Directives pour le contrôle interne Association suisse des banquiers (ASB) Juin 2002

Transcription

1 Directives pour le contrôle interne Association suisse des banquiers (ASB) Juin 2002

2 2 Table des matières Préambule 3 I. Définition, objectifs et délimitation 4 II. Surveillance par le management et culture du contrôle 6 a) Responsabilités du conseil d administration 6 b) Responsabilités de la direction 7 c) Philosophie du risque et culture du contrôle 7 III. Identification et évaluation des risques 8 IV. Activités de contrôle et séparation des fonctions 9 V. Information et communication 11 VI. Détection continue des déficiences et mesures de correction 12 Entrée en vigueur 13 Glossaire 14

3 3 Préambule Le système de contrôle interne constitue l un des principaux éléments de la gestion bancaire moderne. Un système de contrôle interne efficace est indispensable à une gestion conséquente des risques et contribue ainsi à la stabilité de l ensemble du système financier. Consciente qu un aménagement optimal du contrôle interne dépend de différents facteurs parfois étroitement liés à l établissement considéré (taille, champ d activité, structure du risque, organisation, degré d automatisation), l Association suisse des banquiers émet les présentes directives relatives au contrôle interne, dont l objectif est de formuler des principes généraux applicables à tous les établissements bancaires afin de permettre à chacun d entre eux d aménager son propre système de contrôle interne. Ces directives se fondent sur le «Framework for Internal Control Systems in Banking Organisations» élaboré en septembre 1998 par le Comité de Bâle sur le contrôle bancaire. Le contrôle interne s'entend au sens général et désigne ici l ensemble des mesures internes visant à soutenir la réalisation des objectifs de l'entreprise. Le contrôle du risque (Risk Control) et la compliance sont considérés comme faisant partie intégrante du contrôle interne.

4 4 I. Définition, objectifs et délimitation Le contrôle interne (système de contrôle interne) désigne l ensemble des processus, méthodes et mesures arrêtés par le conseil d'administration, la direction et les autres instances responsables de la conduite de l entreprise en vue de garantir le déroulement réglementaire des activités de l établissement. Les mesures d organisation du contrôle interne sont intégrées aux processus de travail de l établissement: soit elles accompagnent le travail, soit elles précèdent ou suivent son accomplissement. Le contrôle interne ne comprend donc pas uniquement les activités de contrôle en elles-mêmes, mais également celles en rapport avec la gestion et la planification. Le contrôle interne permet notamment: de réaliser les objectifs stratégiques de l établissement, de veiller au respect des lois et réglementations, de protéger le patrimoine de l entreprise, de détecter, limiter et éviter les éventuelles erreurs et autres irrégularités, de garantir la fiabilité et le caractère exhaustif de la comptabilité ainsi que la publication de rapports financiers fiables et ponctuels, de diriger efficacement l entreprise. En revanche, la révision interne (inspectorat) est un service indépendant des affaires courantes de l entreprise, qui opère au service du conseil d administration et dont la fonction première consiste à superviser le contrôle interne. Ses activités de surveillance et de conseil indépendantes et objectives contribuent à la création de valeur et à la réalisation des objectifs de l établissement en fournissant une procédure systématique et rigoureuse permettant d évaluer et d améliorer l'efficacité du contrôle interne et de la gestion d'entreprise. Le contrôle interne s inscrit dans un cadre continu: il doit faire apparaître les divergences existant par rapport aux objectifs fixés et indiquer le besoin d intervention, ce qui suppose qu il implique non seulement le conseil d administration et la direction, mais également l ensemble des collaborateurs.

5 5 Le processus de contrôle interne se compose de cinq éléments: surveillance par le management et culture de contrôle, identification et évaluation des risques, activités de contrôle et séparation des fonctions, information et communication, identification continue des déficiences et mesures de correction. Ces différents éléments sont liés et interdépendants.

6 6 II. Surveillance par le management et culture du contrôle a) Responsabilités du conseil d administration Le conseil d administration doit veiller à la mise en place et au maintien d'un contrôle interne conséquent. Il est notamment chargé: d approuver les décisions stratégiques et de les examiner périodiquement, d établir des plafonds adéquats afin que les types de risques encourus soient définis et sélectionnés de manière conséquente, de garantir la mise en place des mesures devant être prises par la direction dans le cadre du contrôle interne (identification, évaluation, surveillance et contrôle des risques encourus par la banque), ainsi que de veiller à ce que la direction contrôle l efficacité des systèmes de contrôle interne. Pour assumer ces responsabilités, le conseil d administration doit débattre régulièrement de l efficacité des mesures de contrôle interne avec la direction; procéder en temps utile à des évaluations des systèmes de contrôle par l intermédiaire du management, de réviseurs internes et externes et d autorités de surveillance; en tirer les conséquences qui s imposent; superviser l instauration et l exécution des mesures de correction nécessaires et examiner régulièrement la stratégie et les limites de risque. Le conseil d administration doit avant tout garantir la mise en place de mesures de correction adéquates en cas de déficiences avérées du contrôle interne. Le conseil d administration peut avoir recours à un comité d audit afin que celui-ci l'aide à assumer ses fonctions dans le domaine du contrôle interne. Le conseil d administration ne peut toutefois se dégager de l ensemble de ses responsabilités en la matière.

7 7 b) Responsabilités de la direction La direction est responsable de la mise en œuvre des stratégies et principes élaborés par le conseil d administration. Elle est notamment chargée: de développer des processus adaptés permettant d identifier, d évaluer, de surveiller et de contrôler les risques encourus par la banque, de maintenir et de justifier d une structure d organisation définissant clairement les responsabilités, les compétences et le flux d information, de garantir l exécution des tâches déléguées, ainsi que de veiller à l utilisation optimale des ressources dans le domaine du contrôle interne. La direction doit garantir à la fois la quantité et la qualité dans l exécution des tâches précédemment citées et répond en particulier de l expérience et de la qualification des collaborateurs en cause. Les structures d indemnisation et d encouragement du personnel ne doivent comporter aucune incitation à la négligence des mécanismes de contrôle interne. c) Philosophie du risque et culture du contrôle L attitude du conseil d administration et de la direction influence considérablement la culture d entreprise, notamment en matière de risque et de contrôle, qui doit refléter un degré d intégrité particulièrement élevé. Le conseil d administration et la direction doivent justifier et communiquer par écrit leur philosophie du risque et leur culture du contrôle. Les collaborateurs de tous les niveaux hiérarchiques doivent connaître et comprendre leurs responsabilités et leurs tâches dans le processus de contrôle interne. Le conseil d administration et la direction répondent de la formation du personnel, en particulier de l élaboration et de la mise en œuvre d un concept de formation. La pression exercée le cas échéant par le management sur les collaborateurs afin de les inciter à fournir de meilleures performances ne doit entraîner aucune négligence des mécanismes de contrôle.

8 8 III. Identification et évaluation des risques Un système de contrôle interne garantit que tous les risques susceptibles d influencer de manière substantielle la réalisation des objectifs de l entreprise puissent être détectés et évalués en temps utile au cours d un processus continu. Cette évaluation doit s attacher tout particulièrement aux risques de crédit, de pays, de transfert, de marché, de taux d intérêt et de liquidité ainsi qu aux risques opérationnels, juridiques et à ceux engageant la réputation de l établissement. Le système de contrôle interne doit également offrir la flexibilité nécessaire pour réagir rapidement et de manière adaptée à de nouveaux types de risques où à des risques jusque-là incontrôlés. Cette évaluation doit permettre d identifier les facteurs intervenant dans les décisions, d en tirer des conséquences, de déduire les évolutions possibles et d élaborer des solutions alternatives sur cette base. La gestion du risque doit être effectuée au moyen de méthodes adéquates qui tiennent compte des particularités de l établissement. Les facteurs d influence internes (p.ex. complexité de la structure d organisation ou des activités) et externes (p.ex. conditions économiques ou évolution technologique) doivent être pris en compte. La gestion du risque doit être effectuée aux niveaux d organisation adéquats. Il est notamment nécessaire de veiller à ce que l ensemble des informations relatives à la gestion du risque soient disponibles à un degré d agrégation et de détail adapté à chaque niveau hiérarchique.

9 9 IV. Activités de contrôle et séparation des fonctions Les activités de contrôle font partie intégrante des processus de travail. Il faut distinguer les contrôles axés sur les processus, les contrôles axés sur les résultats et l observation des comportements. Les contrôles des processus ont pour but de détecter les divergences existant par rapport aux objectifs fixés alors qu il est encore temps d entreprendre des mesures de correction (ex ante). Les contrôles des résultats permettent d examiner le degré de réalisation des objectifs en comparant les objectifs fixés aux résultats effectivement obtenus. Ils sont mis en place lorsqu il n est pas nécessaire et/ou possible d entreprendre des mesures de correction immédiates (ex post). L observation des comportements consiste à examiner le comportement des individus et des unités d organisation. Elle est surtout effectuée lorsque les résultats ne sont pas observables. Il faut avoir recours méthodiquement aux types de contrôle suivants: Surveillance par les hautes instances de l entreprise: le conseil d administration et la direction doivent recevoir régulièrement des rapports de performance et les examiner de manière critique (p.ex. évolution des résultats financiers par rapport au budget et aux objectifs, par exemple). Activités de contrôle: tous les niveaux hiérarchiques concernés doivent recevoir régulièrement (sur une base quotidienne, hebdomadaire ou mensuelle) des rapports de performance correspondant à leur échelon et les examiner de manière critique. Contrôles physiques: principe du double contrôle, limitation de l accès technique aux liquidités et aux objets de valeur, inventaires périodiques. Contrôle du respect des limites fixées: le contrôle d'exposition aux risques en fonction des limites fixées constitue un aspect important du contrôle du risque. Les limites applicables à certains débiteurs et contreparties peuvent notamment réduire le risque de crédit et contribuer ainsi à la diversification du profil de risque. Compétences (financières) et autorisations: contrôle sporadique et régulier du respect des compétences et autorisations pour certaines transactions. Surveillance et coordination de transactions ainsi que de modèles de gestion du risque.

10 10 L efficacité du système de contrôle interne exige de séparer distinctement les différentes fonctions et de minimiser l existence de conflits de responsabilité. Les mesures d organisation doivent donc garantir une séparation adéquate des fonctions ainsi que l indépendance du reporting. Le respect des dispositions du contrôle interne doit notamment être contrôlé par des unités d organisation n intervenant ni dans le négoce ni dans l octroi de crédits (séparation du back-office et du front office). Dans le cas où cette séparation des fonctions ne pourrait être mise en place en raison de la taille de l'établissement, il faudra veiller à confier aux différentes instances hiérarchiques des responsabilités de direction accrues.

11 11 V. Information et communication Un système de contrôle interne efficace suppose que les informations internes et externes nécessaires à la prise de décisions soient disponibles. Ces informations doivent être actualisées, fiables, cohérentes et accessibles. L'efficacité du système de contrôle interne exige en particulier des systèmes d'information adéquats, garantissant que toutes les informations importantes relatives aux domaines d activités de l établissement soient collectées, traitées et communiquées (Management Information Systems, MIS). Une importance particulière devra également être accordée à la communication des objectifs, résultats et mesures de contrôle interne à tous les échelons de l établissement. Les collaborateurs doivent tous connaître les principes et processus de contrôle interne impliquant leur propre responsabilité. L élaboration de structures d organisation appropriées doit également permettre au flux d information nécessaire à la coordination et à la faculté de réaction de circuler de manière «top down», «bottom up» et horizontale.

12 12 VI. Détection continue des déficiences et mesures de correction L efficacité du contrôle interne doit être contrôlée en permanence. Pour ce faire, la direction doit définir les responsabilités en conséquence. L identification et la surveillance des principaux risques doivent être assurées tout au long des affaires courantes et faire l objet d évaluations périodiques par le management et la révision interne (inspectorat). Les contrôles et les résultats établis (v. IV.) doivent, si possible, être documentés de manière appropriée. L'évolution des conditions internes et externes doit être prise en compte. Les changements suivants doivent notamment faire l objet de mesures de contrôle: lancement de nouveaux produits, croissance rapide de certains champs d'activité précis, fluctuations du personnel, nouveaux systèmes d'information, restructurations, fusions, modifications du cadre légal et réglementaire, modifications de l'activité internationale. L introduction de mesures de correction adéquates doit être garantie en cas d écarts et de déficiences avérés. Les services et échelons hiérarchiques concernés devront être informés des problèmes correspondants en temps utile. Le conseil d'administration et la direction devront également être informés pour les cas graves.

13 13 Entrée en vigueur Les présentes directives ont été adoptées par le Conseil d'administration de l'association suisse des banquiers (ASB) en date du 22 avril 2002 et approuvées par la Commission fédérale des banques (CFB) le 22 mai Elles entrent en vigueur à compter du 1 er janvier 2003 et remplacent les "Directives de 1987 sur le contrôle interne dans les banques: une tâche de la direction".

14 14 Glossaire Le glossaire suivant définit les principaux termes abordés dans les présentes directives. Ces définitions ont été élaborées afin d être aussi pertinentes que possible dans ce contexte précis et ne prétendent donc pas avoir de portée générale. Contrôle des processus: Forme de contrôle identifiant les divergences entre la situation et les objectifs fixés alors qu il est encore temps d entreprendre des mesures de correction (ex ante). Comité d audit (Commission d examen): Le comité d audit est un comité de l'organe responsable de la conduite de l entreprise, de la surveillance et du contrôle (comité spécialisé indépendant du conseil d'administration), qui se charge essentiellement de la méthode et de la qualité des révisions externes, de la qualité des rapports annuels ainsi que de la collaboration et de l indépendance de la révision interne et externe. Le comité d audit du conseil d administration est l interlocuteur privilégié de la société de révision. Il ne décharge pas le conseil d administration de sa responsabilité en matière de surveillance et de contrôle, mais assiste celui-ci dans l accomplissement de sa tâche. Compliance: Conformité des activités de l entreprise avec les dispositions légales, réglementaires et internes. L une des fonctions fondamentales de la direction consiste à garantir le respect de l ensemble des lois, statuts, règlements, directives, etc. La fonction de compliance assiste la direction dans l'accomplissement de cette tâche et veille au respect des dispositions applicables afin d identifier de manière précoce les risques relatifs à la réglementation et pouvant nuire à la réputation de l'établissement, de les éviter dans la mesure du possible et de garantir une activité irréprochable de l établissement. Contrôle des résultats: Forme de contrôle examinant la réalisation des objectifs en comparant les objectifs fixés et les résultats effectivement obtenus et qui est mis en œuvre lorsqu il n est pas nécessaire et/ou possible d entreprendre des mesures de correction (ex post). Contrôle interne (Internal Control): Le contrôle interne (système de contrôle interne) désigne l ensemble des processus, méthodes et mesures décidés par le conseil d administration, la direction ou les autres instances responsables de la conduite de l entreprise en vue de garantir le déroulement réglementaire des activités de l établissement. Le contrôle interne ne comprend donc pas uniquement les activités de contrôle en elles-mêmes, mais avant tout celles en rapport avec la gestion et la planification.

15 15 Révision interne (inspectorat, audit interne): La révision interne est une activité de surveillance et de conseil indépendante et objective, contribuant à la création de valeur et à la réalisation des objectifs en fournissant une procédure systématique et rigoureuse permettant d évaluer et d augmenter l'efficacité du contrôle interne et de la gestion d'entreprise. Activités de contrôle: Mesures de surveillance mises en place dans le cadre du contrôle interne et se composant notamment des contrôles des processus, des contrôles des résultats et de l observation des comportement. Contrôle du risque (Risk Control): Surveillance indépendante du profil de risque d un établissement. Le contrôle du risque constitue la base de la politique de risque de l entreprise (Risk Policy), de la propension au risque (Risk Appetite) ainsi que des limites de risque, qui doivent être fixées par les services compétents. Le contrôle du risque doit veiller à ce que le cadre fixé soit respecté. Gestion du risque (Risk Management): Gestion et restriction complètes et systématiques des risques sur la base de connaissances économiques et statistiques. La gestion du risque comprend l identification, la mesure, l évaluation, la gestion et l établissement de rapports sur des positions-risques simples ou agrégées. Philosophie de risque: Ensemble des stratégies et valeurs découlant de la façon dont une banque traite certains types de risques. Surveillance des comportements: Forme de contrôle du comportement d individus et d unités d organisation en lieu et place des résultats.