COMMISSION BANCAIRE ET FINANCIERE

Contrôle prudentiel des entreprises d’investissement

ANNEXE 1 A LA CIRCULAIRE D1/EB/2002/6

DU 14 NOVEMBRE 2002

« CONTROLE INTERNE ET AUDIT INTERNE”

TABLE DES MATIERES

0. BASE LEGALE ET APERCU DES PRINCIPES

1. LE CONTROLE INTERNE
1.1. Définition et éléments constitutifs
1.2. Mesures générales de contrôle interne
1.3. Mesures spécifiques de contrôle interne
1.4. Responsabilité du conseil d’administration (principe n° 1)
1.5. Responsabilité du comité de direction (principe n° 2)

2. L’AUDIT INTERNE
2.1. Définition
2.2. Caractère permanent (principe n° 3)
2.3. Indépendance de l’audit interne par rapport aux activités auditées (principe n° 4)
2.3.1. Généralités
2.3.2. Charte d’audit
2.3.3. Impartialité
2.4. Compétence (principe n° 5)
2.5. Portée de l’audit interne (principe n° 6)
2.6. Planification, exécution, rapport et suivi (principe n° 7)
2.6.1. Planification
2.6.2. Méthode de travail et types d’audit
2.6.3. Programme de travail
2.6.4. Documents de travail
2.6.5. Rapport écrit
2.6.6. Suivi
2.7. Direction du service d’audit interne (principe n° 8)
2.8. Sous-traitance de la fonction d’audit interne dans les entreprises
de moindre taille

3. LE COMITE D’AUDIT
3.1. Définition
3.2. Recommandation
3.3. Composition, compétences et fonctionnement
3.4. Champ d’action

avenue Louise 99, B-1050 Bruxelles téléphone 02/535.22.11 - télécopie 02/535.23.08

COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

0. BASE LEGALE ET APERCU DES PRINCIPES

Dispositions légales
L’article 62 de la loi du 6 avril 1995 relative aux marchés secondaires, au statut des
entreprises d’investissement et à leur contrôle, aux intermédiaires et conseillers en
placements prévoit notamment que chaque entreprise d’investissement doit disposer d’une
organisation administrative et comptable appropriée et de procédures de contrôle interne
adéquates1.
Principe n° 1 :
Dans le cadre de sa mission de surveillance, le conseil d’administration vérifie
régulièrement si l’entreprise dispose d’un contrôle interne adéquat. Le conseil
d’administration stimule également une attitude positive à l’égard du contrôle.
Principe n° 2 :
Le comité de direction met en place un contrôle interne adéquat et procède à son
évaluation au moins chaque année. Il informe le conseil d’administration au moins une
fois par an de l’état de la situation, le cas échéant par l’intermédiaire du comité d’audit.
Principe n° 3 :
Le comité de direction prend, dans le cadre de ses devoirs et responsabilités, les mesures
nécessaires pour que l’entreprise dispose en permanence d’une fonction d’audit interne
adéquate.
Principe n° 4 :
Le service d’audit interne est indépendant des activités auditées. Cela implique que le
service dispose, au sein de l’organisation, d’un statut approprié et qu’il exécute sa
mission avec impartialité.
Principe n° 5 :
La compétence de chaque auditeur interne et du service d’audit interne dans son ensemble
est essentielle pour le bon fonctionnement de la fonction d’audit interne.
Principe n° 6 :
Chaque activité et chaque entité de l’entreprise entrent dans le champ d’investigation du
service d’audit interne.
Principe n° 7 :
Le travail d’audit comprend l’établissement d’un plan d’audit, l’examen et l’évaluation de
l’information disponible, la communication des résultats et leur suivi.
Principe n° 8 :
Le responsable du service d’audit interne dirige son service de manière adéquate.

1
L’article 62 de la loi du 6 avril 1995 transpose en droit belge l’article 10, premier tiret, de la directive
93/22/CEE du Conseil du 10 mai 1993 concernant les services d’investissement dans le domaine des
valeurs mobilières, qui prévoit que chaque entreprise d’investissement doit disposer de procédures de
contrôle interne adéquates. La directive 92/30/CEE du Conseil du 6 avril 1992 sur la surveillance
des établissements de crédit sur une base consolidée (telle que codifiée par la Directive 2000/12/CE
du 20 mars 2000), applicable aux entreprises d’investissement en vertu de l’article 7 de la directive
93/6/CEE du Conseil sur l’adéquation des fonds propres des entreprises d’investissement et des
établissements de crédit, prévoit une obligation similaire.

2
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

1. LE CONTROLE INTERNE

1.1. Définition et éléments constitutifs

Le contrôle interne se définit généralement comme l’ensemble des mesures qui, sous la
responsabilité de la direction de l’entreprise d’investissement, doivent assurer avec une
certitude raisonnable :
♦ une conduite des affaires ordonnée et prudente, encadrée d’objectifs bien définis;
♦ une utilisation économique et efficace des moyens engagés;
♦ une connaissance et une maîtrise adéquate des risques en vue de protéger le
patrimoine;
♦ l’intégrité et la fiabilité de l’information financière et de celle relative à la gestion;
♦ le respect des lois et règlements ainsi que des politiques générales, plans et
procédures internes.

Les mesures de contrôle interne tiennent compte des activités opérationnelles et

administratives de l’entreprise. Le contrôle interne fait en permanence partie intégrante
du fonctionnement de l’entreprise d’investissement. L’entreprise doit engager les moyens
nécessaires pour permettre d’atteindre, avec une certitude raisonnable, les objectifs
précités. Le coût des moyens mis en oeuvre constitue un élément nécessaire des frais de
fonctionnement de l’entreprise.

Le contrôle interne se compose des éléments suivants, étroitement liés entre eux :
♦ un environnement d’entreprise qui encourage une attitude positive à l’égard du
contrôle ;
♦ l’établissement d’objectifs, suivi de l’identification des risques et de leur analyse;
♦ l’élaboration de normes et de procédures destinées à maîtriser les risques afin de
permettre la réalisation des objectifs fixés;
♦ la mise en place de systèmes d’information et de communication afin de permettre la
divulgation et le suivi des objectifs en matière de contrôle interne au sein de
l’entreprise;
♦ l’identification, l’enregistrement et la communication d’informations pertinentes de
manière à permettre aux diverses entités de l’entreprise d’exercer de manière
effective les responsabilités qui leur sont assignées;
♦ un reporting - tant interne qu’externe - correct et effectué à temps, en recourant à des
systèmes d’information adéquats;
♦ la surveillance et l’évaluation régulière des mesures prises.

La responsabilité finale de la mise en place d’un contrôle interne adéquat repose tant sur
le conseil d’administration que sur le comité de direction, ainsi qu’il est précisé aux
paragraphes 1.4. et 1.5. ci-dessous.

3
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

1.2. Mesures générales de contrôle interne

Parmi les mesures générales de contrôle interne, on peut citer les mesures d’organisation
(telles que les définitions de fonctions et de responsabilités, le contrôle hiérarchique, la
séparation des fonctions), les mesures de contrôle (telles que les contrôles croisés, la
double signature, la vérification périodique des inventaires), les mesures comptables
(telles que la réconciliation des comptes, la justification des soldes, la tenue de registres
de contrôle) ainsi que les mesures visant à assurer la sécurité des personnes et des actifs.

1.3. Mesures spécifiques de contrôle interne

Outre les mesures générales de contrôle interne, l’entreprise d’investissement accorde

une attention particulière à la connaissance et à la maîtrise des risques ainsi qu’à
l’intégrité et à la fiabilité de l’information financière et de celle relative à la gestion, en
ce compris les obligations de reporting externe.

Les risques peuvent se répartir en deux groupes : les risques mesurables tels que, par
exemple, le risque de crédit, le risque de liquidité, le risque de marché et le risque général
de taux d’intérêt, et les risques non ou difficilement mesurables tels que, par exemple, le
risque d’erreurs et de fraude, le risque de conventions ou de documents juridiquement
imparfaits (dit “legal risk”), le risque de réputation et le risque fiduciaire.

S’agissant de risques mesurables, l’entreprise prend les mesures spécifiques adéquates

pour permettre le suivi et la maîtrise de ces risques. Parmi les mesures possibles, on peut
citer l’élaboration de politiques, l’établissement de limites adéquatement structurées et
l’identification, la mesure, le suivi et le reporting des risques ainsi qu’une documentation
adéquate des systèmes de maîtrise des risques utilisés et des procédures de traitement des
opérations.

S’agissant de risques non ou difficilement mesurables, l’entreprise prend les mesures

appropriées pour se protéger adéquatement. Parmi ces mesures, on peut citer l’analyse
précise des risques, l’insertion dans les conventions de clauses standard admises sur le
plan international, la conclusion de conventions de compensation (dites “conventions de
netting”) et autres.

Pour que l’information financière et celle relative à la gestion soient complètes et fiables,
il est nécessaire que la continuité et la fiabilité des systèmes d’information électroniques
soient assurées.

1.4. Responsabilité du conseil d’administration

Principe n° 1 :
Dans le cadre de sa mission de surveillance, le conseil d’administration vérifie
régulièrement si l’entreprise dispose d’un contrôle interne adéquat. Le conseil
d’administration stimule également une attitude positive à l’égard du contrôle.

Le conseil d’administration de l’entreprise d’investissement assure la surveillance des

affaires de l’entreprise et de sa gestion par le comité de direction. Dans le cadre de cette
mission de surveillance, le conseil d’administration vérifie dès lors à intervalles réguliers
si l’entreprise dispose d’un contrôle interne adéquat.

4
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

Il peut, à cette fin, s’appuyer notamment sur le rapport que lui fait périodiquement le
comité de direction (voir paragraphe suivant). Le conseil d’administration doit également
stimuler au sein de l’entreprise un environnement qui encourage une attitude positive à
l’égard du contrôle.

1.5. Responsabilité du comité de direction

Principe n° 2 :
Le comité de direction met en place un contrôle interne adéquat et procède à son
évaluation au moins chaque année. Il informe le conseil d’administration au moins une
fois par an de l’état de la situation, le cas échéant par l’intermédiaire du comité d’audit.

La gestion des activités de l’entreprise d’investissement ressortit à la seule compétence

du comité de direction. Dans le cadre de cette compétence, le comité de direction prend
toutes les mesures nécessaires afin que l’entreprise dispose en permanence d’un système
de contrôle interne adéquat. Cela signifie que le comité de direction assure la mise en
place du contrôle interne et qu’il procède à son évaluation au moins chaque année.

Cette évaluation s’appuie sur le rapport opéré par le service d’audit interne (voir le
chapitre 2 ci-dessous) ainsi que sur d’autres sources, telles que les rapports et/ou notes
des divers services2, implantations et/ou fonctions de l’entreprise. Cette évaluation porte
sur tous les aspects du contrôle interne, tels que les objectifs, les moyens mis en oeuvre,
les méthodes utilisées, les lacunes constatées ainsi que le caractère adéquat et l’efficacité
du contrôle interne.

Le comité de direction informe au moins une fois par an le conseil d’administration ou,
s’il existe, le comité d’audit (voir le chapitre 3 ci-dessous) de l’état de la situation. Les
procès-verbaux du conseil d’administration et du comité de direction font mention des
délibérations relatives à l’état du système de contrôle interne et à l’évaluation de celui-ci.

2. L’AUDIT INTERNE

2.1. Définition

L’audit interne est, au sein de l’organisation, une fonction d’évaluation indépendante qui
a pour objet d’examiner et d’évaluer le bon fonctionnement, l’efficacité et l’efficience du
contrôle interne. L’audit interne assiste les personnes chargées de l’organisation dans
l’exercice effectif de leurs responsabilités et leur fournit à cet effet des analyses,
évaluations, recommandations, avis et informations sur les activités examinées.

2
A cet égard, on peut mentionner la technique de l’autocontrôle (self assessment) pour évaluer
l’efficacité du contrôle interne. L’autocontrôle est un processus formel et documenté dans le cadre
duquel la direction et/ou une équipe de personnes analysent leur activité ou fonction et évaluent
l’efficacité des mesures de contrôle interne qui s’y rapportent.

5
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

2.2. Caractère permanent

Principe n° 3 :
Le comité de direction prend, dans le cadre de ses devoirs et responsabilités, les mesures
nécessaires pour que l’entreprise dispose en permanence d’une fonction d’audit interne
adéquate.

2.3. Indépendance de l’audit interne par rapport aux activités auditées

Principe n° 4 :
Le service d’audit interne est indépendant des activités auditées. Cela implique que le
service dispose, au sein de l’organisation, d’un statut approprié et qu’il exécute sa
mission avec impartialité.

2.3.1. Généralités
Le service d’audit interne peut, de sa propre initiative, exercer sa mission dans tous les
services, implantations et fonctions de l’entreprise. Il a la possibilité d’exprimer et de
faire connaître librement ses constatations et ses appréciations. Le principe
d’indépendance implique que le service d’audit interne dépende, sous l’angle
hiérarchique, directement du comité de direction, de préférence en tant que fonction de
staff relevant directement de l’autorité du président du comité de direction de
l’entreprise d’investissement.
Le responsable du service d’audit interne a la possibilité d’informer directement et de
sa propre initiative le président du conseil d’administration ou les membres du comité
d’audit ou encore les commissaires, selon des modalités à définir par chaque entreprise.

2.3.2. Charte d’audit

La charte d’audit garantit le statut du service d’audit interne au sein de l’organisation.
Ce document traite au moins des sujets suivants :
♦ l’objectif et la portée de la fonction d’audit interne;
♦ la place dans l’organisation, les compétences et les responsabilités du service
d’audit interne.

La charte est établie - et si nécessaire revue - par le service d’audit interne, elle est
approuvée par le comité de direction et est ensuite confirmée par le conseil
d’administration dans le cadre de sa mission de surveillance, le cas échéant par
l’intermédiaire du comité d’audit.

Dans ce document, le comité de direction confère au service d’audit interne le droit

d’initiative; il l’habilite en outre à voir tous les collaborateurs, à examiner toutes les
activités et entités de l’entreprise et à prendre connaissance de tous les documents,
fichiers et informations de l’entreprise, en ce compris l’information en matière de
gestion et les procès-verbaux des organes consultatifs et décisionnels, et ce dans la
mesure requise pour l’exercice de sa mission.

Il est recommandé que la charte d’audit précise les modalités selon lesquelles il peut
être fait appel à l’audit interne pour un avis, une assistance ou d’autres missions
spéciales.

6
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

La charte d’audit est portée à la connaissance de tous les collaborateurs, tant en

Belgique qu’à l’étranger, ainsi qu’à celle des agents délégués.

2.3.3. Impartialité

L’impartialité signifie que le service d’audit interne exerce sa mission en toute

objectivité.

L’impartialité exige que le service lui-même veille à éviter les conflits d’intérêts. A
cette fin, il conviendra, dans la mesure du possible, d’assurer une rotation régulière des
tâches et d’éviter que les auditeurs recrutés au sein de l’entreprise n’auditent des
activités ou fonctions qu’ils exerçaient eux-mêmes auparavant, surtout dans un passé
récent.

L’impartialité requiert que le service ne soit pas impliqué dans l’organisation

opérationnelle de l’entreprise ni dans l’élaboration, la mise en place ou l’exécution de
mesures d’organisation et de contrôle interne, ce qui aurait pour effet de lui en faire
porter la responsabilité et de compromettre son indépendance de jugement.

L’exigence d’impartialité n’exclut toutefois pas que le comité de direction demande,

sur des propositions concrètes, un avis au service d’audit interne quant aux principes de
contrôle interne à respecter à cet égard. Ainsi, pour des raisons d’efficience, la
direction peut demander un avis lors de réorganisations importantes, du lancement de
nouvelles activités importantes et/ou à risques, de la mise en place de nouvelles
implantations appelées à exercer des activités à risques et de l’instauration ou
réorganisation de systèmes de gestion des risques, d’information en matière de gestion
et d’informatique (cette énumération n’est pas exhaustive). L’élaboration finale et
l’introduction des mesures relèvent toutefois de la responsabilité de la direction.

La fonction consultative est en effet une fonction accessoire qui ne peut en aucun cas
compromettre la mission de base, la responsabilité et l’indépendance de jugement du
service d’audit interne.

2.4. Compétence

Principe n° 5 :
La compétence de chaque auditeur interne et du service d’audit interne dans son
ensemble est essentielle pour le bon fonctionnement de la fonction d’audit interne.

La compétence de chaque auditeur interne, sa motivation et sa formation permanente

sont des conditions essentielles de l’efficacité du service d’audit interne. Cette
compétence doit être appréciée en tenant compte de la nature de la mission et de
l’aptitude de l’auditeur à s’informer, examiner, évaluer et communiquer. A cet égard, il
y a lieu de tenir compte également de la technicité et de la diversité croissantes des
missions par suite de l’évolution que connaît le secteur financier.

La compétence, et en particulier les connaissances et l’expérience, du service d’audit

interne lui-même mérite également une attention particulière. Cela signifie en premier
lieu que le service dans son ensemble doit disposer d’une compétence suffisante pour
pouvoir examiner tous les domaines dans lesquels l’entreprise opère.

7
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

Le service d’audit interne doit tenir compte du fait que le caractère répétitif de missions
du même type peut être source d’accoutumance et entamer l’esprit critique. De manière
générale, cela vaut d’ailleurs également pour la mission d’auditeur interne en soi. Il est
dès lors recommandé de prévoir, dans la mesure du possible, une rotation des tâches au
sein même du service d’audit interne ainsi que vers d’autres services ou fonctions de
l’entreprise.

Le service d’audit interne veillera à maintenir sa compétence en assurant une formation

permanente systématique à chacun de ses collaborateurs. Tous les collaborateurs doivent
avoir une connaissance actualisée suffisante des techniques d’audit.

Le service d’audit interne d’une entreprise doit disposer d’une compétence suffisante
pour examiner les activités clés de l’entreprise et évaluer le bon fonctionnement,
l’efficacité et l’efficience du contrôle interne qui s’y rapporte. Il peut toutefois faire
appel à un expert externe pour procéder à certains examens lorsque lui-même ne dispose
pas - ou pas de manière suffisante - de la compétence requise à cette fin. Les différents
points énumérés au paragraphe 2.8. ci-dessous concernant la sous-traitance de la fonction
d’audit interne dans les entreprises de moindre taille s’appliquent, mutatis mutandis, au
cas présent, notamment en ce qui concerne l’indépendance de l’expert par rapport au
commissaire. Le responsable du service d’audit interne veillera en outre à ce que les
connaissances apportées par l’expert soient, dans la mesure du possible, intégrées dans
son service; pour ce faire, il pourra éventuellement associer un ou plusieurs de ses
collaborateurs à l’examen en question.

2.5. Portée de l’audit interne

Principe n° 6 :
Chaque activité et chaque entité de l’entreprise entrent dans le champ d’investigation du
service d’audit interne.

Aucune activité ni entité de l’entreprise - et donc pas davantage les activités des
succursales et filiales - ne peut être exclue du champ d’investigation du service d’audit
interne. A cet égard, le service d’audit interne peut prendre connaissance de tous les
documents, fichiers et informations de l’entreprise, en ce compris l’information en
matière de gestion et les procès-verbaux des organes consultatifs et décisionnels, et ce
dans la mesure requise pour l’exercice de sa mission.

La portée de l’audit interne englobe, de manière générale, l’examen et l’évaluation du

caractère adéquat et de l’efficacité du contrôle interne ainsi que de la manière dont les
responsabilités assignées sont assumées.

Il vérifie, plus particulièrement, le respect des politiques, la maîtrise des risques (qu’il
s’agisse de risques mesurables ou non mesurables), la fiabilité (en ce compris l’intégrité,
l’exactitude et l’exhaustivité) ainsi que le caractère ponctuel de l’information financière
et de celle relative à la gestion ainsi que du reporting externe, la continuité et la fiabilité
des systèmes d’information électroniques et le fonctionnement des services de staff.

Il porte également une attention particulière au statut légal de contrôle, en ce compris les
principes et/ou recommandations en matière d’organisation et de fonctionnement
formulés par la Commission. Il ne faut d’ailleurs pas perdre de vue que ces principes
et/ou recommandations prévoient certaines tâches pour le service d’audit interne.

8
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

Certaines entreprises ont créé des services distincts chargés de contrôler ou de surveiller
une activité spécifique ou une entité de l’entreprise. Ces services font partie du système
de contrôle interne et ne déchargent dès lors pas le service d’audit interne de l’examen de
ces activités spécifiques ou entités. Il n’en demeure pas moins que, pour des raisons
d’efficacité, le service d’audit interne peut faire usage, dans l’exercice de sa mission, des
constatations opérées par les différents services de contrôle. Le service d’audit interne
conserve toutefois l’entière responsabilité de l’examen et de l’évaluation du bon
fonctionnement, de l’efficacité et de l’efficience du contrôle interne de l’activité ou de
l’entité concernée de l’entreprise.

Par souci d’efficacité, les entreprises d’investissement disposeront, dans leurs succursales
à l’étranger d’une certaine taille ou exerçant des activités à risques, d’un service d’audit
interne propre à l’implantation en question. Sous l’angle fonctionnel, ces services locaux
font partie du service d’audit interne du groupe dans son ensemble et sont dès lors
soumis aux dispositions de la présente circulaire, sans préjudice des dispositions légales
et/ou réglementaires et des instructions en vigueur au niveau local. Du point de vue
hiérarchique, le service d’audit interne local peut dépendre de la direction locale ou du
service d’audit interne du siège principal.

En tant qu’entités juridiques distinctes, les filiales sont responsables de leur propre
contrôle interne et de leur propre fonction d’audit interne conformément aux dispositions
de la présente circulaire, compte tenu des dispositions légales et/ou réglementaires et des
instructions en vigueur au niveau local. Les services d’audit interne des filiales font
rapport au service d’audit interne de l’entreprise mère. Cette dernière prend les mesures
nécessaires pour que son service d’audit interne ait un accès illimité à toutes les activités
et entités des filiales et effectue des missions sur place avec une fréquence suffisante.

Tant dans le cas de succursales à l’étranger que dans le cas de filiales, les principes en
matière d’audit interne sont établis par l’entreprise mère. Celle-ci édicte les instructions
d’audit pour l’ensemble du groupe. Le responsable du service d’audit interne de
l’entreprise mère est associé au recrutement et à l’évaluation des auditeurs internes
locaux.

Dans le cas de structures de groupe plus complexes que celles évoquées ci-dessus, la
fonction d’audit interne est organisée de manière à respecter les principes énoncés par la
présente circulaire.

2.6. Planification, exécution, rapport et suivi

Principe n° 7 :
Le travail d’audit comprend l’établissement d’un plan d’audit, l’examen et l’évaluation
de l’information disponible, la communication des résultats et leur suivi.

2.6.1. Planification

Chaque mission d’audit est effectuée selon un plan. Ce plan est suffisamment
documenté. Il mentionne les objectifs et la portée de la mission et détermine les
moyens requis.

9
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

2.6.2. Méthode de travail et types d’audit

Il existe différents types d’audit, tels que :

♦ l’audit financier, qui a pour objet de vérifier la fiabilité de la comptabilité et des
comptes annuels qui en découlent;
♦ l’audit de conformité (“compliance audit”), qui vise à vérifier le respect des lois,
règlements, politiques et procédures;
♦ l’audit opérationnel, qui comporte la vérification de la qualité et du caractère
adéquat des systèmes et procédures, l’analyse critique des structures d’organisation
et l’appréciation de l’adéquation des méthodes et moyens utilisés par rapport aux
objectifs fixés;
♦ l’audit de management, qui a pour objet d’apprécier la qualité de la fonction de
management dans le cadre des objectifs de l’entreprise.

Le service d’audit interne examine et évalue l’ensemble de l’activité de l’entreprise

dans toutes ses entités. Il ne peut dès lors se limiter à un seul type d’audit, mais utilise
le type le plus approprié au regard de l’objectif à atteindre.

A cet égard, le service d’audit interne ne se limite pas davantage à l’audit des différents
services de l’entreprise, mais porte également une attention particulière à l’audit d’une
activité au travers de toutes les entités de l’entreprise.

2.6.3. Programme de travail

Chaque mission d’audit est préparée. Ses objectifs ainsi que le canevas des travaux
considérés comme nécessaires pour les atteindre sont décrits dans un programme de
travail. Il s’agit ici d’un instrument relativement flexible qui devra être adapté et
complété au regard des constatations effectuées.

2.6.4. Documents de travail

Les divers travaux que comporte l’exécution de la mission sont documentés dans des
documents de travail. Ceux-ci reflètent les contrôles effectués et permettent d’étayer et,
le cas échéant, de justifier les appréciations formulées dans le rapport. Les documents
de travail sont établis selon une méthode bien déterminée. Cette méthode permet
notamment de vérifier si la mission a été effectuée dans son intégralité et de quelle
manière elle a été exercée.

2.6.5. Rapport écrit

Chaque mission fait, dans les meilleurs délais, l’objet d’un rapport écrit, destiné à
l’audité et à sa direction ainsi que - éventuellement sous forme de synthèse - au comité
de direction.

Le rapport comprend non seulement les constatations et recommandations du service

d’audit interne mais également la réaction des audités. Il mentionne également les
points sur lesquels il existe un consensus au moment de la clôture de la mission. Le
service d’audit interne donne une indication de l’importance relative des manquements
constatés ou des recommandations formulées.

10
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

Le service d’audit interne tient à jour un relevé des missions effectuées ainsi que des
rapports établis.

2.6.6. Suivi

Le comité de direction approuve, sur proposition du service d’audit interne, une

procédure permettant de donner suite aux recommandations du service d’audit interne.
Cette procédure porte une attention particulière aux responsabilités respectives des
parties concernées chargées de remédier aux manquements constatés, à l’approbation
par les directions concernées, au rôle éventuel du comité de direction dans les litiges
persistants et au délai dans lequel il doit être remédié aux manquements.

Le service d’audit interne développe une méthode adéquate pour vérifier dans quelle
mesure ses recommandations sont suivies. Les constatations en la matière sont
communiquées au moins chaque semestre au comité de direction.

2.7. Direction du service d’audit interne

Principe n° 8 :
Le responsable du service d’audit interne dirige son service de manière adéquate.

Il veille au respect des principes édictés par la Commission en matière d’audit interne. Il
assure en particulier l’établissement d’une charte d’audit, d’un plan d’audit, de politiques
et de procédures écrites (pour ses collaborateurs). Il veille en permanence à la
compétence et à la formation de ces derniers ainsi qu’aux moyens nécessaires. Il porte
également une attention particulière à la motivation de ses collaborateurs et au souci de
la qualité au sein de son service.

Le service d’audit interne informe le comité de direction régulièrement de l’état de la

situation et de la réalisation de ses objectifs. Il informe plus particulièrement le comité
de direction quant à l’exécution du plan d’audit. Dans le cadre de sa mission de
surveillance et sur la base du rapport du comité de direction, le conseil d’administration
délibère régulièrement sur l’organisation, le programme d’audit, les moyens engagés
(tant humains que matériels), les rapports d’activité, le résumé des recommandations
formulées et l’état de la situation quant à la suite qui leur a été donnée.

La direction du service d’audit interne établit le programme des missions à effectuer. Ce

plan d’audit est fondé sur une analyse méthodique des risques dont les principes sont
établis par écrit et régulièrement évalués. L’analyse des risques porte tant sur l’ensemble
des activités et entités de l’entreprise que sur le contrôle interne global. Sur la base des
résultats de l’analyse des risques, le service d’audit interne établit un plan pluriannuel en
tenant compte du degré de risque inhérent aux activités. Le plan pluriannuel tiendra
également compte des évolutions et innovations escomptées, du degré de risque
généralement plus élevé des nouvelles activités et du principe selon lequel toutes les
activités et entités doivent être examinées dans une période raisonnable (principe du
cycle d’audit). Ces différents éléments permettront de déterminer l’ampleur, la nature et
la fréquence des missions à effectuer.

Le plan d’audit est réaliste, c’est-à-dire qu’il prévoit du temps pour d’autres missions et
activités telles que les examens spécifiques, les avis et la formation.

11
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

Le plan est accompagné d’un état répertoriant les moyens humains et matériels
nécessaires. En ce qui concerne les moyens humains, il est tenu compte non seulement
du nombre de personnes mais également de la compétence requise.

Le plan d’audit est établi par le service d’audit interne et approuvé par le comité de
direction. Cette approbation implique que ce dernier mette les moyens requis à la
disposition du service d’audit interne. Le plan d’audit est confirmé par le conseil
d’administration dans le cadre de sa mission de surveillance, le cas échéant par
l’intermédiaire du comité d’audit.

Lorsque le responsable du service d’audit interne est remplacé (par exemple, parce qu’il
est chargé d’une autre mission, en cas de démission, etc.), la Commission bancaire et
financière en est informée sans délai et les motifs justifiant ce remplacement lui sont
communiqués.

2.8. Sous-traitance de la fonction d’audit interne dans les entreprises de moindre taille

Dans certaines entreprises plus petites dont la taille et l’ampleur des risques encourus ne
justifient pas que la fonction d’audit interne soit confiée à au moins un membre du
personnel travaillant à temps plein, cette fonction peut être sous-traitée à un expert
externe.

Tous les principes énoncés au chapitre 2 concernant l’audit interne restent d’application
dans le cas de la sous-traitance de la fonction d’audit interne (cf. notamment le
paragraphe 2.4. ci-dessus).

La sous-traitance est établie formellement dans une convention écrite conclue entre
l’entreprise d’investissement et l’expert externe. Le comité de direction veille à ce que
l’entreprise conclue une convention d’une durée suffisamment longue avec un expert
disposant de la compétence requise, en tenant compte des caractéristiques de l’entreprise.

La convention précitée détermine les missions et les responsabilités de l’expert ainsi que
le caractère permanent de celles-ci en faisant référence aux principes de la présente
circulaire. La convention prévoit explicitement que le comité de direction marquera
préalablement son accord sur l’analyse des risques effectuée par l’expert et sur le plan
établi. La convention stipule en outre que le comité de direction ou son (ses)
représentant(s), le (les) commissaire(s) ou son (ses) collaborateur(s) et le service
d’inspection de la Commission peuvent à tout moment prendre connaissance de tout
document de l’expert relatif à sa mission, et notamment de son programme de travail et
de ses documents de travail.

Dans la convention, l’expert s’engage à mettre en oeuvre de manière effective, dans

l’exercice de sa mission, les moyens découlant du plan d’audit.

Le comité de direction suit en permanence l’activité d’audit de l’expert et détermine les

personnes responsables du suivi de ses recommandations.

L’expert désigné doit, à tous égards, être totalement indépendant du commissaire ou de

son bureau ainsi que du groupe dont relève le commissaire.

12
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

3. LE COMITE D’AUDIT

3.1. Définition

Le comité d'audit est un comité créé au sein du conseil d'administration; il est composé
d'administrateurs non membres du comité de direction et a pour but de faciliter l'exercice
effectif de la surveillance par le conseil d'administration.

3.2. Recommandation

La Commission considère la création d'un comité d'audit permanent comme une réponse
aux difficultés pratiques auxquelles peut se heurter l'exercice collégial de la mission de
surveillance du conseil d'administration au sein des (grandes) entreprises
d’investissement. Elle est par ailleurs d'avis qu'un tel comité renforce le contrôle interne
ainsi que l'audit interne. La Commission recommande dès lors à ces entreprises de créer
un comité d'audit permanent, en particulier lorsqu'elles encourent des risques nombreux
et complexes. Lorsqu'une entreprise d’investissement souhaite créer un comité d'audit,
elle consulte préalablement la Commission.

La Commission recommande aux filiales de l’entreprise d’investissement qui ne

fournissent pas des services d’investissement ou qui sont établies à l’étranger, d'examiner
s’il ne serait pas souhaitable de créer un comité d'audit au sein de leur conseil
d'administration. En ce qui concerne les filiales établies à l’étranger, il convient
évidemment de tenir compte des dispositions légales et/ou réglementaires et des
instructions en vigueur au niveau local.

3.3. Composition, compétences et fonctionnement

Lors de la création d'un comité d'audit, le conseil d'administration établit un document

fixant la composition, les compétences, le fonctionnement et les modalités du rapport à
l'ensemble du conseil.

La Commission recommande qu'un comité d'audit comprenne au moins trois

administrateurs non membres du comité de direction. Afin de renforcer son efficacité,
les personnes suivantes participeront également aux réunions du comité d’audit, sans en
être membres : éventuellement le président ou un membre du comité de direction,
l'auditeur interne et le commissaire. Le comité d'audit peut, dans des circonstances
exceptionnelles, décider que l'une ou plusieurs de ces personnes ne doivent pas être
présentes.

Le comité d'audit peut se faire produire tout renseignement ou document utile et faire
procéder à toute investigation. Il fait à cet égard appel au service d'audit interne de
l'entreprise d’investissement, celui-ci demeurant toutefois sous la dépendance
hiérarchique du comité de direction. Le comité d'audit fait régulièrement rapport au
conseil d'administration. Son rôle ne peut en aucune façon faire double emploi avec
celui de l'audit interne ni s'y substituer.

3.4. Champ d’action

Le comité d'audit favorise la communication entre les membres du conseil

d'administration, le comité de direction, le service d'audit interne, les commissaires et la
Commission bancaire et financière.

13
COMMISSION BANCAIRE ET FINANCIERE

Annexe 1 – Circ. D1/EB/2002/6

Le comité d'audit confirme la charte d'audit du service d'audit interne (voir chapitre 2,
paragraphe 2.3.2).

Le comité d'audit confirme le plan d'audit (voir chapitre 2, paragraphe 2.7) ainsi que les
moyens engagés (tant humains que matériels). Il prend connaissance des rapports
d'activité et du résumé des principales recommandations individuelles formulées par le
service d’audit interne ainsi que de l’état de la situation quant à la suite qui leur a été
donnée.

Le commissaire expose au comité d'audit son programme d'audit et lui fait part de ses
conclusions d'audit ainsi que de ses recommandations.

Le comité d'audit délibère régulièrement sur :

♦ l’état du contrôle interne;
♦ le fonctionnement du service d’audit interne, là où cela est d’application;
♦ l’information financière externe, en ce compris le respect des dispositions légales,
réglementaires et statutaires, ainsi que la conformité avec les règles établies par le
conseil d'administration.

Le comité d'audit formule une recommandation à l'intention du conseil d'administration

lors de la nomination du commissaire.

***

14