et drivs
Options et drivs
Obligations et actions
...
Par fonctions
Enregistrement / confirmation
Reporting / suivi des positions
Respects des limites / lignes
Instructions rglements
Evaluation / rsultats
...
111
Division dune banque par domaines dactivits
Activits fiduciaires Par services
Gestion de fortune
Discrtionnaire
Assiste
Conservation dactifs
Corporate actions
...
Par fonctions
Procdures dacceptation
Communication clientle
Sauvegarde des actifs
...
112
Division dune banque par domaines dactivits
Compensation
Par produits
Par domaines
Comptes Nostro - suivi des rconciliations
Comptes avec banques centrales
En cours de recouvrements
Conformit aux instructions internes / externes
...
113
La stratgie daudit
et sa ralisation
114
Stratgie daudit interne
Le but de la stratgie daudit interne focaliser les ressources disponibles sur les composants
prsentant les risques les plus levs
Outils permettant de mesurer / quantifier les risques
115
Audit Interne : Application de la squence COSO
Dterminer
les objectifs
organisationnels
Evaluer
les risques
Dterminer
les contrles
ncessaires
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
Nouvelle mthodologie : Risk Based Auditing
116
Classify by Risk Type
Identify Key Controls
Core Business Processes
Develop Internal
Audit Plan
Key Business Objectives
Strategic
Systems
Operational
Financial
Compliance
High
Moderate
High
High
Low
High
Low
Moderate
High
Low
Moderate
Low
Key Components Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit
Lvolution du mtier daudit interne
117
Identification des objectifs par processus
118
Identification des risques
119
Identification des contrles
120
Evaluation des risques et des contrles
121
Identifier et valuer les contrles - cls : exemples
Sparation des fonctions
Comptence du personnel
Autorisation et supervision
Restriction d'accs
122
Identification des gaps
123
Approche daudit
Understand and assess control environment
Understand and update our information about the systems and the computer environment
Plan to rely on controls
and limit substantive tests?
Design substantive
tests to obtain high
assurance
Select and test monitoring controls to confirm
assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
Document and assess
application and general computer controls
No controls
reliance
YES
NO
High controls reliance Some
Controls
reliance
No tests
of controls
Document and assess
monitoring controls
124
Bnfices
Test les contrles cls
Diminue la charge de tests substantifs
Facilite lintervention (interim vs. final)
Travail plus enrichissant pour lquipe daudit
125
Documenter les contrles/ procdures daudit
Objectif du contrle/ de la procdure daudit appliqu Documents de base Echantillon Travail effectu Constatations Conclusions
126
Documenter les contrles/ procdures daudit
Tenue des documents daudit identification du composant audit
titre du document daudit
rfrence la page de garde
date
rfrence au programme daudit
cross rfrences
identification de lauditeur
Evidence dune revue du travail effectu Rgles en matire de conservation et archivage des
dossiers
127
Les constatations et conclusions
Types de constatations possibles incidents isols
absences / dficiences de contrle interne
erreurs (non volontaires)
irrgularits ( caractre volontaire ou accept)
les fraudes
Lauditeur doit conclure, si sur base des constatations, il est en mesure daffirmer que lobjectif daudit a t rempli
128
Dfinition dun plan dactions
129
Dterminer un plan daudit pluriannuel
Le plan stratgique doit contenir les informations suivantes :
responsabilits et champ dintervention de laudit interne
budget des ressources par rapport aux composants
les priorits daudit
dtails des revues spcifiques et de leur sponsor spcifique
information quant la collaboration avec lauditeur externe
la nature et la frquence du reporting au comit daudit et la direction
Le plan stratgique doit tre formellement approuv par lautorit laquelle lAudit Interne rapporte fonctionnellement
130
Plan Pluriannuel
PRIORITE OU RISQUE PERIODICITE DES MISSIONS
ELEVE
MODERE
FAIBLE
INSIGNIFIANT
2 x/ an
1 x/ an
1 x/ an
1 x/ 3 ans
BUT
EFFICIENCE
RESSOURCES NECESSAIRES
MOYEN
CONSERVER RESERVE ANNUELLE POUR
MISSIONS AD HOC
131
Reporting au Management
132
Exemple doutil de travail : DB Notes
133
Dcomposition du travail faire en Area/Task/Step
134
Documentation du travail : WP, Issues, Coaching Notes
135
Evaluation de ltat davancement du travail et de la revue
136
Liste des problmes soulevs et recommandations faites
137
Gestion des points en suspens et des commentaires de revue
138
Project management : attribution de tches, de timing, de cots
139
Gestion du temps et/ou du budget
140
Reporting et suivi
Rapport daudit
Rapports rsums aux organes
de surveillance et de direction
(Comit daudit, Direction gnrale)
Rapport annuel dactivit
Suivi des rapports
141
Rapport daudit - les constatations
Traitement de leurs consquences
Erreurs
constates Faiblesses
constates
Extension
des travaux
Erreurs
isoles
Erreurs
systmatiques
Douteuses? Caractre douteux?
Non Oui Non
Mention Comit de
Direction
Recommandation
et suivi
142
Rapport daudit
Pas de format idal Contenu
executive summary
dcrire les objectifs et le travail accompli
les constatations doivent tre tayes
les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci
les commentaires des responsables des services audits doivent tre inclus dans le rapport final
143
Rapports rsums aux organes
de surveillance et de direction
Pas de format idal Contenu
aperu du travail effectu
les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci
les responsables pour lapplication des recommandations
un calendrier de mise en oeuvre
144
Rapport annuel dactivit
Pas de format idal Contenu
Revue du travail accompli
Les grands risques identifis
Un rsum des principales recommandations
Une valuation gnrale de la qualit du contrle interne
145
Suivi des rapports
En cas de dficiences importantes constates lors de contrles antrieurs, un suivi est ncessaire
Les rapports de suivi doivent comprendre les points soulevs lors du prcdent audit
les mesures prises par le management
ladquation des mesures prises
Pour les dficiences lgres, il y a lieu dassurer un suivi loccasion du prochain audit
Mise en place dune base de donnes des constatations et du suivi effectu
146
COBIT - Un cadre de rfrence intgr
pour valuer les systmes dinformation
147
COBIT - Un cadre de rfrence intgr
pour valuer les systmes dinformation
Control Objectives for Information and Related Technology
148
Centralised
IT Control
End-user
empowerment
IT role as enabler
ITs future an organisational shift
The future will require a dramatic rethinking of how IS organisations are run, how they are measured and controlled, and their relationship and involvement with the "business"
By 2001, 70 % of enterprises will have adapted their IT organisational structure into a "federated business of IT Model" (Gartner)
149
IT has been the longest running disappointment in business
in the last 30 Years! Jack Welch, CEO
GE, 1997
Personal & visual
contact
Complexity &
Growth
Technology can help fulfil a visionary dream, but often its
use is closer to a sobering nightmare! Vesa Vaino, CEO
Merita, 1998
Ten years ago we were afraid of rockets destroying
computing centres. right now, we should be aware of
software errors destroying rockets
Managements major control concern for IT
150
Typical five problems listed by senior executives*
IT investments are unrelated to business strategy
Payoff from IT investments is inadeqate
Theres too much (e)technology for technologysake
Relations between IT users and IT specialists is poor
System designers do not consider userspreferences and work habits
* Harvard Business Review
151
Networks
Operating System
DBMS
Applications
Diffrents niveaux de contrles
152
CobiT: Champ d intervention et objectifs
Dfinition des standards gnralement appliqus et accepts en matire de contrles des systmes informatiques
Approche convenant tant aux contrles des applications quaux systmes dinformation dans leur ensemble
Standards tablis sur cadre de rfrence dun modle de contrle de la fonction IT
Approche oriente vers le Management
153
CobiT Principles
IT
R
E
S
O
U
R
C
E
S Data
Applications
Technology
Facilities
People
Effectiveness
Efficiency
Confidentiality
Integrity
Availibility
Compliance
Reliability
I
N
F
O
R
M
A
T I
O
N
B
U
S
I
N
E
S
S
What you get
What you need
Monitoring
Planning & Organisation
Acquisition & Implementation
Delivery & Support
154
Business requirements=Information criteria
effectiveness - deals with information being relevant and pertinent to the business process as well as
being delivered in a timely, correct, consistent and usable manner.
efficiency - concerns the provision of information through the optimal (most productive and economical)
usage of resources.
confidentiality - concerns protection of sensitive information from unauthorized disclosure.
integrity - relates to the accuracy and completeness of information as well as to its validity in accordance
with the business' set of values and expectations.
availability - relates to information being available when required by the business process, and hence
also concerns the safeguarding of resources.
compliance - deals with complying with those laws, regulations and contractual arrangements to which
the business process is subject; i.e., externally imposed business criteria.
reliability of information - relates to systems providing management with appropriate information
for it to use in operating the entity, in providing financial reporting to users of the financial information, and
in providing information to report to regulatory bodies with regard to compliance with laws and regulations.
155
Information Technology resources
Data : Data objects in their widest sense, i.e., external and internal, structured
and non-structured, graphics, sound, etc.
Application Systems: Application systems is understood to be the sum of
manual and programmed procedures.
Technology: Technology covers hardware, operating systems, database
management systems, networking, multimedia, etc.
Facilities: Resources to house and support information systems.
People: Staff skills, awareness and productivity to plan, organise,acquire,
deliver, support and monitor information systems and services.
156
IT Processes
Natural grouping of processes,
often matching an organisational
domain of responsibility.
A series of joined activities with
natural (control) breaks.
Actions needed to achieve a
measurable result. Activities have
a life-cycle whereas tasks are
discrete.
Domains
Processes
Acivities
PO1 define a strategic IT plan
PO2 define the information architecture
PO3 determine technological direction
PO4 define the IT organisation and relationships
PO5 manage the investment in IT
PO6 communicate management aims and direction
PO7 manage human resources
PO8 ensure compliance with external requirements
PO9 assess risks
PO10 manage projects
PO11 manage quality
Planning & Organisation
157
CobiT Summary Table
158
CobiT Product Family
Implementation
Tool Set
EXECUTIVE SUMMARY
Framework with High-Level Control Objectives
Management Guidelines
Audit Guidelines
Detailed Control
Objectives
Key Performance and Goal Indicators Critical Succes Factors
Maturity Model
159
CobiT product definition
Executive Summary There is a Method ...
Framework The Method is ...
Control Objectives The desired results or purposes to be achieved by ...
Audit Guidelines Suggested Audit steps corresponding ...
Implementation Tool Set How to implement
Management Guidelines How to measure...
160
effe
ctiv
enes
sef
ficie
ncy
conf
iden
tiality
inte
grity
avai
labi
lity
com
plia
nce
relia
bility
peop
leap
plicat
ions
tech
nolo
gy
facilitie
sda
ta
Planning &
Organisation
Acquisiton &
Implementation
Delivery &
Support
Monitoring
IT Processes
Business
Requirements
Control
Statements
Control
Practices
The control of
which satisfy
is enabled by
and considers
P SPP P
CobiTs Waterfall and Navigation Aids
161
Control over the IT process of managing changes that satisfies the business requirement to minimise the likehood of disruption, unauthorised alternations, and errors is enabled by a management system which provides for the analysis, implementation and follow-up of all changes requested and made to the existing IT infrastructure and takes into consideration - identification of changes - categorisation, prioritisation and emergency procedures - Impact assessment - change authorisation - release management - software distribution
Example: IT Process Manage Changes
Key Goal Indicators
Reduced number# of errors introduced into systems due to changes
Reduced number# of disruptions (loss of availability) caused by poorly
managed change
Reduced impact of disruptions caused by change
Reduced level of resources and time required as a ratio to number# of changes
Number# of emergency fixes/time
.
Key Performance Indicators
Number# of different versions installed at the same time
Number# of software release/and distribution methods per platform
Number# of deviations from the standard configuration
Number# of emergency fixes for which the normal change management
process was not applied retro-actively
Ttime lage between availability of fix and implementation of it. .
ratio of accepted vs refused change implementation requests.
Critical Success Factors
Expedient and comprehensive acceptance test procedures are appliedprior to making the change.
There is a reliable hardware and software inventory.
There is segregation of duties between production and development
.
162
Le Comit d audit
163
Le comit daudit : une rgle fondamentale
du corporate governance
Le corporate governance comprend deux piliers importants :
Responsabilit : Rendre des comptes aux actionnaires et autres
intervenants
Communication : Comment lentreprise se prsente aux marchs
financiers et la communaut en gnral
Les comits daudit jouent un rle important dans ces deux processus
Il sagit dun organe de supervision assurant :
un contrle oprationnel du management
un contrle sur la fiabilit de linformation financire communique au
march
164
Limportance du comit daudit
Limportance des comits daudit composs majoritairement dadministrateurs indpendants est reconnue tant par les organes rglementaires (Commission europenne, SEC) que par les marchs
La plupart des codes de corporate governance contiennent des recommandations en la matire (adoption sur base volontaire)
Une enqute pan-Europenne mene par PwC en 1997(1) a rvl que mme en labsence de rgle contraignante
le taux dadoption tait relativement lev (plus de 60% des entreprises
interroges avaient mis en place un comit daudit)
Les pays o la pratique est la plus leve : Royaume-Uni, France et Suisse
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997
165
Lmergence de pratiques de rfrence internationales
Influence du Rapport Cadbury (remplac par le Combined Code ) sur les autres codes de corporate governance
Prises de position par des instances internationales
Commission europenne - Financial Services Policy Group [FSPG] DG
XV - "The Commission will continue to work alongside public and
private bodies to improve the framework for corporate governance."
OCDE - Global Governance Principles
Banque Mondiale et OCDE - Global Corporate Governance Forum
Groupes de pression
CalPERS (The California Public Retirement System)
Global Principles for Corporate Governance
Corporate Governance Market Principles, France, Allemagne,
Royaume-Uni et Japon
166
Une constante volution du rle du comit d audit
Rle traditionnel limit :
La revue des tats financiers
Supervision des relations avec les auditeurs internes et externes
Lexamen des recommandations relatives au contrle interne
Nouveaux challenges
La globalisation des marchs
Technologie
Complexit des transactions
Difficults conomiques
Risk management
Emergence de lthique
167
Une constante volution du rle du comit daudit
La globalisation des marchs qui a engendr une comptition accrue
Les dveloppements technologiques (internet et autres) et leurs influences sur la communication de linformation
La complexit des transactions et le fait que dans certains pays, les entreprises peuvent choisir parmi diffrents rfrentiels comptables (national, US ou IAS)
Les difficults conomiques qui ont rcemment affect lextrme orient, la Russie, lAmrique latine
La mise en place de systme de contrle interne intgr (COSO, Turnbull, KonTraG) et la supervision des risques oprationnels
Lmergence du corporate citizenship et ladoption de rgles thiques propres lentreprise (linfluence prpondrante du risque de rputation)
168
Une constante volution du rle du comit daudit
Fin 1998, Arthur Levitt, le Prsident de la SEC lana un appel solennel pour le renforcement du contrle de l information financire par les conseils d administration
La constitution du Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees (cfr. section spcifique en fin dexpos)
169
La mise en place dun comit daudit
Un principe fondamental
Lindpendance des administrateurs composant le comit daudit
Les tapes accomplir pour mettre en place un comit daudit efficace
Rdiger une charte du comit daudit
Nommer des membres qualifis
Lindpendance et lobjectivit des membres
La dure du mandat
La frquence des runions du comit
Allouer des ressources suffisantes
Formation des membres
170
Rdiger une charte du comit daudit
Importance d une charte crite (termes de rfrence) qui prcise de manire claire le rle du comit
Cadre de rfrence tant pour le comit, ses membres, le conseil
dadministration, la direction, les auditeurs internes et les reviseurs
Quid de la communication de la charte aux actionnaires? (inclure celle-ci
dans le rapport annuel)
La charte doit tre revue et approuve par le conseil dadministration. Elle doit permettre au comit de travailler de manire efficace
Elle doit tre utilise bon escient - exemples:
Servir de base pour tablir lagenda des runions du comit
Etre revue annuellement afin de sassurer que les objectifs sont atteints
Servir de cadre de rfrence pour les rapports aux conseil dadministration
171
Contenu de la charte
Les objectifs
Les pouvoirs du comit daudit
L organisation (la composition du comit, la frquence et la dure des runions)
Les rles et responsabilits en ce compris les qualifications requises et la dure du mandat de ses membres
Contrle interne
Reporting financier
Respect des lois et rglementations
Respect du code de bonne conduite
Les relations avec la direction, les auditeurs internes et les reviseurs
Les responsabilits en matire de rapport
Autres responsabilits ventuelles
172
Nommer des membres qualifis
Qualits requises
Intgrit
Disponibilit (en temps et nergie)
Comprhension de lactivit de lentreprise, de ses produits et services
Connaissance des risques inhrents et des contrles mis en oeuvre
Esprit inquisiteur et capacit de jugement indpendant
Capacit de proposer des perspectives nouvelles et des suggestions
constructives
Connaissances comptables et financires
173
Nommer des membres qualifis
Engagement et disponibilit
Comprendre les activits de lentreprise
Prparation et prsence aux runions
Runions informelles
Considrer le nombre de mandats des candidats potentiels
Taille du comit d audit
Suffisamment grand pour prsenter une vue quilibre
Suffisamment petit pour oprer de manire efficace
Gnralement entre 3 et 6 membres
Une enqute pan-Europenne mene par PwC en 1997 a rvl que plus
de 70% des comits daudit taient composs de 3 4 membres (1)
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997
174
Lindpendance et lobjectivit des membres
Des administrateurs indpendants
Du fait de son rle de supervision, lindpendance du comit daudit est
primordiale
Un comit uniquement compos d administrateurs indpendants est la
solution optimale
Indpendance?
Emploi ou ayant t employ au sein de l entreprise (au cours des 5
dernires annes)
Obtention dune rmunration / compensation de lentreprise ou dune
de ses filiales
Parent dun membre de la direction
Actionnaire principal ou tre le reprsentant de celui-ci
Administrateur dun actionnaire, dun client ou dun fournisseur
importants
175
La dure du mandat
En gnral : un terme 1 3 ans renouvelable 1 seule fois
Des termes plus longs ne sont pas incompatibles
Juste quilibre entre la continuit et la fracheur
Eviter que tous les mandats soient renouvels en mme temps
Utilit dun programme dvaluation de la performance des membres du comit daudit
176
La frquence des runions du comit
Dpend des objectifs et du champ dintervention du comit Les runions doivent tre rgulires et planifies (convocations, agenda, listes des participants, )
En moyenne, 3-4 runions par an
Un minimum de 3 runions correspondant aux phases du cycle de l laboration des tats financiers
Une runion avant la communication des rsultats intermdiaires
Une runion durant lexercice afin de discuter des programmes daudit
interne et externe, les questions de contrle interne afin didentifier les
ventuels problmes/domaines risques lis llaboration des tats
financiers en fin d exercice
Une runion avant lannonce des rsultats financiers (avec la mise
disposition des informations suivantes : annonce prliminaire, projet des
tats financiers, projet de rapport de gestion, commentaires sur la
performance financire et oprationnelle, constatations daudit)
177
Les principales responsabilits du Comit daudit
Le comit daudit exerce, pour le compte du conseil dadministration, la supervision des domaines et activits suivants :
Le contrle interne et du systme de risk management
Le reporting financier et le processus sous-jacent son laboration
Le processus mis en oeuvre pour assurer le respect des rglements
Le processus de suivi du respect du code de bonne conduite en vigueur au
sein de lentreprise
178
Le contrle interne
Lvaluation de la culture de contrle
Le conseil dadministration est responsable quant la mise en oeuvre dun
environnement de contrle interne adquat
Toutefois le comit daudit peut contribuer efficacement au renforcement
de la culture de contrle au sein de lentreprise. Il peut galement valuer
si le management communique de manire adquate limportance dun
bon systme de contrle interne ( tone at the top )
Le suivi de la mise en oeuvre des systmes de contrle interne
Le comit daudit sassurera que les actions prises par le management
garantissent la mise en oeuvre dun systme de contrle adquat
Les recommandations de laudit sont-elles mises en oeuvre?
Le comit daudit doit sassurer que les recommandations de laudit
(interne et externe) en la matire ont t correctement mises en place
179
Linformation financire
Les comptes annuels - un aspect primordial
Revoir le processus dlaboration des tats financiers (gestion des risques,
adquation des systmes comptables, mise en oeuvre des
recommandations de l audit en la matire, gestion du going concern )
Revoir les questions importantes de comptabilit et de reporting financier,
en ce compris les modifications de la rglementation en vigueur et
limpact de celles-ci sur les tats financiers
Le comit daudit doit revoir les tats financiers annuels et sassurer que
ceux-ci sont complets et consistants avec linformation dont disposent ses
membres. Il doit galement sassurer que les principes comptables ont t
respects
Revoir toutes les autres sections du rapport annuel et sassurer que les
commentaires sont consistants avec linformation dont disposent les
membres du comit daudit
Discuter les rsultats et constatations de l audit externe
180
Linformation financire
La revue de tout autre information financire sujette communication
De plus en plus, les comits daudit doivent revoir toutes les informations
financires publies par lentreprise :
annonces prliminaires
rsultats intermdiaires
briefings pour les analystes financiers
Le comit daudit doit comprendre
Comment la direction dveloppe cette information et limplication
ventuelle des auditeurs dans lexamen dune telle information
Obtenir de la direction et des auditeurs des explications quant au respect
des principes comptables et sassurer que linformation communique
rpond aux exigences en la matire
181
Les questions rglementaires, fiscales et juridiques
La revue de la fonction compliance
Le respect de la rglementation est devenu de plus en plus important
(particulirement dans les secteurs financiers)
Le comit daudit doit comprendre comment lentreprise sassure du
respect de ces rglementations :
Feedback du compliance officer
Briefing de la part du management
Avis des conseillers juridiques et fiscaux
Revue des rapports des autorits de contrle (CBF, OCA, )
La prvention des fraudes et des actes de corruption
182
Ethique et code de bonne conduite
Existence dun code de bonne conduite formalis
Corporate citizenship
Les socits dveloppent et mettent en oeuvre des codes de bonne
conduite. Le comit daudit devra valuer les mesures adoptes par le
conseil et la direction en la matire
Le comit daudit peut tre appel revoir la manire dont le code est mis
en oeuvre par la direction ( tone at the top )
Les procdures de suivi et de respect du code
Le comit daudit peut tre appel examiner les procdures mises en
place pour sassurer du respect du code de bonne conduite.
Le risque de rputation est-il correctement mesur?
Le comit daudit peut tre appel revoir les procdures mise en oeuvre
pour sauvegarder la rputation de lentreprise (cfr. Disney, Nike, Shell,
TotalFina)
183
Collaboration avec les auditeurs internes
Les responsabilits du comit daudit en la matire :
Revoir les activits et la structure organisationnelle de la fonction daudit
interne
Evaluer la qualification de la fonction daudit interne
Sassurer de lefficacit de laudit interne
184
Revues des activits et de la structure
organisationnelle de laudit interne
Le comit daudit doit runir les informations suivantes :
Revue de la charte daudit interne
Revue du programme daudit qui doit comprendre une valuation du profil
de risques de lentreprise
Les rapports d activits de laudit interne
Liste des projets et missions accomplies
Listes des projets en cours
Les principales constatations et recommandations
Une description du systme de suivi permettant de sassurer que les
recommandations sont mises en oeuvre par le management
Les informations relatives aux ressources actuelles du dpartement
Les plans de recrutement
185
Qualification de la fonction daudit interne
Le comit daudit doit sassurer des qualifications et des capacits des membres de laudit interne. Le comit d audit peut contribuer amliorer la qualit de laudit interne en dterminant si les auditeurs internes :
Ont ralis les objectifs qui leur taient assigns
Sont adquatement forms
Sont capables de matriser les systmes dinformation
Ont les qualifications professionnelles requises
Le comit daudit doit pouvoir valuer ladquation de la taille du dpartement daudit interne par rapport aux activits de lentreprise
Le comit daudit doit tre consult voire donner son approbation quant a lengagement, au remplacement ou la dmission du responsable du dpartement daudit interne
186
Efficacit de laudit interne
Le comit daudit doit sassurer que lentreprise utilise au mieux les ressources de laudit interne et lui fournit galement le support ncessaire laccomplissement de sa mission
Il devra s assurer que:
Le mandat de laudit interne est adquat
Laudit interne a une bonne matrise et comprhension des processus
oprationnels et des systmes dinformation
Laudit interne dispose des ressources suffisantes tant humaines que
financires
Le programme daudit est tabli dune manire adquate
Les domaines prsentant les risques les plus importants sont couvertes par
les investigations de laudit interne
Lentreprise met en oeuvre les recommandations de l audit interne
La collaboration avec les reviseurs est efficace
187
Efficacit de laudit interne (suite)
Le comit daudit devra galement considrer si la fonction pourrait tre mieux assure si certaines activits taient sous-traites (exemple : outsourcing de laudit informatique)
Il procdera ventuellement au benchmarking de la fonction daudit interne par rapport aux pratiques de rfrence
Revue indpendante des activits de laudit interne
188
Collaboration avec les reviseurs
Principales responsabilits du comit daudit
Revoir le champ dintervention de laudit et lapproche
Analyser les constatations de laudit des tats financiers
Analyser la performance des reviseurs
Considrer lindpendance des reviseurs
La participation du reviseur aux runions du comit daudit est conseille
189
Revoir le champ dintervention et lapproche
Revoir le champ dintervention et lapproche
Objectifs de laudit
Obligations en matire de reporting financiers et les dlais y affrents
Evaluation du systme de contrle interne
Les domaines sur lesquels laudit va se concentrer - Pourquoi?
Les changements de la rglementation comptable et leurs impacts
Limpact de certaines transactions sur les tats financiers
Revue des systmes dinformation
Coordination avec laudit interne
Audit des filiales - par qui, si par un autre reviseur, quelles sont les
procdures de reporting mises en oeuvre?
Responsabilit du reviseur dans la dtection derreurs matrielles, de
fraudes, dactes illgaux
190
Revoir le champ dintervention de laudit et lapproche
Le reviseur doit pouvoir avoir accs au comit:
En cas dventuelles restrictions imposes par la direction dans le cadre de
sa mission
La survenance de problmes importants et ncessitant une communication
immdiate (fraudes, malversations, systmes comptables dfaillants, )
191
Analyser les constatations de laudit des tats financiers
Runion du comit daudit, de la direction et du reviseur afin de prsenter les tats financiers et les constatations daudit
Le reviseur doit pouvoir prsenter les recommandations sur le contrle interne. Le comit doit interroger la direction sur les mesures correctrices mises/ mettre en oeuvre
Le comit daudit doit galement sassurer du suivi des recommandations mises lors des exercices prcdents
Ces discussions doivent avoir lieu avant la publication des comptes
Le comit Blue Ribbon recommande que le comit daudit aborde avec le reviseur la question de la qualit des rgles comptables adoptes par lentreprise
192
Analyser la performance des reviseurs
Critres pris en compte
Capacits professionnelles du reviseur et des collaborateurs impliqus
Lapproche daudit
La connaissance de lentreprise et de ses processus
La couverture gographique (dans le cas de groupe multinationaux)
Le comit daudit va galement fonder son jugement sur base dinformations quil demandera la direction (CFO et collaborateurs, Responsable de laudit interne, ). Il devra sassurer que les informations obtenues sont fiables et objectives
Le comit daudit doit galement revoir les honoraires et ventuellement les honoraires lis dautres travaux fournis par le reviseur ou un service li la socit daudit
Dans le cas de renouvellement du mandat ou de nouvelle nomination, le comit daudit doit pouvoir mettre un avis
193
Considrer lindpendance des reviseurs
Le comit daudit doit aborder la question de lindpendance du reviseur par rapport d autres services fournis (conseils en management, fiscalit, juridiques, )
194
La situation en Belgique
Recommandations de lautorit de march de la Bourse de Bruxelles labores par la Commission Belge du Corporate Governance (Commission Cardon) - 1998
Recommandations de la Commission bancaire et financire quant aux informations sur le corporate governance publier dans les rapports annuels - 1998
FEB - Recommandations en matire de corporate governance - 1998
Les directives de la CBF et de lOCA dans les secteurs bancaires et dassurances
195
La commission Cardon sur le corporate governance
Systme d adhsion et non de contrainte
Approche dite comply or explain (satisfaire ou expliquer)
Exposer dans le rapport annuel les circonstances ou les raisons spcifiques
expliquant une attitude divergente par rapport aux directives
Au titre 4 - Information et contrles : 4.3
La Commission Belge du Corporate Governance recommande de
mettre en place un comit d audit compos au moins de trois
administrateurs non excutifs, dont lordre de mission prcise
clairement les pouvoirs et les obligation
196
Les recommandations de la Commission Cardon
a Les comits daudit devraient formellement tre constitus au sein du conseil, auquel ils doivent rpondre et faire rapport rgulirement; leurs attributions devront tre communiques par crit, en ce qui concerne la composition des comits, leurs pouvoirs et leurs obligations; ils devront se runir au moins deux fois par an .
b Tous les membres devrait tre des administrateurs non-excutifs, la majorit dentre eux devraient tre des administrateurs indpendants au sens de la rgle 2.2 du prsent code .
c Le comit daudit devrait rencontrer les auditeurs internes et externes (y compris les commissaires reviseurs) au moins une fois par an. Cette rencontre peut avoir lieu en labsence de la direction pour sassurer quil ne subsiste aucun sujet de proccupation non rsolu .
197
Les recommandations de la Commission Cardon
d Le comit daudit devrait avoir le pouvoir explicite denquter dans toute matire qui relve de ses attributions, disposer des ressources ncessaires cette fin et de laccs toute linformation. Le comit devrait pouvoir demander des avis dexperts internes et externes et, le cas chant, inviter des experts externes assister au runions, compte tenue de la procdure dfinie au point 1.6 .
e La composition du comit devrait tre publie dans le rapport annuel .
198
Recommandations de la CBF quant aux informations sur le corporate
governance publier dans les rapports annuels
Comits crs par le conseil d administration
Indication des ventuels comits crs par le conseil dadministration
(autres que ceux viss au point 4 - gestion journalire), de leur
composition, de leurs attributions, de leur mode de fonctionnement et de
leur frquence de runions (exemples : bureau du conseil, comit
stratgique, comit daudit, comit des nominations, comit des
rmunrations, ) .
199
Recommandations de la FEB en matire de corporate governance
Recommandations publies en 1998
Inspire de Cadbury et vise essentiellement les grandes socits et
socits cotes
Adoption sur base volontaire
4.3 Le conseil d'administration doit exercer une fonction d'audit. Il peut constituer cette fin un comit d'audit dont il arrte la composition et la mission.
S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes :
a ) Il est une manation du conseil d'administration devant lequel il
est responsable et devant lequel il rend rgulirement compte de sa
mission. Il se runit au moins deux fois l'an .
b) La composition du comit est arrte par le conseil
d'administration.Il veillera ce qu'il comprenne des administrateurs
non excutifs et des administrateurs indpendants ....
200
Recommandations de la FEB en matire de corporate governance
S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes :
c) Les commissaires-rviseurs et, lorsqu'il y en a, le responsable de
l'audit interne ainsi que le directeur financier, devraient assister aux
runions du comit.Ces runions sont galement ouvertes tous les
administrateurs qui le souhaitent .
d) Le comit devrait entendre les commissaires-rviseurs au moins
une fois par an en-dehors de la prsence des administrateurs
excutifs .
e) Le comit possde les pouvoirs d'investigations les plus larges
dans son domaine, et peut par une dcision majoritaire faire appel
des professionnels extrieurs la socit et les faire assister le cas
chant ses runions .
f) La composition du comit est publie dans le rapport de gestion et
le prsident du comit rpond aux questions qui lui sont poses
l'assemble gnrale au sujet de l'activit du comit .
201
Avis et Recommandations de la
Commission bancaire et financire
202
Internal control
Internal audit
Supervision by auditor
Supervision by CBF
Conception et pratique du contrle prudentiel
Les cercles concentriques du contrle prudentiel
Rapport CBF 1996-1997 pp 26-31
203
Limportance du contrle interne
Le contrle interne :
Exigence de management
Exigences lgales/statutaires/prudentielles dans certains secteurs
Stratgie daudit
204
Exigences de management
Le management ne peut se fier uniquement aux contrles traditionnels pour protger la shareholder value.
Les contrles soft ainsi que les mcanismes de risk management sont les fondements dun systme de contrle interne intgr.
205
Exigences lgales, statutaires et prudentielles
Circulaire du 6 avril 1987 CBF formulait une srie de recommandations
relatives lexercice de la fonction daudit interne
Loi du 22 mars 1993 sur le statut et le contrle des tablissements de crdit
Article 20 instaure lobligation dune organisation administrative et comptable approprie et de procdures de contrle interne adquates
206
Exigences lgales, statutaires et prudentielles
Protocole sur lautonomie de la fonction bancaire Circulaire D1 97/4 du 30 juin 1997 sur le contrle
interne et laudit interne + Lettre circulaire D1/1690 du 9 juin 1998
8 grands principes traitant :
contrle interne
audit interne
comit daudit permanent - ce sujet cfr. section spcifique : Le comit daudit
Circulaire D1 99/1 du 12 mars 1999 sur les modalits du trialogue entre les Auditeurs Internes, les reviseurs agrs et la Commission
207
Exigences lgales, statutaires et prudentielles
Circulaire D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseur-audit interne
208
Autres exigences que celles de la CBF (pas exhaustif)
Framework for internal control systems in banking organisations - Basle Committee on Banking Supervision - September 1998
Recommandations en matire de Corporate Governance pour les socits cotes
Rapport de la Commission Cardon
Le conseil devrait veiller ce que la direction dveloppe et mette en oeuvre les instruments ncessaires afin dassurer un contrle interne suffisant et efficace
Cadbury/Hampel/Turnbull - Combined Code (Septembre 99)
Rapport du commissaire-reviseur sur ladquation du contrle interne
209
Contrle interne
Principe 1 Le conseil d'administration doit :
vrifier ladquation du contrle interne
stimuler une attitude positive lgard du contrle
Principe 2 Le comit de direction doit :
mettre en place un contrle interne adquat
procder son valuation
informer le conseil dadministration de ltat de la situation (le cas chant par lintermdiaire du comit daudit)
210
Audit interne
Principe 3 Le comit de direction doit
prendre les mesures pour que ltablissement dispose en permanence dune fonction daudit adquate
211
Audit interne
Principe 4 Le service daudit interne
est indpendant
rapporte directement au comit de direction
a la facult dinformer directement le conseil
d'administration et le comit daudit
dispose dun statut appropri dfini par la charte daudit
objectif et porte de la fonction
la place dans lorganisation, les comptences et
responsabilits
excute ses missions avec impartialit
ne peut pas tre impliqu dans les tches oprationnelles
212
Audit interne
Principe 5 La comptence de chaque auditeur et du service daudit
interne dans son ensemble est essentielle
motivation et formation permanente
comptence individuelle apprcie en fonction des missions
comptence dans son ensemble
rotation des tches pour viter laccoutumance
recours des experts externes et sous-traitance
Indpendance par rapport au commissaire-reviseur agr
213
Audit interne
Principe 6 Chaque activit et chaque entit de ltablissement entrent
dans le champ dinvestigation du service daudit interne
examen et valuation de ladquation du contrle interne
laudit interne vrifie :
le respect des politiques
la matrise des risques
la fiabilit de linformation financire, de gestion, de reporting
externe
la continuit et la fiabilit des systmes dinformation
le statut lgal de contrle
214
Audit interne
Principe 7 Le travail daudit comprend ltablissement dun plan
daudit, lexamen et lvaluation de linformation disponible, la communication des rsultats et leur suivi
Le plan daudit dtermine les objectifs atteindre
Ces objectifs peuvent ncessiter diffrentes mthodes
Audit de conformit, Audit financier, Audit oprationnel
Audit de gestion / management
Programme de travail
Documents de travail
Rapport crit
Suivi
215
Audit interne
Principe 8 Le responsable du service daudit interne dirige son service
de manire adquate
Respect des principes dicts par la CBF
Il est responsable de ltablissement
de la charte daudit interne
dun plan daudit pluriannuel fond sur une analyse mthodiques des
risques
de politiques et procdures crites en matire daudit interne
Communication au comits de direction et de surveillance
rapport dactivit, rsum des recommandations & tat du suivi
Tout remplacement du responsable de laudit interne doit tre notifi la
CBF
216
Comit daudit
Le protocole de lautonomie de la fonction bancaire Le conseil peut, sil le souhaite, se faire assister par un comit daudit
compos dadministrateurs non membres du comit de direction .
le comit daudit a pour but de faciliter lexercice effectif de la surveillance par le conseil dadministration. Il fonctionne soit sur une base permanente, soit dans le cadre de lexamen dun problme particulier .
De la mme manire que le conseil lui-mme, le comit daudit peut tout moment demander au comit de direction ou aux reviseurs des rapports spciaux sur tous aspects de lactivit de la banque. Il peut se faire produire tout renseignement ou document utile et faire procder toute investigation. Il peut notamment faire appel au service daudit interne de la banque, celui-ci demeurant toutefois sous la dpendance hirarchique du comit de direction. Le comit daudit fait rgulirement rapport au conseil dadministration. Son rle ne peut en aucune faon faire double emploi avec celui de laudit interne ni sy substituer .
Au cas o la banque souhaite crer un comit daudit, elle consulte pralablement la CBF au sujet de la dfinition des fonctions de ce comit et sa composition .
217
Comit daudit
Recommandation Le comit daudit permanent
rponse adquate aux difficults de lexercice collgial de la mission de surveillance
renforce le contrle interne et laudit interne
fortement recommand lorsque linstitution encoure des risques nombreux et complexes
Consultation pralable de la CBF avant la mise en place dun tel comit
218
Comit daudit
Charte du comit daudit dterminant composition
comptence
fonctionnement
modalits de rapport au conseil dadministration
Composition Au moins 3 administrateurs non membres du comit de
direction
Sans en tre membres, participent galement aux runions :
le prsident du comit de direction
lauditeur interne
le commissaire-reviseur agr
219
Comit daudit
Comptences Il peut
faire produire tout document ou renseignement
faire procder des investigations
fait appel laudit interne
Il doit
faire rapport rgulirement au conseil dadministration
Il ne peut pas
se substituer laudit interne
double emploi
laudit interne demeure sous la dpendance hirarchique du comit de direction
220
Comit daudit
Champ daction (en matire daudit interne) Favoriser la communication entre :
membres du conseil dadministration
membres du comit de direction
laudit interne
les commissaires-reviseurs agrs
la CBF
Valider la charte daudit
Valider le plan daudit et les moyens engags
Prendre connaissance du rapport dactivit
Prendre connaissance des principales recommandations et de leur suivi
221
Comit daudit
Champ daction (suite) Le commissaire-reviseur agr doit lui exposer son
programme daudit et faire part de ses conclusions et recommandations
Dlibration rgulire sur :
ltat du contrle interne
le fonctionnement du service daudit interne
linformation financire externe en ce compris
le respect des dispositions lgales et statutaires
Avis au conseil dadministration lors de la nomination du commissaire-reviseur agr
222
La Collaboration entre les reviseurs,
les auditeurs internes et la CBF
223
Relations audit interne et externe
EVOLUTION HISTORIQUE
1950 AUCUNE
COOPERATION
1970 ASSISTANCE DE
LAUDIT INTERNE
1990
COLLABORATION
MUTUELLE
DES AUDITEURS
1999
SYNERGIE CBF-
REVISEURS-
AUDIT INTERNE
224
Diffrences audit interne et externe
MANDATAIRES CONSEIL DIRECTION COMITE DAUDIT
LEGISLATEUR ACTIONNAIRE COM. BANCAIRE
DOMAINES
DINTERVENTION
SURVEILLANCE
PRODUIT FINAL
DETECTION DES FRAUDES
FINANCIER OPERATIONNEL GESTION
PLANS PROCEDURES REGLEMENT.
INTEGRITE ECONOMIE EFFICIENCE
FINANCIER COMPTABLE REGLEMENT.
LOIS COMM. REGLES COMPT. REGLEMENT.
COMPTES ANNUELS REGLEMENT.
RECOMMANDATIONS ATTESTATIONS
? ?
AUDIT INTERNE AUDIT EXTERNE
225
Dtection des fraudes
RESPONSABILITES MAL DEFINIES
RESPONSABILITE ULTIME
ADMINISTRATEURS
SI COMPTES ERRONES
COMMISSAIRE?
FRAUDES
FAILLITES
BANCAIRES FDIC
IMPROVEMENT
ACT (USA)
= EXAMEN ANNUEL DES CONTROLES INTERNES DES BANQUES > 150 M $
EXECUTER PAR AUDIT INTERNE OU EXTERNE
+ ATTESTATION DES COMMISSAIRES DE LA QUALITE ET DES RESULTATS DE LEXAMEN
AUDIT INTERNE?
226
Relations audit interne et externe
NORMES DISPONIBLES
AUDITEURS INTERNES
SIAS 5 INTERNAL AUDITORS RELATIONSHIP WITH
INDEPENDANT OUTSIDE AUDITORS
AUDITEURS EXTERNES
ISA 10 CONSIDERING THE WORK OF INTERNAL
AUDIT
REVISEURS DENTREPRISES
RECOM. UTILISATION DU TRAVAIL DUN SERVICE
DAUDIT INTERNE
PAS DE NORMES