Directives pour le contrle interne Association suisse des banquiers (ASB) Juin 2002

Table des matires

Prambule I. II. Dfinition, objectifs et dlimitation Surveillance par le management et culture du contrle a) Responsabilits du conseil dadministration b) Responsabilits de la direction c) Philosophie du risque et culture du contrle III. IV. V. VI. Identification et valuation des risques Activits de contrle et sparation des fonctions Information et communication Dtection continue des dficiences et mesures de correction 3 4 6 6 7 7 8 9 11 12 13 14

Entre en vigueur Glossaire

Prambule
Le systme de contrle interne constitue lun des principaux lments de la gestion bancaire moderne. Un systme de contrle interne efficace est indispensable une gestion consquente des risques et contribue ainsi la stabilit de lensemble du systme financier. Consciente quun amnagement optimal du contrle interne dpend de diffrents facteurs parfois troitement lis ltablissement considr (taille, champ dactivit, structure du risque, organisation, degr dautomatisation), lAssociation suisse des banquiers met les prsentes directives relatives au contrle interne, dont lobjectif est de formuler des principes gnraux applicables tous les tablissements bancaires afin de permettre chacun dentre eux damnager son propre systme de contrle interne. Ces directives se fondent sur le Framework for Internal Control Systems in Banking Organisations labor en septembre 1998 par le Comit de Ble sur le contrle bancaire. Le contrle interne s'entend au sens gnral et dsigne ici lensemble des mesures internes visant soutenir la ralisation des objectifs de l'entreprise. Le contrle du risque (Risk Control) et la compliance sont considrs comme faisant partie intgrante du contrle interne.

I. Dfinition, objectifs et dlimitation

Le contrle interne (systme de contrle interne) dsigne lensemble des processus, mthodes et mesures arrts par le conseil d'administration, la direction et les autres instances responsables de la conduite de lentreprise en vue de garantir le droulement rglementaire des activits de ltablissement. Les mesures dorganisation du contrle interne sont intgres aux processus de travail de ltablissement: soit elles accompagnent le travail, soit elles prcdent ou suivent son accomplissement. Le contrle interne ne comprend donc pas uniquement les activits de contrle en elles-mmes, mais galement celles en rapport avec la gestion et la planification. Le contrle interne permet notamment: de raliser les objectifs stratgiques de ltablissement, de veiller au respect des lois et rglementations, de protger le patrimoine de lentreprise, de dtecter, limiter et viter les ventuelles erreurs et autres irrgularits, de garantir la fiabilit et le caractre exhaustif de la comptabilit ainsi que la publication de rapports financiers fiables et ponctuels, de diriger efficacement lentreprise .

En revanche, la rvision interne (inspectorat) est un service indpendant des affaires courantes de lentreprise , qui opre au service du conseil dadministration et dont la fonction premire consiste superviser le contrle interne. Ses activits de surveillance et de conseil indpendantes et objectives contribuent la cration de valeur et la ralisation des objectifs de ltablissement en fournissant une procdure systmatique et rigoureuse permettant dvaluer et damliorer l'efficacit du contrle interne et de la gestion d'entreprise. Le contrle interne sinscrit dans un cadre continu: il doit faire apparatre les divergences existant par rapport aux objectifs fixs et indiquer le besoin dintervention, ce qui suppose quil implique non seulement le conseil dadministration et la direction, mais galement lensemble des collaborateurs.

5 Le processus de contrle interne se compose de cinq lments: surveillance par le management et culture de contrle, identification et valuation des risques, activits de contrle et sparation des fonctions, information et communication, identification continue des dficiences et mesures de correction.

Ces diffrents lments sont lis et interdpendants.

II. Surveillance par le management et culture du contrle

a) Responsabilits du conseil dadministration Le conseil dadministration doit veiller la mise en place et au maintien d'un contrle interne consquent. Il est notamment charg: dapprouver les dcisions stratgiques et de les examiner priodiquement, dtablir des plafonds adquats afin que les types de risques encourus soient dfinis et slectionns de manire consquente, de garantir la mise en place des mesures devant tre prises par la direction dans le cadre du contrle interne (identification, valuation, surveillance et contrle des risques encourus par la banque), ainsi que

de veiller ce que la direction contrle lefficacit des systmes de contrle interne.

Pour assumer ces responsabilits, le conseil dadministration doit dbattre rgulirement de lefficacit des mesures de contrle interne avec la direction; procder en temps utile des valuations des systmes de contrle par lintermdiaire du management, de rviseurs internes et externes et dautorits de surveillance; en tirer les consquences qui simposent; superviser linstauration et lexcution des mesures de correction ncessaires et examiner rgulirement la stratgie et les limites de risque. Le conseil dadministration doit avant tout garantir la mise en place de mesures de correction adquates en cas de dficiences avres du contrle interne. Le conseil dadministration peut avoir recours un comit daudit afin que celui-ci l'aide assumer ses fonctions dans le domaine du contrle interne. Le conseil dadministration ne peut toutefois se dgager de lensemble de ses responsabilits en la matire.

7 b) Responsabilits de la direction La direction est responsable de la mise en uvre des stratgies et principes labors par le conseil dadministration. Elle est notamment charge: de dvelopper des processus adapts permettant didentifier, dvaluer, de surveiller et de contrler les risques encourus par la banque, de maintenir et de justifier dune structure dorganisation dfinissant clairement les responsabilits, les comptences et le flux dinformation, de garantir lexcution des tches dlgues, ainsi que de veiller lutilisation optimale des ressources dans le domaine du contrle interne. La direction doit garantir la fois la quantit et la qualit dans lexcution des tches prcdemment cites et rpond en particulier de lexprience et de la qualification des collaborateurs en cause. Les structures dindemnisation et dencouragement du personnel ne doivent comporter aucune incitation la ngligence des mcanismes de contrle interne.

c) Philosophie du risque et culture du contrle Lattitude du conseil dadministration et de la direction influence considrablement la culture dentreprise, notamment en matire de risque et de contrle, qui doit reflter un degr dintgrit particulirement lev. Le conseil dadministration et la direction doivent justifier et communiquer par crit leur philosophie du risque et leur culture du contrle. Les collaborateurs de tous les niveaux hirarchiques doivent connatre et comprendre leurs responsabilits et leurs tches dans le processus de contrle interne. Le conseil dadministration et la direction rpondent de la formation du personnel, en particulier de llaboration et de la mise en uvre dun concept de formation. La pression exerce le cas chant par le management sur les collaborateurs afin de les inciter fournir de meilleures performances ne doit entraner aucune ngligence des mcanismes de contrle.

III. Identification et valuation des risques

Un systme de contrle interne garantit que tous les risques susceptibles dinfluencer de manire substantielle la ralisation des objectifs de lentreprise puissent tre dtects et valus en temps utile au cours dun processus continu. Cette valuation doit sattacher tout particulirement aux risques de crdit, de pays, de transfert, de march, de taux dintrt et de liquidit ainsi quaux risques oprationnels, juridiques et ceux engageant la rputation de ltablissement. Le systme de contrle interne doit galement offrir la flexibilit ncessaire pour ragir rapidement et de manire adapte de nouveaux types de risques o des risques jusque-l incontrls. Cette valuation doit permettre didentifier les facteurs intervenant dans les dcisions, den tirer des consquences, de dduire les volutions possibles et dlaborer des solutions alternatives sur cette base. La gestion du risque doit tre effectue au moyen de mthodes adquates qui tiennent compte des particularits de ltablissement. Les facteurs dinfluence internes (p.ex. complexit de la structure dorganisation ou des activits) et externes ( p.ex. conditions conomiques ou volution technologique) doivent tre pris en compte. La gestion du risque doit tre effectue aux niveaux dorganisation adquats. Il est notamment ncessaire de veiller ce que lensemble des informations relatives la gestion du risque soient disponibles un degr dagrgation et de dtail adapt chaque niveau hirarchique.

IV. Activits de contrle et sparation des fonctions

Les activits de contrle font partie intgrante des processus de travail. Il faut distinguer les contrles axs sur les processus, les contrles axs sur les rsultats et lobservation des comporteme nts. Les contrles des processus ont pour but de dtecter les divergences existant par rapport aux objectifs fixs alors quil est encore temps dentreprendre des mesures de correction (ex ante).

Les contrles des rsultats permettent dexaminer le degr de ralisation des objectifs en comparant les objectifs fixs aux rsultats effectivement obtenus. Ils sont mis en place lorsquil nest pas ncessaire et/ou possible dentreprendre des mesures de correction immdiates (ex post).

Lobservation des comportements consiste examiner le comportement des individus et des units dorganisation. Elle est surtout effectue lorsque les rsultats ne sont pas observables.

Il faut avoir recours mthodiquement aux types de contrle suivants:

Surveillance par les hautes instances de lentreprise: le conseil dadministration et la direction doivent recevoir rgulirement des rapports de performance et les examiner de manire critique (p.ex. volution des rsultats financiers par rapport au budget et aux objectifs, par exemple).

Activits de contrle: tous les niveaux hirarchiques concerns doivent recevoir rgulirement (sur une base quotidienne, hebdomadaire ou mensuelle) des rapports de performance correspondant leur chelon et les examiner de manire critique.

Contrles physiques: principe du double contrle, limitation de laccs technique aux liquidits et aux objets de valeur, inventaires priodiques. Contrle du respect des limites fixes: le contrle d'exposition aux risques en fonction des limites fixes constitue un aspect important du contrle du risque. Les limites applicables certains dbiteurs et contreparties peuvent notamment rduire le risque de crdit et contribuer ainsi la diversification du profil de risque.

Comptences (financires) et autorisations: contrle sporadique et rgulier du respect des comptences et autorisations pour certaines transactions.

Surveillance et coordination de transactions ainsi que de modles de gestion du risque.

10 Lefficacit du systme de contrle interne exige de sparer distinctement les diffrentes fonctions et de minimiser lexistence de conflits de responsabilit. Les mesures dorganisation doivent donc garantir une sparation adquate des fonctions ainsi que lindpendance du reporting. Le respect des dispositions du contrle interne doit notamment tre contrl par des units dorganisation nintervenant ni dans le ngoce ni dans loctroi de crdits (sparation du back-office et du front office). Dans le cas o cette sparation des fonctions ne pourrait tre mise en place en raison de la taille de l'tablissement, il faudra veiller confier aux diffrentes instances hirarchiques des responsabilits de direction accrues.

11

V. Information et communication
Un systme de contrle interne efficace suppose que les informations internes et externes ncessaires la prise de dcisions soient disponibles. Ces informations doivent tre actualises, fiables, cohrentes et accessibles. L'efficacit du systme de contrle interne exige en particulier des systmes d'information adquats, garantissant que toutes les informations importantes relatives aux domaines dactivits de ltablissement soient collectes, traites et communiques (Management Information Systems, MIS). Une importance particulire devra galement tre accorde la communication des objectifs, rsultats et mesures de contrle interne tous les chelons de ltablissement. Les collaborateurs doivent tous connatre les principes et processus de contrle interne impliquant leur propre responsabilit. Llaboration de structures dorganisation appropries doit galement permettre au flux dinformation ncessaire la coordination et la facult de raction de circuler de manire top down, bottom up et horizontale.

12

VI. Dtection continue des dficiences et mesures de correction

Lefficacit du contrle interne doit tre contrle en permanence. Pour ce faire, la direction doit dfinir les responsabilits en consquence. Lidentification et la surveillance des principaux risques doivent tre assures tout au long des affaires courantes et faire lobjet dvaluations priodiques par le management et la rvision interne (inspectorat). Les contrles et les rsultats tablis (v. IV.) doivent, si possible, tre documents de manire approprie. L'volution des conditions internes et externes doit tre prise en compte. Les changements suivants doivent notamment faire lobjet de mesures de contrle: lancement de nouveaux produits, croissance rapide de certains champs d'activit prcis, fluctuations du personnel, nouveaux systmes d'information, restructurations, fusions, modifications du cadre lgal et rglementaire, modifications de l'activit internationale. Lintroduction de mesures de correction adquates doit tre garantie en cas dcarts et de dficiences avrs. Les services et chelons hirarchiques concerns devront tre informs des problmes correspondants en temps utile. Le conseil d'administration et la direction devront galement tre informs pour les cas graves.

13

Entre en vigueur
Les prsentes directives ont t adoptes par le Conseil d'administration de l'Association suisse des banquiers (ASB) en date du 22 avril 2002 et approuves par la Commission fdrale des banques (CFB) le 22 mai 2002. Elles entrent en vigueur compter du 1er janvier 2003 et remplacent les "Directives de 1987 sur le contrle interne dans les banques: une tche de la direction".

14

Glossaire
Le glossaire suivant dfinit les principaux termes abords dans les prsentes directives. Ces dfinitions ont t labores afin dtre aussi pertinentes que possible dans ce contexte prcis et ne prtendent donc pas avoir de porte gnrale.

Contrle des processus: Forme de contrle identifiant les divergences entre la situation et les objectifs fixs alors quil est encore temps dentreprendre des mesures de correction (ex ante). Comit daudit (Commission dexamen): Le comit daudit est un comit de l'organe responsable de la conduite de lentreprise , de la surveillance et du contrle (comit spcialis indpendant du c onseil d'administration), qui se charge essentiellement de la mthode et de la qualit des rvisions externes, de la qualit des rapports annuels ainsi que de la collaboration et de lindpendance de la rvision interne et externe. Le comit daudit du conseil dadministration est linterlocuteur privilgi de la socit de rvision. Il ne dcharge pas le conseil dadministration de sa responsabilit en matire de surveillance et de contrle, mais assiste celui-ci dans laccomplissement de sa tche. Compliance: Conformit des activits de lentreprise avec les dispositions lgales, rglementaires et internes. Lune des fonctions fondamentales de la direction consiste garantir le respect de lensemble des lois, statuts, rglements, directives, etc. La fonction de compliance assiste la direction dans l'accomplissement de cette tche et veille au respect des dispositions applicables afin didentifier de manire prcoce les risques relatifs la rglementation et pouvant nuire la rputation de l'tablissement, de les viter dans la mesure du possible et de garantir une activit irrprochable de ltablissement. Contrle des rsultats: Forme de contrle examinant la ralisation des objectifs en comparant les objectifs fixs et les rsultats effectivement obtenus et qui est mis en uvre lorsquil nest pas ncessaire et/ou possible dentreprendre des mesures de correction (ex post). Contrle interne (Internal Control): Le contrle interne (systme de contrle interne) dsigne lensemble des processus, mthodes et mesures dcids par le conseil dadministration, la direction ou les autres instances responsables de la conduite de lentreprise en vue de garantir le droulement rglementaire des activits de ltablissement. Le contrle interne ne comprend donc pas uniquement les activits de contrle en elles-mmes, mais avant tout celles en rapport avec la gestion et la planification.

15 Rvision interne (inspectorat, audit interne): La rvision interne est une activit de surveillance et de conseil indpendante et objective, contribuant la cration de valeur et la ralisation des objectifs en fournissant une procdure systmatique et rigoureuse permettant dvaluer et daugmenter l'efficacit du contrle interne et de la gestion d'entreprise. Activits de contrle: Mesures de surveillance mises en place dans le cadre du contrle interne et se composant notamment des contrles des processus, des contrles des rsultats et de lobservation des comportement. Contrle du risque (Risk Control): Surveillance indpendante du profil de risque dun tablissement. Le contrle du risque constitue la base de la politique de risque de lentreprise (Risk Policy), de la propension au risque (Risk Appetite) ainsi que des limites de risque, qui doivent tre fixes par les services comptents. Le contrle du risque doit veiller ce que le cadre fix soit respect. Gestion du risque (Risk Management): Gestion et restriction compltes et systmatiques des risques sur la base de connaissances conomiques et statistiques. La gestion du risque comprend lidentification, la mesure, lvaluation, la gestion et ltablissement de rapports sur des positions-risques simples ou agrges. Philosophie de risque: Ensemble des stratgies et valeurs dcoulant de la faon dont une banque traite certains types de risques. Surveillance des comportements: Forme de contrle du comportement dindividus et dunits dorganisation en lieu et place des rsultats.

___________________________________