pwc controle interne

5/6/2018 Pwc Controle Interne - slidepdf.com

http://slidepdf.com/reader/full/pwc-controle-interne 1/16



SOMMAIRE

Page

! Les enjeux du contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 2

! Le rôle prépondérant de la Direction Générale et du Conseild'Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 3

! Les caractéristiques d'ensemble du système à mettre en place . . . . . . . . . p. 4

! Les différentes natures de risque couvertes par le règlement . . . . . . . . . . . . . p. 6

! Les outils à développer ou à systématiser par nature de risque

- Risque de crédit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 7

- Risque de marché . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 7

- Risque de taux d'intérêt global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 8

- Risque de règlement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 8

- Risques de liquidité et de règlement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 8

- Risque d'intermédiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 9

- Risque Informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 9

! Documents et rapports (Tableau récapitulatif ) . . . . . . . . . . . . . . . . . . . . p. 10 à 13



- 2 -

Le contrôle interne est l'une des préoccupationsmajeures des autorités de tutelle bancaires. Lerèglement CRBF 2001-01 (relatif au contrôle internedes établissements de crédit et des entreprisesd’investissement et modifiant le règlement 97-02), qui renforce l'ensemble des dispositions existant dans cedomaine a été adopté le 26 juin 2001 par le CRBF (Comité de la Réglementation Bancaire et Financière).

L'entrée en vigueur de ce texte (fixée au 1er janvier 2002) devrait être l'occasion pour les établissements decrédit et les entreprises d'investissement de réexaminer l'ensemble de leur système de contrôle interne, pour s'assurer :

" non seulement qu'il satisfait bien aux nouvellesexigences,

" mais également qu'il répondra demain à leur besoin de développement et de positionnement concurrentiel.

Toutefois, les nouvelles dispositions relatives aux

risques d'intermédiation (art. 30-1), ainsi que certainesdispositions concernant les risques de liquidité et derèglement (art. 31-1) ne prendront effet que le 1er

juillet 2003, de façon à permettre aux prestataires deservices d'investissement et aux compensateurs ("les

prestataires") de mettre en place les systèmesd'information nécessaires.

Renforcer la sécurité des activités bancairesLe secteur bancaire - de par la nature particulière deses activités (opérations à caractère monétaire ;organisation basée sur un principe de délégation depouvoirs ; importance des innovations techniques etfinancières conduisant à la création de produits deplus en plus sophistiqués ; concurrence accrue pesantsur la rentabilité des établissements ; volume desopérations etc.) - a vu l'ensemble de ses risquess'accroître et s'élargir au cours des dernièresdécennies.

Pour les autorités de tutelle, la maîtrise de ces risques(risque de crédit, risque de marché, risque global detaux d'intérêt, risque d'intermédiation, risque derèglement, risque de liquidité et risques opérationnels)passe par la mise en place d'un système efficace etperformant de contrôle interne : ce système constitueun instrument de gestion indispensable au bonfonctionnement et à la sécurité tant des établissementsde crédit que des entreprises d'investissement et lecomplément nécessaire de normes prudentiellesquantitatives. (Bull. CB n°25, novembre 2001, page 16)

Sur le plan de la réglementation bancaire française, le

contrôle interne devient ainsi un complémentindispensable du contrôle prudentiel quantitatif, fondénotamment sur les limites de surveillance imposées parles ratios prudentiels.

On notera que cette évolution n'est pas particulière àla France mais qu'elle reflète une tendance généraledes systèmes de surveillance dans les pays du G10.

Prendre exemple sur les meilleures pratiquesinternationales

Les dispositions prévues par ce règlement s'inspirent àla fois :

"

des meilleures pratiques relevées dans un certainnombre d'établissements de crédit français ouétrangers,

" et des réflexions menées au sein des instancesbancaires internationales (pour exemple, le Comitéde Bâle).

Améliorer la compétitivité des banquesfrançaises

Selon les autorités de tutelle, l'expérience montre quela qualité du contrôle interne est un facteur

discriminant pour expliquer les performancesindividuelles des établissements de crédit, leur degréde résistance aux difficultés et leur rapidité de réactionet de mise en œuvre des mesures correctriceslorsqu'une défaillance se produit (erreur stratégique,concentration excessive et mal maîtrisée desengagements ou des risques, etc).

Fixer un corps de règles de référence pourles autorités de contrôle

Les dispositions retenues dans le règlement neconstituent, dans l'esprit des autorités de tutelle, qu'un

corps de règles de base permettant de s'assurer, lorsd'éventuels contrôles, que les établissements ont bienmis en place dans ce domaine une infrastructureminimum. Les établissements de crédit restent libresde développer toutes procédures ou tout systèmeprenant plus complètement en compte leursspécificités afin de répondre au mieux à leurs propresbesoins de gestion.

Elargissement aux entreprisesd'investissement

Le règlement du CRBF n° 2001-01 étend auxentreprises d'investissement autres que les sociétés degestion de portefeuille et aux entreprises exerçant uneactivité de compensation l'ensemble des normesgénérales de contrôle interne déjà applicables auxétablissements de crédit (art. 1).

Le régulateur a ainsi mis en place des règles minimalesde mesure et de surveillance des risques inhérents à lafourniture de services d'investissement. Ces règless'imposeront à l'ensemble des prestataires de servicesd'investissement, exerçant le même métier et cela quelque soit leur statut (entreprise d'investissement ou

établissement de crédit) et aux compensateurs.

LES ENJEUX DU CONTRÔLE INTERNE



- 3 -

(1) C'est-à-dire de "l'organe exécutif" au sens du règlementCRBF 97-02 (art. 4).

(2) C'est-à-dire de "l'organe délibérant" au sens durèglement CRBF 97-02 (art. 4).

(3) Ces limites peuvent également être fixées, le caséchéant, par l’organe délibérant (art. 33).

(4) Une seule fois par an s'il existe un comité d'audit (art.

38).

(5) A rapprocher de la déclaration trimestrielle (destinée àla CB) des concours à faible taux (Lettre de M. Jean-Claude Trichet du 18 juillet 1995).

(6) A partir desquels sera élaboré le programme demissions de l'année (art. 9).

(7) Concerne à la fois les risques de marché et le risque detaux d'intérêt global (voir pages 7 et 8).

(8) Sur le contenu et les destinataires de ces rapports (voirpages 12 et 13).

(9) Le responsable du contrôle interne est chargé de veillerà la cohérence et à l'efficacité du contrôle interne. Ildoit rendre compte de sa mission à la DirectionGénérale "organe éxécutif" (et au Comité d’audit) quielle-même en informe le Conseil d'Administration"organe délibérant" (art. 8).

(10) Non obligatoire mais fortement souhaité ; sonexistence allège la fréquence d'intervention de l’organedélibérant. La composition du comité d'audit (ainsique sa dénomination), les missions qui lui sontdévolues et les modalités de son fonctionnementdoivent être définies par l’organe délibérant. Le

règlement précise néanmoins que le Comité d'audit estnotamment chargé d'apprécier la pertinence desméthodes comptables, la qualité du contrôle interne etla clarté des informations fournies (art. 4 c).

LE RÔLE PRÉPONDÉRANTD E L A DIRECTION GÉNÉRALE ET DU CONSEIL D'ADMINISTRATION

Le règlement 97-02 insiste sur le rôle prépondérantque doivent jouer la Direction Générale et le Conseil

d'Administration dans la mise en place d'un systèmede contrôle interne efficace et performant.

Par ailleurs, si la création d'un comité d'audit n'a pasété rendue obligatoire, ce dernier constitue clairementaux yeux des autorités de tutelle un moyen tout à fait

approprié pour renforcer le contrôle que le Conseild'Administration se doit d'exercer sur l'ensemble des

activités de l'établissement.

Le schéma ci-dessous, établi par nos soins, précise larépartition des responsabilités en matière de contrôleinterne entre la Direction Générale et le Conseild'Administration telles que définies dans le règlement.



- 4 -

Définition du contrôle interneLe règlement du CRBF n° 97-02 présente une définition

élargie de la notion de contrôle interne, en fixant pource dernier quatre types d'objectifs différents (art. 5) :

" qualité et fiabilité (conditions d'évaluation,d'enregistrement, de conservation et dedisponibilité) de l'information comptable etfinancière,

" conformité des opérations, de l'organisation et desprocédures internes aux dispositions législatives etréglementaires en vigueur, aux normes et usagesprofessionnels et déontologiques et auxorientations de l'organe exécutif,

" qualité des systèmes de reporting, d'information etde communication,

" respect des décisions de la Direction Générale.

Couverture de l'ensemble des activités del’entreprise assujettieLe système de contrôle mis en place doit couvrir :

"

l'ensemble des activités de l'entreprise assujettie(art. 10),

" les opérations réalisées par les succursales (art. 10),

" les opérations portant sur des nouveaux produits(art. 11),

" ainsi que les activités des entreprises contrôlées demanière exclusive ou conjointe (art. 2 et 11).

Peuvent donc ainsi être visées certaines sociétés, qui nerelèvent pas du secteur bancaire, et qui n'entrent pas

habituellement dans le champ de compétence desrèglements bancaires (sociétés d'assurance parexemple).

Adaptation à chaque type d’entrepriseassujettie et aux entreprises contrôlées

Il est de la responsabilité de chaque entreprise assujettied'adapter son système de contrôle interne (art. 1 et 2) :

" à la nature et au volume de ses activités," à sa taille," à ses implantations," aux différents risques auxquels elle est exposée," et, pour les établissements surveillés sur une base

consolidée, à l'organisation du groupe et à lanature des entreprises contrôlées.

L’entreprise assujettie doit veiller à la mise en place demoyens suffisants et adaptés aux activités, à la taille etaux implantations de l'entreprise, qu'il s'agisse (art. 9) :

" de moyens humains (nombre et qualification despersonnes qui participent au fonctionnement dusystème de contrôle),

" ou de moyens techniques (outils de suivi etméthodes d'analyse des risques).

Mise en évidence de deux niveaux decontrôleL'établissement doit mettre en place deux niveaux de

contrôle (art. 6) :" un contrôle permanent au sein de chaque entité

opérationnelle,

" et un contrôle périodique (appelé "contrôle dedeuxième niveau" dans la lettre du SecrétaireGénéral de la Commission Bancaire du 15 mars2001) qui permet de vérifier l'efficacité desdispositifs de contrôle permanent.

Indépendance des différentes fonctionsL'organisation retenue doit permettre d'assurer une

stricte indépendance (art. 7) :

" non seulement au sein des entités opérationnelles(entre les différentes fonctions clés quereprésentent l'initiation des opérations, leurvalidation comptable, leur règlement et lasurveillance des risques qui y sont attachés),

" mais également entre chaque unité opérationnelleet le contrôle de deuxième niveau.

Le respect d'une stricte indépendance entre lesdifférentes entités opérationnelles peut notamment

reposer sur l'existence de rattachements hiérarchiquesdifférents jusqu'à un niveau suffisamment élevé (art. 7).

LES CARACTÉRISTIQUES D'ENSEMBLE DU SYSTÈME À METTRE EN PLACE



- 5 -

Respect de la piste d'audit

Pour l'élaboration de leur information comptable etfinancière, les entreprises assujetties doivent respecterun ensemble de procédures, appelé "Piste d'audit",

dont les 3 composantes sont les suivantes (art. 12) :" reconstitution de l'ordre chronologique des

opérations,

" justification par inventaire (piste d'audit statique) :"toute information doit pouvoir être justifiée parune pièce d'origine à partir de laquelle il doit êtrepossible de remonter par un cheminementininterrompu au document de synthèse etréciproquement",

" justification par les flux (piste d'audit dynamique) :"l'évolution des soldes d'un arrêté à l'autre doit

pouvoir être expliqué par la conservation desmouvements ayant affecté les postes comptables".

Remarque :Le respect de la piste d'audit dynamique n'est pasobligatoire pour les informations destinées à la CB

(états périodiques et ratios prudentiels).

Conclusion : développement d'une " culture "de contrôle interne

A notre avis, la mise en place des différents élémentsdu système de contrôle interne décrits ci-avant suppose

le développement d'une "culture" de contrôle interneau sein de chaque établissement.

Tous les membres d'une entreprise assujettie ont eneffet un rôle à jouer dans le domaine du contrôleinterne.

Limites internes

La surveillance et la maîtrise des risques (risques decrédit, de marché, de taux d'intérêt global,d'intermédiation, de règlement et de liquidité) doitreposer :

" sur un système de limites globales, fixées par laDirection Générale (organe exécutif) et, le caséchéant, par le Conseil d'Administration (organedélibérant) et tenant compte du niveau de fondspropres de l'établissement (art. 33),

" et sur des procédures qui permettent de s'assurerque ces mêmes limites sont effectivement et enpermanence respectées (par exemple, création

d'un "Comité des risques") (art. 34 et 35).

* Conseil d'Administration

(1) Cette information doit figurer dans le rapport annuel sur la mesure et la surveillance des risques (voir p. 11)



- 6 -

Les différents outils à mettre en placesont présentés et détaillés dans le

règlement par type de risque (voirdéfinitions rappelées ci-dessous),comme le montre le schéma ci-contre :

LES DIFFÉRENTES NATURES DE RISQUE COUVERTES PAR LE RÈGLEMENT

(1) Risque de crédit :"risque encouru en casde défaillance d'unecontrepartie ou decontrepartiesconsidérées comme un

même bénéficiaire ausens de l'article 3 durèglement n° 93-05"(art. 4-e).

(2) Risques de marché

, ycompris le risque dechange : "risques définis àl'article 2-2 et aux annexes IIà V du règlement n° 95-02"(art. 4-f). Il s'agit donc du risquede taux d'intérêt, du risque suractions et du risque de règlement

contrepartie liés au portefeuille denégociation, ainsi que du risque de changesur l'ensemble du bilan et du hors-bilan (àl'exception des éléments structurels).

(3) Risque de taux d'intérêt global : "risque encouru en casde variation des taux d'intérêt du fait de l'ensemble desopérations de bilan et de hors bilan, à l'exception, lecas échéant, des opérations soumises aux risques demarché" (art. 4-g).

(4) Risque de liquidité : "risque pour l'établissement de nepas pouvoir faire face à ses engagements ou de ne paspouvoir dénouer ou compenser une position en raison

de la situation du marché" (art. 4-h).

(5) Risque de règlement : "risque encouru, notamment dansles opérations de change, au cours de la période quisépare le moment où l'instruction de paiement d'uninstrument financier vendu ne peut plus être annuléeunilatéralement et la réception définitive de l'instrumentacheté ou des espèces correspondantes" (art. 4-i).

(6) Risque d'intermédiation : "risque de défaillance d'undonneur d'ordres ou d'une contrepartie à l'occasiond'une transaction sur instruments financiers danslaquelle l'entreprise assujettie apporte sa garantie de

bonne fin" (art. 4-m).

(7) Risque opérationnel :"risque résultant d'insuffisances deconception, d'organisation et de mise en œuvre des

procédures d'enregistrement dans le système comptable etplus généralement dans les systèmes d'information del'ensemble des événements relatifs aux opérations del'établissement" (art. 4-j).

(8) Risque juridique : "risque de tout litige avec unecontrepartie résultant de toute imprécision, lacune ouinsuffisance de nature quelconque susceptible d'êtreimputable à l'établissement au titre de ses opérations"

(art. 4-k).

(9) Risque informatique : Cette notion n'est pas définie parle règlement.

(10) Les caractéristiques de ces systèmes sont détaillées dansle règlement pour l'ensemble des risques visés : crédit,marché, taux d'intérêt global, liquidité et règlement,intermédiation.

(11) Il s'agit notament de la mise en place de limites internes(art. 32 à 36).

(12) Cette notion n'est pas précisée par le règlement.



- 7 -

RISQUE DE CRÉDIT

Élaboration d'un système de ratingLe développement d'un système de notation internedoit permettre d'attribuer à chaque contrepartie unniveau de risque matérialisant sa probabilité dedéfaillance. Ce système sera utilisé, non seulement lorsde l'octroi du crédit, mais également à chaque revuetrimestrielle des encours.

Tarification des créditsToute nouvelle opération de crédit doit être tarifée àpartir d'une analyse prévisionnelle des charges et

produits, directs et indirects, la plus exhaustivepossible et portant notamment sur les élémentssuivants (art. 20) :

" coûts opérationnels,

" coûts de refinancement,

" coûts liés au risque de défaillance de lacontrepartie,

" coûts de rémunération des fonds propres.

L'organe exécutif doit procéder au moinssemestriellement, à une analyse a posteriori de larentabilité des opérations de crédit (art. 20).

Dossiers de créditChaque dossier doit notamment comprendre desinformations (art. 19) :

" sur la situation financière du débiteur (qu'il soitparticulier ou entreprise),

" sur ses actionnaires et ses dirigeants (s'il s'agitd'une entreprise),

" et dans tous les cas, sur les garanties reçues.

Ce dossier doit être complété au moinstrimestriellement si la créance est impayée oudouteuse, ou si le risque ou les volumes concernéssont "significatifs".

Procédures de délégationPour les opérations jugées importantes ou ayant unenature particulière (art. 21) :

" les décisions d'octroi de prêt doivent être prises parau moins deux personnes,

" et les dossiers de crédit doivent être analysés parune unité spécialisée indépendante des entitésopérationnelles.

Analyse et stratification des encoursLes encours (bilan et hors bilan) doivent pouvoir faire

l'objet d'une stratification par (art. 18) :

" niveau de risque," secteur économique," zone géographique.

L'identification doit se faire par contrepartie et par groupede contreparties (notion de "même bénéficiaire").

Revue trimestrielle des garanties et desprovisionsTous les trimestres, il doit être procédé à une analyse

globale de la qualité des encours. Cette analyse doitnotamment se faire à partir d'une évaluation récentedes garanties et peut conduire, pour les encourssignificatifs, à modifier le niveau de risque attribué à lacontrepartie. Cela peut également entraîner undéclassement en créances douteuses et/ou unemodification du taux de provisionnement (art. 24).

RISQUES DE MARCHÉ

Évaluation quotidienne des positionsPour toutes les opérations de change et les opérationsportant sur le portefeuille de négociation réalisées pourcompte propre, le système mis en place doit permettred'effectuer, au moins quotidiennement (art. 25) :

" l'enregistrement de ces opérations et le calcul desrésultats,

" la détermination des positions globales et despositions par instruments,

" la mesure des risques (voir ci-après) et la bonne

adéquation des fonds propres de l'établissementassujetti à ces mêmes risques.

Calcul d'une Value At Risk (VAR)Si l'activité de marché est significative, la mesure desrisques qui lui sont liés doit se traduire par le calculquotidien d'une Value-At-Risk (notion de "pertepotentielle maximale") (art. 26).

Cette notion est définie (art. 4-l) comme "la mesure del'impact le plus défavorable sur les résultats devariations des conditions de marché intervenant surune période donnée et avec un niveau de probabilitédéterminé".

LES OUTILS À SYSTÉMATISER OU À DÉVELOPPERPAR NATURE DE RISQUE



- 8 -

Développement de programmes de scénariosde crise (stress test)Les entreprises assujetties doivent veiller à évaluer, defaçon régulière, les risques qu'elles encourent sur leur

portefeuille de négociation au cas où ce dernier auraità subir de fortes perturbations du marché (art. 27).

Rapprochement mensuel du résultatcomptable et du résultat de gestionAu moins une fois par mois, les établissements doiventêtre en mesure pour toutes les opérations qui fontencourir des risques de marché (art. 13, c) :

" de rapprocher le résultat comptable et le résultatde gestion,

" d'expliquer les écarts constatés.

RISQUE DE TAUX D’INTÉRÊT GLOBAL

Évaluation du risque de taux d'intérêt globalChaque établissement assujetti doit être en mesured'évaluer périodiquement, lorsqu'il est significatif, lerisque de taux d'intérêt global résultant de l'ensemblede ses opérations de bilan et de hors bilan (àl'exception, éventuellement, des opérations générant

un risque de marché) (art. 28).

Développement de programmes de scénariosde crise (stress test)De la même façon que pour le suivi des risques demarché (voir ci-avant), les entreprises assujettiesdoivent veiller à évaluer, de façon régulière, les risquesqu'ils encourent en cas de fortes perturbations dumarché (art. 30).

RISQUE DE RÈGLEMENT

Évaluation du risque de règlementL'entreprise assujettie doit veiller à appréhenderl'exposition à ce type de risque en distinguant lesdifférentes phases du processus de règlement, enparticulier (art. 31) :

" l'heure limite pour annuler unilatéralement uneopération,

" la réception définitive des fonds (chez le

correspondant)," la constatation de la réception définitive de ces

fonds (ou de l'impayé) chez l'établissement.

Les procédures mises en place doivent permettre auxentreprises assujetties de connaître leur expositionactuelle et future au risque de règlement à mesurequ'elles concluent de nouvelles opérations et en tenantcompte des opérations en cours.

Ces dispositions s'appliquent à toutes les entreprisesassujetties. Des dispositions spécifiques etcomplémentaires pour les "prestataires" sont prévues àl'article 31-1 et sont précisées ci-après.

RISQUES DE LIQUIDITÉ ET DE RÈGLEMENT

Prestataires assujettis

Ces dispositions ne s'appliquent qu'aux prestataires deservices d'investissement qui apportent leur garantie debonne fin à l'occasion de transactions sur instrumentsfinanciers et aux personnes morales mentionnées àl'art. 442-3 du code monétaire et financier("prestataires") (art. 31-1).

Évaluation des risques de liquidité et derèglementChaque prestataire doit disposer d'un système demesure des risques de liquidité et de règlementdécoulant de l'exécution de services d'investissement

ou de compensation permettant (art. 31-1) :

" d'appréhender en date de règlement l'intégralitédes flux de trésorerie et de titres, en prenant enconsidération en particulier les flux certains ouprévisibles d'espèces ou de titres liés à desopérations à terme ou à des instruments financiersà terme,

" d'identifier pour les différents instrumentsfinanciers et pour chaque système de règlement-livraison utilisé, les différentes phases du processusde règlement et de livraison,

" d'assurer la surveillance des opérations jusqu'àleur date de règlement effectif, notamment en casde retard ou d'impayés,

" de mesurer les ressources titres ou espècesaisément mobilisables permettant de respecter lesengagements pris à l'égard des contreparties, dansle respect des règles de ségrégation des actifs,

" un suivi journalier des opérations ayant entraînédes suspens et un suivi de l'apurement dans lesplus brefs délais de ces derniers.

Lorsque les opérations sont traitées par un système derèglement-livraison comportant des règlementsdéfinitifs en cours de journée, le système de mesuredoit identifier les flux prévisionnels de titres ou



- 9 -

d'espèces en cours de journée, de façon à tenircompte des heures limites pour l'annulation unilatéraledes ordres.

Développement de programmes de scénariosde crise (stress test)Les prestataires doivent veiller à évaluer au moins unefois par an, de façon régulière, les risques de liquiditéet de règlement qu'ils encourent en cas de fortesperturbations du marché ou dans l'hypothèse de ladéfaillance d'un donneur d'ordres (art. 31-1-4).

RISQUE D’INTERMÉDIATION

Prestataires assujettisCes dispositions ne s'appliquent qu'aux prestataires deservices d'investissement qui apportent leur garantie debonne fin à l'occasion de transactions sur instrumentsfinanciers et aux personnes morales mentionnées àl'art. 442-3 du code monétaire et financier (art. 30-1).("prestataires")

Évaluation du risque d'intermédiationChaque prestataire doit disposer d'une procédure desélection et de mesure des risques d'intermédiation

permettant (art. 30-1, 1° et 2°) :" d'appréhender les engagements à l'égard des

donneurs d'ordre et des contreparties,

" de recenser par donneur d'ordres les garantiesconstituées sous forme de dépôts d'espèces oud'instruments financiers.

Les procédures d'engagement des opérations doiventêtre formalisées notamment lorsqu'elles sontorganisées sous forme de délégations.

L'appréciation du risque sur chaque donneur d'ordresdoit tenir compte :

" d'éléments relatifs à la situation financière de cedernier,

" des caractéristiques des opérations qu'il transmet.

Suivi des opérationsChaque prestataire doit disposer d'un système de suivides opérations d'intermédiation permettant notamment(art. 30-1, 3°) :

" d'enregistrer sans délai les opérations déjà réaliséeset d'enregistrer comme positions pour comptepropre les opérations non immédiatement imputéesau compte du donneur d'ordres,

" de calculer quotidiennement la valeur de marchédes positions des donneurs d'ordres et desinstruments financiers apportés en garantie par cesderniers,

"

de suivre quotidiennement les erreurs dans la priseen charge et l'exécution des ordres ; ces positionsdoivent être considérées comme des risques demarché pris pour compte propre,

" d'établir la chronologie des opérations,

" d'évaluer a posteriori les positions prises en coursde journée.

Développement de programmes de scénariosde crise (stress test)De la même façon que pour le suivi des risques de

marché et du risque de taux d'intérêt global (voir ci-avant), les prestataires doivent veiller à évaluer, aumoins une fois par an, leurs risques en cas de fortevariation des paramètres de marché ou de ladéfaillance des donneurs d'ordres.

RISQUE INFORMATIQUE

Niveau de sécurité et contrôlesLes systèmes informatiques doivent être adaptés au

niveau de sécurité informatique fixé par la DirectionGénérale et faire l'objet de contrôles périodiques sur(art. 14) :

" le niveau de sécurité qu'ils offrent et, le caséchéant, la mise en œuvre d'actions correctrices,

" l'existence de procédures de secours informatique(back-up) permettant d'assurer la continuité del'exploitation en cas de difficultés graves defonctionnement.



- 10 -



- 11 -



- 12 -



(1) Les dates de remise prévues dans le règlement ne visent que laremise des rapports concernés à la Commission Bancaire et

aux Commissaires aux comptes. Aucune précision n'estdonnée concernant la date de remise de ces mêmes rapportsaux autres destinataires, et notamment à l'organe délibérant.

(2) Informations minimales devant figurer dans les rapports selonla lettre adressée le 15 mars 2001 par le Secrétaire Général dela Commission Bancaire au Directeur général de l'Associationfrançaise des établissements de crédit et des entreprisesd'investissement. Cette lettre a été conçue pour guider laréflexion des établissements sur la façon retenue pourstructurer leurs rapports de contrôle interne. Les exemplesmentionnés n'ont qu'une valeur indicative, les établissementsdevant les adapter et les compléter en fonction desparticularités de leurs activités et de leur organisation.

(3) Il n'est pas prévu de communication expresse à l'organeexécutif dans la mesure où, pour le rapport sur la mesure et lasurveillance du risque, c'est précisément l'ensemble desinformations communiquées par celui-ci à l'organe délibérantqui doit faire l'objet de ce rapport. On peut donc en conclure,à notre avis, que l'organe exécutif doit superviser la rédactionde ces rapports.

(4) Ce rapport peut être inclus dans le rapport annuel sur lecontrôle interne visé à l'article 42 du règlement 97-02 modifiépar le règlement 2001 - 01. Le règlement 97-02 (art.32) nedonne aucune précision quant à la mise en place de systèmes

de mesure, de surveillance et de maîtrise des risquesopérationnels et juridiques et se limite à indiquer que "lesétablissements se dotent des moyens adaptés à la maîtrise desrisques opérationnels et juridiques". En revanche, la lettre duSecrétaire Général de la Commission Bancaire du 15 mars2001 recommande que le dispositif de mesure et desurveillance des risques juridiques et opérationnels soit décritdans le rapport visé à l'article 43 sans toutefois préciser lanature des informations à y faire figurer.

(5) A notre avis, une partie peut être consacrée au risqued'intermédiation, introduit dans le règlement 97-02 par lerèglement 2001-01 postérieurement à la date de publicationde la lettre du Secrétaire Général de la Commission Bancairementionnée au (2).

(6) En cas de surveillance sur une base consolidée, les entreprisesassujetties élaborent, au moins une fois par an, un rapport surles conditions dans lesquelles le contrôle interne est assuré auniveau de l’ensemble du groupe (respect des dispositions du97-02 dans les entités contrôlées, cohérence des systèmes misen place, adéquation des procédures).

(7) Le livre Blanc Internet de décembre 2000 comporte égalementdes recommandations pour enrichir les rapports 42 et 43 autitre des risques spécifiques liés à l’activité en ligne.

- 13 -

COMMENTAIRES AU TABLEAU RÉCAPITULATIF



Ce document a été réalisé par

les départements "Conseil en Gestion Prudentielle Bancaire"

et "Services à l’Inspection et l’Audit Interne Bancaire"

de PricewaterhouseCoopers France

Il est interdit de reproduire intégralement ou partiellement la présente publication

32, rue Guersant75017 - PARIS

©

P r i c e w a t e r h o u s e C o

o p e r s -

f é v r i e r 2 0 0 2

Conseil en Gestion Prudentielle Bancaire

Guy Flury - AssociéTél. 01 56 57 10 67

[email protected]

Marine Laufer-Tourte - ManagerTél. 01 56 57 10 67

[email protected]

avec la participation de Andréa Parneci

Services à l’Inspection et l’Audit Interne Bancaire

Jean-Pierre Bouchart - AssociéTél. 01 56 57 17 02

[email protected]

Stéphan Tripoul - ManagerTél. 01 56 57 17 02

[email protected]