COMMISSION BANCAIRE ET FINANCIERE Contrôle prudentiel des établissements de crédit Bruxelles, le 16 avril 1999 CIRCULAIRE D1 99/2 AUX ETABLISSEMENTS DE CREDIT ET AUX REVISEURS AGREES Madame, Monsieur, Dans son rapport annuel 1997-1998, la Commission bancaire et financière a exposé les mesures internes et externes qui sous-tendent le plan d action qu elle a élaboré en vue d accroître l efficacité du contrôle bancaire. En ce qui concerne les mesures externes, son attention se porte en priorité sur le renforcement des cercles concentriques du modèle de contrôle prudentiel (à savoir le système de contrôle interne de chaque établissement de crédit, son audit interne, le contrôle revisoral et le contrôle exercé par la Commission), ainsi que sur l amélioration de leur interaction. En 1997, la Commission bancaire et financière a établi la circulaire du 30 juin 1997 sur le contrôle interne et l audit interne, mettant ainsi l accent sur les premier et deuxième cercles du contrôle. La circulaire D1 99/1 du 12 mars 1999 relative à la mission des reviseurs agréés auprès des établissements de crédit traite du troisième cercle, à savoir le contrôle revisoral. Dans le cadre de la concertation trilatérale entre l Association belge des Banques (ABB), l Institut des Reviseurs agréés par la CBF (IRACBF) et la Commission bancaire et financière, la question de la synergie possible entre l audit interne, le reviseur agréé et la Commission a été examinée. Le texte joint en annexe à la présente circulaire résulte de cette concertation. Il présente un cadre de référence concret qui comporte les lignes de force ayant pour objet de favoriser la synergie visée par la Commission dans le modèle de contrôle prudentiel. L intention est de vérifier régulièrement si ce cadre de référence est toujours adapté, compte tenu notamment des éventuels développements observés sur le plan international. Le modèle de contrôle appliqué par la Commission bancaire et financière suppose l existence d un lien de confiance entre l établissement, son reviseur agréé et la Commission. Si cette confiance fait défaut, le modèle de contrôle ne peut plus fonctionner. A cet égard, la Commission attend des personnes chargées de la direction effective d un établissement de crédit qu elles l informent des décisions, faits ou évolutions qui peuvent influencer de façon significative la situation de l établissement en question. Pour ce qui est de l organisation du contrôle exercé par la Commission, je vous renvoie à la lettre du 29 septembre 1998 qui traitait de la réorganisation du contrôle bancaire et a été adressée à tous les établissements de crédit. La concertation régulière entre la Commission, le reviseur agréé et l auditeur interne doit être considérée comme un complément des entretiens entre la Commission et la plus haute direction de l établissement de crédit. La concertation ne remplace pas ces entretiens. avenue Louise 99, B-1050 Bruxelles téléphone +32(2)535.22.11 - télécopie +32(2)535.24.96./.
Le texte est transmis à tous les établissements de crédit et à tous les reviseurs agréés. Pour les succursales d établissements de crédit relevant de l Union européenne, cette circulaire est envoyée à titre informatif ; en effet, seule l autorité de contrôle du pays d origine est compétente. Cette circulaire n est pas normative mais peut être considérée comme un mémorandum qui expose le modèle de contrôle prudentiel, commente chaque fonction de contrôle et règle tant les relations que la collaboration entre les différentes fonctions. Elle constitue le modus operandi du trialogue. Toutes les circulaires actuelles de la Commission restent évidemment d application. Veuillez agréer, Madame, Monsieur, l expression de mes sentiments distingués. Le Président, Annexe : une J.-L. Duplat.
ANNEXE A LA CIRCULAIRE D1 99/2 DU 16 AVRIL 1999 SUR LA SYNERGIE CBF-REVISEURS-AUDIT INTERNE TABLE DES MATIERES 0. Aperçu des lignes de force 1. Importance de la collaboration entre les fonctions de contrôle (ligne de force n 1) 2. La surveillance interne exercée par l établissement de crédit lui-même (ligne de force n 2) 3. La fonction de contrôle des reviseurs agréés et la relation avec la Commission (ligne de force n 3) 4. La relation audit interne - reviseur agréé (ligne de force n 4) 5. La fonction de contrôle de la Commission : contrôle sur place (ligne de force n 5) 6. La relation audit interne - CBF (ligne de force n 6) 7. La concertation entre la CBF, les reviseurs agréés et les auditeurs internes (ligne de force n 7) * * *
0. Aperçu des lignes de force Ligne de force n 1 Dans l intérêt d un contrôle bancaire adéquat et en vue de parvenir à une synergie optimale, la CBF, les reviseurs agréés et l audit interne s efforcent d améliorer leur collaboration et leur interaction. Ligne de force n 2 La surveillance interne exercée par l établissement de crédit lui-même s appuie sur le contrôle interne et l audit interne. Dans ces domaines, la Commission s attache à formuler les bonnes pratiques bancaires et veille à leur suivi. Ligne de force n 3 La collaboration entre le reviseur et la Commission repose sur le principe que les tâches du reviseur, en tant que collaborateur du contrôle prudentiel, doivent constituer le complément de sa mission de droit privé. Ligne de force n 4 La Commission encourage la collaboration et la concertation entre les groupes professionnels des reviseurs agréés et des auditeurs internes. Elle tient à être tenue informée de cette concertation. Ligne de force n 5 Le contrôle sur place exercé par la Commission comprend tant des examens sur place que des inspections. Les inspections seront de préférence, mais non exclusivement, axées sur les domaines dans lesquels la CBF dispose d indications laissant présumer un risque accru ( risk based approach ). Des inspections peuvent également être effectuées pour examiner, dans plusieurs établissements, la même activité ou un aspect de celle-ci (inspections dites thématiques ou horizontales ). Ligne de force n 6 Dans l exercice de son contrôle, la Commission s appuie notamment sur la concertation périodique entre ses services et le responsable du service d audit interne. La Commission recommande en outre qu au niveau du secteur, une concertation structurée prenne place entre les auditeurs internes, dans un but d échange d informations. Ligne de force n 7 La collaboration entre la CBF, les reviseurs et les auditeurs internes prend appui sur une concertation périodique entre les parties concernées, tout en maintenant les responsabilités de chacune d elles.
1. Importance de la collaboration entre les fonctions de contrôle Ligne de force n 1 Dans l intérêt d un contrôle bancaire adéquat et en vue de parvenir à une synergie optimale, la CBF, les reviseurs agréés et l audit interne s efforcent d améliorer leur collaboration et leur interaction. La collaboration entre les différentes fonctions de contrôle doit être considérée à la lumière du modèle de contrôle prudentiel. Selon ce modèle, le contrôle prudentiel est organisé en quatre cercles concentriques. Les deux cercles intérieurs, à savoir le contrôle interne et l audit interne, ont trait à la surveillance exercée par l établissement de crédit lui-même; les deux cercles extérieurs, à savoir le reviseur et la CBF, constituent le contrôle externe. Il convient de veiller, dans l organisation du contrôle, à ce que tous les domaines à risque des établissements de crédit fassent l objet d un suivi adéquat, sans toutefois que les différentes fonctions de contrôle se recouvrent inutilement. La Commission doit garder une vue d ensemble de toutes les activités et de toutes les fonctions de contrôle. Il résulte de ce qui précède que chaque activité et chaque entité d un établissement de crédit est couverte par une fonction de contrôle, selon le principe couverture complète en matière de contrôle, avec léger recouvrement des fonctions, et qu il est fait usage, à cet effet, de la spécificité de chaque fonction de contrôle. Il paraît donc utile d examiner plus en détail les activités et les caractéristiques propres de chacune de ces fonctions. 2. La surveillance interne exercée par l établissement de crédit lui-même Ligne de force n 2 La surveillance interne exercée par l établissement de crédit lui-même s appuie sur le contrôle interne et l audit interne. Dans ces domaines, la Commission s attache à formuler les bonnes pratiques bancaires et veille à leur suivi. La circulaire du 30 juin 1997, fondée sur l article 20 de la loi bancaire, définit en termes généraux la notion de contrôle interne. Plusieurs circulaires de la CBF décrivent les bonnes pratiques bancaires en matière d organisation et de contrôle interne dans différents domaines (notamment les agents délégués, les opérations sur les marchés monétaire et des changes, le risque de taux d intérêt, etc.). En ce qui concerne l audit interne, la circulaire du 30 juin 1997 définit la mission et les modalités de fonctionnement du service d audit interne. Dans cette circulaire, la Commission recommande également la création d un comité d audit lorsque l établissement encourt des risques multiples et complexes. La circulaire traite également de la surveillance et du contrôle des risques. Cet aspect est considéré comme une mesure spécifique du contrôle interne. Chaque établissement doit prendre les mesures adéquates qui permettront d assurer le suivi et la maîtrise des
risques. Parmi les mesures possibles, l on peut citer l élaboration de politiques, l établissement de limites structurées et l identification, la mesure, le suivi et le reporting des risques ainsi qu une documentation adéquate des systèmes de maîtrise des risques utilisés et des procédures de traitement des opérations. Ce qui précède est fondé sur les travaux internationaux des autorités de contrôle européennes et du G-10. L article 4, paragraphe 4, de la directive 93/6/CEE du Conseil des Communautés européennes du 15 mars 1993 dispose que les établissements de crédit doivent instituer des systèmes de surveillance et de contrôle des risques de taux d intérêt afférents à l ensemble de leurs opérations. Ces systèmes sont soumis à la surveillance des autorités compétentes. Le document intitulé Amendement à l accord sur les fonds propres pour son extension aux risques de marché (Bâle, janvier 1996) prévoit que le service d audit interne doit procéder régulièrement (idéalement, au moins une fois par an) à un contrôle indépendant du système de maîtrise des risques. Ce contrôle doit porter tant sur les activités de la salle que sur celles du département de gestion des risques. Le document de Bâle décrit le contenu minimum de la mission très étendue du service d audit interne (voir l annexe 2, paragraphe h de l Amendement) 1. Si la mission du service d audit interne est très vaste, elle a aussi ses limites : en effet, en tant qu instrument de la direction, le service d audit interne ne peut pas remettre en cause les politiques établies par l établissement, ni l opportunité de certaines décisions prises en la matière. Cet élément est important sous l angle prudentiel car une politique imprudente peut compromettre la protection de l épargne publique et le bon fonctionnement du système du crédit. Il appartient à la CBF de surveiller cet aspect. Cette constatation ne porte pas atteinte aux dispositions de la circulaire qui prévoient que l audit interne doit réagir lorsque la direction de l établissement prend des décisions qui sont contraires aux dispositions légales et réglementaires ou à l intégrité et à la déontologie. Le responsable du service d audit interne peut informer à ce sujet le président du comité de direction ou du conseil d administration. Il s agit ici de constatations objectives et non pas d appréciations de la politique suivie ni de son opportunité. Comme indiqué plus haut, la Commission doit, dans le cadre de son contrôle global, pouvoir vérifier si les autres fonctions de contrôle, en l occurrence l audit interne, sont informées des risques encourus par l établissement et de la manière dont ils sont suivis. 1 La CBF évaluera le travail du service d audit interne dans ce domaine et le complétera, si nécessaire, par de propres inspections.
3. La fonction de contrôle des reviseurs agréés et la relation avec la Commission Ligne de force n 3 La collaboration entre le reviseur et la Commission repose sur le principe que les tâches du reviseur, en tant que collaborateur du contrôle prudentiel, doivent constituer le complément de sa mission de droit privé. Dans sa circulaire D1 99/1 du 12 mars 1999, la Commission a donné un nouveau commentaire de la mission de collaboration des reviseurs agréés, telle que décrite aux articles 50 à 55 de la loi bancaire. Les nouvelles instructions relatives à la mission des reviseurs agréés auprès des établissements de crédit partent du principe que les tâches du reviseur, en tant que collaborateur du contrôle prudentiel, doivent constituer le complément de sa mission de droit privé. La nouvelle circulaire met ainsi davantage l accent sur : un contrôle approfondi de la méthode utilisée par l établissement de crédit pour établir ses états périodiques, y compris les tableaux de description complémentaire (ceux-ci sont en effet indispensables pour les analyses financières de la CBF); le contrôle du caractère adéquat de l organisation et du contrôle interne ainsi que du respect du statut légal (est nouvelle, à cet égard, l attention que le reviseur doit porter à la fonction de compliance dans les établissements); les rapports à la CBF, comportant une description et une appréciation du contrôle interne et de l organisation (y compris de l audit interne); la fonction de signal et l échange d informations entre les reviseurs agréés et la CBF. 4. La relation audit interne - reviseur agréé Ligne de force n 4 La Commission encourage la collaboration et la concertation entre les groupes professionnels des reviseurs agréés et des auditeurs internes. Elle tient à être tenue informée de cette concertation. La relation audit interne - reviseur agréé concerne au premier chef ces deux professions. Il ressort des normes générales de revision de l Institut des reviseurs d entreprises (IRE) 2 que l examen, par le reviseur, du contrôle interne de l établissement de crédit porte notamment sur l organisation, les programmes et le fonctionnement du service d audit interne. Le reviseur peut utiliser le travail du service d audit interne 3 lorsque celui-ci répond à une série de normes comparables à celles prévues par la circulaire de la CBF sur l audit interne. Les travaux sur lesquels les reviseurs agréés peuvent s appuyer, porteront principalement sur l analyse et la vérification des mesures de contrôle interne prises par l entreprise. Le cas échéant, les reviseurs agréés pourront également s appuyer sur les contrôles comptables et 2 Norme 2.4.2.f. 3 La recommandation n 3 de l IRE concerne l utilisation du travail d un service d audit interne par un reviseur d entreprises dans le cadre de ses travaux de contrôle des états financiers d une entreprise.
financiers effectués par le service d audit interne. La norme IRE ne prévoit pas de collaboration dans les deux sens entre le service d audit interne et le reviseur agréé. Les normes établies par l Institute of International Auditors stipulent entre autres que le responsable du service d audit interne doit coordonner les audits interne et externe afin de parvenir à une couverture d audit adéquate et de réduire au maximum les doubles emplois 4. Selon cette norme, une collaboration dans les deux sens entre le service d audit interne et le reviseur agréé est possible. La Commission encourage la concertation entre les deux groupes professionnels afin de parvenir à une collaboration aussi efficace que possible. 5. La fonction de contrôle de la Commission : contrôle sur place Ligne de force n 5 Le contrôle sur place exercé par la Commission comprend tant des examens sur place que des inspections. Les inspections seront de préférence, mais non exclusivement, axées sur les domaines dans lesquels la CBF dispose d indications laissant présumer un risque accru ( risk based approach ). Des inspections peuvent également être effectuées pour examiner, dans plusieurs établissements, la même activité ou un aspect de celle-ci (inspections dites thématiques ou horizontales ). Comme exposé dans les rapports annuels 1996-1997 et 1997-1998 de la Commission, le contrôle sur place constitue l un des piliers du contrôle prudentiel, à côté du contrôle opérationnel et des tâches générales et de support du contrôle. Les activités de la 1ère Direction ont été réorganisées de manière à intensifier le contrôle sur place. Celui-ci comprend tant des examens sur place que des inspections. L objectif d un examen sur place est d arriver, en un temps limité, à mieux connaître l établissement, tant sur le plan de ses activités et de son organisation qu en ce qui concerne la façon dont la direction de l établissement organise la gestion des risques bancaires. Cet examen inclut également un entretien avec le responsable du service d audit interne. Ce type d examen se caractérise par deux concepts clés : un laps de temps limité et une récolte d informations. Combinés aux autres informations dont la CBF dispose, ces examens constituent un élément de l appréciation de l établissement. Un examen sur place n est pas une inspection. Une inspection se caractérise par une approche d audit, guidée par les principes d audit généralement admis. Les inspections sont dès lors effectuées par des collaborateurs ayant une expérience d audit. A cet égard, ils sont comparables aux collaborateurs des services d audit interne et aux reviseurs agréés. Les inspections portent principalement sur l organisation administrative et comptable et sur le contrôle interne de trois domaines d activité importants : l activité bancaire avec des contreparties professionnelles (activité de marché et propre portefeuille de placement), l activité bancaire pour les particuliers et les entreprises (activité de crédit et activité bilantaire avec la clientèle) et l activité de placement (gestion de fortune tant pour les particuliers que pour les institutionnels, investment banking et activité de conseil). Les inspections 4 Norme 550 de l IIA.
durent plus longtemps que les examens sur place, sont plus approfondies et débouchent sur des recommandations concrètes du service de contrôle. Une inspection a notamment pour objet de dresser l inventaire des risques encourus par l établissement et d analyser la manière dont celui-ci assure ou non le suivi de ses risques. Les inspections se déroulent selon la méthode transversale, c.-à-d. l approche globale d un domaine déterminé (approche également recommandée pour l audit interne - cf. le paragraphe 2.6.2, alinéa 2, de la circulaire du 30 juin 1997). Les indications de risque accru sont fournies par les autres instruments de contrôle, tels que l analyse financière, la collaboration revisorale, les examens sur place et les entretiens avec la direction de l établissement. Des inspections seront également effectuées en cas de problèmes graves dans un établissement de crédit. En effet, il n est que normal qu en situation de crise, tous les instruments de contrôle soient mis en oeuvre. Le Contrôle prudentiel des établissements de crédit prévoit également, dans le cadre de l appréciation des critères qualitatifs et quantitatifs appliqués pour la reconnaissance de modèles internes, une fonction permanente pour l inspection de ces modèles. La procédure que la Commission suit dans ce domaine est décrite de manière détaillée dans son rapport annuel 1996-1997 (p. 41 et suiv.). Vu l importance de l informatique et des applications informatiques dans les établissements financiers, le Contrôle prudentiel des établissements de crédit comporte également une fonction permanente en matière d informatique. Les modalités d une inspection dans le cadre de la synergie visée, conformément à la ligne de force n 1, sont les suivantes : une inspection est planifiée et effectuée en tenant compte des travaux de contrôle du service d audit interne et du reviseur agréé, tels qu ils ressortent de la concertation périodique. A cet égard, il conviendra d examiner dans quelle optique certains contrôles ont été effectués et quelle a été la méthodologie appliquée; l inspecteur peut, sur la base du programme d audit et des documents de travail du service d audit interne, examiner dans quelle mesure il pourra s appuyer sur le travail déjà effectué, afin d éviter les doubles emplois; au terme de son inspection, l inspecteur pourra fournir, au service d audit interne, des informations orales complémentaires sur ses constatations et les techniques d audit appliquées; le rapport d inspection mentionnera également la réaction de la direction de la banque aux recommandations formulées; le rapport d inspection est transmis par la CBF au président du comité de direction de l établissement de crédit, au reviseur agréé et au responsable du service d audit interne (avec la demande d informer le comité d audit, si celui-ci existe). Dans des cas exceptionnels uniquement, le rapport sera également transmis par la CBF au président du comité d audit (s il existe), avec une lettre explicative (s il n existe pas de comité d audit, le rapport pourra être transmis au président du conseil d administration).
6. La relation audit interne - CBF Ligne de force n 6 Dans l exercice de son contrôle, la Commission s appuie notamment sur la concertation périodique entre ses services et le responsable du service d audit interne. La Commission recommande en outre qu au niveau du secteur, une concertation structurée prenne place entre les auditeurs internes, dans un but d échange d informations. La concertation périodique entre les services de la Commission et le responsable du service d audit interne sera l occasion d identifier conjointement les domaines à risque, d examiner les mesures prises et de déterminer les travaux à effectuer par le service d audit interne ainsi que l angle sous lequel ces travaux seront menés. Il pourra également y être question de la collaboration entre le service d audit interne et les reviseurs. La Commission recommande que les auditeurs internes des établissements de crédit s associent. Ceci permettra la mise en place, au niveau du secteur, d une concertation entre les auditeurs internes et la Commission. 7. La concertation entre la CBF, les reviseurs agréés et les auditeurs internes Ligne de force n 7 La collaboration entre la CBF, les reviseurs et les auditeurs internes prend appui sur une concertation périodique entre les parties concernées, tout en maintenant les responsabilités de chacune d elles. La collaboration vise à accroître l efficacité de l apport de chacune des trois fonctions de contrôle, de manière à mettre en place un contrôle aussi optimal que possible. Cette collaboration repose sur la concertation périodique entre la Commission, les reviseurs agréés et les auditeurs internes. Au cours de cette concertation, des informations sont échangées sur les plans de contrôle respectifs. Une attention particulière est portée aux domaines de contrôle prévus, à la motivation du choix de ces domaines et au planning établi. La concertation est également l occasion d examiner comment l établissement a donné suite aux constatations et aux recommandations qui lui ont été communiquées. La collaboration visée ne peut être réalisée que dans la mesure où les autres fonctions de contrôle fonctionnent de manière optimale. A cet égard, il y a lieu de noter que le fonctionnement des deux cercles concentriques intérieurs peut, en tant que tel, faire l objet d une inspection.