Audit Bancaire

INSTITUT SUPERIEUR DE COMMERCE ET D'ADMINISTRATION DES ENTREPRISES CYCLE SUPERIEUR DE GESTION (C.S.
G)
MEMOIRE PRESENT EN VUE DE L'OBTENTION DU DIPLOME DU CYCLE SUPERIEUR DE GESTION
L'audit systmique, un outil defficacit du risk management

Application aux systmes d'information, aux activits de march, aux ressources humaines et la comptabilit.
Cas du systme bancaire marocain.
Par Membres du Jury
: M. Badr FIGUIGUI :
M. Mostafa MELSA : Professeur lISCAE, Prsident du jury; M. Abdellatif MAZOUZ : Directeur de recherche, suffragant ; M. Mohammed HDID : Expert comptable Associ Saaidi-consultants,

M. Hassan BOUBRIK M. Omar BOUNJOU
suffragant ; : Secrtaire Gnral de la Caisse de Dpt et de Gestion (CDG), suffragant ; : Directeur Gnral dAttijari Wafa Bank, suffragant.
- Septembre 2007 -
Sommaire simplifi
SOMMAIRE SIMPLIFIE
Partie introductive
Introduction
...6
Problmatique gnrale...9 Intrt du sujet..12 Hypothse centrale....13 Propos mthodologiques .......16 Chapitre prliminaire : Le systme bancaire marocain : vue densemble..19
Premire partie : L'audit interne dans le systme bancaire marocain : des pratiques limites aux fonctions classiques.
Chapitre 1 : Typologie et valuation des risques bancaires
Section 1 : Typologie des risques bancaires.......39 Section 2 : Critres d'valuation et dispositifs de contrle.56
Chapitre 2 : Spcificits de l'audit bancaire

Section1 : Principes d'audit en gnral.....77 Section2 : Particularits de l'audit bancaire......89
Chapitre 3 : Les systmes daudit interne bancaire marocain et leur efficience : enqute sur le terrain
Section 1 : Le guide dentretien.....103 Section 2 : les conclusions de lenqute.......106
Partie II : L'audit systmique, un nouvel outil au service du risk management pour matriser davantage les risques des mtiers.
Chapitre 1 : Les particularits de l'approche d'audit systmique.
Section 1 : L'audit du systme de contrle interne global...122 Section 2 : L'approche par les risques....126 Section 3 : Lapproche systmique........128
Chapitre 2 : Mission d'audit de la Direction des Systmes d'Information.

Section 1 : Organisation et management....138 Section 2 : Scurit.......148 Section 3 : Etudes et dveloppements......163 Section 4 : Exploitation informatique....168
Chapitre 3 : Mission d'audit de la Salle des Marchs.

Section 1 : Front-Office Trading & ventes...175 Section 2 : Middle-Office......183 Section 3 : Back Office.......191 Section 4 : Risque de contrepartie..199 Section 5 : Risque Juridique..201 Section 6 : Scurit Physique......203
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.

Section 1 : Organisation gnrale de la fonction RH.......208 Section 2 : Administration....211 Section 3 : Gestion des carrires.....213 Section 4 : Recrutement....215 Section 5 : Formation.......217 Section 6 : Relations et activits sociales....218
Chapitre 5 : Mission d'audit de la Direction Comptable.

Section1 : Audit systmique du service comptable....226 Section 2 : Les reportings rglementaires..........233 Section 3 : Risques fiscaux........235 Section 4 : Consolidation......236
Conclusion gnrale.......239 Annexes .....246 Bibliographie.......276
Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________
Partie introductive
Partie introductive
Introduction Problmatique gnrale Intrt du sujet Hypothse centrale Propos mthodologiques Chapitre prliminaire : Le systme bancaire marocain : vue densemble
'audit systmique, un outil defficacit du risk management. Application aux systmes d'information, aux activits de march, aux ressources humaines et la comptabilit.
Cas du systme bancaire marocain
Introduction.
Le secteur bancaire est en mutation : drglementation, dsintermdiation, risques accrus, pour nen citer que les lments les plus courants. Les banques font face un environnement socioconomique mouvant et de plus en plus complexe. En effet, les banques marocaines comme les banques trangres ont vcu de profonds bouleversements dans les annes quatre vingt se traduisant par la dcentralisation et l'internationalisation des activits, la croissance des volumes doprations, le dveloppement des produits sophistiqus et la prise de risques dans un contexte de baisse des marges. Depuis le dbut du troisime millnaire, en Europe, on constate une acclration des fusions et des acquisitions dans le secteur bancaire. Phnomne qui semble se propager pour toucher ainsi le paysage bancaire marocain. Si, historiquement, la restructuration du secteur bancaire n'est pas un phnomne nouveau, comment expliquer lacclration actuelle ? Quelles en sont les consquences sur les fonctions exerces par les banques et les risques qui en dcoulent ? Le paysage bancaire mondial y compris celui marocain sera-t-il domin par quelques mga banques dans quelques annes ? Ainsi, avec les volutions qui marquent le secteur bancaire et qui se caractrisent notamment par la rapidit de renouvellement des process, l'automatisation acclre des traitements ainsi que par la technicit et la diversit croissantes des produits, les risques auxquels les banques sont confrontes sont devenus plus nombreux, plus significatifs et plus complexes. Ces mutations posent d'une part des problmes de difficults danalyse et de contrle des risques, de protection des investisseurs et de transparence des marchs et d'autre part, des exigences toujours plus leves la gestion des risques et lorganisation des tablissements bancaires. De mme, elles accroissent le risque de contrles inadapts voir dfaillants. Les tablissements bancaires sont aujourdhui conduits s'investir davantage pour tirer les conclusions de ces volutions. Laxe de progrs le plus vident est la mise en place dun systme interne de connaissance de leur exposition aux risques, quelle que soit lorigine du risque (crdit, march, systme d'information...). Le pilotage des risques bancaires via le risk management et l'audit interne est une problmatique largement d'actualit, depuis dj quelques annes dans beaucoup de pays occidentaux (Etats Unis, Japan, Grande Bretagne, France,). Ceci n'est pas le
fruit du hasard, mais une consquence des problmes conomiques importants que soulve la question, ayant abouti dans certains cas des situations dramatiques. Les pertes importantes qu'ont subies plusieurs banques et tablissements financiers sur leur activit de trading illustrent par ailleurs, de manire assez pragmatique, les consquences de "break-down " dans le processus de matrise des risques. De nombreuses affaires sur plusieurs grands marchs tels que Barings, Fleming et Morgan Grenfell, Dawa et Sumitomo, Orange country et Metallgesellschaft, ne sont que des exemples de cette liste noire (Cf. Annexe 1) et ont montr que lexistence de procdures adaptes tait ncessaire mais pas suffisante. A la suite de ces affaires et des menaces que fait peser une faillite bancaire sur le systme financier tout entier, et sur la confiance quil doit inspirer tous, les exigences des instances de rgulation vont en croissant, les contrles se renforcent et les sanctions deviennent plus dissuasives. Ces instances ont, leur tour, labor des doctrines dont lobjet principal est de soumettre les banques des rgles permettant de minimiser le risque de les voir manquer leurs obligations vis--vis de leurs dposants. Le dveloppement de ces rgles dites prudentielles est en train de converger vers une approche de plus en plus similaire celle rsultant des analyses de la thorie financire : le projet du nouveau ratio de solvabilit dit Mc Donough a pour principal objectif de mieux prendre en compte la ralit des risques pour la dfinition des exigences de fonds propres auxquelles sont soumises les banques. Il y a quelques annes, le Maroc a lui aussi failli tomber sous le coup d'une instabilit financire cause par les difficults financires de deux grandes banques publiques de la place. Sans l'intervention des pouvoirs publics, cette crise aurait pris un tournant dangereux. S'il est vrai que ces accidents n'ont pas mis le systme financier en danger, ils n'en sont pas moins porteurs d'un avertissement pour tous : des systmes dficients en matire de gestion et d'audit des risques dans le secteur financier peuvent rapidement provoquer des pertes financires considrables lesquelles, si elles ne sont pas contenues adquatement par des tampons solides aptes endiguer le risque systmique, sont susceptibles d'engendrer un effet de domino auprs d'autres oprateurs sur les marchs avec des consquences difficilement calculables pour le systme financier. Cette proccupation est relle, comme en tmoigne l'actualit internationale : les crises rcentes de l'Argentine, la Turquie et la crise asiatique d'il y a quelques annes n'en sont que des exemples. Ces turbulences financires qui ont secou les marchs financiers internationaux en gnral et celui marocain en particulier, ont mis en vidence certaines faiblesses dans la gestion et l'audit des risques au sein des tablissements bancaires. Cette gestion longuement assimile une simple conformit des rgles prudentielles s'est rvle inefficace dans la mesure o celle-ci sest limite pour la plupart au respect d'un
ensemble d'indicateurs plutt gnraux et a pass sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du top management et du conseil d'administration dans le contrle des organisations bancaires. Il est vident que dans ces conditions, les banques ne peuvent plus se contenter pour leur gestion de s'appuyer sur une approche limite de gestion des risques bancaires, un pilotage plus fin devient alors vital. En effet, la solidit et la sant de tout tablissement bancaire est une responsabilit qui incombe en premier lieu au management de celui-ci: il n' y a aucun systme spcifique de surveillance bancaire qui puisse remplacer une gestion saine et efficace d'une banque. Celle-ci passe dsormais par une implication plus importante du management dans le choix d'outils pertinents les mieux adapts au profil de risque de l'tablissement bancaire. S'il est vrai que l'audit bancaire comporte des cots levs, il s'est avr qu'un audit dficient ou insuffisant cote encore plus cher. Dans ce rpertoire, Il n'existe pas encore de thorie d'audit bancaire standard et globalement accepte. Nous n'avons l'heure actuelle, qu'un ensemble de pratiques de l'audit, qui ont volu au cours des annes, avec les besoins et les mtiers de la banque. L'audit bancaire prsente quelques spcificits de part les particularits de lenvironnement analys. En effet, en sappliquant au systme de gestion et de contrle des risques bancaires, il en dcoule une pluridisciplinarit des champs observs : ressources humaines, systme d'information, comptabilit, activits de march .. De plus, les risques bancaires sont des phnomnes complexes et difficiles cerner. Ce qui entrane des particularits pour lauditeur concernant la manire dobserver, linterprtation des rsultats et les difficults dlaboration dun systme de rfrence. Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit la volont affirme de la part de ses instances dirigeantes de se doter d'un outil mme de limiter les risques inhrents ses activits, de rendre l'organisation existante plus performante et plus gnralement, d'accrotre l'efficacit de celle-ci. En effet, laudit interne peut jouer un rle non ngligeable en matire defficacit du management dune banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte accomplir la mission qui lui est assigne. Des conditions sont remplir pour que l'audit interne puisse tre un vritable outil d'efficacit. A l'vidence, quelle que soit la nature des missions confies l'audit interne, le niveau d'efficacit sera fonction d'un certain nombre de paramtres tels que la pertinence de l'approche emprunte, l'exhaustivit du primtre audit, le savoir-faire technique et qualits intrinsques de l'auditeur, etc. Ainsi, face aux volutions des mtiers bancaires, qui ont gnr de nouvelles variantes de risques et modifi les facteurs de fragilit financire, il devient de plus en plus impratif de dvelopper des outils d'audit spcifiques dans le but de dtecter et de couvrir tous les risques inhrents l'activit bancaire.
Si les normes prudentielles et rglementaires demeurent un point d'ancrage essentiel, il est de plus en plus pressant que les tablissements bancaires puissent s'investir dans le dveloppement d'instruments complmentaires d'analyse fonds sur des mthodes la fois quantitatives et qualitatives voir systmiques. Le Comit de Ble II impose la mise en uvre de mthodes plus strictes pour lvaluation et la gestion du risque de crdit, du risque de march et du risque oprationnel. Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences rglementaires serait possible avec l'approche de l'audit systmique. Celle-ci a modifi profondment les pratiques utilises jusque l par l'auditeur bancaire. Instaure en globalit pour toutes les lignes mtiers ou intgre individuellement pour complter un systme existant, une telle approche permet aux tablissements bancaires de disposer d'un outil prcieux pour mieux grer et contrler leurs risques.
Problmatique gnrale.
Contexte international La problmatique de gestion et d'audit des risques apparat donc comme une donne omniprsente et essentielle dans l'apprciation de la qualit des tablissements de crdit. Une rtrospective sur l'volution des normes et des pratiques en la matire souligne toutefois le caractre rcent de cette proccupation avec les premires rflexions d'ensemble qui remontent seulement une vingtaine d'annes. C'est en effet en 1988 que le premier texte international visant rguler l'exposition aux risques des banques a vu le jour, avec la publication par le Comit de Ble de l'accord sur l'adquation des fonds propres qui, rappelons-le , ne traitait l'poque que les risques de crdit ( cette norme est la base de la dcision rglementaire de Bank AlMaghrib (BAM) N96 du 25 dcembre 1992 relative l'instauration du ratio de solvabilit impos l'ensemble des oprateurs dans le secteur bancaire). L'volution spectaculaire des rfrentiels de gestion des risques dcoule de deux phnomnes qui sont venus se cumuler. L'impulsion du march avec la monte en puissance des thmatiques de gouvernement d'entreprise et de transparence, phnomne qui n'est d'ailleurs pas spcifique au secteur bancaire mais concerne l'ensemble des socits et, en particulier celles cotes; La pression forte et continue des rgulateurs bancaires, en premier lieu le Comit de Ble, pour amliorer les dispositifs de gestion et de contrle des risques dans l'objectif de garantir la stabilit conomique au niveau mondial et dviter la survenance de risques systmiques.
L'analyse des textes qui manent des autorits prudentielles bancaires, au niveau international, montre une attention croissante porte depuis quelques annes par ces autorits ces thmes, avec en particulier : La dclinaison au niveau du secteur bancaire du principe de responsabilit finale des administrateurs dans le fonctionnement du contrle interne et de la mise en place de comits d'audit ; La dfinition dun cadre complet et prcis sur le mode d'organisation, de gestion et d'encadrement des diffrents risques avec le dveloppement du concept de "Risk Management" notamment travers des textes rglementaires sur le contrle interne; L'affirmation constante de la ncessit de transparence vis--vis du march. Celle-ci passe notamment par une communication adapte sur l'organisation interne de la gestion des risques, les expositions et les incidences passes et futures, ainsi que sur la rentabilit des activits autour de diffrents indicateurs de cration de valeur.
Une autre tendance de fond observe depuis 1998 rside dans l'largissement des rfrentiels de gestion et de matrise des risques, vers une conception tendue l'ensemble des risques banacires, alors qu'ils taient concentrs initialement sur les risques financiers (crdit, march,..). En particulier, des travaux approfondis ont t entrepris par le Comit de Ble sur le thme du risque oprationnel. Dans ce contexte de foisonnement et de progression continue des textes sur la gestion des risques des banques, les rapports annuels des grandes banques internationales comportent actuellement des prsentations de plus en plus importantes sur les dispositifs globaux de "risk management", et une communication dsormais spcifique sur la gestion du risque oprationnel. La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un "going concern". Cette problmatique gnrale tant prcise, Qu'en est-il de la question au Maroc? Contexte marocain Le paysage bancaire marocain se caractrise par un cadre prudentiel qui a fait l'objet d'une refonte profonde ds 1993 concidant avec la promulgation de la nouvelle loi bancaire. Dans le prolongement de cette nouvelle loi bancaire, plusieurs rglements se sont succds, dont le plus important est la circulaire N6 relative au contrle interne des tablissements de crdit diffuse par Bank Al Maghrib (BAM) en fvrier 2001. Avant la diffusion de cette nouvelle circulaire, un dbat fragment a t soulev depuis quelques annes avec pour toile de fond les dysfonctionnements vcus ces derniers temps par certains tablissements de crdit ; jusque-l considrs comme pionniers dans le pilotage bancaire et le contrle interne.
10
Le cadre rglementaire du secteur bancaire a connu rcemment de nouvelles volutions et a ainsi subi plusieurs amnagements notamment travers la refonte de deux textes fondateurs savoir : les nouveaux statuts de Bank Al-Maghrib, adopts par le Parlement le 13 janvier 2005, confrant cette institution lautonomie en matire dlaboration et de conduite de la politique montaire et la nouvelle loi bancaire du 14 fvrier 2006 ayant renforc les prrogatives de Bank Al-Maghrib dans le domaine de la supervision bancaire. Actuellement, au-del des causes des mutations que connat le paysage bancaire marocain (les mouvements de fusion absorption, la disparition des petites banques, la rude course concurrentielle, la recrudescence des fraudes .), ce sont leurs consquences notamment la fragilit financire accrue qui attirent lattention. Comment peut-on expliquer que certains tablissements bancaires aient connu autant de difficults financires ? Est-ce seulement d un management irresponsable ou sagit-il dun problme defficience de leur systme d'audit interne? La circulaire N6 de BAM arrive donc point nomm pour rappeler aux tablissements de crdit leurs responsabilits et la ncessit de matriser leurs risques majeurs pour protger leurs clients, leurs actionnaires et l'ensemble de leurs partenaires. Afin d'inciter les tablissements de crdit se conformer la rglementation en vigueur, des sanctions pcuniaires applicables aux diffrentes infractions ont, en outre, t dictes. Ce renforcement du dispositif prudentiel et son alignement sur les normes internationales visent prvenir les diffrents risques lis l'exercice de l'activit des tablissements de crdit. Ces actions entreprises par les autorits montaires traduisent une volont ferme des organes de tutelle en vue d'radiquer toutes les sources potentielles pouvant entraver un fonctionnement normal de l'ensemble du systme financier. La gestion des risques bancaires revt encore plus d'importance auprs des autorits montaires qui se sont dmarques ces derniers temps par la diffusion d'un ensemble de rgles et de recommandations visant mettre en place une nouvelle approche de surveillance de risque base sur un renforcement des systmes de contrle interne. Toujours est-il qu'une question demeure pose ce sujet, celle-ci porte non seulement sur l'efficacit des mesures rglementaires institues par les autorits montaires, mais aussi sur la capacit des tablissements de crdit intgrer efficacement les nouvelles rgles de contrle interne, dcoulant la fois des pratiques internationales et des nouvelles approches fondes sur une gestion interne des risques. Ds lors, des interrogations majeures s'imposent sur l'efficacit des dispositifs d'audit interne, actuellement pratiqus par le systme bancaire marocain : Le management bancaire est-il sensible tous les risques : oprationnels, financiers, stratgique et de rputation ?
11
Comment a-t-il rparti les rles entre les divers acteurs de son entit (Risk management, Audit interne et Compliance en termes de gestion, de contrle et de prvention de ces risques ? Laudit interne au sein du systme bancaire marocain, jouit-il de l'indpendance, du pouvoir et de l'efficacit ncessaires pour mener bien sa mission ? Le systme d'audit bancaire marocain est-il efficient ? La cartographie des risques des tablissements bancaires est-elle fiable et exhaustive ? La cartographie des risques permet-elle d'identifier les risques (par mtiers, domaines, ou processus), de qualifier ces risques (frquence, niveau de criticit,) et de les rattacher aux lments concerns (tche, acteur, systme,...) ? Permet-elle au management de la banque de dcider des actions mener pour grer ces risques : assumer, viter, prvenir (rduire la frquence ou la probabilit de survenance), attnuer (rduire limpact financier ou dimage) ou transfrer (assurance)? Fournit-elle au management une synthse dgageant les risques majeurs et/ou les processus les plus sensibles, lesquels seront surveiller laide dindicateurs des risques cls "Key Risk Indicators" ? Le champ daudit des tablissements bancaires est-il exhaustif ? Son primtre couvre-t-il tous les risques (marchs, systme d'information, comptables, ressources humaines, ..) et les entits de la banque (Rseau, Directions centrales, filiales et succursales) ? Les directions d'audit interne disposent-elles de ples de comptence aptes mener des missions d'audit dans des mtiers spcifiques (salle des marchs, systmes d'information, ressources humaines, finance et comptabilit, gestion actifs-passifs, logistique.) ? Disposent-elles de manuels de procdures ou de modes opratoires pour piloter les missions daudit ralises dans tous les mtiers ?

Enfin, peut on amliorer lefficience du systme daudit interne bancaire marocain par une nouvelle Approches daudit systmique ?
Intrt du sujet.
Plus pratiquement, lintrt du sujet dcoule de trois considrations principales : Le contexte en forte volution, caractris par diverses mutations conomiques et rglementaires importantes ( forte tendance concurrentielle , pression rglementaire) qui souligne l'importance de laudit bancaire pour la stabilit
12
financire et explicite dornavant le rle majeur du top management dans ce processus de pilotage et de contrle. L'objectif de cerner et de prvenir tout risque de perte de valeur qui ncessite des outils adquats en termes de dveloppement, de reporting et de matrise des risques qui passent incontournablement par un renforcement du dispositif de contrle interne et par consquent de l'approche d'audit. Eu gard cette volont aussi bien publique que prive, et dans le cadre mme du processus naissant d'alignement sur les standards internationaux la fois comptables et financiers, les tablissements de crdit marocains offrent-ils un environnement propice pour une mise en uvre dans les dlais souhaits par les autorits montaires des nouvelles recommandations formules dans les nouvelles dispositions rglementaires ?
L'intrt du travail que je me propose de dvelopper dans le cadre du prsent thme de recherche se veut tout d'abord pragmatique compte tenu la fois des ralits conomiques et organisationnelles des tablissements de crdit marocains, mais aussi critique et prcurseur d'une nouvelle approche d'audit bancaire. L'objectif primordial de cette tude est donc de fournir une esquisse des pratiques d'audit dans le systme bancaire et de dmontrer l'incapacit des systmes classiques d'audit de couvrir seuls l'ensemble des mtiers bancaires et particulirement ceux rputs comme "inauditables" de part leur complexit et/ou de leur technicit, tels que : le systme dinformation, les activits de march, les ressources humaines et la comptabilit. Ble II impose la mise en uvre de mthodes plus strictes pour lvaluation et la gestion des risques. Disposer d'une visibilit globale sur les risques, tout en rpondant aux exigences rglementaires, demande beaucoup dimplication, de temps, defforts et de ressources de la part des banques. Devant les difficults majeures de mise en place d'un dispositif efficace de contrle interne au regard des tendances internationales et des nouvelles exigences rglementaires, laudit systmique, dvelopp dans le prsent thme de recherche, a pour objectif ultime de proposer aux tablissements bancaires un outil prcieux pour mieux grer et auditer leurs risques. Ainsi, sera dveloppe une dmarche mthodologique d'audit systmique illustre via quatre lignes mtiers (systme d'information, activits de march, comptabilit et ressources humaines) et qui pourrait ainsi tre tendue d'autres mtiers.
Hypothse centrale.
Face un environnement socioconomique de plus en plus difficile marqu par la multiplicit et la complexit des risques et l'accroissement du risque daudits inadapts ou dfaillants, les banques doivent plus que jamais disposer dun systme de gestion et
13
daudit de risques performant, efficace et susceptible de mieux matriser et de prvenir lapparition de nouveaux risques. Depuis plusieurs annes, les autorits de rglementation et de contrle bancaire ont pris de nombreuses initiatives en vue de dvelopper et de renforcer le contrle interne dans les tablissements de crdit. Cet environnement de plus en plus complexe et mouvant dans lequel voluent les tablissements de crdit, a donc ncessit lexistence des systmes danalyse, de mesure, de matrise des risques performants qui compltent ainsi le dispositif prudentiel. Lobjectif est de sassurer dune part que les risques de toute nature sont analyss et surveills et de contribuer dautre part la prvention ou la dtection prcoce de ces risques. Ces exigences ont entran pour certains tablissements de crdit des rflexions sur leur organisation, leur systme dinformation ainsi quune rvision de leur dispositif d'audit interne. La fonction daudit interne est un instrument incontournable pour vrifier le bon fonctionnement, lefficacit et lefficience du systme de contrle interne. Dans le cadre de ses travaux, laudit interne fournit au top management des analyses, des valuations, des recommandations, des avis sur les activits examines et contribue ainsi un meilleur pilotage de la banque. Un systme de contrle interne adquat requiert un ensemble efficace de mesures intgres, adaptes lorganisation et au fonctionnement de ltablissement bancaire et conformes aux principes dune gestion prudente et saine. Or, le monde bancaire doit faire face de nouveaux enjeux : disposer dinformations prcises, provenant de sources internes parses et de divers partenaires externes, grer et consolider diffrents types de risques provenant de plusieurs localisations gographiques ou domaines fonctionnels, ou bien adopter une politique globale de gestion du risque en conformit avec la nouvelle rglementation Ble II. De nombreux tablissements financiers ont encore un mode de fonctionnement compartiment, avec des silos dinformations, danalyses et dhypothses parfois incohrents entre les entits de la banque. Il leur est donc difficile dobtenir une vision densemble fiable des multiples risques rencontrs et den mesurer le niveau global. Sur le plan rglementaire, Ble II impose la mise en uvre de mthodes plus strictes pour lvaluation et la gestion du risque de crdit, du risque de march et du risque oprationnel. Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences de Ble II, demande beaucoup dimplication, de temps, defforts et de ressources de la part des banques. Dans ce contexte, une mthodologie daudit des risques appele "audit systmique " est primordiale pour en tudier les principales causes et consquences, ainsi que les mcanismes de propagation. Elle permettra de dterminer les indicateurs et mesures de gestion puis les plans dactions les mieux adapts pour les matriser.
14
Elle aboutira notamment mieux connatre le profil de risque des activits exerces (cartographie des risques), dvelopper et alimenter les outils ncessaires au pilotage de ces risques (rfrentiel de risques par activit, indicateurs de veille et de suivi). Elle vise galement amliorer et coordonner les processus de gestion existant en intgrant, en particulier, les problmatiques de contrle interne, de scurit des systmes dinformation, de dontologie, dans le cadre dun dispositif dvaluation globale des risques. Enfin, elle permettra daccrotre la responsabilit, la vigilance et la ractivit des units fonctionnelles et de rpondre aux exigences du risk-management. En instaurant une nouvelle approche d'audit systmique, les tablissements bancaires seraient aptes mieux valuer et grer leur risque. Laudit systmique prsente une approche intgre capable didentifier les facteurs de risque et qui inclut toutes les analyses appropries la mesure de tous les types de risques : crdit, march et oprationnel. Une telle approche permet d'avoir une vision globale et matrise des risques, quelle que soit la complexit des organisations ou des processus auditer, de vrifier l'efficacit du dispositif de contrle interne par ligne mtier, et enfin, daccrotre la responsabilit, la vigilance et la ractivit des units oprationnelles et ainsi des risk managers dans la matrise, la gestion et la prvention des risques. Instaur en globalit pour tous les mtiers ou intgr individuellement pour complter un systme existant, l'audit systmique contribuerait invitablement amliorer l'efficience du systme d'audit interne bancaire marocain en mettant en uvre une politique globale de gestion des risques. Ainsi, une dmarche mthodologique d'audit systmique est dveloppe, titre illustratif, dans le prsent travail pour quatre lignes mtiers (systmes d'information, salle des marchs, ressources humaines et comptabilit), et qui pourrait d'ailleurs tre tendue d'autres mtiers, illustre parfaitement l'originalit et la pertinence de l'approche. Un audit systmique devient aujourdhui un instrument efficace la conduite raisonne du mtier de banquier. Il ne sagit donc pas simplement dun audit classique, mais dune tape dans un processus permanent danalyse et dvaluation des risques bancaires, sur la base duquel le management pilote les diffrentes activits. Cest dailleurs lobjectif principal recherch par le Comit de Ble : le fait de pousser les banques moderniser leurs systmes internes de pilotage des risques devrait en effet conduire une scurisation accrue et donc une amlioration globale de la qualit du systme de contrle interne et de la bonne gouvernance bancaires.
15
Propos mthodologiques.
La mthodologie du traitement du prsent sujet s'inscrit en trois tapes: D'abord, au travers d'un travail d'enqute approfondie sur le terrain auprs d'un chantillon reprsentatif des banques marocaines, dresser un constat de la problmatique et des enjeux de la question et les difficults pragmatiques de sa mise en uvre. L'orientation de mon travail dcoulera en grande partie des rsultats de cette analyse qualitative, qui se veut tout d'abord un outil permettant de mettre en exergue les difficults la fois techniques et mthodologiques dans l'audit interne des risques bancaires. Si les concepts et les mthodes font l'objet d'un large consensus, l'organisation des systmes et des structures grant les modles internes est incontournablement diffrente d'un tablissement l'autre. Mon propos ce sujet est d'tudier les difficults de mise en place de dispositifs internes efficaces d'audit en s'appuyant sur une analyse approfondie de la stratgie et de l'organisation des diffrentes activits des tablissement de crdit marocains. Tout en s'alignant sur les nouvelles dispositions dcoulant du comit de Ble sur le contrle bancaire ainsi que les nouvelles rgles institues par la circulaire N6 relative au contrle interne des tablissements de crdit au Maroc, ce travail se veut aussi un diagnostic de la ralit des tablissements de crdit marocains eu gard cette nouvelle tendance rglementaire et leur capacit pouvoir s'y conformer dans les dlais souhaits. On ne manquera pas cet effet, de rappeler quelques expriences trangres sur les meilleures pratiques "Best practices" de la profession d'audit. Enfin, par une mise en perspective de la fonction daudit interne auprs du top management, travers un benchmarking et un raccordement de synergie entre d'une part les enseignements tirs de mon exprience personnelle en audit bancaire, et d'autre part par les nouvelles approches d'audit interne pratiques, lchelon mondiale, par plusieurs banques de renom. Ces dernires constitueront via leur Approches daudit systmique, un repre incontournable de la conduite de ce travail. Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle approche d'audit systmique dans le dispositif de matrise globale des risques. Pour tudier tous ces aspects, mon travail s'articule en deux parties:
La premire partie traite des pratiques d'audit interne dans le systme bancaire
marocain. Elle prsente d'abord, un examen typologique des risques bancaires et leurs critres d'valuation comme tant l'tape la plus importante et surtout la plus difficile apprivoiser dans le processus de management des risques et un aperu sur ce qu' en sont les pratiques pour le systme bancaire marocain.
16
Ensuite, elle souligne les principes fondamentaux relatifs l'audit interne en gnral et les particularits de l'audit bancaire de part la pluridisciplinarit des champs observs (ressources humaines, systme d'information, activits de march) et la multiplicit et la complexit des risques qui en dcoulent. Enfin, une prsentation des rsultats de l'enqute sur l'efficience du systme d'audit bancaire marocain, travers un chantillon de cinq banques prives marocaines, choisies parmi les tablissements les plus reprsentatifs de l'activit bancaire l'chelon national. Trois thmes ont t mis en vidence, la sensibilit du management l'audit, le positionnement et le rle des acteurs du systme de contrle interne et le dispositif d'audit pratiqu pour quatre mtiers htrognes choisis de part leur haute technicit. La seconde partie est consacre l'approche mthodologique de l'audit systmique bancaire en exposant d'abord sa particularit en la situant dans le contexte d'audit du systme de contrle interne global. Ensuite, sera dvelopp lapport d'une telle dmarche dans la matrise, la gestion et la prvention des risques et sa contribution dans lamlioration de l'efficience du systme d'audit interne bancaire marocain. Enfin, sera dveloppe en dtail une dmarche mthodologique d'audit systmique pour quatre lignes mtiers savoir les systmes d'information, la salle des marchs, la comptabilit et ressources humaines) pour illustrer concrtement l'approche. Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle approche d'audit systmique dans le dispositif de matrise globale des risques. Pour tudier tous ces aspects, mon travail s'articule en deux parties:
La premire partie traite des pratiques d'audit interne dans le systme bancaire
marocain. Elle prsente d'abord, un examen typologique des risques bancaires et leurs critres d'valuation comme tant l'tape la plus importante et surtout la plus difficile apprivoiser dans le processus de management des risques et un aperu sur ce qu' en sont les pratiques pour le systme bancaire marocain. Ensuite, elle souligne les principes fondamentaux relatifs l'audit interne en gnral et les particularits de l'audit bancaire de part la pluridisciplinarit des champs observs (ressources humaines, systme d'information, activits de march) et la multiplicit et la complexit des risques qui en dcoulent. Enfin, une prsentation des rsultats de l'enqute sur l'efficience du systme d'audit bancaire marocain, travers un chantillon de cinq banques prives marocaines, choisies parmi les tablissements les plus reprsentatifs de l'activit bancaire l'chelon national.
17
Trois thmes ont t mis en vidence, la sensibilit du management l'audit, le positionnement et le rle des acteurs du systme de contrle interne et le dispositif d'audit pratiqu pour quatre mtiers htrognes choisis de part leur haute technicit. La seconde partie est consacre l'approche mthodologique de l'audit systmique bancaire en exposant d'abord sa particularit en la situant dans le contexte d'audit du systme de contrle interne global. Ensuite, sera dvelopp lapport d'une telle dmarche dans la matrise, la gestion et la prvention des risques et sa contribution dans lamlioration de l'efficience du systme d'audit interne bancaire marocain. Enfin, sera dveloppe en dtail une dmarche mthodologique d'audit systmique pour quatre lignes mtiers savoir les systmes d'information, la salle des marchs, la comptabilit et ressources humaines) pour illustrer concrtement l'approche.
18
Chapitre prliminaire : Le systme bancaire marocain, vue d'ensemble.
19
Chapitre prliminaire : Le systme bancaire marocain : vue d'ensemble.

Rformes et volutions du systme bancaire marocain et sa position macro conomique. Depuis le dbut des annes 90, le secteur financier au Maroc a connu une priode de libralisation marque par des rformes appuyes par une srie dinitiatives de la Banque Mondiale. Ces rformes portaient sur le secteur bancaire (1991-1995), le dveloppement du march des capitaux et la poursuite de la libralisation du secteur financier (1996). Parmi les principales reformes mises en uvre pendant cette priode, il faut souligner l'limination de l'encadrement du crdit, la libralisation des taux dintrt, la refonte du cadre lgislatif de l'activit des tablissements de crdit par l'adoption en 1993 d'une nouvelle Loi Bancaire, la suppression progressive des emplois obligatoires (Plancher dEffets Publics) et le renforcement de la rglementation prudentielle des banques en sinspirant des normes internationales. Plus rcemment, la refonte des nouveaux statuts de Bank Al-Maghrib en janvier 2005 et la nouvelle loi bancaire en fvrier 2006 ont renforc les prrogatives de la Banque Centrale dans le domaine de la supervision bancaire et de la politique montaire. Lintermdiation financire des banques marocaines sest dveloppe par rapport la taille de lconomie, mais un rythme qui ne menace pas de dstabiliser lquilibre financier des principales banques commerciales. Avec la rduction de la prsence de lEtat dans le systme bancaire, une part nettement plus importante des crdits est destine au financement du secteur priv. Nanmoins, la croissance relative des crdits moyen et long terme et de lpargne bancaire terme ne sest pas sensiblement amliore. Le financement du Trsor continue de reprsenter une partie non ngligeable des emplois du secteur bancaire. Rglementation et supervision bancaires. La revue de la rglementation et de la supervision bancaires au Maroc a t fonde sur les vingt-cinq principes formuls par le Comit de Ble. Ces principes ont t proposs la fin de lanne 1997 en vue de rehausser la qualit de la rglementation et de la supervision bancaires. Ainsi, on peut schmatiser le positionnement du systme bancaire dans le systme financier marocain comme suit :
20
SYSTEME FINANCIER MAROCAIN - CADRE INSTITUTIONNEL

AUTORITES DE REGLEMENTATION ET DE SUPERVISION
BANQUES Banque Centrale BANK AL MAGHRIB
-
OPERATEURS
SOCIETES DE FINANCEMENT
Banques commerciales - Crdits la consommation Banques spcialises - Crdits bail Filiales de banques trangres - Autres Succursale de banque trangre ASSOCIATIONS PROFESSIONNELLES GPBM, APSF, APSB, ASFIM
Ministre des Finances
Conseil Dontologique des Valeurs Mobilires (CDVM)
Rseau Trsor (collecte de la petite pargne) Rseau comptes chques postaux (CCP) Caisse d'Epargne Nationale (CEN) Epargne Institutionnelle Caisse de Dpts et Gestion (CDG) Compagnies d'assurances, caisse de retraite et de prvoyance Banques offshores March des Capitaux Bourse de Casablanca Socits de bourse Organismes de Placement Collectif des Valeurs Mobilires (OPCVM)
Le Ministre des Finances nest pas impliqu dans le contrle des oprations courantes des tablissements de crdit, mission dvolue exclusivement aux services de Bank AlMaghrib qui trouve ses prrogatives renforces par la nouvelle loi bancaire du 14 fvrier 2006 en particulier dans le domaine de la supervision bancaire. Le Groupement Professionnel des Banques du Maroc (GPBM) est linstance professionnelle des banques. Il communique notamment les dcisions et positions communes de la profession en matire denvironnement oprationnel des banques et publie rgulirement des recommandations sur les taux de base bancaire. Les autres associations professionnelles incluent lAssociation Professionnelle des Socits de Financement (APSF) et lAssociation Professionnelle des Socits de Bourse (APSB) et des OPCVM (ASFIM).
21
1. Le paysage bancaire marocain

Prsentation du systme bancaire marocain Le secteur des tablissements de crdit se composait au terme de l'anne 2004 de 17 banques1, au lieu de 18, conscutivement une opration de fusion-absorption, et de 40 socits de financement contre 44 en 2003. Quant l'implantation bancaire, elle s'est largie avec l'ouverture de 94 guichets permanents, ce qui a port leur nombre, fin 2004, 2043 units, soit un guichet pour prs de 15.000 habitants (1 pour 2 500 en France) ce qui reprsente encore un rel potentiel de dveloppement. S'agissant des six banques off-shore, installes Tanger, cinq taient en activit fin dcembre 2004, avec un total bilan de 834,4 millions de dollars, en progression de 53%, au lieu de 40% en 2003. Une prsence marque des banques trangres : les grandes banques prives du Royaume comptent dans leur actionnariat des banques trangres plus ou moins impliques dans leur gestion. La part du capital tranger dans les banques marocaines atteint 20,7% des actifs des banques commerciales fin 2004. Sur les trois dernires annes, plusieurs banques internationales ont augment leur participation dans le capital des grandes banques marocaines. On recense: Des filiales franaises : BNP Paribas contrle 63,12% de la Banque Marocaine pour le Commerce et lIndustrie (BMCI), La Socit Gnrale contrle 51,9% de la Socit Gnrale Marocaine de Banque (SGMB), Le Crdit Agricole contrle 51% du Crdit Du Maroc (CDM). Des participations trangres minoritaires mais significatives et saccompagnant daccords commerciaux : Le CIC, depuis juin 2004, avec 10% dans le capital de la Banque Marocaine du Commerce Extrieur (BMCE), Santusa Holding (Espagne) avec 14,48% du capital de AttijariWafa Bank, Le Crdit Agricole avec1,44% du capital de AttijariWafa Bank, mais prsent hauteur de 34% dans les filiales stratgiques que sont Wafasalaf (2me socit de crdit la consommation de la place, aprs EQDOM, la filiale du groupe Socit Gnrale) et Wafagestion. Le secteur bancaire marocain se partage en quatre catgories dtablissements : Les banques de dpts classiques, aujourdhui au nombre de sept : parmi elles, on trouve les cinq grandes banques prives qui ralisent prs des deux tiers de la collecte des dpts bancaires, savoir : AttijariWafa Bank, la Banque Marocaine du Commerce Extrieur (BMCE) et les trois filiales franaises, en loccurrence la SGMB, la BMCI et le CDM.
Dix-sept, compter de 2004, suite au rachat fin 2003 de Wafabank par la Banque Commerciale du Maroc, devenue cette occasion Attijariwafa Bank.
22
Le Crdit Populaire du Maroc, constitu de la Banque Centrale Populaire (BCP) et son rseau des Banques Populaires Rgionales (BPR), qui est un organisme public caractre mutualiste, concern en particulier par la collecte de la petite pargne. Les anciens organismes financiers spcialiss (OFS) dans le financement de secteurs dactivits particuliers : il sagit du Crdit Immobilier et Htelier (CIH), de la Caisse Nationale de Crdit Agricole (CNCA) et de la ex Banque Nationale pour le Dveloppement Economique (BNDE), qui ont vcu un processus de restructuration qui sest traduit par un plan de redressement pour les deux premires et par un dmembrement en mars 2003 de la BNDE entre la Caisse de Dpts et de Gestion qui rcupre lagrment bancaire et la CNCA qui rcupre le rseau dagences. LEtat a particip la recapitalisation ncessaire (325 millions deuros depuis 1998) sans qu ce jour la situation soit pleinement assainie. Diverses autres banques dont la cration rpond des besoins spcifiques et dont lobjectif initial nest pas de remplir la fonction de banque de dpt. On recense dans cette catgorie Bank Al Amal2, Mdiafinance3, Casablanca Finance Markets3, et le Fonds dEquipement Communal (FEC)4.
Chiffres-cls du systme bancaire Structure du systme bancaire au 31/12/2004. Nombre dtablissements de crdit : 57. Nombre de banques : 17. Socits de financement : 40 dont 22 socits de crdit la consommation et 8 socits de crdit-bail. Nombre de banques offshore : 6. Implantation des banques : 2.043 guichets au Maroc, 4 filiales, 13 succursales et agences bancaires ainsi que 64 bureaux de reprsentation ltranger. Implantation de Barid Al-Maghrib : 1.653 guichets au Maroc. Effectif des tablissements de crdit : 26.251 dont 24.000 environ pour les banques.
BANK AL AMAL , cre en 1989, a pour mission le financement de projets dinvestissement visant la rinsertion dans leur pays dorigine des Marocains rsidant ltranger. MEDIAFINANCE (cre en 1996) et CASABLANCA FINANCE MARKETS (cre en 1998) interviennent sur le march des titres ngociables de la dette.
Le FEC est un tablissement public cr en 1959, devenu banque en DECEMBRE 1996. Le FEC a pour mission de concourir au dveloppement des collectivits locales, en leur accordant des concours techniques et financiers.
23
LISTE DES ETABLISSEMENTS DE CREDIT ET DES BANQUES OFFSHORE Raison sociale

ARAB BANK PLC ATTIJARIWAFA BANK BANK AL-AMAL BANQUE CENTRALE POPULAIRE BANQUE MAROCAINE DU COMMERCE EXTERIEUR BANQUE MAROCAINE POUR L'AFRIQUE ET L'ORIENT BANQUE MAROCAINE POUR LE COMMERCE ET L'INDUSTRIE BANQUE NATIONALE POUR LE DEVELOPPEMENT ECONOMIQUE BANQUE POPULAIRE D'EL JADIDA - SAFI BANQUE POPULAIRE D'OUJDA BANQUE POPULAIRE DE CASABLANCA BANQUE POPULAIRE DE FES-TAZA BANQUE POPULAIRE DE LAAYOUNE BANQUE POPULAIRE DE MARRAKECH - BENI MELLAL BANQUE POPULAIRE DE MEKNES BANQUE POPULAIRE DE NADOR - AL HOCEIMA BANQUE POPULAIRE DE RABAT BANQUE POPULAIRE DE TANGER-TETOUAN BANQUE POPULAIRE DU CENTRE SUD CASABLANCA FINANCE MARKETS CITIBANK MAGHREB CREDIT AGRICOLE DU MAROC CREDIT DU MAROC CREDIT IMMOBILIER ET HOTELIER FONDS D'EQUIPEMENT COMMUNAL MEDIAFINANCE SOCIETE GENERALE MAROCAINE DE BANQUES UNION MAROCAINE DE BANQUES
Sigle
(ARAB BANK PLC) (ATTIJARI WAFA BANK) (BANK AL-AMAL) (B.C.P) (BMCE BANK) (BMAO) (BMCI) (BNDE)
(CFM) (CITI BANK) (CAM) (CDM) (CIH) (FEC) (MDF) (SGMB) (UMB) Source : BAM
2. Environnement institutionnel et rglementaire en pleine mutation

Les tablissements de crdit sont rgis par la loi N1-93-147 du 6 juillet 1993, relative lexercice de lactivit des tablissements de crdit et de leur contrle. Ce texte dfinit les oprations bancaires, les conditions de leur exercice et les contrles auxquels sont assujettis les tablissements de crdit. En 2004, le cadre lgal et rglementaire rgissant le secteur financier a connu plusieurs volutions qui visent la modernisation de ce secteur et le renforcement de sa stabilit.
24
Elles ont concern aussi bien le systme bancaire que les autres compartiments du secteur financier. 2.1 - Dispositif de contrle interne Les tablissements de crdit ont t appels renforcer leur dispositif de contrle interne suite linstitution de rgles minimales par la circulaire n6/G/2001 du 19 fvrier 2001. Aux termes de ce texte, ils sont tenus de se doter dun systme de contrle interne leur permettant de sassurer que les oprations ralises sont conformes aux dispositions lgales et rglementaires en vigueur ainsi quaux orientations des organes de gestion et que les limites fixes par ces organes pour la prise de risques sont strictement respectes. Ce dispositif doit galement garantir la fiabilit des conditions de collecte, de traitement, de diffusion et de conservation des donnes comptables et financires. Les instances dirigeantes doivent tre directement impliques dans la conception, la mise en uvre (organe de direction) et lapprobation du systme de contrle interne (conseil dadministration ou de surveillance). Lorgane dadministration doit se faire assister par un Comit daudit constitu, en partie, dadministrateurs non dirigeants, charg notamment dvaluer la cohrence et ladquation des dispositifs de contrle mis en place ainsi que la pertinence des mesures prventives, dtectives ou correctrices adoptes pour matriser les risques constates. De plus, les tablissements de crdit, dune certaine taille, sont tenus de dsigner un responsable du contrle interne, indpendant des entits oprationnelles, charg du suivi de lefficacit du dispositif de contrle interne. 2.2 - Nouvel Accord sur les fonds propres (Ble II) 2.2.1- Rle du Comit de Ble Le Comit de Ble sur le contrle bancaire sert de forum pour la coopration entre les pays membres et non membres en matire de supervision bancaire. Il a pour vocation, notamment : de renforcer, lchelle mondiale, la solidit et la stabilit du secteur bancaire et de rduire les disparits entre les rglementations nationales ; de faciliter les changes dinformations sur les activits des banques vocation internationale ; damliorer les techniques de contrle bancaire. Dans le prolongement de ses efforts de consolidation de la stabilit du systme bancaire international, le Comit de Ble avait publi, en 1988, un cadre dadquation des fonds propres des banques, dit ratio Cooke, reposant sur une couverture minimale de 8% des risques de contrepartie par les fonds propres.
25
Ce ratio, conu au dpart pour les banques denvergure internationale, a t adopt par lensemble des autorits bancaires. En 1996, le Comit de Ble a amend ce ratio en largissant lassiette des risques ceux associs aux activits de march. Sagissant du Maroc, les autorits montaires ont transpos le dispositif de 1988 dans la rglementation nationale ds 1993, ce qui sest traduit par un accroissement significatif des fonds propres des banques. Le ratio Cooke a montr ses limites sous leffet, notamment, de la globalisation financire qui sest accompagne de lapparition de nouveaux risques et qui a entran de nombreuses crises financires. En outre, la sophistication des pratiques, dveloppes par les banques pour lvaluation et la matrise de leurs risques, a rendu ncessaire la mise en place dun nouveau dispositif plus adapt au contexte des marchs internationaux. Ainsi, en juin 1999, le Comit de Ble a propos un amendement laccord de 1988 cens introduire une plus grande sensibilit aux risques et permettre dapprhender de manire plus exhaustive lensemble des risques encourus. Aprs de larges consultations auprs des instances de supervision, des banques et dautres parties intresses, le Comit de Ble a publi, en juin 2004, la version dfinitive du nouvel Accord sur les fonds propres sous lappellation convergence internationale de la mesure et des normes de fonds propres . Le nouvel Accord repose sur les trois piliers suivants : des exigences minimales de fonds propres qui sont une extension des rgles dfinies dans laccord de 1988 ; un processus de gestion des risques et de surveillance prudentielle renforc ; une discipline de march moyennant la publication, par les banques, dinformations priodiques sur la nature et le volume des risques ainsi que sur les mthodes de leur gestion. 2.2.2- Travaux mens pour la transposition de Ble II au Maroc La dmarche adopte par Bank Al-Maghrib, pour la transposition du nouvel Accord, tient compte de la ralit et de la structure du systme bancaire marocain. Cest une dmarche structurante et incitative, en vue dadopter les meilleures pratiques en matire de gestion des risques, et ouverte sur les diffrentes approches de calcul des fonds propres rglementaires prvues par le Comit de Ble. Elle sinscrit dans un cadre de concertation continue avec la profession bancaire qui a montr sa disposition adopter le nouvel Accord. En vue dune bonne transition vers ce nouveau dispositif, Bank Al-Maghrib sest fixe comme priorits de mettre le systme de supervision en conformit avec lensemble des principes du Comit de Ble, de renforcer le cadre rglementaire et la transparence financire.
26
Mise en conformit du systme de supervision bancaire avec les 25 principes du Comit de Ble La mise en conformit du systme de supervision bancaire avec les principes fondamentaux dicts par le Comit de Ble constitue une condition pralable pour russir la transition vers Ble II. Daprs les rsultats du rapport dvaluation du secteur financier (FSAP) ralis conjointement par le FMI et la Banque Mondiale au cours de lanne 2002, le Maroc satisfaisait plus de la moiti de ces principes. Mise niveau du cadre lgal et rglementaire De nouvelles dispositions ont t introduites dans la nouvelle loi bancaire pour permettre au systme de supervision dtre en conformit avec les 25 principes fondamentaux du Comit de Ble, en particulier, lapplication des ratios prudentiels en fonction du profil de risque de chaque tablissement, la mise en place dune commission de coordination des organes de supervision du secteur financier et la conclusion daccords de coopration et de coordination avec les autorits de supervision des autres pays. Renforcement de la transparence financire La mise en place de Ble II repose sur un environnement de communication financire sain et la disponibilit dinformations fiables qui revtent une importance capitale, notamment dans le cadre de la notation des contreparties. A cet gard, plusieurs actions ont t inities par Bank Al-Maghrib pour le renforcement et lassainissement des pratiques de communication financire la charge des entreprises marocaines. Par ailleurs, Bank Al-Maghrib a engag, au cours de 2004, des travaux avec diffrents partenaires pour dfinir les lments dinformation minimums devant tre requis par les tablissements de crdit dans le cadre de linstruction des dossiers de crdit, qui ont abouti la publication dune directive le 1er avril 2005. De son ct, le GPBM mne un projet de cration dune Centrale dInformation Client (CIC) qui a pour objet dassurer la collecte et la diffusion dinformations auprs des banques adhrentes afin damliorer la slection et lacceptation des risques et dacclrer la prise de dcision doctroi de crdits.
3. Activit et rsultats du systme bancaire.

La structure des bilans des banques a connu des changements significatifs avec le processus de libralisation du secteur financier men depuis la fin des annes 80. Pour les banques commerciales, ces changements ont concern davantage leurs actifs. Ainsi, la suppression des emplois obligatoires a permis ces banques dune part, daccrotre la proportion des crdits dans le bilan, tout en dveloppant leur fond de commerce li des segments de la population jusque-l non bancariss et dautre part, de diversifier leurs portefeuilles titres tout en augmentant le volume des oprations de march et en investissant de nouveaux crneaux des autres compartiments du secteur financier en pleine volution. De leur ct, les banques publiques spcialises ont modifi la composition de leurs passifs en recourant davantage la collecte des dpts et au march de la dette prive
27
pour financer leur activit de crdit qui a t tendue, de manire plus significative, la distribution de concours court terme. 3.1.- Les emplois des banques ont connu une hausse couvrant des volutions diffrencies de leurs diffrentes composantes Apprhend travers lactivit sur base sociale, qui intgre celle exerce par les succursales et les agences installes ltranger, le total cumul des bilans5 des banques a atteint en 2004, 417 milliards de dirhams en progression de 8,6% par rapport 2003. Le volume de leur activit ralis au Maroc sest lev 411,5 milliards de dirhams, en hausse de 8,4%, reprsentant 98,7% de lactivit sur base sociale.
2 : Les rubriques des lactif sont prsentes nets des provisions 3 : Cette rubrique regroupe les oprations effectues notamment avec les banques, les socits de financement, les tablissements de crdit trangers, Bank Al-Maghrib, le Trsor public, la Caisse de Dpt et de Gestion, la Caisse Centrale de Garantie, les services financiers de Barid Al-Maghrib, les banques offshore et les associations de micro-crdit. 4 : Y compris les intrts courus
3.2 - Lvolution des ressources des banques reflte un renforcement des ressources en provenance de la clientle Lvolution des ressources des banques, durant 2004, a induit un lger changement au niveau de leur structure. Ainsi, par rapport au total du passif, la part des dettes envers les tablissements de crdit et assimils et celle des titres de crance mis a baiss respectivement de 1,7 et 0,6 point. Celles des dpts de la clientle et les fonds propres ont augment de 0,6 point et 0,5 point.
Etablis depuis lexercice 2000 nets de provisions pour dprciation dactifs.
28
3.3 - Les rsultats des banques se sont inscrits en nette amlioration A fin 2004, le rsultat net de lensemble des banques sest inscrit en sensible augmentation pour dpasser le niveau de lanne 2000, rompant ainsi avec le faible rsultat de lanne 2002 et le rsultat ngatif de lanne 2003.
29
4. Evaluation du systme bancaire marocain.

Une rcente tude6 de l'agence de notation internationale Standard & Poor's (S&P) a class les banques marocaines dans une gamme troite d'valuations variant gnralement entre 'B' et 'BB'. Ces valuations caractre spculatif refltent principalement l'environnement conomique relativement risqu dans lequel ces banques oprent. Dans son analyse du secteur, lagence de notation opre une diffrenciation claire entre la performance des banques prives et celle publiques. Ce gap est d aux difficults rencontres par le pass par les ex-OFS. S&P cite la mauvaise gestion et la politique dfaillante doctroi des crdits. Mais le gouvernement avec laide de divers partenaires, et au travers dune approche au cas par cas, est en train de rectifier le tir de faon quilibre, prudente mais lente. Les banques marocaines sont orientes presque uniquement sur le march intrieur et souffrent en consquence de la faible sophistication de leurs marchs respectifs. Elles disposent d'une gamme de produits troite avec des opportunits toutes aussi rduites pour l'octroi de crdit des contreparties de bonne qualit. Dans l'ensemble, les crdits aux particuliers servent comme relais aux crdits aux entreprises considrs plus risqus et moins profitables. Cela dit, ce changement de stratgie vers la banque de dtail n'a pas encore men l'amlioration des profits financiers des banques. De plus, le dveloppement rapide des activits dtail n'a pas encore t valu par un cycle conomique prolong. Dans l'ensemble, les banques du secteur public font face des problmes de qualit d'actifs nuisibles, tandis que les banques privs ont affich des performances plus ou moins quilibres sur plusieurs fronts, grce notamment des pratiques gestionnaires plus professionnelles s'inspirant pour certaines de leur maison mre dotes de systmes de contrle plus sophistiqus. Des quatre institutions publiques, le Crdit Populaire du Maroc reprsente, selon lagence, la seule institution avoir un profil comparable celui des banques prives. Selon ltude, lune des faiblesses du secteur qui polarise 339 milliards de DH de dpts dont 25% provenant des MRE, est la qualit des actifs qui na pas arrt de se dtriorer pendant sept ans. Ce nest quen 2005 quils ont commenc samliorer, avec un taux de crance en souffrance estim 16,2% cette anne-l. En excluant celles des ex-OFS, ce taux ressort 10,3% fin 2005. S&P prvoit une baisse de ce taux lavenir. Dans le pire des cas, il devrait se stabiliser si les crances en souffrance des PME croissent moyen terme du faite dune augmentation des crdits qui leur sont accords. Si les crdits sont gnralement couverts par des garanties suffisantes, S&P estime que le code de commerce place les banques dans une position relativement faible dans la ngociation avec les mauvais payeurs.
Rapport de lagence de notation internationale Standard and Poors du 20 avril 2006.
30
Ce texte limite le pouvoir des banquiers rcuprer les actifs des socits dfaillantes. Le rapport souligne toutefois que ladossement de plusieurs tablissements des banques trangres leur permet de bnficier dun transfert de technologie et dun savoir-faire. En outre, le niveau de rentabilit du secteur rsiste, malgr une forte pression sur les marges dintrt. Cette rentabilit est prserve grce une consolidation dans le secteur et ladoption dune politique de niche. Lune des ambitionscls des banques est de devenir universelles. Pour ce faire, elles largissent leur palette de services, notamment dans le crdit la consommation. Contraintes d'environnements bancaires et structurels. Les banques du secteur priv dominent le secteur bancaire marocain. Des 17 banques dans le systme, 10 sont des tablissements financiers privs. Les oprations des banques marocaines sont orientes vers l'conomie domestique, avec la prsence trs limite d'oprations avec l'tranger, elles-mmes s'expliquant en grande partie par la dpendance significative aux dpts de marocains rsidents l'tranger. L'exprience des banques du secteur public dans la sphre des banques commerciales est relativement limite (situation succdant celle d'organisme financier spcialis o les tablissements publics bnficiaient d'un statut juridique privilgi les plaant l'abri de toute concurrence prive ou trangre et bnficiant en outre d'une dispense de l'application intgrale des dispositions prudentielles). La mise en uvre du processus de libralisation a mis en vidence des dfaillances de fond qui se sont rvls principalement travers la qualit dgradante de leur actif d'engagement fortement pnalis par le poids des crances en souffrance. Ces dsquilibres ont eu un impact significatif non seulement sur la rentabilit de ces tablissements, mais mme sur leur existence fortement compromise par le poids des pertes importantes occasionnes par une mauvaise gestion du risque de crdit. A l'oppos, les tablissements du secteur priv semblent plus rsistants la volatilit et la lenteur de croissance de l'conomie marocaine. Mais ils ne sont pas tout aussi moins vulnrables que les tablissements publics, juger par le poids des crances en souffrance qui dpassent de loin les normes observes chez d'autres pays. Le systme bancaire marocain semble ouvert une concurrence dmesure par rapport aux opportunits de financement d'activits conomiques prometteuses, s'accompagnant par une pression agressive sur les marges et l'engagement dans les relations crdites d'un niveau de risque lev. Demande et offre peu sophistiques. Dans l'ensemble, les banques marocaines manquent de modles de dveloppement conomique cohsifs, s'expliquant en grande partie par le faible niveau de bancarisation de la population et l'existence d'une conomie parallle traitant gnralement en dehors du systme bancaire. L'activit bancaire n'est ni grande dans sa taille, ni sophistique en terme d'offre de produits. Quelques banques du secteur priv de renomme suprieure ont nanmoins la capacit technique pour fournir des produits bancaires plus avancs, toutefois, le march demeure tir par une demande cantonne dans les
31
services de base. C'est vrai mme dans segment des entreprises, o prter consiste typiquement en des oprations de financement de trsorerie court terme et taux fixe. Par consquent, les banques dans leur ensemble accusent un retard relativement considrable dans la mise niveau des activits de support en particulier les fonctions de risk management et de management des systmes d'information. Dans ce contexte, le dveloppement de la distribution de crdit au Maroc a t troitement corrl au rythme de la croissance de l'activit macro-conomique pendant les cinq derniers exercices et est rest modeste compte tenu des besoins de financement modrs de l'conomie. Ainsi : La diversification limite de l'activit conomique reflte le faible niveau de sophistication de la demande domestique ; La croissance de banque de dtail semble des plus prometteuses, condition que les outils de gestion du risque et des procdures soient mis en place. Faible niveau de rentabilit. La rentabilit globale du secteur bancaire marocain demeure relativement faible compare d'autres pays; elle affiche une ROE stabilise autour de 7%. Le niveau bas de cette performance est beaucoup plus inhrent aux banques spcialises en phase de redressement et affichant par la mme occasion une rentabilit ngative tirant vers le bas la performance globale du secteur bancaire. Hormis les banques spcialiss, le niveau de la ROE se situerait entre 10% et 11% en retrait par rapport aux performances atteintes au cours des annes prcdentes (une moyenne de 14% - 15% durant ma priode 1996-2000). L'ensemble du secteur semble par ailleurs de plus en plus orient vers le financement d'engagements de qualit au dtriment du volume, dans un contexte sectoriel de plus en plus concurrentiel caractris notamment par un double phnomne d'effritement des marges et d'accroissement des impays. Si ces banques continuent par ailleurs tendre et diversifier leurs revenus pour surmonter la pression sur les marges d'intrt, leur performance financire future devrait rester relativement stable. Les banques marocaines semblent profiter cet effet d'un niveau relativement lev des marges d'intrt et d'un cot rduit de leurs ressources (comme plus de 50% de leurs dpts sont des dpts vue non rmunrs). Sur les annes venir, le taux d'intermdiation moyen ne devrait que lgrement dcliner pour atteindre un niveau moyen allant de 4% 6%. A l'inverse de la marge d'intermdiation, les marges sur trsorerie et commissions devraient voir leurs contributions dans le PNB7 augmenter dans les annes venir et compenser ainsi la baisse prvisible des revenus tirs de l'activit de crdit.
PNB : Produit Net Bancaire.
32
Situation financire faible pour certains tablissements. Conscientes du caractre risqu de leur activit dans un environnement conomique volatil, les banques marocaines ont globalement russi btir, travers plusieurs annes, un niveau adquat de capitalisation. Le rapport des capitaux propres sur le total bilan est rest relativement stable autour d'une moyenne de 10% pendant les cinq dernires annes, grce notamment une politique modre de paiement de dividende et une rentabilit relativement stable. Cela dit, le niveau de liquidit satisfaisant dans le systme bancaire marocain reflte le manque d'opportunits d'engagements faible risque, en particulier dans le segment fortement concurrentiel des entreprises. La capitalisation de certaines banques publiques reste faible eu gard leur structure financire ncessitant des appels de fonds importants pour les recapitaliser; La rentabilit reste en-dessous des standards des marchs mergeants, affecte en grande part le niveau lev de provisionnement des crances en souffrance.
Crances en souffrance des banques commerciales
Le montant des crances en souffrance des banques commerciales a enregistr, entre 2002 et 2004, un accroissement annuel moyen de 15,7%, 23,7 milliards de dirhams. Il a reprsent 12,4% de lencours des crdits quelles ont distribus. Paralllement, les provisions constitues en couverture de ces crances ont enregistr un accroissement annuel moyen de 16%, 17,1 milliards de dirhams, permettant un taux de couverture de 72,2 % en 2004 contre 71,5% en 2003 et en 2002.
Le rapport entre les crances en souffrance nettes des provisions et lencours net des crdits des banques commerciales sest tabli 3,8 %, au lieu de 3,9% en 2003 et 3,5%
33
en 2002. Rapportes aux fonds propres, ces crances ont reprsent 20,5% en 2004, contre 22,4% en 2003 et 18,7% en 2002. Les ramnagements des rgles de classification et de provisionnement des crances en souffrance, intervenus la fin des annes 2002 et 2004, ont eu un impact diffrent sur les banques commerciales, certaines dentre elles ayant vu leurs crances en souffrance saccrotre plus rapidement, notamment en 2003, pour se mettre en conformit avec ces dispositions. En gnral, les plus grandes banques disposent d'avantages comptitifs plus troits. Ces tablissements ont dvelopp une solide notorit sur le march et affichent une bonne sant financire susceptible d'endiguer, mieux que les banques dominante publique, toute aggravation du risque de contrepartie comme tant la principale cause d'insolvabilit. Leurs comptes de prts aux entreprises affichent toutefois des concentrations leves sur diffrents secteurs. En outre, ces concentrations ont augment davantage lorsque les banques se sont dsengages des secteurs considrs comme risqus (l'agriculture, le tourisme, le textile et les importateurs de crale). Etant donn le manque d'opportunits de prt aux grandes entreprises, les banques tendent tre largement exposes des petites et moyennes entreprises. Le problme de qualit des actifs a empir au cours des deux prcdentes annes s'expliquant en grande partie par le ralentissement et le caractre volatile de la croissance conomique ainsi qu'une exposition de risque moins diversifie. Les banques du secteur public accusent des dficiences importantes en matire de gestion du risque et de contrle de crdit, aboutissant ainsi des problmes de qualit d'actif devenant de plus en plus svres. Trs peu de banques ont mis de ct les niveaux adquats de capitaux propres contre les mauvaises crances. Faible niveau de gouvernement d'entreprise. Les banques marocaines affichent des rsultats mitigs quand il s'agit de parler du gouvernement d'entreprise. D'un cot positif, les pratiques bancaires au Maroc sont relativement conservatrices, en particulier dans le secteur priv. De plus, les banques marocaines peuvent se prvaloir d'un antcdent satisfaisant en matire de stabilit du systme bancaire marocain. Pendant les deux dernires dcennies, aucune crise de banque principale ne s'est produite au Maroc. Nanmoins, la communication financire accuse toujours un retard au regard des meilleures pratiques internationales et se compare dfavorablement avec les standards observs dans d'autres pays mergeants. Ce n'est pas directement li aux mthodes comptables, qui s'alignent dans leur ensemble sur le modle europen - un modle bas sur des rgles qui accordent une place importante au cot historique au dtriment de la valeur conomique.
34
Un hritage si historique n'est pas un facteur de contrainte en soi, mais limite des comparaisons avec d'autres banques mergeantes, qui appliquent de plus en plus des Standards Internationaux de Comptabilit. Le principe de gouvernement d'entreprise tait quasiment absent dans la plupart des tablissements de crdit dominante publique : La communication financire ainsi que les pratiques comptables ont besoin d'tre adapts dans le sens d'une meilleure information sur la situation financire des tablissements de crdit. Le faible niveau de gouvernement d'entreprise est une question rcurrente. Les participations de l'Etat dans le secteur bancaire ont approuv son inefficacit, notamment travers les multiples cas de mauvaise gestion et de fraude. La rglementation ainsi que la surveillance samliorent, mais une allure lente, qui place les tablissements de crdit la trane des standards internationaux.
35
Premire partie : L'audit interne dans le systme bancaire marocain : des pratiques limites aux fonctions classiques.
36
Chapitre 1 : Typologique et valuation des risques bancaires.
37
Chapitre 1 : Typologie et valuation des risques bancaires. Introduction.

Il est dusage de dire que le mtier de banquier est le mtier du risque. Les risques sont inhrents l'activit bancaire. L'absence ou l'insuffisance de leur matrise provoque invitablement des pertes qui affectent la rentabilit et les fonds propres. L'identification des risques est sans doute l'tape la plus importante et surtout la plus difficile apprivoiser dans le processus de management des risques. Le risque peut se dfinir comme tout vnement ou toute situation, interne ou externe, pouvant compromettre la ralisation dun objectif de la Banque . Il sagit dun incident ventuel plus ou moins prvisible. La caractristique propre du risque est donc lincertitude temporelle dun vnement ayant une certaine probabilit de survenir et de mettre en difficult la banque. Le risque inhrent au secteur bancaire se distingue par sa multiplicit et par son caractre multidimensionnel ne pouvant tre mesur par un seul indicateur. Les risques eux mmes sont multiples par leur nombre et leur probabilit. Ils sont parfois difficiles cerner aussi bien en terme d'intensit que de frquence, mais on s'accorde souvent de les rpertorier sous des catgories communment admises afin de faciliter la dfinition de modles ou scnarii unifis de gestion et de management des risques. En dpit de la diversit et du degr de complexit des risques auxquels les tablissements de crdit peuvent tre amens faire face, leur solidit et leur bonne sant financire est avant tout une responsabilit qui incombe en premier lieu au management de la banque. Position partage galement par les organes de rgulation qui s'accordent dsormais d'une faon unanime attribuer plus de responsabilits au management et aux organes dlibrants des banques dans la gestion et la prvention des risques. Ces divers aspects seront dvelopps par rfrence aux trois questions clefs suivantes : Quels risques doivent tre couverts par le risk management ? Quels critres peuvent tre affects leur identification et leur valuation ? Quelles en sont les pratiques pour le systme bancaire marocain ?
38
Section 1 : Typologie des risques bancaires.

Le mtier de la banque comme toute activit but lucratif implique la prise de positions risques. L'inventaire des risques associs l'activit bancaire fait tat d'une varit de risques considrable. Des divergences existent nanmoins sur leur nature et leur tendue. Toutefois, au del des diversits d'apprciation, du primtre restreint ou tendu que l'on entend donner chaque type de risque, une tendance se dgage . La premire phase de toutes les dmarches actuelles de gestion et de suivi des risques bancaires consiste dans la dlimitation prcise de ces derniers et dans une dfinition claire de ces risques, commune et applicable l'ensemble d'un tablissement bancaire. Toute activit bancaire expose l'tablissement des risques stratgiques, des risques rputationnels, des risques financiers et des risques oprationnels. Afin d'apprcier et d'analyser chaque risque, le risk manager et/ou lauditeur bancaire procde une estimation des risques inhrents (voir graphique ci-dessous) chaque domaine dactivit. Ces risques peuvent tre classs en trois catgories : Les risques financiers dcoulant du march (impact de la variation des prix), du dfaut des contreparties (crdit) et de la liquidit (difficult de la banque dhonorer ses engagements); Les risques oprationnels qui ont leur source dans les risques que lorganisation, ses acteurs et lenvironnement externe font courir la banque. Ils intgrent les risques lis aux systmes dinformation, aux procdures, aux personnes et lenvironnement externe. Le risque de rputation dcoulant de tout vnement susceptible d'entacher la rputation de la Banque ou de porter atteinte la confiance quelle doit inspirer au public. Il se manifeste suite une publicit ou un vnement ngatif ou des erreurs de communication externe.
39
Risques stratgiques
Risques inhrents l'activit Bancaire
Risques financiers
Liquidit Crdit March
Risques oprationnels
Compliance Juridique
Scurit & SI
Comptabilit Fiscalit RH & Fraudes

Excution des transactions
Risques de rputation
1. Les risques financiers.

1.1- Le risque de crdit Le risque de crdit est dfini comme tant "la perte potentielle conscutive l'incapacit par un dbiteur d'honorer ses engagements. Cet engagement peut tre de rembourser des fonds emprunts, cas le plus classique et le plus courant, risque enregistr dans le bilan. Cet engagement peut tre aussi de livrer des fonds ou des titres l'occasion d'une opration terme ou d'une caution ou garantie donne; risque enregistr dans le hors bilan " 8. La notion de risque de crdit est immdiatement associe au risque de contrepartie, pour un dossier donn, il est en effet clair que le risque premier rside dans la volont, mais aussi dans la capacit de lemprunteur de faire face ses engagements. Les
8
Antoine SARDI : "Audit et Contrle Interne bancaires " Ed Afges septembre 2002 .
40
risques que lon pourrait qualifier dadditionnels ou de connexes au risque de contrepartie doivent galement tre matriss et donc pralablement valus. Au nombre de huit, ils prennent naissance lors de linitiation des transactions et le plus souvent perdurent jusqu lchance finale. On distingue alors :
Le risque de garantie : la banque peut devoir supporter une perte si elle ne peut exercer la garantie attache un prt en dfaut ou si le produit de cette action savre insuffisant pour couvrir les engagements accumuls par le dbiteur. Le risque de concentration : une diversification insuffisante du portefeuille de concours en termes de secteurs conomiques, de rgions gographiques, ou de taille demprunteur peut provoquer des pertes importantes. Le risque pays : bien connu des grands tablissements, il se manifeste lorsquun pays tranger ne dispose plus de rserves suffisantes pour faire face aux engagements en monnaie trangre de ses ressortissants. Le risque de change : il nat chaque fois que ltablissement accorde un crdit dans une monnaie qui nest pas celle de lexpression de ses capitaux propres; si les ressources utilises pour financer cet emploi sont libelles dans la mme devise, le risque ne porte que sur la marge de lopration; dans le cas contraire, le montant en principal est galement expos. Le risque de fraudes : multiforme, il peut sagir par exemple de concours consentis de faux clients, donc, bien videmment irrcouvrables. Le risque dinitis : il sagit de concours accords des conditions hors march, ou selon des procdures exceptionnelles des dirigeants de la banque, des entreprises dans lesquelles ils ont des intrts ou des socits lies des actionnaires importants de ltablissement. Le risque lgal et rglementaire : lactivit de crdit est troitement rglemente et le non-respect de nombreuses dispositions peut conduire ltablissement supporter des pertes soit directement, soit en raison de limpossibilit de mettre en uvre une garantie. Le risque oprationnel : cette notion recouvre toutes les erreurs de traitement qui peuvent survenir au cours de la vie dun dossier tels que dblocage des fonds avant que toute la documentation requise nait t runie, saisie errone des conditions de crdit dans les systmes de gestion, mauvaise identification des concours compromis
Le risque de crdit classique reste toujours la cause principale des problmes bancaires. Les pertes conscutives aux dfaillances des clients sont malheureusement invitables et inhrentes au mtier de banquier. Les problmes de risque de crdit sont souvent lis des imperfections dans l'audit interne et le risque management. Il y a un peu plus de cinq ans, le sous-comit Bancaire de Surveillance de l'Institut Montaire Europen a men une enqute sur les causes
41
principales des pertes supportes par des banques en difficult dans l'Union Europenne. La premire analyse des 68 tablissements de crdit confronts des problmes financiers a clairement mis en vidence que le risque de crdit tait dans 75% des cas la principale cause des situations graves vcues par le secteur bancaire. Par consquent, ce facteur tait prpondrant compar aux autres sources de risques, comme par exemple les pertes sur les oprations de march, les problmes de liquidit et la mauvaise gestion. L'vidence de ce constat a t par ailleurs parfaitement illustre au Maroc travers les dboires de certains tablissements financiers publics, sur lesquels le gouvernement avait pourtant beaucoup mis pour appuyer plusieurs secteurs conomiquement et socialement trs sensibles. En effet, le poids des crances en souffrance sest hiss 19,4% en 2004, contre 18,7% en 2003 et 17,7% en 2002. (Compte non tenu des banques spcialises, ce taux est respectivement de 12,4% en 2004, contre 12,3% en 2003 et 11,2% en 2002) du portefeuille global des engagements des banques. Cette situation est inhrente principalement l'aggravation des crances malsaines dans les secteurs agricoles et immobiliers fortement reprsentatifs de l'encours global des engagements bancaires tous secteurs confondus. L'on observe galement depuis quelques annes un accroissement sans prcdent des crdits individuels, en particuliers ceux assortis de gages hypothcaires au dtriment des crdits aux entreprises ou aux professionnels. Ces changements traduisent de temps en temps un renouveau de ngligences sur des standards lmentaires de prudence. Cela a t parfaitement illustr par la baisse progressive des taux d'intrt sur certaines oprations de crdit en comparaison avec ce qui tait pratiqu il y a deux quatre ans. De plus, nul ne peut ignorer les facilits qui ont accompagnes l'octroi des crdits et la constitution de garanties. Dans ce contexte, BAM n'a pas hsit exprimer publiquement son souci et a rappel toute la profession bancaire la raison suite des baisses successives de taux d'intrt sur des crdits hypothqus pratiqus par certaines grandes banques de la place. En dfinitive, le risque de crdit demeure la premire cause des difficults et des faillites des banques. Les cas douloureux des situations difficiles vcues par certains tablissements bancaires spcialiss du secteur bancaire marocain en sont une parfaite illustration.
1.2 - Les risques de march
On entend par risques de march, les risques pouvant rsulter, pour un tablissement de crdit, dune volution dfavorable des donnes de march ou de leur volatilit. Ce sont les risques de pertes qui peuvent rsulter des fluctuations des prix des instruments financiers qui composent le portefeuille de ngociation ou des positions susceptibles dengendrer un risque de change, notamment les oprations de change terme et au comptant.
42
Le portefeuille de ngociation susvis comprend :

les titres acquis, ds lorigine, avec lintention de les revendre brve chance en vue de tirer bnfice des carts entre les prix dachat et de vente, et ce dans le cadre dune activit de march, y compris les titres livrer ou recevoir, les titres recevoir et livrer dans le cadre de transactions sur le march primaire ou le march gris, les produits drivs destins maintenir des positions ouvertes isoles pour tirer avantage de lvolution des prix ou couvrir les risques de march encourus sur les instruments viss aux tirets prcdents.

Mme si sur le plan local, les activits de march ont t relativement moins ouvertes sur les innovations caractrisant les nouveaux marchs avec notamment la cration de nouveaux instruments financiers, elles demeurent toutefois un enjeu qui prserve toute son importance pour les tablissements de crdit marocains, et ceci pour au moins deux raisons :
les marges sur les oprations de placement et de trsorerie devraient voir leur contribution dans le PNB augmenter dans les annes venir et compenser ainsi la baisse prvisible des revenus tirs de l'activit de crdit; les imbrications de plus en plus fortes entre les activits de march et celles de crdit et de liquidit.
Dans ce contexte, de nouvelles entits appeles " salle des marchs " ont ainsi t cres pour rpondre justement cette contrainte croissante des risques de march. Les activits traditionnelles et les activits nouvelles ont t runies dans cette nouvelle entit qui regroupe dsormais l'ensemble des activits financires ;

March des changes; March montaire; March des titres et fonds; March obligataire.
Un aspect spcial de gestion de risque est le contrle des activits de march. Les vnements fortement mdiatiss impliquant Bankers Trust, Barings et Daiwa Banks ainsi que les pratiques douteuses sont venues pour rappeler cet gard l'enjeu grandissant sur les questions du professionnalisme et d'intgrit. En ralit, ces vnements constituent une parfaite illustration des pertes importantes qui pourraient rsulter de ngligences dans la gestion et la couverture des risques au sein de la banque. Les causes de ces accidents convergent gnralement vers les mmes faiblesses : la confusion du front office et du back office, des marges de manuvre excessives et non contrles entre les mains de certains commerciaux combine une approche bnigne du management n'ayant aucune vue sur les positions risques engages par les
43
commerciaux et leur adquation par rapport la politique de risque retenue par l'tablissement de crdit.
Cela dit, qu'en est-il au Maroc ?
Nous pouvons considrer ce stade que le risque de march demeure relativement limit, aussi bien pour l'activit de placement que pour l'activit de change.
Activit de change L'exposition au risque de change des banques marocaines est limite, moins de 1 pour cent des crdits et dpts bancaires tant libells en devises. Les banques ont des positions en devises qui se situent nettement en dessous des limites prudentielles sur les positions globales en devise et les positions par devise. 9
Cependant, une part importante des oprations en devises est traite par les filiales des banques marocaines l'tranger qui ne sont pas soumises aux limites fixes par BAM mais celles du pays hte. Nanmoins, les banques transmettent rgulirement BAM les tats financiers de leurs filiales l'tranger. L'introduction du march des changes depuis mai 1996, a fortement diminu le volume des ventes directes de dirhams par la Banque Centrale aux banques trangres s'ajoutant la baisse des dpts en devises des banques auprs de Bank Al Maghrib de plus de moiti et leur rorientation vers les correspondants trangers, la suite de l'autorisation donne aux banques d'effectuer des placements en devises l'extrieur. Cependant, les positions de change sont restes un niveau nettement en de des ratios rglementaires. Le march des changes terme affiche toutefois, un dveloppement important10.
Activit de placement L'impact de la baisse des taux d'intrt sur les marges nettes d'intrt a t plus que compens par des revenus croissants gnrs par l'activit de placement, elle-mme tirant profit d'un niveau exceptionnel de liquidit que la majorit des banques a d placer en bons de trsor qui reprsente fin 2004 dj 18% des actifs totaux du systme.
Ceci reprsente une exposition significative au risque de crdit souverain domestique, et cr aussi une source de sensibilit leve des banques la variation des taux d'intrt alors que les taux d'intrt poursuivent leur tendance la baisse. Au niveau oprationnel, l'exercice des activits de march par les banques marocaines fait courir celles-ci, comme partout ailleurs, un risque de contrepartie ou de livraison. Ce risque est associ la dfaillance temporaire ou permanente de la contrepartie qui pourrait rsulter soit d'un diffrent entre les parties sur l'excution de la transaction, soit d'une simple dfaillance de la partie adverse, ce qui est d'ailleurs le cas le plus frquent
Bank Al Maghrib a autoris les banques conserver les positions la fois longues et courtes en prvoyant toutefois des limitations et des mesures mme de prvenir des drapages spculatifs .Ainsi une banque ne peut dpasser : Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets ; Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets ; Les tablissements bancaires doivent, par ailleurs, dclarer BAM les pertes de change de plus de 3% enregistres sur toute position dans une devise donne et ce , immdiatement aprs le constat de la perte , BAM peut alors , s'il le juge utile , demander l'tablissement bancaire concern de procder la liquidation de la position en question . 10 L'encours mensuel moyen des contrats de couverture terme est pass de 7,1 milliards en 2001 7,9 milliard de dirhams en 2002, dont 6,5 milliards pour la couverture des risques de change lis aux importations et 1,4 milliards au titre des exportations.
9
44
et aux consquences les plus dommageables pour les tablissements bancaires marocains. Toutefois, au stade de dveloppement actuel des salles de march au niveau du secteur bancaire marocain, l'exercice des activits de march est beaucoup plus gnrateur de risques oprationnels lis en particulier au dysfonctionnement aussi bien technique qu'humain (cf. risques oprationnels ci-dessous).
1.3 - Le risque de liquidit
Le risque de liquidit sentend comme le risque pour ltablissement de crdit de ne pas pouvoir sacquitter, dans des conditions normales, de ses engagements leur chance. Il rsulte de lincapacit dune banque de faire face une rduction de son passif ou de financer un accroissement de son actif. Lorsquun tablissement ne dispose pas dune liquidit adquate, il ne peut obtenir des fonds suffisants un cot raisonnable, soit en augmentant son passif, soit en convertissant rapidement des actifs, ce qui affecte sa rentabilit. Dans des cas extrmes, une liquidit insuffisante peut conduire une situation dinsolvabilit. L'exposition actuelle des banques marocaines au risque de liquidit est relativement limite (exclusion faite bien videmment des ex-OFS). Elles bnficient cet effet d'un financement quasiment gratuit constitu dans une large mesure de dpts vue ( trs faible taux de rmunration). Les statistiques sur le comportement des dpts et des crdits montrent effectivement que les ressources varient la hausse selon une cadence plus forte que celle des emplois, d'o un excdent de liquidit que les banques jugent structurel compte tenu de:
-
la distribution de crdits de plus en plus verrouille, ce qui limiterait l'octroi de crdits des clients nots d'un niveau de risque lev; le comportement positif des dpts dont une partie considrable provient des marocains rsidents l'tranger.
La majeure partie des dpts bancaires est d'une dure infrieure un an. Les banques bnficient toutefois de la stabilit de leurs dpts vue et ont une faible dpendance vis-- vis de gros dpts terme institutionnels ou commerciaux. En plus de la forte proportion des dpts vue, l'autre particularit importante des dpts des banques commerciales marocaines est que prs du quart de ces dpts provient des MRE. Le risque de liquidit associ ces dpts a t faible au cours des dernires annes, la part des dpts MRE dans lensemble des dpts des banques est reste relativement stable au tour de 25 28%. Nanmoins, vu que ces dpts sont mobiles, ils reprsentent la source la plus importante du risque de liquidit du systme bancaire marocain. " Cette dpendance par rapport cette manne d'argent est dangereuse, soulignent les analystes de S&P dans un rcent rapport sur la solvabilit des banques nord-africaines. N'importe quelle
45
variation radicale dans les tendances d'outre mer de dpt de liquidits reprsenterait une menace importante pour le secteur bancaire".
1.4 - Le risque de taux
Le risque global de taux dintrt se dfinit comme limpact ngatif que pourrait avoir une volution dfavorable des taux dintrt sur la situation financire de ltablissement de crdit. Le risque de taux dintrt concerne la fois les positions de taux prises en salles de marchs ainsi que lexposition au risque de transformation qui est inhrent lactivit bancaire par dfinition. Ce risque affecte la fois les bnfices dun tablissement et la valeur conomique de ses crances, dettes et instruments du hors-bilan. Les principales formes du risque de taux dintrt auxquelles les banques sont gnralement exposes sont les suivantes :
-
risque de rvision de taux, qui rsulte de diffrences dans lchance (pour les taux fixes) et le renouvellement des conditions (pour les taux variables) des positions de lactif, du passif et du hors-bilan;

risque de dformation de la courbe des taux, qui provient de modifications de la pente et de la configuration de la courbe; risque de base, qui est d une corrlation imparfaite dans lajustement des taux reus et verss sur des produits diffrents, dots par ailleurs de caractristiques de rvision de taux analogues; risque de clauses optionnelles, qui est li aux options explicites ou implicites dont sont assortis nombre de crances, dettes et positions du hors-bilan des banques.
Les activits bancaires de dpt et de crdit impliquent un risque significatif en cas de variation importante des taux d'intrt. Ses effets peuvent se rvler prjudiciables l'avenir d'un tablissement de crdit. Dans l'ensemble, les banques commerciales ont une faible vulnrabilit immdiate aux fluctuations court terme des taux d'intrt. Il est vident en contrepartie que, vue l'importance des dpts vue dont le rendement implicite augmente avec la hausse des taux, la marge nette des banques rsultant des produits et des charges d'intrt diminuera sensiblement dans un contexte de baisse continue des taux d'intrt alors qu'elle augmentera dans la situation inverse. Il faut toutefois souligner que la source principale du risque de taux d'intrt est la consquence du non-adossement des ressources aux emplois ou le dcalage, des emplois et des ressources quant aux chances de rvision des taux.
46
2. Les risques oprationnels.

Prsentation du concept.
La masse et la diversit des oprations traites quotidiennement par une banque sont toujours considrables. Des erreurs, ngligences, retards et fraudes se produisent invitablement. Ils engagent, non seulement la responsabilit pcuniaire de l'tablissement, mais galement contribuent dtriorer son image de marque. L'inefficacit est aussi un risque important, qui se traduit par un cot excessif des services qui obrent la rentabilit. A cette inefficacit, s'ajoute en gnral une mauvaise qualit des services, qui l encore est un facteur de dtrioration de l'image de marque de l'tablissement. Or, autant les pertes conscutives des risques mesurs, et consciemment assums et contrls, sont normales car inhrentes au mtier de banquier, autant les pertes par ngligence, par inadvertance, par inconscience ou par l'insuffisance d'organisation sont intolrables. Elles sont toujours la consquence d'une carence dans le systme de contrle interne. Ce sont l quelques aspects du risque oprationnel sans que cette liste soit exhaustive ou limitative. En effet, le concept du risque oprationnel n'est pas bien dfini et ne fait pas l'objet d'un consensus. Il correspond galement une srie de pertes occasionnes par la gestion des oprations qui ne sont pas relies aux risques parfaitement identifiables, appels parfois risques financiers, tels que le risque de march, de crdit, de liquidit, de taux d'intrt. Certains d'ailleurs dfinissent le risque oprationnel comme tout risque autre que les risques financiers. La circulaire BAM N6 donnait un sens plutt restrictif au risque oprationnel, dfini, l'article 8, comme '' tous les risques qui pourraient tre engendrs par des procdures inefficientes, des contrle inadquats, des erreurs humaines ou techniques , des fraudes ou par toutes autres dfaillances". Le risque oprationnel n'est pas un sujet nouveau. Durant les dix dernires annes, les faillites bancaires, les pertes lies des erreurs de valorisation ou un mauvais suivi des risques ont dfray la chronique : parmi les incidents les plus rcents, Barings, Daiwa ou Sumitomo et la liste n'est pas exhaustive. Les pertes y affrents sont estimes 12 milliard de dollars sur les dix dernires annes. La gestion des risques oprationnels commence proccuper de plus en plus les tablissements, de mme que les actionnaires et les rgulateurs. Les propositions rcentes du comit de Ble en sont la preuve. En juin 1999, le comit de Ble dans son projet de rforme du ratio Cooke intgre explicitement l'importance des risques autres que les risques de crdit et de marchs et insiste sur la ncessit d'un environnement de contrle interne rigoureux, essentiel pour la gestion des risques oprationnels. Il faut toutefois souligner que les problmes financiers vcus par certains tablissements financiers sont souvent la combinaison de la survenance d'un risque de
47
crdit ou de march et d'un risque oprationnel. Ainsi la cause de la faillite de la Barings tait due un risque de march qui tait la cause directe. La cause indirecte tait l'absence de supervision et de sparation des tches et des fonctions. Le comit de Ble remarque, par ailleurs que la globalisation, la drgulation, la sophistication des nouvelles technologies, les fusions rendent l'activit bancaire, et le profil de leurs risques, plus complexes et plus diversifis. Les tendances actuellement observes sont les suivantes :

Le dveloppement des systmes automatiss transforme le risque d'erreurs manuelles en risque de dfaillance de systme; Les fusions large chelle posent le problme de l'intgration de nouveaux systmes; Le dveloppement de rducteurs de risques tels que les garanties, drivs de crdits, titrisation rduisent le risque de crdit et de march mais font natre de nouveaux risques oprationnels.
Les quatre composantes du risque oprationnel.
Le Comit de Ble dfinit le risque oprationnel comme tant le risque de perte rsultant dune inadquation ou dune dfaillance attribuable des procdures internes, des personnes, des systmes internes ou rsultant dvnements extrieurs . Par risques oprationnels, il faut entendre les risques que lorganisation, ses acteurs et lenvironnement externe font courir la banque. Ils se dcomposent en 4 sousensembles :

Le risque li au systme dinformation : dfaillance matrielle, bug logiciel, obsolescence des technologies (matriel, langages de programmation,) ; Le risque li aux processus (saisies errones, non respect des procdures,) ; Le risque li aux personnes (absentisme, fraude, mouvements sociaux, mais aussi capacit de l'entreprise assurer la relve sur les postes cls) ; Le risque li aux vnements extrieurs (terrorisme, catastrophe naturelle, environnement rglementaire,).
Une notion prcise par le comit Ble II :
Les travaux de normalisation mens dans le secteur bancaire ont remis au got du jour la notion de risque oprationnel. Si ce risque en soi nest pas nouveau, lvolution de la rglementation bancaire le replace au premier rang des proccupations au travers de normes que lon dsigne communment sous le terme de Ble II . Lapprciation de la solvabilit bancaire, jusquici mesure au travers du ratio Cooke, va devoir prendre en compte les risques oprationnels, en sus des risques de crdit et des
48
risques de march. Ceci se fera au travers dun nouveau ratio, baptis Mc Donough du nom de lancien prsident du Comit de Ble. Le Comit Ble II a men une analyse quantitative de ces risques sur prs dune centaine dtablissements. Les rsultats dmontrent la frquence et le cot global levs des incidents oprationnels : ils gnrent en moyenne prs de 90 millions deuros de perte. Une analyse plus fine dmontre que si les sinistres les plus levs sont aussi les mieux couverts (incendie, dgts des eaux), cest finalement la diversit des risques non couverts qui explique limportance du cot final. Le nouvel accord sur les fonds propres a pour but de mieux aligner lvaluation de ladquation des fonds propres sur les principales composantes des risques bancaires et dencourager les banques renforcer leurs procdures de mesure et de gestion du risque.
Les trois piliers du ratio McDonough : Pilier I : exigences minimales en fonds propres pour couvrir les actifs pondrs en fonction du risque.

des normes renouveles pour mieux tenir compte des risques mais sans modification du niveau global des fonds propres (8% en moyenne); une meilleure prise en compte des techniques de rduction des risques; une prise en compte des risques oprationnels.
Pilier II : contrle accru par le rgulateur, avec possibilit dun examen individualis des tablissements.

lanalyse du profil global de risque des tablissements par les rgulateurs ; le contrle des procdures et de la mthode interne daffectation des fonds propres ; la possibilit de fixer des exigences individuelles suprieures au minimal rglementaire.
Pilier III : plus grande discipline de march avec une exigence accrue de transparence sur la structure des fonds propres et les risques encourus.
Les fonds propres doivent couvrir les risques de crdit et de march et les risques oprationnels.
Ratio McDonough = Fonds propres/Risques crdit + march + oprationnels 8%
49
Les innovations de la rforme McDonough :
En 1988, le Comit de Ble I a propos la mise en place du ratio Cooke, qui impose aux banques de disposer dun montant de fonds propres proportionnel leur encours de crdit. Aprs avoir intgr les risques de march au ratio Cooke en 1996, le comit de Ble prsid par W.McDonough en a dcid la refonte en 1999. La logique de cette rforme est simple : elle suggre le passage dune mthode purement quantitative et forfaitaire une mthode ajoutant le qualitatif au quantitatif et partant plus sensible la qualit intrinsque des risques. Plus prcisment, elle vise rconcilier le capital conomique et le capital rglementaire. Les consultations soumises la profession bancaire par le comit de Ble, en vue de la mise en place dun nouveau ratio de solvabilit Mcdonough insiste sur les points suivants : Une plus grande diffrenciation dans le traitement des risques de crdits : lincitation adopter un nouveau systme de notation interne concernant le risque de crdit permettant aux banques destimer par elles-mmes, aux moyens de leurs informations internes, la charge en capital, cest dire le montant des fonds propres ncessaires pour couvrir ce risque de crdit. Cette note drivera du calcul de la perte attendue dfinie comme tant le produit de la probabilit de dfaut (qui sera estime par la banque), la perte en cas de dfaut et de lexposition au moment du dfaut.
EL = PD x LGD x EAD
EL : Expected Loss ou perte attendue. PD : Default Probability ou probabilit que le dbiteur ne veuille pas ou ne puisse pas remplir ses engagements contractuels. La probabilit de dfaut mesure le risque dfaut du dbiteur. LGD : Loss Given Default ou perte occasionne en cas de dfaut du dbiteur : il sagit du pourcentage de perte que la banque subirait par rapport au montant du crdit ouvert au moment du dfaut. EAD : Exposure At Default ou montant du crdit qui est expos au moment du dfaut.
Dans le cadre de lapproche IRB (Internal Rated Basing) de base, la banque estimera uniquement la probabilit de dfaut et utilisera les donnes, concernant la perte en cas de dfaut et lexposition au moment du dfaut, fournies par lautorit de tutelle. Dans lapproche IRB avance, la banque estimera elle-mme tous ces facteurs de risque, auxquels on peut ajouter le facteur M ou Maturity cest dire la dure restante du crdit dont lampleur influence le risque de non-remboursement. Le futur rgime donnera aussi un rle plus important aux autorits de surveillance. Conformment aux dispositions prvues par le pilier 2, et pour tenir compte du profil risque de chaque tablissement, ces autorits seront habilites imposer des exigences de fonds propres suprieures celles rsultant de la seule application des formules rglementaires.
50
Limportance de la discipline de march reposant sur la communication rgulire dinformations par les banques au march, ce qui accentue le pouvoir des autorits de contrle de ces banques. La diffusion dinformations significatives par les banques apporte des lments aux intervenants et facilite lexercice dune discipline de march efficace.
2.1 - Le risque de systme d'information.
Le risque de systme dinformation sentend comme le risque de survenance de dysfonctionnements ou de ruptures dans le systme de traitement de linformation, imputables des dfaillances dans le matriel ou des erreurs, des manipulations ou autres motifs (virus) affectant les programmes dexcution. Lutilisation de linformatique fait courir des risques supplmentaires aux tablissements de crdit :
perte de donnes et de programmes en cas de dispositifs de scurit inadquats, de dfaillances de lquipement ou des systmes et des procdures de sauvegarde et de rcupration des donnes; informations de gestion errones rsultant de procdures imparfaites de dveloppement de systmes; absence dinstallations de remplacement compatibles dans le cas dinterruptions prolonges de fonctionnement des quipements.
De telles pertes et interruptions peuvent entraner de graves difficults pour un tablissement et risquent, dans des circonstances extrmes, de compromettre sa capacit de continuer poursuivre ses activits. Le danger que des dcisions soient fondes sur des informations non fiables ou trompeuses produites par des systmes dinformation mal conus ou insuffisamment contrls est vraisemblablement plus grave. Pour toutes ces raisons, les tablissements de crdit devraient disposer du savoir faire, des contrles organisationnels et internes ncessaires pour dtenir et traiter linformation sous forme lectronique.
2.2 - Le risque juridique.
Le risque juridique sentend comme le risque de survenance de litiges susceptibles dengager la responsabilit de ltablissement de crdit du fait dimprcisions, de lacunes ou dinsuffisances dans les contrats et autres actes de nature juridique le liant des tiers. Les banques sont soumises des formes diverses du risque juridique. Cest le cas, par exemple, si, cause de conseils ou documents juridiques inadquats ou incorrects, il savre que la valeur de lactif est infrieure, ou la hauteur du passif est suprieure, aux prvisions.
51
En outre, les lois existantes peuvent tre impuissantes rsoudre des problmes juridiques rencontrs par une banque. Une action en justice impliquant un tablissement donn peut avoir des consquences plus vastes pour lactivit bancaire et entraner des cots, non seulement pour lui-mme mais pour de nombreuses autres banques ou pour lensemble du systme bancaire; par ailleurs, les lois concernant les banques et autres entreprises commerciales peuvent changer.
2.3 - Le risque comptable.
Le risque comptable sentend comme le risque de non fiabilit, de non exhaustivit des donnes comptables et financires et/ou de non disponibilit de linformation au moment opportun conformment aux prescriptions du plan comptable des tablissements de crdit (PCEC). Il sagit, pour la Banque, des risques rsultant :

dinsuffisances de conception, dorganisation et de mise en uvre des procdures denregistrement dans le systme comptable, d'absence de procdures comptables et de pistes d'audit ayant pour objet la reconstitution chronologique des oprations, la justification de linformation par une pice dorigine, lexplication des volutions de soldes et le respect des rgles dvaluation applicables aux oprations de marchs, de dfaillance du systme d'information comptable au regard des objectifs gnraux de prudence, de scurit et de conformit aux normes comptables en vigueur, de dysfonctionnements du systme de contrle comptable garantissant ladquation des mthodes et des paramtres retenus pour lvaluation des oprations dans les systmes de gestion ainsi que la pertinence des schmas comptables et leur conformit aux rgles de comptabilisation en vigueur.
2.4 - Le risque des ressources humaines.
Les risques lis aux ressources humaines concernent principalement les risques de management, juridiques, de dontologie, de compliance, oprationnels et fiscaux. Ces risques peuvent tre synthtiss en :

Risque de non respect des textes rglementaires; Risque dinadaptation des politiques sociales aux attentes du personnel; Risque dinadquation des besoins aux ressources humaines; Risque denvahissement des proccupations sociales.
Concrtement, il sagit, pour la Banque, des risques rsultant : dinsuffisances de couverture des fonctions Ressources Humaines (RH) : administration, gestion, recrutement, formation et relations sociales; de non rponse aux besoins, en ne fournissant les ressources humaines adaptes (le recrutement, lorientation, la formation, la motivation);
52
de la non adaptation au march, connaissance insuffisante des donnes de base pour la gestion moyen terme des effectifs; du non respect des rgles de confidentialit (paie, dossiers personnels) et de scurit (back up) et de divulgation dinformations sensibles; d'absence d'une gestion optimise des cots des RH (les rmunrations, le contrle de gestion); d'absence d'un systme de rmunration objectif, connu et dont la rvision est formalise; d'une mauvaise gestion des avantages sociaux; d'une non sensibilisation du personnel aux risques de fraude interne et externe; du non respect des rgles de prise de congs; de l'absence, de l'inadquation ou du non respect du plan de formation; d'une dfaillance de gestion des mouvements sociaux garantissant la continuit du fonctionnement de la banque (le dialogue social, lenvironnement du travail); de la multiplication des absences injustifies, retards, heures supplmentaires systmatiques, d'une dmotivation du personnel crant un mauvais climat social.
2.5 - Les autres risques.
Ces risques englobent tous les risques qui ne peuvent tre rpertoris dans la liste des risques dvelopps plus haut. A la diffrence de la circulaire N6 qui a qualifi les risques oprationnels d'autres risques, nous avons regroup ci-dessous dautres catgories de risques :
2.5.1 - Le risque de rglement.
Le risque de rglement s'entend comme le risque de survenance, au cours du dlai ncessaire pour le dnouement de l'opration de rglement, d'une dfaillance ou de difficults qui empchent la contrepartie d'un tablissement de crdit de lui livrer les instruments financiers ou les fonds convenus, alors que ledit tablissement dj honor ses engagements l'gard de ladite contrepartie.
2.5.2 - Le risque stratgique.
La stratgie adopte par un tablissement de crdit dans diffrents domaines engage toujours des ressources significatives. A titre d'exemples ces stratgies peuvent tre : la pntration d'un march, le lancement de nouveaux produits ou de nouvelles activits, la refonte du systme d'information, une croissance externe par fusion ou acquisitionetc. Un chec stratgique peut s'avrer lourd de consquences car les
53
ressources engages deviennent sans valeur et la perte cause sera dune substance significative.
2.5.3 - Le risque systmique.
C'est le risque de contagion gnr par les liens interbancaires nationaux et transfrontaliers des banques. Les tablissements de crdit sont interdpendants les uns par rapport aux autres. Les pertes conscutives la dfaillance d'un tablissement sont supportes, par effet de contagion, essentiellement par le systme bancaire, sous trois formes : Les oprations interbancaires, conclues avec l'tablissement dfaillant, se traduiront par une perte pour l'tablissement prteur; La solidarit de la place oblige frquemment tous les tablissements participer l'apurement du passif de l'tablissement dfaillant; Les actionnaires d'un tablissement de crdit sont frquemment ceux d'autres tablissements qui devront, conformment leur rle, participer au sauvetage de l'tablissement dfaillant. La dfaillance d'un tablissement de crdit, comme un jeu de dominos, peut donc dclencher les difficults dans d'autres tablissements et risquer de mettre en pril tout le systme bancaire. Il s'agit d'valuer si une raction en chane travers le march interbancaire - c'est-dire une situation dans laquelle le dfaut d'une banque entranerait la dfaillance d'un ou de plusieurs de ses cranciers interbancaires - pourrait crer un risque systmique plus tendu.
2.5.4- Le risque Pays.
C'est une composante du risque de contrepartie ou du risque metteur. Pour avoir une vision plus claire du risque pays, il faut tudier ses composantes, savoir le risque de dfaillance du souverain, le risque de change, le risque de non-transfert et le risque systmique deffondrement dune conomie. Avec les premires crises des pays alors dits en voie de dveloppement , puis la fin des annes 90, crises dans lAsie du sud-est, de la Russie, du Brsil, de lArgentine qui est un cumul de lensemble de ces risques, constitue un exemple extrme du risque pays au sens moderne du terme. Il ne sagit plus du risque de non-transfert mais bien de leffondrement gnral du systme montaire et financier dun pays. Le risque-pays peut surtout apparatre lorsquil sagit de prts des gouvernements trangers ou des organismes qui en dpendent, de tels crdits ntant gnralement pas assortis de garanties, mais il est important de le prendre en compte lors dun prt ou dun investissement ltranger, que lemprunteur soit public ou priv. Il existe aussi une composante du risque pays appele risque de transfert, qui survient lorsque lobligation dun emprunteur nest pas libelle dans la monnaie locale. Il
54
peut arriver que lemprunteur, quelle que soit sa situation financire, ne puisse disposer de la devise dans laquelle lobligation est libelle.
2.5.5 - Le risque de non-conformit Compliance Risk
Le risque de non-conformit Compliance Risk peut tre dfini comme un risque de non respect des dispositions rglementaires applicables aux activits bancaires et financires, y compris celles relatives la prvention du blanchiment et du financement du terrorisme, des normes et usages professionnels et dontologiques et de protection des intrts des investisseurs et des clients. Par ce risque, on entend galement le risque de prjudices qu'un tablissement peut subir suite au fait que les activits ne sont pas exerces conformment aux normes en vigueur. Il peut comporter une varit de risques tels que le risque de rputation, le risque lgal, le risque de contentieux, le risque de sanctions ainsi que certains aspects du risque oprationnel, ceci en relation avec lintgralit des activits de ltablissement. Par normes en vigueur, il faut entendre dans ce contexte toutes les rgles auxquelles l'tablissement bancaire est soumis dans l'exercice de ses activits dans les diffrents marchs, notamment :

les lois, rglements et circulaires rgissant l'accs au secteur financier et l'exercice des activits bancaires; les lois et circulaires traitant des obligations professionnelles, c'est--dire les rgles de lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que les rgles de conduite du secteur financier et de protection des investisseurs.
Pour les besoins de lvaluation du risque de Compliance et afin de dterminer le primtre de la fonction Compliance, les codes de conduite ou de dontologie internes ainsi que les codes dassociations professionnelles et de marchs financiers sont considrer galement. Il appartient ltablissement de dcider si, compte tenu des particularits des activits exerces, sa fonction Compliance couvre le contrle du respect des rgles n'ayant pas directement trait aux activits bancaires et financires proprement parler, telles que les rgles relevant du droit de travail, du droit social, du droit des socits ou du droit de l'environnement. La fonction Compliance a pour objet de : organiser, de coordonner et de structurer les contrles en matire des diverses rglementations diffrents niveaux de l'organisation bancaire, protger ltablissement de tout prjudice qui pourrait rsulter du non-respect des normes en vigueur, assister la direction dans la gestion efficace des risques de non-conformit. La Compliance nest pas du ressort exclusif de la fonction qui lui est ddie. Elle concerne galement le conseil dadministration, la direction ainsi que tous les membres du personnel. Elle est ds lors considrer comme un lment important de la culture vhicule dun tablissement laquelle doit tre promue tous les niveaux de la banque.
55
Dans ce contexte, une rflexion a t engage au niveau international, notamment au sein du Comit de Ble11, afin, dune part, de mieux apprhender, dans le calcul des exigences de fonds propres, les risques autres que les risques de crdit et de march et, dautre part, de formuler des propositions spcifiques quant aux modalits de contrle du risque de non-conformit. En France, le principe du respect de la conformit a t inscrit, ds 1997, dans le rglement n 97-02 du Comit de la rglementation bancaire et financire relatif au contrle interne. Du fait de limportance et de la spcificit du risque de non-conformit aux lois et rglements, celui-ci parat devoir tre pris en charge par une fonction ddie et, comme lensemble des risques encourus par les tablissements de crdit, tre pleinement intgr dans le champ dexercice du contrle interne. Au Maroc, la notion de conformit na pas t inscrite dans la circulaire N 6/G/2001 sur le contrle interne des tablissements de crdit et ne fait ce jour lobjet daucune rglementation particulire.
3. Le risque de rputation.
Le risque de rputation est l'atteinte de la confiance qu'une banque doit inspirer sa clientle et au march la suite d'une publicit ou dun vnement. Cette perte de confiance peut alors avoir des effets dsastreux : retraits massifs des dposants, perte de clientle, mfiance des marchs qui est suivie gnralement par une crise de liquidit. Le risque de rputation rsulte galement de dysfonctionnements oprationnels et de lincapacit de satisfaire aux lois et rglementations en vigueur. Ce risque est particulirement prjudiciable aux banques, tant donn que la nature de leur activit ncessite le maintien de la confiance des dposants, des cranciers et du march en gnral. Lorgane dadministration et lorgane de direction doivent prendre les prcautions et les mesures adquates pour empcher que leur tablissement bancaires ne soit impliqu, leur insu, dans des oprations financires lies des activits non autorises par la loi et plus gnralement pour viter la survenance de tout vnement susceptible d'entacher la rputation de cet tablissement ou de porter atteinte au renom de la profession.
Section 2 : Critres d'valuation et dispositifs de contrle des risques.

L'organisation, les processus et les outils de mesure et de quantification constituent les critres fondamentaux d'apprciation et de suivi des risques bancaires. Nous ne pouvons que constater ce sujet l'enrichissement progressif des mthodes de mesure et d'valuation des risques, dveloppes par la majeure partie des banques commerciales marocaines, bien que des marges de progrs existent encore sur
11 Le document consultatif du Comit de Ble du 27 octobre 2003 sur la fonction de conformit dans les banques - Consultative Document on the Compliance Function in Banks -
56
plusieurs aspects pour se conformer aux standards aussi bien qu'internationaux. Plusieurs facteurs clairent cette volution positive :
nationaux
Une prise en compte accrue de ces risques par les dirigeants des banques. Cette prise de conscience peut s'expliquer par la relative maturit acquise dans la gestion des risques qui a mobilis l'attention au cours des cinq dernires annes, La mise en vidence accrue des risques financiers et rcemment oprationnels qui a entrane une rflexion accrue sur leur matrise et leurs mthodes de prvention, La pression des rgulateurs pour une meilleure information sur les risques bancaires.
Dans ce contexte, plusieurs tablissements bancaires marocains se sont lancs, avec des degrs d'avancement diffrents, dans la mise en place d'outils permettant d'assurer une surveillance permanente devant aboutir in fine une couverture optimale contre les risques jugs significatifs et prioritaires.
1. Au niveau de la gestion du risque de crdit.

Cest le risque encouru en cas de dfaillance dune contrepartie. Les systmes et procdures mis en place pour en assurer la matrise devront permettre, entre autres, de :

sassurer que les risques auxquels peut sexposer ltablissement de crdit, du fait de la dfaillance de la clientle, sont correctement valus et rgulirement suivis ; veiller ce que les dossiers de crdit comportent toutes les informations quantitatives et qualitatives relatives au demandeur et veillant ce que ces informations soient rgulirement mises jour; prendre en considration, notamment, la nature des activits exerces par le demandeur, sa situation financire, la surface patrimoniale des principaux actionnaires ou associs, sa capacit de remboursement et, le cas chant, les garanties proposes; prendre galement en compte toutes autres informations permettant une apprciation plus complte du risque tels que la comptence des dirigeants et l'environnement conomique dans lequel le demandeur de crdit exerce son activit; pouvoir identifier de manire centralise tous les risques bilan et hors bilan lgard dune mme contrepartie ou dun groupe de contreparties, dun mme secteur conomique, dun pays ou dune zone gographique; apprhender diffrentes catgories internes dapprciation du niveau de risque de crdit partir dinformations qualitatives et quantitatives rating ; disposer dun systme de dlgations clairement formalis. A lintrieur de ce cadre, les dcisions dengagements concernant des oprations importantes, devront tre
57
prises par au moins deux personnes et ce, aprs analyse dune unit spcialise indpendante dtude de risques;
mesurer et encadrer le risque de livraison (risque de rglement) cest--dire le risque que la contrepartie ne rgle ou ne livre pas les titres loccasion dune opration de march; dterminer les conditions financires des oprations partir dune analyse prvisionnelle aussi exhaustive que possible des produits (marges dintrt, commissions, variation de la valeur de march des oprations) ainsi que des cots (cot oprationnel, cot de refinancement, cot de rmunration des fonds propres, cot li au risque de dfaillance); effectuer une revue trimestrielle des oprations suprieures un certain seuil en procdant, si ncessaire, au reclassement des engagements au sein des catgories internes de rating et, en tant que de besoin, aux affectations dans les rubriques comptables de crances douteuses, le niveau de provisionnement adopt devant tenir compte dune valuation rcente des garanties dtenues.
Les critres retenus pour l'apprciation du risque de crdit se basent pour l'ensemble des tablissements bancaires marocains sur une analyse systmatique de la situation conomique et financire de la contrepartie. Cette analyse se traduit, dans certains cas, par l'affectation d'une note de signature qui concerne dans un premier temps les grandes entreprises puis les PME/PMI. Les clients particuliers ne font toutefois pas l'objet de notation, ils sont nanmoins segments selon les critres commerciaux pouvant servir dfinir l'offre de crdit notamment. L'valuation du risque pour cette catgorie de clientle est base sur le revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes entourant son caractre la fois vridique et permanent. De manire gnrale, la surveillance des risques repose sur un contrle deux niveaux: contrle priori;
contrle posteriori.
Contrle priori. Ce contrle repose sur le principe selon lequel les principales oprations des clients doivent faire l'objet de l'accord d'un dlgataire ds lors que celles-ci mettent la position de la contrepartie en anomalie (notamment les dpassements) ou concourent la mise en place d'un nouveau crdit. Ce traitement est centralis gnralement au niveau de la Direction des Crdits qui prend en charge toute la fonction d'octroi de crdits relative aux clients d'une certaine taille. Un tel contrle suppose la ncessit de disposer d'outils permettant de connatre individuellement et en temps rel les autorisations et les utilisations de chaque client la demande et au cas par cas.
58
Nanmoins, les outils disponibles actuellement pour analyser finement les risques de contrepartie par nature et par secteur, sont encore insuffisants. Les banques se sont engages dans un programme d'investissement considrable en systme d'information en vue de contribuer l'laboration d'une cartographie des risques fiable notamment pour ce qui concerne la nature des risques ainsi que les risques lis aux dpassements par rapport aux limites dmarquant les clients sains de ceux douteux.
Contrle posteriori. Le principe de contrle posteriori repose principalement sur la surveillance des dpassements et des impays, qui s'exerce nanmoins selon des priodicits variant entre un mois, un trimestre voire un semestre. Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques, ce qui diminue de la qualit des contrles en terme d'exhaustivit et de ractivit.
La pertinence de ce systme repose par ailleurs sur une vigilance accrue des oprationnels qui sont le plus mme d'attirer l'attention sur des risques sensibles ou naissants. C'est justement la raison pour laquelle ce systme peut se rvler inefficace tant donn le contexte la fois manuel et non formalis qui entoure tout le processus d'identification.
Rating. Lvaluation du risque de crdit donne lieu lattribution, chaque client, dune note (appele aussi "cotation", "rating") par rfrence un chelle de notation interne.
Certaines banques, surtout celles dpendant de groupes trangers, sont parvenues nanmoins mettre en place un systme de rating. La cotation des dossiers est revue gnralement une fois tous les ans l'occasion du renouvellement des dossiers.
Rentabilit Les dcisions d'octroi des crdits prennent en considration la rentabilit globale des oprations effectues avec le client et ce, travers lanalyse prvisionnelle des charges et produits y affrents.
En l'tat actuel, la rentabilit des oprations n'est le plus souvent obtenue qu'au travers un PNB agrg. Elle ne prend pas en compte tous les cots et notamment le cot du risque. Certaines banques sont parvenues depuis peu tablir un RBE par client et par opration. Cependant, ce calcul reste approximatif dans la mesure o les charges affectes chaque relation sont attribues sur la base de cls de rpartition qui restent empreintes d'arbitraire en l'absence d'un systme de comptabilit analytique permettant de dcliner finement les cots par client.
Suivi des provisions Les concours qui, au regard de la rglementation en vigueur, sont considrs comme crances en souffrance doivent tre enregistrs dans les comptes appropris du plan comptable des tablissements de crdit et donner lieu la constitution des provisions requises.
59
Les encours des crances en souffrance ainsi que les rsultats des dmarches, amiables ou judiciaires, entreprises pour leur recouvrement doivent tre rgulirement ports la connaissance de lorgane dadministration. Les banques possdent intervalles de temps rguliers, pour certaines trimestriellement pour d'autres semestriellement, l'identification des crances ligibles aux critres de classification de BAM.
2. Au niveau de la gestion du risque de march.

Le contrle interne nest justifi le plus que dans les salles de marchs de par limportance des volumes traits, la sophistication des techniques de transaction, le caractre souvent instantan des prises de dcision, lvolution quasi permanente des instruments et des stratgies.... Or, si la rglementation prvoit une parfaite intgration du contrle interne dans lorganisation, les mthodes et les procdures de chaque activit, il semble que lunivers de la salle de marchs soit peu propice une telle dmarche en raison : du recours frquent des instruments tlmatiques; de la ncessit de ragir rapidement en toutes circonstances; des dlais souvent trs courts impartis pour dboucler une position. Le dispositif de contrle des risques de march doit permettre de sassurer que les risques auxquels peut sexposer ltablissement de crdit, du fait des fluctuations qui pourraient affecter les prix des instruments financiers, font lobjet dune valuation approprie et dune surveillance rgulire. La mesure des risques de march doit tre effectue de faon en cerner les diverses composantes et ce, par le recours des procds qui permettent une agrgation, aussi bien sur une base individuelle que consolide, de lensemble des positions relatives des instruments financiers ou des marchs diffrents. Des valuations rgulires, notamment en cas de fortes variations affectant un march ou l'un de ses segments, doivent tre effectues pour suivre lvolution des risques susviss. Les modles d'analyse retenus pour ces valuations doivent, eux aussi, rgulirement faire lobjet de rvisions, leffet den apprcier la validit et la pertinence au regard de lvolution de lactivit, de lenvironnement des marchs et des techniques danalyse.
Le systme de mesure des risques de march. La mesure des risques de march reprsente un aspect sensible de lensemble du dispositif. Les oprations qui gnrent ces risques correspondent, en effet, une part importante de lactivit des banques.
Il sagit, pour une opration donne, du risque de taux dintrt pris dans toutes ses composantes ainsi que du risque de change. Les systmes et procdures mis en place pour en assurer la matrise devront permettre, entre autres, de:
60

apprhender quotidiennement les positions dtenues en chaque instrument et en calculer les rsultats; mesurer le risque de taux dintrt, le risque de change et le risque sur titres de proprit lis ces positions; raliser un suivi quotidien et une valuation au prix du march de toutes les oprations de change ou de taux et mesurer ladquation des fonds propres de la Banque aux risques rsultant des oprations portant sur le portefeuille de ngociation (calcul dune Value At Risk fonde sur la notion de perte potentielle maximale worst case ); agrger sur une base homogne toutes les positions, quels que soient les produits et les marchs, cette mesure globale tant fonde elle aussi sur la notion de perte potentielle maximale worst case ; laborer rgulirement des scnarios catastrophes ou de crise ( stress case ) mesurant les consquences des situations exceptionnelles. Les rsultats en sont communiqus au Directoire qui en informera le Conseil de Surveillance; procder au moins une fois par mois au rapprochement des rsultats comptables et des rsultats de gestion et analyser les carts constats. sassurer du respect des limites et des procdures internes mises en place pour la matrise de ces risques.

Le systme de surveillance et de matrise des risques. Ce systme exige la mise en place de limites internes pour lensemble des risques mesurables. Ces limites permettent dencadrer a priori les expositions et de vrifier a posteriori leur bonne utilisation. Elles doivent faire lobjet dune revue au minimum annuelle et doivent tre compltes par un systme de dclaration de franchissement de seuil.
Une distinction s'opre entre deux types de limites qui doivent, en tout tat de cause, couvrir toutes les natures de risques et permettre leur agrgation :
Les limites globales : accordes au niveau de la direction gnrale, elles sont gnralement exprimes, en ce qui concerne les activits de march, en termes dexigences de fonds propres ou de Value At Risk. Les limites oprationnelles : qui peuvent tre exprimes en nominal, en terme de stop-loss, de sensibilit.
Il faut que ces deux systmes de limites soient cohrents. Le suivi des expositions doit tre permanent; chaque chelon de surveillance doit disposer dun systme de reporting, clair et efficace, dans le respect des formats dfinis par crit, afin dinformer lensemble des niveaux hirarchiques. Tout manquement constat aux rgles doit tre identifi et analys. Ces travaux doivent dboucher sur la prise de mesures correctrices qui devront tre effectivement mises en uvre; elles devront avant tout faire lobjet de tests.
61
Les mesures correctrices pourront comporter soit loctroi de limites supplmentaires accordes selon une procdure prdfinie par la hirarchie, soit le dbouclement des positions permettant le retour lintrieur des limites notifies.
3. Au niveau de la gestion du risque global de taux d'intrt.

Le risque de taux dintrt global pour une banque se dfinit comme le risque encouru en cas de variation des taux dintrt du fait de lensemble de ses oprations bilan et hors bilan ainsi que celles de ses filiales. Les systmes et procdures mis en place pour en assurer la matrise devront permettre, entre autres de : sassurer que les risques susceptibles daffecter ngativement les lments de lactif, du passif et du hors bilan de ltablissement de crdit, du fait dune volution dfavorable des taux dintrt, sont correctement mesurs et font lobjet dune surveillance rgulire et adquate, disposer dune gestion actif/passif (ALM: Asset Liability Management) permettant dapprhender les positions et les flux certains et prvisibles rsultant de ces oprations ainsi que les diffrents facteurs de risques de taux dintrt global en dcoulant et dvaluer limpact des facteurs significatifs sur les rsultats et les fonds propres de la Banque, choisir des paramtres et des hypothses pour lvaluation du risque global de taux dintrt en tenant compte du niveau dactivit de ltablissement de crdit sur les diffrents marchs, rexaminer priodiquement ces hypothses pour sassurer de leur cohrence et de leur validit au regard de lvolution de la structure des activits exerces et des conditions du march, valuer, partir de scnarios catastrophes stress case revus priodiquement, les consquences des situations exceptionnelles sur les rsultats et les fonds propres de la banque. Les rsultats en sont communiqus au Directoire qui en informera le Conseil de Surveillance. Les indicateurs de mesure du risque de taux regroupent : L'assiette du risque est constitue des actifs et passifs taux fixes et des actifs et passifs taux variables, de la duration et sensibilit ainsi que des carts correspondants; Les calculs de marges bass sur les encours prcdents, notamment les marges acquises sur les encours taux fixe et variable ainsi que la marge totale en fonction du taux moyen de l'actif et du passif; Les analyses de sensibilit de la marge d'intrt en fonction des scnarii d'volution des taux. Ces indicateurs ncessitent toutefois de connatre l'chance de toutes les oprations. Chose qui se rvle nanmoins inaccessible pour les banques marocaines vu que les outils mis en place pour apprhender le risque de taux, pour celles qui en disposent
62
dj, sont tenus sur des supports manuels et se rvlent impuissantes oprer des modlisations de sries statistiques complexes, volumineuses et multicritres. Le risque de taux est voqu gnralement en tant que risque de march. Ce ci pourrait tre partiellement vrai, mais, il serait tentant d'englober dans le mme cadre le risque de taux global ou structurel et le risque de march. Les modles de risque de march sont fonds gnralement sur trois principes : le portefeuille peut tre valoris tout moment de faon incontestable (valeur de march, market-to-market). Les positions peuvent tre rapidement soldes. Un historique de quelques annes dcrit suffisamment des variations de march pour se faire une bonne ide des risques futurs. Or aucun, des trois principes de march n'est transposable au "portefeuille bancaire" des dpts et crdits de la clientle : la valeur du portefeuille bancaire est celle laquelle on trouve un acqureur. Rien n'implique qu'elle corresponde la juste valeur actuarielle qui fait si souvent foi sur les marchs. Aucun lien simple et objectif n'existe entre cette valeur du portefeuille bancaire et le niveau prsent ou anticip des taux d'intrt. Si une forte baisse des taux advenait, aucun rseau bancaire ne pourrait raisonnablement, ni en dix jours, ni mme en dix mois, se dfaire de ses dpts. Le stop Loss (variable statistique permettant de dterminer le montant maximum de perte tolre) n'est pas un concept applicable aux rseaux bancaires. C'est pourquoi, la circulaire N6 spare le risque de taux des activits de march du risque de taux global. La position structurelle de taux recle des risques majeurs surtout en cas de trs forte et trs durable variation des taux d'intrt. Pour une banque de dpt, par exemple, le scnario fcheux serait une forte baisse des taux suivie d'une longue priode de taux bas. Quel historique indique aujourd'hui ce que pourrait tre l'ampleur statistique d'un tel phnomne, et quelle serait sur plusieurs annes l'attitude de ses clients ? Une bonne partie des difficults apprhender concernant le risque de taux structurel rside dans les innombrables options caches vendues (implicitement ou non) aux clients : dpts ou retrait des fonds sur les comptes vue, remboursement par anticipation des crdits, modification des taux rglements, options diverses de l'pargne logement. Mmes parfaitement modlises, ces options ne pourraient pas tre parfaitement couvertes. En effet, toutes les couvertures d'option partent du principe que le client auquel on a vendu ces options aura un comportement financirement rationnel. Par exemple, le jour o ses droits prt d'pargne-logement seront moins chers que les taux de crdit normaux, il devrait immdiatement emprunter le maximum via ses droits. Il apparat ds lors que la modlisation des options caches passe par une modlisation comportementale des clients, ce qui est loin d'tre un indicateur efficace d'une couverture parfaite contre le risque de taux global. Compte tenu de ces difficults, un risque de taux global persiste, mme aprs couverture ventuelle, et il est lgitime d'envisager une exigence en fonds propres pour
63
couvrir ce risque rsiduel. L'objectif d'une exigence en fonds propres est de couvrir un risque de perte extrme. Les banques qui se sont dotes d'une gestion actif-passif ont eu fixer les modalits de leur couverture (montants, dures, instruments utiliss). Si les montants ont vocation ressembler ceux des postes couverts, et si les instruments disponibles ne sont pas innombrables, les choix d'horizon de temps pour les couvertures sont moins vidents tablir; Ils peuvent tre tays par des tudes statistiques (lois d'coulement du passif vue), des hypothses de dformation venir du bilan (nouvelle production) ou autres considrations financires ou commerciales.
4. Au niveau de la gestion du risque de liquidit.

Le risque de liquidit se dfinit comme le risque de ne pas pouvoir faire face ses engagements ou de ne pas pouvoir dnouer ou compenser une position en raison de la situation du march. Le dispositif de contrle du risque de liquidit doit permettre de sassurer que ltablissement de crdit est en mesure de faire face, tout moment, ses exigibilits et dhonorer ses engagements de financement envers la clientle. La trsorerie immdiate ainsi que les entres et sorties de trsorerie prvisionnelles des chances dtermines doivent tre values de manire correcte, en tenant compte notamment de l'incidence des fluctuations des marchs de capitaux. Les possibilits daccs aux marchs des capitaux dont bnficie ltablissement, en particulier les lignes de crdit ouvertes par les correspondants, doivent tre revues priodiquement afin de tenir compte des ventuels changements qui pourraient affecter la situation ou la renomme de ltablissement lui-mme ou la situation financire ou juridique de ces correspondants. A l'instar du calcul des indicateurs de risque de taux, le suivi du risque de liquidit repose sur des analyses simplifies menes pour certains tablissements sur des prototypes ALM permettant le calcul des indicateurs de risque de liquidit, notamment l'impasse de liquidit. De manire gnrale, les banques contrlent leur aptitude faire face leurs exigibilits et leurs engagements de financements envers la clientle travers le calcul et l'analyse du coefficient de liquidit. Le principe de mesure de la liquidit est bas sur un flux recevoir et payer sur le court terme pour identifier tout problme potentiel. La mthodologie est proche de celle de la mesure du risque de taux d'intrt par la construction d'un chancier faisant ressortir les impasses. Mais lchancier doit tre construit en tenant compte des chances de remboursement et non des chances de renouvellement de taux. Les bandes doivent tre beaucoup plus troites pour les prvisions trs court terme.
64
La construction de cet chancier va poser des difficults lies la date de remboursement de certaines crances et dettes : dpts vue de la clientle, dcouverts, comptes d'pargnes etc. La problmatique des options caches va s'ajouter au remboursement anticip des crdits et dpts terme. Les actifs ngociables sur un march liquide, tels les bons du Trsor et les actions faisant partie d'un indice boursier, peuvent tre considrs comme des rserves de liquidits. Leur degr de liquidit doit tre soigneusement valu, de mme que le prix probable de vente sachant qu'une vente "force" ou "catastrophe", pour faire face une crise de liquidit, risque fort de se traduire par une perte. Il est d'usage, pour tenir compte de cette perte probable, d'appliquer une dcote la valeur de march des titres.
5. Au niveau de la gestion du risque de rglement.

Le dispositif de contrle du risque de rglement doit permettre de sassurer que les diffrentes phases du processus de rglement sont identifies et font lobjet dune attention particulire, notamment l'heure limite pour l'annulation unilatrale de l'instruction de paiement, l'chance de la rception effective des fonds relatifs l'instrument achet et le moment o la rception de ces fonds ou instruments est confirme.
6. Au niveau de la gestion du risque du systme dinformation.

Le dispositif de contrle des risques lis au systme dinformation doit assurer un niveau de scurit jug satisfaisant par rapport aux normes technologiques et aux exigences du mtier. Le niveau de scurit des systmes d'information est valu en fonction de :
la disponibilit, c'est--dire la continuit du service et la mise en place de procdures d'urgence ainsi que du matriel et des logiciels de secours informatiques en cas de difficults graves ou de dysfonctionnement du systme d'information ou la survenance d'vnements pouvant le rendre inoprant. l'intgrit, c'est--dire la fiabilit des informations et des traitements; la confidentialit des informations; la piste daudit ou la possibilit de contrle et de preuve qui sapplique la conservation des informations dans des conditions prsentant le maximum de scurit contre les risques de dtrioration, de manipulation ou de vol et la documentation relative aux analyses, la programmation et l'excution des traitements. La conformit aux exigences rglementaires.
65
7. Au niveau de la gestion du risque juridique.

Il sagit, pour la banque, du risque de tout litige avec une contrepartie rsultant de toute imprcision, lacune ou insuffisance de nature quelconque susceptible dtre imputable la banque au titre de ses oprations. Le dispositif de contrle du risque juridique doit permettre de sassurer que les contrats et les autres actes de nature juridique liant ltablissement de crdit toute contrepartie sont rdigs et conclus dans le respect des dispositions lgales et rglementaires en vigueur et sont soumis un contrle strict en vue de parer toutes insuffisances, imprcisions ou lacunes.
8. Au niveau de la gestion du risque comptable.

Le dispositif de contrle de la comptabilit doit permettre aux tablissements de crdit de s'assurer de la fiabilit et de l'exhaustivit de leurs donnes comptables et financires et de veiller la disponibilit de linformation au moment opportun. La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan comptable des tablissements de crdit. Les modalits denregistrement comptable des oprations doivent prvoir un ensemble de procdures, appel piste d'audit, qui permet :

de reconstituer les oprations selon un ordre chronologique; de justifier toute information par une pice d'origine partir de laquelle il doit tre possible de remonter par un cheminement ininterrompu au document de synthse et rciproquement; d'expliquer l'volution des soldes d'un arrt l'autre par conservation des mouvements ayant affect les postes comptables.
Les oprations qui comportent des risques de march doivent donner lieu, tout le moins la date d'arrt de fin de mois, un rapprochement entre les rsultats calculs par les units oprationnelles et les rsultats comptables obtenus sur la base des rgles d'valuation en vigueur. Les carts significatifs constats doivent tre justifis et ports la connaissance de lorgane de direction. Des valuations rgulires du systme d'information comptable et de traitement de linformation doivent tre effectues en vue de sassurer de sa pertinence au regard des objectifs gnraux de prudence et de scurit et de la conformit aux normes comptables en vigueur.
9. Au niveau de la gestion du risque pays.

Cest le risque quun emprunteur public ou priv dun pays donn ne soit plus en mesure de remplir ses obligations en devises trangres ou lgard de ses cranciers
66
trangers ou que la valeur des actifs dtenus par ces mmes cranciers trangers diminue soudainement et substantiellement. Les systmes et procdures mis en place pour en assurer la matrise devront permettre, entre autres, de:

mesurer le niveau du risque par pays en fonction de la nature des oprations, de leur dure et de la classification des pays, encadrer ces risques par un jeu de limites, suivre lvolution de lutilisation de ces limites.
10. Au niveau de la gestion des autres risques oprationnels.

Il sagit, pour la banque, des risques rsultant dinsuffisances de conception, dorganisation et de mise en uvre des procdures denregistrement dans le systme comptable ou dinformation, de lensemble des vnements relatifs aux oprations des tablissements bancaires. Par dfinition, ces risques se distinguent des risques gnrs normalement par lactivit (marchs, contreparties, pays ...) ou caractre spcifique (juridique, informatique,...). Les systmes et procdures mis en place pour en assurer la matrise devront permettre de sassurer que les risques qui pourraient dcouler de dfaillances ou dinsuffisances, de quelque ordre que ce soit, sont identifis et font lobjet de mesures de nature en limiter la survenance et limpact sur le fonctionnement global de ltablissement. A travers plusieurs situations catastrophes dont on a cit quelques exemples, les risques oprationnels se sont rvls plus dangereux que prvus. L'organe dlibrant doit de ce fait, tre conscient que le risque oprationnel est une catgorie de risque part entire, surtout que les fonds propres de la banque peuvent ne pas permettre de couvrir des pertes dmesures dues une dficience en matire de contrle. La gestion des risques oprationnels aussi bien en interne que conformment aux exigences prudentielles, en est encore ses dbuts. Des efforts ont t nanmoins entrepris par certaines banques marocaines en vue de se doter d'outils pertinents capables de renseigner sur la survenance de tout risque de nature oprationnelle, et ce quelle que soit son origine ou sa localisation. Ce nouveau systme est en cours de mise en place et sa fiabilit ne pourrait toutefois tre suffisamment apprcie qu'au cours des annes ultrieures. Le systme d'information parat dans ce sens jouer un rle cl pour communiquer les objectifs de la banque en matire de risque. Il est vident que l'efficacit d'un bon contrle interne dans ce domaine repose sur la fiabilit du systme d'information pour maintenir une culture de contrle et pour s'assurer que l'ensemble du personnel adhre ces objectifs. Certaines banques ont eu l'ide de constituer une base de donnes interne incluant tous les vnements de pertes occasionnes dans le cadre de l'exercice des activits de la banque. Ces vnements doivent nanmoins tre identifis de manire exhaustive et
67
intgre. D'o le rle dterminant qu'aura jouer aussi bien l'inspection gnrale et l'audit interne que les reporting en interne. Le systme de collecte et de reporting doit tre une partie intgrante des procdures oprationnelles. A cet effet, la notion de contrle de deuxime niveau devrait tre bien dveloppe et communique tous les responsables oprationnels, tant donn qu'une bonne matrise de ce risque passe par la qualit de contrle opr ce niveau. Ces exigences ne peuvent que renforcer le rle indniable du "risk manager" charg du suivi et de l'analyse de tous les vnements de pertes identifis travers le systme interne d'information.
Lintgration du risque oprationnel dans la cartographie des risques.
Le risque oprationnel est intimement li lorganisation au sens large de lentreprise. Dans la mesure o les outils de modlisation des processus intgrent dj les tches, les acteurs (internes comme externes), les moyens informatiques. Un rfrentiel ou une cartographie de processus fournit une structure daccueil naturelle la cartographie des risques oprationnels. Il tait donc logique d'intgrer cette approche risque. Ce ci revient dfinir dans un premier temps des modles de cartographie des risques (de type famille, sous-famille de risque), de qualifier ces risques (frquence, niveau de criticit,) et de les rattacher aux lments concerns du rfrentiel (tche, acteur, systme, processus...). Cette photographie permet ensuite de s'attaquer la rduction de l'exposition : on pourra par exemple croiser la cartographie des risques avec les polices dassurance en vue doptimiser la couverture ou encore y intgrer les actions prventives afin de mettre en vidence leur incidence sur le niveau de risque.
Cartographie des risques oprationnels.
Conformment aux pratiques issues des travaux du Comit de Ble, les banques sont tenues de cartographier leurs units mtier, fonctions organisationnelles ou processus par catgorie de risque. Le systme interne de mesure du risque oprationnel doit tre troitement associ la gestion quotidienne des risques de l'tablissement. Les donnes produites doivent faire partie intgrante de ses processus de surveillance et de contrle de son profil de risque oprationnel. L'exposition au risque oprationnel et les pertes subies doivent tre rgulirement notifies la direction de la banque concerne, la direction gnrale et au conseil d'administration.
Principes directeurs :
Obligations des directions : chaque direction de la banque est tenue de produire et de tenir jour la cartographie des risques oprationnels attachs la mise en uvre de ses activits ou processus. Le Risk Manager est responsable de la ralisation et des rsultats de sa
68
cartographie, quil fait valider par le Comit des Risques Oprationnels ou le Comit de Contrle Interne. Cartographie des risques oprationnels : laborer une cartographie des risques oprationnels consiste, par une approche essentiellement qualitative, valuer lexposition dune entit ses risques, dans lensemble des mtiers et fonctions (oprationnelles et support) exercs, afin de focaliser les dispositifs de prvention et de surveillance sur les processus / fonctions les plus sensibles de lentit. Elle est une composante du Tableau de Bord Risques de la banque, destin au management. Elle lui permet de dcider des actions mener pour grer ces risques : assumer, viter, prvenir (rduire la frquence), attnuer (rduire limpact) ou transfrer (assurance).
Finalits : La cartographie des risques oprationnels a pour objectifs de :
Identifier les risques oprationnels par mtiers, domaines, ou processus, selon deux natures : Les risques frquence importante et faible impact (risques rcurrents ou attendus Expected Losses). Les risques rares fort impact (risques exceptionnels Unexpected Losses). Evaluer priodiquement et hirarchiser les risques oprationnels ports par les processus au sein des mtiers, selon une approche structure et formalise, sappuyant sur une mthodologie et des nomenclatures communes lensemble de la banque; Etablir une synthse dgageant les risques majeurs et/ou les processus les plus sensibles, lesquels seront surveiller laide dindicateurs des risques cls "Key Risk Indicators" ( dfinir par les Directions); Orienter les dcisions sur le plan dactions damlioration de la matrise des risques; Satisfaire aux critres qualitatifs dligibilit dicts par Ble II, pour tre autoris appliquer les mthodes avances de calcul des fonds propres conomiques.
Dmarche
Les rsultats attendus : la cartographie fournit, processus par processus, lexposition aux risques oprationnels pour chaque catgorie de risque de la typologie Ble II, et permet ainsi au management de lentit de connatre ses principales zones de vulnrabilit et dappliquer une gestion diffrencie par nature de risque.
69
Composants de lvaluation. Cette exposition est value par une cotation prospective des risques, en frquence et en impact, base sur le niveau de perte potentielle. Elle est dcrite par trois composants:
le risque rcurrent, ou attendu (frquence leve, faible impact unitaire): est valu, en tenant compte du niveau des contrles permanents, par le montant des pertes rcurrentes attendues horizon dun an et / ou par le niveau de nuisance des impacts non financiers (risque dimage, risque rglementaire, sanctions pnales). Exemples : risque derreurs de bourse, risque de fraude la carte bancaire, intrts de retard pour paiements tardifs.12 le risque exceptionnel (frquence faible, impact lev) : est valu, en cas de dfaillance grave des contrles permanents ou dvnement(s) externe(s) exceptionnel(s), par le montant de la perte potentielle maximale et / ou par limportance de limpact non financier, dont la frquence varie de moins dune fois par an une fois tous les dix ans. Exemples : dissimulations de position, dpart de personne cl, pannes informatiques srieuses, amendes rglementaires majeures
12
Sound practices for the management and supervision of operational Risk (fvrier 2003) - Risk Management : Identification, Assessment, Monitoring and Mitigation/ Control
70
analyse de scnario : pour tre complet, un troisime type de risque oprationnel est prendre en compte. Il sagit dun risque particulirement rare ou svre, mais plausible, ou transverse un ensemble de mtiers et de processus. Destin notamment prciser le profil de la queue de distribution de pertes, il est valu par des professionnels expriments ou des groupes dexperts du risque partir de mthode danalyse de scnario 13 Exemple : terrorisme, dfaillance complte des systmes de place, le niveau de matrise des risques 14 : est valu par une apprciation de lensemble des dispositifs de contrles permanents (1er et 2me degr uniquement) que les tablissements de crdit sont tenus de mettre en uvre pour assurer la matrise de leurs risques.
11. Au niveau de la gestion du risque de non-conformit.

11.1 - Les tablissements de crdit ont dores et dj pris des dispositions pour rduire le risque de non-conformit.
Les banques, ont amlior depuis plusieurs annes leurs dispositifs de veille rglementaire afin dapprofondir la connaissance de la rglementation par leurs salaris et de formaliser davantage les procdures de contrle de la conformit de leurs dcisions la rglementation ou aux lois. Comme le relve le Comit de Ble, le risque de non-conformit fait dsormais lobjet dune gestion plus formalise et identifie de la part des tablissements15. Ce constat rejoint lapprciation qui peut tre porte sur la situation des banques lchelon international en la matire. En effet, il ressort que ces banques ont toutes engag, des degrs divers, une rflexion quant aux modalits dorganisation dun dispositif permettant de sassurer de la conformit de leurs activits la rglementation, la loi, aux normes ou aux usages professionnels. La quasi-totalit des grands tablissements se sont dj dots dun responsable de la conformit (le titre tant variable selon les tablissements : responsable de la conformit ou compliance officer , dontologue). Les tablissements de crdit apparaissent cependant avoir des dfinitions htrognes de la conformit. Chez un certain nombre dentre eux, le champ dintervention du responsable dsign de la compliance se limite la supervision du dispositif de prvention du blanchiment et la dontologie. Plusieurs de ces tablissements ont labor des procdures prcisant les modalits du suivi de ce risque, voire une charte de la conformit.
13 Ble II International Convergence of Capital Measurement and Capital Standards June 04 : 675 Scenario analysis 14 Ble II International Convergence of Capital Measurement and Capital Standards June 04 : 676 Business environment and internal control factor 15 1 Dans le document consultatif du Comit de Ble du 27 octobre 2003 sur la fonction de conformit dans les banques Consultative Document on the Compliance Function in Banks . Sound Practices for the Management and Supervision of Operational Risk Saines pratiques de gestion et de contrle du risque oprationnel (fvrier 2003) point 2.
71
Enfin, quelques tablissements, plus avancs encore, ont dores et dj construit un tat spcifique pour le suivi du risque de non-conformit. Ceci permet dinformer rgulirement les niveaux les plus levs de ltablissement du niveau de matrise de ce risque ainsi que de tout vnement significatif relevant de cette problmatique.
11.2 - Un contexte international et rglementaire en volution.
Si lon reprend la dfinition du risque oprationnel risque de pertes rsultant de carences ou de dfaillances attribuables des procdures, personnels et systmes internes ou des vnements extrieurs, y compris le risque juridique mais lexclusion des risques stratgiques et datteinte la rputation 16, on peut considrer que le risque de non-conformit en relve, tout le moins en partie. Le Comit de Ble a entrepris des travaux spcifiques sur la conformit. En effet, un groupe de travail consacr la fonction de conformit dans les banques a t constitu et a publi en octobre 2003 un document consultatif. Ce texte, qui a pour objet didentifier les meilleures pratiques dans ce domaine et den favoriser la diffusion, nonce onze principes concernant la conformit. Lobjectif du Comit de Ble, en publiant pour consultation un tel document, est de favoriser la diffusion, au sein des tablissements de crdit, dune culture de conformit afin quelle se traduise, formellement (charte de conformit), par une attention accrue porte ce risque. Lintention du Comit de Ble est de veiller ce que cette fonction soit bien assure. Lattention des tablissements est attire sur le fait quil sagit - par nature - dune fonction indpendante des activits oprationnelles, dont le rattachement hirarchique doit tre trs lev, mais dont le fonctionnement est inclus dans le champ dinvestigation de laudit interne.
11.3 - Pistes possibles pour limiter le risque de non-conformit.
partir des travaux engags par le Comit de Ble et de la pratique de nombreux tablissements bancaires en la matire, il est possible de dfinir des pistes de rflexion sur les caractristiques que pourrait prsenter une fonction en charge de la mesure, de la matrise et du contrle du risque de non-conformit.
La supervision bancaire contribue fortement la mise en uvre dune fonction interne de contrle de la conformit dans le cadre du dispositif gnral du contrle interne permanent des oprations. Un champ exhaustif dexercice de la fonction couvrant tous les secteurs, toutes les zones gographiques et tous les contextes rglementaires du groupe. Une contribution gnrale au renforcement dune culture de la conformit. Une activit de conseil et de contrle ex ante.

16
formule dans le texte du troisime document consultatif du Comit de Ble davril 2003
72
La mise en uvre dune information interne fiable et synthtique afin de hirarchiser les risques et de sassurer que la politique de conformit mise en oeuvre permet de dtecter les ventuelles anomalies et surtout de les prvenir. Une indpendance assurer. Une fonction qui devra tre adapte la nature de chaque tablissement. Une implication des plus hautes instances de ltablissement. La fonction de conformit doit disposer de moyens suffisants. Une fonction auditable .

73
Conclusion du chapitre 1.
Depuis quelques annes, les risques bancaires sont devenus plus nombreux et leur nature a volu : les produits bancaires sont de plus en plus diversifis, les contreparties voluent et la volumtrie des oprations sest considrablement accrue. Ce constat suggre en outre, trois volutions majeures :
Il y a quelques annes, seul le risque de crdit faisait lobjet dun vritable suivi par les autorits de contrle. En 1995, la rglementation internationale a impos un suivi spcifique des risques de march. Le Comit de Ble demande aujourdhui aux banques une dmarche identique pour les risques oprationnels. Lapparition de ce quon a appel la nouvelle conomie , la mondialisation de la sphre financire et la rapidit croissante des modes de diffusion des informations ont eu comme consquence une sensible augmentation de la volatilit des marchs, et par contagion, de lconomie relle. La gestion des risques n'est videmment pas nouvelle : son existence concide avec celle de l'activit bancaire mme. L'lment nouveau est la complexit croissante qui la caractrise, rendant ainsi le secteur plus vulnrable. Les instruments classiques de couverture ne semblent par ailleurs plus adapts face aux nouvelles donnes de l'environnement financier.
Dans l'ensemble, le secteur bancaire souffre encore de quelques lacunes qui pourraient tmoigner d'une certaine fragilit de leur structure de contrle et d'audit interne. Certes, les efforts consentis jusqu'ici tmoignent d'une volont commune et sans quivoque visant mieux cerner les risques bancaires. En mme temps, cet effort ne sera vraisemblablement salutaire que s'il dpasse le stade de l'analyse statique des risques en portefeuille pour accder une vision plutt dynamique et volutive de la gestion des risques bancaires. Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur en collaboration avec le risk manager doit comprendre comment ceux-ci sont grs et contrls. Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises par la banque en vue de minimiser les risques encourus. Si donc limportance du risque se dfinit par le risque inhrent, la capacit de grer ce risque se dfinit par le risque de contrle. La conjonction des niveaux estims du risque inhrent et du risque de contrle permet ensuite lauditeur de dterminer ltendue, la priodicit et les mthodes de vrification quil doit entreprendre, en accord avec les principes de la profession. Ainsi, la mise en place dun audit systmique des multi risques bancaires est tout point de vue reconnu comme un pralable, entre autres, au dveloppement sain des activits bancaires.
74
75
Chapitre 2 : Spcificits de l'audit bancaire.
76
Chapitre 2 : Spcificits de l'audit bancaire. Introduction.

La complexit de la gestion moderne, les exigences requises pour le maintien de la bonne organisation et le dsir des dirigeants de s'assurer des vertus des systmes de contrle interne, ont favoris l'panouissement des activits de l'audit. Le vocable d'audit, d'origine anglaise, dcrivant la perception par le sens de louie, est une activit dont la signification recouvre, la fois, celles de vrification, d'examen, de contrle, de conseil, d'inspection et de rvision et les dpasse mme. On peut ainsi dfinir laudit comme une dmarche spcifique dinvestigation et dvaluation partir dun rfrentiel, incluant un diagnostic et conduisant ventuellement des recommandations. Ce dernier aspect est en quelque sorte une extension de la notion puisque laudit consiste en un clairage sur une situation risque, un instrument daide la dcision. La notion daudit est large, dune part parce que la mthode est dfinie par lauditeur lui mme (la qualit repose sur le savoir-faire), et dautre part parce que la nature et le type de laudit sont diverses. Selon la nature de la situation, correspondra un type daudit (comptable, financier). Nous nous attacherons, dans ce chapitre la prsentation de laudit bancaire qui prsente quelques spcificits de part les particularits de lenvironnement analys. Il en dcoule une pluridisciplinarit des champs observs : ressources humaines, systme d'information, comptabilit, activits de march . De plus, les risques bancaires sont des phnomnes complexes et difficiles cerner. Ceci entrane des particularits pour lauditeur concernant la manire dobserver, linterprtation des rsultats et les difficults dlaboration dun systme de rfrence. Nous allons tenter de cerner le contenu du concept d'audit en gnral, et celui d'audit bancaire en particulier. L'audit systmique quant lui, sera prsent au chapitre suivant.
Section1 : Principes d'audit en gnral. 1. Dfinitions de laudit interne.

Le mot audit nous vient du latin par l'anglais ! En latin : audio - audire signifie : couter entendre, et, par extension : donner audience. Dans l'utilisation anglaise du mot, au XIX sicle et dans le domaine de la comptabilit et de la gestion financire, c'est le sens de vrification et contrle par une observation attentive et minutieuse qui domine. L'auditeur est, dans ce cas, un "commissaire aux comptes" qui, par des procdures adquates, "s'assure du caractre complet, sincre et
77
rgulier des comptes d'une entreprise, s'en porte garant auprs des divers partenaires intresss de la firme et, plus gnralement, porte un jugement sur la qualit et la rigueur de sa gestion" (dictionnaire La rousse en cinq volumes). Ds cet emploi, on a trois caractristiques de ce qu'est un audit quels que soient le domaine o il s'applique et l'volution des pratiques : une activit spcialise et comportant une certaine distance, une marge d'extriorit par rapport la chose examine, Cest lactivit qui applique, en toute indpendance des procdures cohrentes et des normes dexamen en vue dvaluer ladquation et le fonctionnement de toute ou partie des actions menes dans une organisation par rfrence des normes (M. Gervais). Laudit interne est un dispositif interne lentreprise qui vise : Apprcier lexactitude et la sincrit des informations notamment comptables, Assurer la sincrit physique et comptable des oprations, Garantir lintgrit du patrimoine, Juger de lefficacit des systmes dinformations Ralis par un service de lentreprise, laudit interne consiste vrifier si les rgles dictes par lentreprise elle-mme sont respectes . Laudit interne est le dpartement dune entreprise charg dexaminer et dvaluer le contrle interne dans tous les domaines et tous les niveaux. Au del de ce rle traditionnel, il peut aussi assumer une fonction de conseil. Laudit interne est une fonction dexpertise indpendante au sein de lentreprise, assistant la direction de celle-ci pour le contrle gnral de ses activits (LIFACI)17. Laudit interne est lintrieur dune organisation une fonction indpendante dvaluation priodique des oprations pour le compte de lorganisation. Audit ne signifie pas inspection : inspecter cest observer, examiner et rendre Compte; Audit ne signifie pas contrle : contrler cest inspecter par rapport une norme impose ou une rgle non remise en cause. Auditer cest : contrler par rapport une norme (re)btir et justifier, identifier les cause de lcart, et proposer ce quil faut faire . Laudit interne est une activit indpendante et impartiale mene pour produire de la valeur ajoute pour une organisation en lui apportant assurance sur son fonctionnement et conseils pour lamliorer. Il aide cette organisation atteindre ses objectifs par une approche systmatique et mthodique dvaluation et damlioration des processus de matrise des risques, de contrle et de gouvernement dentreprise, et en faisant des
17
IFACI : Institut Franais de lAudit et du Contrle Interne.
78
propositions pour renforcer leur efficacit. ( Version franaise de la dfinition internationale, approuve le 21 mars 2000 par le Conseil dAdministration de lInstitut de lAudit Interne).
Analyse de la dfinition de laudit interne lIIA.18 Chaque responsable doit mettre en place une organisation qui doit permettre en permanence:
la pertinence des objectifs, ladquation moyens-objectifs, la bonne mise en uvre des moyens, la qualit et fiabilit des moyens, le respect des principes, politiques et rgles, la protection et sauvegarde du patrimoine. La dclaration des responsables de l'audit interne de l'I.I.A indique que : L'audit interne est l'intrieur d'une entreprise, une activit indpendante d'apprciation du contrle des oprations. C'est, dans ce domaine, un contrle qui a pour fonction d'estimer et d'valuer l'efficacit des autres contrles. Son objectif est d'assister les membres de l'entreprise dans l'exercice efficace de leurs responsabilits. Dans ce but, l'audit interne fournit des analyses, des apprciations, des recommandations, des avis et des informations concernant les activits examines. Ceci inclut la promotion du contrle efficace un cot raisonnable.
2. Principes Fondamentaux.
Il est attendu des auditeurs internes quils respectent et appliquent les principes fondamentaux suivants:
Intgrit.
Lintgrit des auditeurs internes est la base de la confiance et de la crdibilit accordes leur jugement. Les auditeurs internes :

doivent accomplir leur mission avec honntet, diligence et responsabilit, doivent respecter la loi et les rgles de la profession, ne doivent pas prendre part des activits illgales ou dshonorant la profession daudit interne ou leur organisation, doivent respecter et contribuer aux objectifs thiques de leur organisation.
Objectivit.
Les auditeurs internes doivent montrer le plus haut degr dobjectivit professionnelle en collectant, valuant et communiquant les informations relatives lactivit ou au processus examin. Les auditeurs internes doivent valuer de manire quitable tous les lments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intrts ou par autrui.
18
IIA : The Institute of Internal Auditors.
79
Confidentialit.
Les auditeurs internes doivent respecter la valeur et la proprit des informations quils reoivent. Ils ne divulguent ces informations quavec les autorisations requises, moins quune obligation lgale ou professionnelle ne les oblige le faire. Les auditeurs internes : doivent utiliser avec prudence et protger les informations recueillies dans le cadre de leurs activits ; ne doivent pas utiliser ces informations pour en retirer un bnfice personnel, ou dune manire qui contreviendrait aux dispositions lgales ou porterait prjudice aux objectifs thiques et lgitimes de leur organisation.
Comptence.
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les expriences requis pour la ralisation de leurs travaux :

ils ne doivent sengager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et lexprience ncessaires ; doivent raliser leurs travaux daudit interne dans le respect des normes pour la pratique professionnelle de laudit Interne19 ; doivent toujours sefforcer damliorer leur comptence, lefficacit et la qualit de leurs travaux.
Indpendance et impartialit.
Lauditeur na pas dautorit et de responsabilit lgard des activits audites. Il est indpendant mais autocratique et doit tre rattach une personne ou une instance dont lautorit lui assure la libert de ses opinions, la libert daction et dinvestigation et la prise en compte de ses recommandations.
3. Positionnement de laudit interne au sein de lorganisation.
19
Standards for the Professional Practice of Internal Auditing
80
La structure dorganisation des normes pour la pratique professionnelle de laudit interne est compose des lments suivants :

La dclaration des responsabilits de laudit interne, Le code de dontologie, Les normes pour la pratique professionnelle de laudit interne,
4. Rle de l'audit interne et son interaction avec les acteurs du systme de contrle interne.
Afin de scuriser les actifs, de fiabiliser les informations, d'assurer lefficacit des oprations et lefficience de lorganisation, laudit interne doit :

valuer le contrle interne et proposer des amliorations, tablir un diagnostic sur le fonctionnement de lentreprise, dresser un pronostic pour la direction et prconiser une thrapeutique.
L'audit interne joue un double rle aussi bien pour le comit de direction que pour les Risk managers : Pour la direction, l'audit interne joue un rle d'assurance sur lapplication des directives et politiques et sur la qualit du contrle interne ; Pour les Risk managers, l'audit interne joue un rle de conseil pour se contrler et contrler leurs entits et pour amliorer le fonctionnement de leurs entits. Ainsi, Il en dcoule des attentes deux niveaux : Laudit attend de laudit interne une valuation, quil remonte ses problmes et ses contraintes et quil fasse preuve de pdagogie son gard ; La Direction, quant elle, attend de laudit interne lassurance que le contrle interne fonctionne correctement, une apprciation sur la qualit du systme dinformation et de pilotage et un jugement sur la rigueur de gestion.
4.1 - Lever la confusion : audit interne et inspection. Audit interne Contrle le respect des rgles Rgularit/ efficacit et leur pertinence, caractre suffisant, Remonte aux causes pour Mthode et objectifs laborer des recommandations pour viter la rapparition du problme. Considre que le responsable Evaluation est toujours responsable et donc critique les systmes et non les hommes : value le Caractristiques
81
Inspection Contrle le respect des rgles sans les interprter ni les remettre en cause. Sen tient aux faits et identifie les actions ncessaires pour les rparer et remettre en ordre. Dtermine les responsabilits : value le comportement des hommes, parfois leurs comptences et
fonctionnement des systmes. qualits. Privilgie le conseil et donc la Privilgie le contrle et donc Service - police coopration avec les audits. lindpendance des contrleurs. Investigations approfondies Slection - slectivit Rpond aux proccupations du manager soucieux de et contrles trs exhaustifs, renforcer sa matrise, sur ventuellement sous sa mandat de la D.G. propre initiative.
4.2 - Lever la confusion : audit interne et risk management. Caractristiques Risques viss Audit interne Risques de dysfonctionne -ment : transgression des rgles, dsordres inefficacits. Risques portant sur lensemble des ressources. Traitement des risques Identification, dmonstration, recommandation. Contrle interne, pratique dorganisation communment Rfrentiel adoptes. 2me : sassure que les responsables matrisent leurs Niveau risques. Risk management Risques purs : alatoires, accidentels, sans esprance de gain. Risques portant sur les biens et les personnes. Identification, rsolution.
Chiffrage cot des mesures / frquence (probabilit) et gravit (impact) des risques. 1er : dtecte et traite (prvention, dtection et correction) les risques purs.
L'audit interne doit : aider l'organisation en identifiant et en valuant les risques significatifs et contribuer l'amlioration des systmes de management des risques et de contrle interne, surveiller et valuer l'efficacit du systme de management des risques de l'organisation, valuer les risques affrents au gouvernement dentreprise, aux oprations et aux systmes d'information de l'organisation au regard :

de la fiabilit et lintgrit des informations financires et oprationnelles ; de lefficacit et lefficience des oprations ; de la protection du patrimoine ; du respect des lois, rglements et contrats.
Au cours des missions de conseil, les auditeurs internes considrent lensemble des risques rencontrs, y compris ceux qui nentrent pas dans le primtre de la mission, dans la mesure o ils sont significatifs.
82
Les auditeurs internes doivent intgrer dans le processus didentification et dvaluation des risques significatifs de lorganisation (cartographie des risques) les risques rvls lors de missions de conseil.
4.3 Interaction audit interne / contrle interne.
L'audit interne doit aider l'organisation maintenir un dispositif de contrle interne appropri en valuant son efficacit et son efficience et en encourageant son amlioration continue. Sur la base des rsultats de l'valuation des risques, l'audit interne doit valuer la pertinence et l'efficacit du dispositif de contrle portant sur le gouvernement dentreprise, les oprations et les systmes d'information de l'organisation. Cette valuation doit porter sur les aspects suivants :

la fiabilit et lintgrit des informations financires et oprationnelles ; lefficacit et lefficience des oprations ; la protection du patrimoine ; le respect des lois, rglements et contrats.
Des critres adquats sont ncessaires pour valuer le dispositif de contrle et apprcier si les objectifs et les buts ont t atteints par le management. Les auditeurs internes doivent prendre en compte dans le processus didentification et dvaluation des risques significatifs de lorganisation, le dispositif de contrle interne dont ils ont eu connaissance lors de leurs missions de conseil.
4.4 Interaction audit interne / gouvernement dentreprise.
L'audit interne doit valuer le processus de gouvernement dentreprise et formuler les recommandations appropries en vue de son amlioration. cet effet, il dtermine si le processus rpond aux objectifs suivants : promouvoir des rgles et des valeurs dthique au sein de lorganisation ;

garantir une gestion efficace des performances, assortie dune obligation de rendre compte ; bien communiquer au sein de lorganisation, les informations relatives aux risques et aux contrles ; fournir une information adquate au Conseil, aux auditeurs externes et au management, et assurer une coordination efficace de leurs activits. valuer la conception, la mise en uvre et lefficacit des objectifs, des programmes et des activits de l'organisation lis lthique. veiller sur la cohrence des objectifs des missions ralises avec les valeurs et les objectifs gnraux de lorganisation.
83
5. Les diffrents niveaux de laudit.

Audit de conformit ou de rgularit : il sagit de contrler la rgularit par rapport aux rgles internes de lentreprise (normes et procdures) et la conformit avec les dispositions lgales et rglementaires. Il sagit galement de comparer la rgle et la ralit, ce qui devrait tre et ce qui est par rapport un rfrentiel. Le travail de lauditeur consiste :

signaler les irrgularits, analyser les causes et consquences, formuler les recommandations.
Audit de defficacit et de management : permet dvaluer :

la pertinence de lorganisation et lefficacit de son fonctionnement, la pertinence des objectifs et la cohrence des actions entreprises par rapport la stratgie de lentreprise.
6. La dmarche laudit interne.

Alain Meignant, consultant prcise que la spcificit de laudit, cest la comparaison et la mesure dcarts entre une pratique et un rfrentiel, cest--dire la vrification quun systme est bien conforme ce quil est suppos tre, et lexplication des carts ventuels . La mission de laudit cest : comparer les rsultats et les objectifs pour faire apparatre des carts, envisager la ralit de plusieurs points de vue complmentaires.
6.1 - Objectifs oprationnels.
Pour Raymond Vatier, lobjectif de principe cest se prononcer sur la qualit du systme de gestion, sur les risques quil encourt, sur les potentialits quil recle et sur sa capacit danticipation . Laudit est un instrument de prparation aux dcisions : il sert linformation, la vrification des donnes, lobjectivation, au transfert de mthodes et doutils de pilotage au responsable qui a un rle pdagogique. Dfinir les objectifs oprationnels de laudit, cest expliquer sur quoi laudit va porter, et comment vont sarticuler les diffrentes actions ou degrs dintervention.
6.2 - Critres de l'valuation.
L'audit s'oriente de plus en plus vers une approche intgre globale de l'entreprise. Chaque audit particulier doit permettre de dboucher sur un audit de direction. L'audit de stratgie couronne l'difice en permettant de vrifier que chacune des fonctions de l'entreprise est efficace dans la ralisation du rsultat final.
84
L'audit devient alors un audit de la performance et les normes d'audit se situent dans la ralisation des quatre notions suivantes : notions defficacit, notion d'efficience, notion de pertinence et notion dconomie.
Notion d'efficacit.
Une rponse positive la question " est-ce que l'objectif est atteint ? " souvent donne naissance la question suivante : existe-t-il une autre alternative plus efficace, pour atteindre les mmes rsultats ? L'efficacit examine le rapport entre l'effort et la performance. L'efficacit est dfinie comme tant "la mesure dans laquelle un programme atteint les buts viss ou les autres effets recherchs. 20
Notion d'efficience.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part, et les ressources utilises pour les produire, d'autre part. Dans une opration base sur l'efficience, pour tout ensemble de ressources utilises le produit obtenu est maximum, ou encore les moyens utiliss sont minimaux pour toute qualit et quantit donnes de produits ou de services.
Notion de pertinence.
La notion de pertinence reste trs subjective et difficile mesurer. Toutefois, on pourra admettre que la pertinence est la conformit des moyens et des actions mis en oeuvre en vue d'atteindre un objectif donn. Autrement dit, tre pertinent c'est atteindre efficacement et d'une manire efficiente l'objectif fix.
Notion d'conomie. Par conomie, on entend les conditions dans lesquelles on acquiert des ressources humaines et matrielles. Pour qu'une opration soit conomique, l'acquisition des ressources doit tre faite d'une qualit acceptable et au cot le plus bas possible.
En rsum, on peut schmatiser par une reprsentation triangulaire les relations entre objectifs, moyens et rsultats.
Objectifs
Pertinence
Efficacit
Moyens
Rsultats
20
Par le "Bureau du vrificateur gnral du Canada".
85
6.3 - Les diffrents degrs dintrt de laudit.

Degr de ralit ou dexactitude : comparer les faits rapports aux pices existantes et vrifier que linstitution a bien ralis ce quelle dit avoir fait. Degr de conformit aux rgles : comparer les pratiques effectives avec les procdures prescrites (lgislation, impratifs techniques). Degr de cohrence et de pertinence : vrifier que linstitution est capable de faire ce quelle dit vouloir faire en comparant les objectifs viss avec les moyens mis en uvre. Degr defficacit : comparer les objectifs viss avec les rsultats atteints. Degr defficience : vrifier loptimisation des moyens mis en uvre. Degr de potentialit et de flexibilit : savoir si linstitution peut connatre et estimer les risques et si elle peut anticiper sur son volution et matriser les changements.
Le regroupement des degrs dintervention permet de construire des typologies daudit, sachant que ces diffrents degrs ne sont pas toujours tous mis en uvre. On peut les regrouper en 3 grands groupes selon Vatier, selon le degr dexactitude et de conformit, les comparaisons dans le temps et lespace (benchmarking), et enfin lefficacit et lefficience. Ce qui aboutit sur laudit de conformit, laudit defficacit et laudit stratgique ou de management. Pour autant, chaque audit suit le mme droulement : constat du fonctionnement et qualit de gestion, risques et prconisations.
6.4 Dmarche mthodologique.
La dmarche mthodologique de laudit doit suivre quelques consignes, quelque soit le type daudit ralis : constat-interrogation-hypothse-constat ; approche systmique et examen multidisciplinaire (Cf. Partie 2) ; constituer les repres et les systmes de rfrence; oprer des comparaisons susceptibles de mettre en vidence des carts significatifs et den apprcier la valeur; partir des faits pour remonter vers les causes : dmarche inductive; introduire la quantification. Quelle que soit lapproche adopte, laudit doit tre rigoureux et rpondre des exigences prcises. Cela exige des techniques et des outils qui vont permettre la fois de prparer linvestigation et de formuler, analyser et interprter des constats. Ainsi, 3 phases se distinguent : tude, vrification et conclusion.
86
LA DEMARCHE DUNE MISSION DAUDIT Phase tude
Dcouvrir le sujet de lentit auditer Dfinir le champ de la mission
Phase vrification
Programmer et spcifier les vrifications Vrifier, valuer, mesurer Analyser, conclure, valider et prescrire
Phase conclusion
Valider lensemble et informer Obtenir des actions et dresser un bilan des progrs accomplis
6.4.1. La phase tude.
Cette phase permet dobserver, dcouter, didentifier les symptmes, de dcomposer les symptmes, les faits et les phnomnes, didentifier les inter-relations, de les classer et de les situer par rapport un rfrentiel. La finalit d'une telle phase est de former une vision densemble de lorganisation objet de la mission et des contrles internes mis en place. Il sagit, travers lanalyse des risques, de concentrer lattention sur les points essentiels pour ne pas perdre le temps sur les dtails inutiles. Elle permet d'organiser et de planifier la mission en fonction des objectifs dfinis par lauditeur et de renforcer limage de lauditeur chez les audits en tant que professionnel rigoureux. La dmarche adopte durant cette phase est la prise de connaissance gnrale, l'identification des risques et la dfinition des objectifs.
La prise de connaissance
Son objectif est double, d'abord disposer de la culture ncessaire pour comprendre lactivit de lorganisation audite et pouvoir poser les bonnes questions pour ensuite matriser le sujet audit. La prise de connaissance se fait suivant un plan dapproche organis permettant de prvoir les moyens les mieux appropris pour latteinte des objectifs. Pour mener bien cette tape, l'auditeur dispose de divers moyens tels que le questionnaire de prise de connaissance, la documentation collecte auprs de laudit et les entretiens avec les responsables.
87
Lidentification des risques
Son objectif est didentifier les risques potentiels partir de donnes gnrales et de la connaissance pralable de lentit audite, et de reprer les risques rels partir dun examen attentif de lactivit et des observations releves. La prise de connaissance se fait suivant la "note dorientation" qui dfinit les objectifs gnraux, les objectifs spcifiques et le champ daction. Parmi les moyens dont dispose l'auditeur, on trouve le dcoupage fonctionnel et gographique de lentit auditer et les entretiens et investigations.
Dfinition des objectifs
Elle permet de formaliser les axes dinvestigation de la mission et de dfinir ses limites, d'exprimer les objectifs atteindre pour le donneur dordre et les audits. Elle constitue la synthse des forces et faiblesses de l'entit, des priorits et des proccupations du management. La note dorientation permet de confirmer lexistence des forces et dvaluer limpact des faiblesses. Elle ne mentionne pas les travaux daudit qui seront rpertoris dans le programme de vrification.
6.4.2. La phase ralisation
La feuille de rvlation et danalyse de problme (FRAP) : permet de formuler le raisonnement de lauditeur, de mettre en vidence les dysfonctionnements et les solutions proposes, de conclure chaque section de travail de terrain et de communiquer avec laudit. Elle doit reprendre le but de laction prvue dans le programme de vrification et prciser les modalits dexcution, permettre tout auditeur de comprendre et dexcuter de manire fiable et objective les actions prvues. Les conclusions dresses doivent rpondre de manire prcise, concise et contrlable aux buts assigns laction.
La supervision dune FRAP, permet de dterminer :
lnonc du problme : est-il immdiatement comprhensible ? les consquences : motiveront-elles les audits ? les recommandations : sont-elles ralisables ?
La reformulation d'un constat en un problme , le constat doit tre :
bref et directement comprhensible : synthtique, complet et donc redondant avec la trouvaille : Autonome, net et facile mmoriser : percutant.
La validation de la FRAP, il sagit de prparer laudit reconnatre le problme, sy faire, ladmettre, lavertir en premier et lassocier activement pour llaboration de la recommandation : ainsi elle sera accepte avant mme dtre mise.
88
6.4.3. La phase conclusion Ossature du rapport
Lossature du rapport labore partir des problmes figurant sur les FRAP et des conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est lenchanement des messages que lauditeur veut livrer lors des prsentations et dans le rapport concluant la mission. Lossature du rapport constitue : Le guide de rdaction du rapport daudit interne ; Le guide de rdaction du rsum du rapport ; Le support de prsentation.
Compte rendu final, mise au point ou dbriefing
Le compte rendu final au site, appel galement mise au point ou dbriefing, est la prsentation orale par le chef de mission, au principal responsable de lentit audite, des observations les plus importantes. Il est effectu la fin du travail sur le terrain. Le compte rendu final sur site rpond au souhait lgitime du principal responsable de lentit audite dtre inform. Il incite le responsable agir immdiatement, en cas dirrgularit sans attente du rapport et peut tre utilis pour mettre en valeur la qualit de la dmarche de laudit. Le dbriefing doit tre programm dans le cadre du travail sur le terrain. Sa prparation se fait en tenant une runion de synthse de lquipe daudit avant deffectuer les dernires vrifications du travail sur le terrain.
Section2 : Particularits de l'audit bancaire.

Hier contrleur de la rgularit des traitements et des oprations, l'auditeur bancaire est aujourd'hui un expert du diagnostic des processus oprationnels et de contrle des risques, un chef de projet voluant dans un environnement complexe et un spcialiste du mtier bancaire. Ce profil en fait galement un acteur majeur en matire de gestion des risques et de cration de valeur ajoute pour la banque.
1. Principes dicts par le comit de Ble en matire daudit bancaire.

Surveillance des activits et correction des dficiences.
Lefficacit globale des contrles internes de la banque devrait tre surveille en permanence. Le suivi des principaux risques devrait faire partie des activits quotidiennes de la banque de mme que les valuations priodiques effectues par les secteurs dactivit et laudit interne. Comme lactivit bancaire est un secteur dynamique, o tout volue rapidement, les banques doivent en permanence surveiller et valuer leurs systmes de contrle interne
89
en fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour en garantir lefficacit. Surveiller lefficacit des contrles internes est une tche qui peut tre accomplie par du personnel de plusieurs secteurs diffrents, dont celui en charge des oprations ellesmmes, le contrle financier et laudit interne. Pour cette raison, il est important que la direction gnrale dsigne clairement les auditeurs en prcisant leurs fonctions de surveillance. La surveillance devrait faire partie des activits quotidiennes de la banque mais commande galement de procder des valuations priodiques spcifiques de lensemble du processus de contrle interne. La frquence de la surveillance des diffrentes activits devrait tre fonction des risques encourus ainsi que du rythme et de la nature des changements affectant lenvironnement oprationnel. Un processus de surveillance en continu peut permettre de dcouvrir et de corriger rapidement les dficiences du systme de contrle interne. Il atteint son efficacit maximale lorsque le systme de contrle interne est intgr lenvironnement oprationnel et donne lieu des rapports rguliers qui font lobjet dun examen. Dans le cadre de la surveillance en continu figurent, par exemple, lexamen et lapprobation des enregistrements courants ainsi que la consultation et lapprobation par la direction des rapports sur des faits exceptionnels. En revanche, les valuations spcifiques ne dtectent gnralement les problmes quaprs coup; elles permettent cependant une organisation davoir un aperu rcent et global de lefficacit du systme de contrle interne et des activits de surveillance. Les valuations du systme de contrle interne prennent souvent la forme dautovaluations, lorsque les personnes charges dune fonction prcise dterminent le degr defficacit des contrles pour leurs activits. Les documents et rsultats concernant les valuations sont ensuite soumis lattention de la direction gnrale. Les examens effectus tous les niveaux devraient tre tays par une documentation adquate et communiqus dans les meilleurs dlais lchelon de la direction approprie.
Un audit interne efficace et exhaustif du systme de contrle interne.
Cet audit devrait tre effectu par un personnel bien form et comptent bnficiant dune indpendance oprationnelle. La fonction daudit interne, en tant qulment de la surveillance du systme de contrle interne, devrait rendre compte directement au conseil dadministration, ou son comit daudit, ainsi qu la direction gnrale. La fonction daudit interne constitue un lment majeur de la surveillance en continu du systme de contrle interne, parce quelle fournit une valuation indpendante du caractre adquat des politiques et procdures tablies et du respect de la conformit ces dernires. Il est essentiel que la fonction daudit interne soit indpendante du fonctionnement de la banque au quotidien et quelle ait accs lensemble des activits conduites par lorganisation bancaire, y compris dans ses succursales et filiales.
90
En rendant compte directement au conseil dadministration ou son comit daudit ainsi qu la direction gnrale, les auditeurs internes procurent des informations objectives sur les diffrentes activits. En raison de limportance de cette fonction, laudit interne doit tre assur par un personnel comptent et bien form ayant une parfaite comprhension de son rle et de ses responsabilits. La frquence et lampleur des examens et tests des contrles internes effectus au sein dune banque par les auditeurs internes devraient correspondre la nature et la complexit des activits de lorganisation et aux risques associs. Le rattachement de la fonction daudit interne au plus haut niveau de lorganisation bancaire, permet la gouvernance dentreprise de sexercer correctement. Le conseil bnficie dinformations qui ne peuvent tre aucunement adaptes par les niveaux de direction couverts par ces comptes rendus. Le conseil devrait galement renforcer lindpendance des auditeurs internes, en faisant en sorte que des questions ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt que par des responsables qui sont affects par les travaux des auditeurs internes.
Notification par laudit interne des dficiences des contrles internes au conseil.
Les dficiences des contrles internes, quelles soient dtectes par un secteur dactivit, laudit interne ou un autre personnel de contrle, devraient tre notifies dans les meilleurs dlais au niveau de la direction approprie et faire lobjet dun traitement rapide. Les dficiences importantes devraient tre signales la direction gnrale et au conseil dadministration. Les auditeurs internes doivent assurer un suivi ou toute autre forme approprie de surveillance et informer immdiatement la direction gnrale ou le conseil de toute insuffisance non corrige. Pour faire en sorte que toutes les dficiences soient traites au plus tt, la direction gnrale devrait tre responsable de linstauration dun systme destin suivre les faiblesses du contrle interne ainsi que les actions destines y remdier. Le conseil dadministration et la direction gnrale doivent recevoir priodiquement des rapports recensant les problmes de contrle dcels. Des points qui apparaissent peu importants lors de contrles individuels peuvent fort bien rvler des tendances susceptibles, sous un angle global, de reprsenter une dficience de contrle majeure si une action nest pas entreprise temps.
2. Des volutions durables.

Vers la gnralisation des meilleures pratiques.
Vers la fin des annes 80, on commence parler beaucoup de contrle interne : il s'agit de l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrle bien ses oprations, qu'il n'y ait pas de problmes de scurit ou de fiabilit.
91
Dans les annes 90, quelques faillites clbres alertent les autorits de tutelle internationales. Une globalisation qui change tout. Auparavant, les banques ne dpendaient que de la supervision des autorits nationales. Mais le systme bancaire s'est mondialis et les autorits de tutelle se sont regroupes dans le fameux Comit de Ble, pour dicter des rgles gnrales valables pour tous les pays. Et tout naturellement, on se cale alors sur les meilleures pratiques. Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une rgle commune beaucoup plus exigeante que les rgles habituelles. Il leur faut donc se mettre niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent tirer avantage de ces contraintes nouvelles en termes de productivit et de comptitivit. Quand on matrise mieux ce qui se passe, on gaspille moins, on a moins de sinistres, on connat mieux ses clients, on sait mieux dfinir ses prix etc. Dans ce contexte plus scuris, l'auditeur peut donc s'attacher, non plus uniquement tester des soldes ou des transactions ou valider des procdures courantes, mais de plus en plus effectuer un diagnostic du dispositif de contrle et de pilotage sur lequel s'appuie la direction de la banque pour matriser ses risques. Paralllement, les sujets auxquels s'intresse l'auditeur voluent et sont de plus en plus perus comme stratgiques par ses clients en l'occurrence le top management et les risk managers.
Les exigences croissantes des marchs financiers.
Un autre phnomne a boulevers le mtier : ce qu'on appelle aujourd'hui l'exigence de cration de valeur actionnariale. Auparavant, les banques taient nationalises. L'information financire avait donc relativement peu d'importance,personne n'investissait dans leur action. Aujourd'hui, la situation s'est totalement inverse, la plupart des banques sont cotes et paralllement, les investisseurs deviennent de plus en plus exigeants. Ils rclament des investissements plus intressants et veulent pouvoir comprendre comment la banque gre sa rentabilit dans le temps et quels risques elle prend. La pression du march pour obtenir une information pertinente est permanente. Le primtre de l'information fournie s'largit donc, et dans le mme temps, le champ d'intervention de l'auditeur bancaire, qui, l encore, touche des domaines de plus en plus stratgiques de l'entreprise tels que le contrle des risques, les problmatiques de rentabilit ajuste des risques, la rpartition des fonds propres entre les diffrentes activits, etc.
3 - Contrle interne et audit interne bancaires.

Contrle interne bancaire.
Le contrle interne est le processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation, destin fournir lassurance raisonnable
92
quant aux objectifs suivants : la ralisation et loptimisation des oprations, la fiabilit des oprations financires, la conformit aux lois et aux rglementations en vigueur . 21 Le contrle interne se dfinit gnralement comme lensemble des mesures qui, sous la responsabilit de la direction de lentreprise, doivent assurer, avec une certitude raisonnable, la ralisation des lments suivants : une conduite des affaires ordonne et prudente, encadre dobjectifs bien dfinis; une utilisation conomique et efficace des moyens engags; une connaissance et une matrise adquate des risques en vue de protger le patrimoine; lintgrit et la fiabilit de linformation financire et de celle relative la gestion; le respect des lois et rglements ainsi que des politiques gnrales, plans dactions et des procdures internes. Une partie de ces mesures est axe sur la vrification et lencouragement du respect, par lentreprise, des rgles qui ont trait lintgrit de la fourniture de services financiers. Elle porte, en dautres termes, sur la fonction dite de compliance. Enfin, la fonction daudit interne est un instrument important pour vrifier le bon fonctionnement, lefficacit et lefficience du contrle interne et ce compris la fonction de compliance. Dans le cadre de ses travaux, laudit interne fournit la direction de lentreprise des analyses, des valuations, des recommandations, des avis et des informations sur les activits examines et contribue ainsi une meilleure gestion de lentreprise. Un systme de contrle interne adquat requiert un ensemble efficace de mesures intgres, adaptes lorganisation et au fonctionnement de ltablissement et conformes aux principes dune gestion prudente et saine. Lobjectif principal du contrle interne est danalyser, surveiller, dtecter et prvenir les risques auxquels les tablissements bancaires sont confronts. Les principaux risques sont : le risque de crdit, de march, de taux, de liquidit, de rglement, oprationnel et juridique. Le contrle bancaire doit se concevoir travers une approche prventive pour que ltablissement exerce ses activits de manire saine et sre. Ce contrle ne se limite pas au seul examen du respect des normes quantitatives, mais repose aussi sur la qualit des dirigeants, sur la discipline de march (par une meilleure transparence financire) et sur la qualit du contrle et de la matrise des risques par les Etablissements bancaires. Le contrle interne est un systme qui fonctionne en continu tous les niveaux de la banque. A ce titre, il constitue une composante essentielle de la gestion dun tablissement et un lment de la culture de celui-ci en faisant partager lensemble du personnel limportance du contrle. Le contrle interne doit permettre ltablissement de conserver sa capacit didentification, de raction et dadaptation lors de la survenance de risques. Ainsi, le systme de contrle interne doit prvoir quatre niveaux de contrle :
21 [Dfinition du C.O.S.O. : committee of sponsoring organizations of the treadway commission.
93
contrles quotidiens raliss par les excutants (contrle premier niveau, premier degr); contrles critiques continus assurs par les personnes charges du traitement administratif des oprations(contrle premier niveau, deuxime degr) ; contrles raliss par les membres de la direction sur les activits ou fonctions qui tombent sous leur responsabilit directe (contrle premier niveau, troisime degr); contrles raliss par le service daudit interne (contrle deuxime niveau).
Audit interne bancaire.
Rappelons que : Laudit Interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit. L'audit interne, charg de veiller la cohrence et lefficacit du contrle interne, est au cur du systme de contrle interne bancaire. Pour garantir son efficacit, des exigences doivent tre vrifies: Caractre permanent; Indpendance; Charte daudit; Objectivit; Comptence professionnelle. Empruntant la dmarche d'audit interne dcrite supra pour lexcution de ses travaux, l'audit bancaire repose en plus sur quelques particularits : Plan annuel daudit; Programmes de missions; Documents de travail; Rapports de synthse et dtaill; Suivi de missions. Le plan annuel daudit est dtermin selon la mthodologie ANA (Audit Needs Assessment) en dterminant les priorits daudit et la frquence des audits qui doit tre en fonction du degr de risque. Pour l'laborer, un plan daudit est dtermin en plusieurs tapes : Analyse des flux et activits; Hirarchiser selon limpact et la probabilit;
94
Elaboration de la cartographie des risques. De ce fait, la cartographie des risques est considre comme : Un outil de planification, de gestion et de monitoring des risques bancaires; Un instrument d'aide la matrise adquate des risques; Un outil pour grer le systme de contrle interne. Ainsi pour mener bien sa mission et contribuer crer de la valeur ajoute pour la banque, l'audit bancaire doit adopter une approche simple, pragmatique et efficace.
Dispositif de l'audit interne bancaire.
Laudit interne, directement rattach au top management de ltablissement bancaire, est indpendant de toute entit, de tout mtier et de toute unit oprationnelle. Il nest donc, de quelque manire que ce soit, pas impliqu dans le fonctionnement au quotidien des activits quil contrle. Laudit interne effectue priodiquement et autant que de besoin, des missions, surplace et ou sur pices et dont lobjectif est la vrification : du respect des rglementations externes; du respect des rgles internes; du respect des dcisions du management et de la mise en place de moyens adapts leur application; de lidentification et de la matrise des risques de toute nature, tant avant quaprs linitiation des oprations; de la fiabilit et de la pertinence des informations, mesures ou mthodes utilises au niveau local des fins de gestion financire ou de contrle des risques; de la fiabilit et de lexhaustivit des informations reportes au niveau central en vue de leur consolidation; de lexistence, de la pertinence et de la correcte application des procdures oprationnelles; de la qualit ainsi que de la juste valuation et comptabilisation des lments dactif et de passif; de la mise en place des procdures et moyens suffisants pour assurer la continuit de lactivit; de la traabilit des oprations et de leurs traitements; de lefficacit et de la cohrence du dispositif de contrle interne.
95
4 - Un primtre d'intervention largi.

Hier, l'auditeur se proccupait d'un primtre limit avec une dmarche pour l'essentiel trs proche des dtails. Aujourd'hui, de fait, son champ d'intervention est beaucoup plus large : il est charg de raliser le diagnostic de systmes de reporting et de dispositifs de pilotage trs sophistiqus, des systmes utiliss par la direction gnrale, ce qui signifie que les auditeurs sont en contact avec l'tat-major de la banque, dans une approche qui n'a rien envier celle du consultant. Ainsi, pour mettre en uvre cette dmarche de manire efficace et crdible, il faut faire intervenir uniquement des auditeurs spcialistes et lorsque ncessaire, leur apporter l'appui d'experts trs pointus pour les aspects les plus techniques.
Audit tous Risques.
Exemple parmi d'autres : les risques de march, risques de systme d'information et les moyens mis en uvre pour y faire face. Aujourd'hui, on demande aux banques de matriser, de grer et de contrler ces risques. A partir du moment o elles entrent dans la cartographie des risques de la banque, cela signifie qu'il faut avoir les comptences ncessaires pour avoir un regard critique sur ces risques. Ce sont des horizons nouveaux pour le mtier de l'audit bancaire, on doit donc avoir des quipes comptentes formes et de spcialistes qui peuvent comprendre en dtail tout ce qu'il y a derrire et parler d'gal gal avec les audits. Pour ce type de risques, on recrute notamment des ingnieurs financiers ayant des connaissances mathmatiques extrmement pousses, parfois compltes par une exprience de trading ou de contrle des risques dans une banque.
Une dmarche globale.
Un empilement de solutions techniques (informatiques mais aussi comptables, juridiques, fiscales, financires...) ne saurait assurer la scurit d'un systme d'information sans une cohsion d'ensemble de ces diffrents lments. Celle-ci passe par la mise en place d'une vritable organisation efficace au sein de la banque. Pour l'audit bancaire, il s'agit donc de mettre en place une approche structure intgrant les composantes stratgiques, organisationnelles et humaines mais aussi les facteurs risques, cots et efficacit.
5 - Finalit, rle et approche de l'audit bancaire.

Finalit de l'audit bancaire.
Les banques font face un environnement socioconomique de plus en plus difficile. Les risques auxquels elles sont confrontes sont devenus plus nombreux, plus significatifs et plus complexes. Dans le contexte conomique actuel, les banques doivent plus que jamais disposer dun systme de gestion de risque efficace et labor, susceptible dassurer une raction
96
rapide face lapparition de nouveaux risques. La finalit d'un tel systme serait de prserver leur solidit financire, de continuer de crotre et dapporter la confiance au march. La fonction daudit interne est un instrument important pour vrifier le bon fonctionnement, lefficacit et lefficience du contrle interne, en ce compris la fonction de compliance. Dans le cadre de ses travaux, laudit interne fournit au management de la banque des analyses, valuations, recommandations, avis et informations sur les activits examines et contribue ainsi une meilleure gestion de la banque. Les autorits de tutelle, en l'occurrence BAM exige pour chaque banque lexistence dune organisation interne adquate par rapport lactivit exerce et aux risques encourus. Do la ncessit dun systme daudit et de gestion de risques performant.
Rle : vrification du bon fonctionnement du contrle interne.
Pour tenir compte de limportance de la gestion de risque dans une banque, un certain nombre de principes ont t clairement dfinis, notamment le rle et les responsabilits du management (conseil dadministration et direction gnrale), les activits de contrle et la sparation des fonctions, la ncessit de disposer des informations actualises, fiables, cohrentes et accessibles. Le conseil dadministration doit veiller la mise en place et au maintien dun contrle interne consquent, tablir des limites lintrieur desquelles les risques sont encourus et garantir la mise en place des mesures didentification, dvaluation, de surveillance et de contrle des risques. Il appartient, par la suite, la direction gnrale de mettre en uvre ces principes et notamment de dvelopper des procdures de contrle y relatives. L'audit interne, cellule indpendante directement rattache au conseil dadministration, a comme premier rle de vrifier le bon fonctionnement du contrle interne. En parallle, on assiste un dveloppement des comits daudit, manation du conseil dadministration, composs de plus en plus de spcialistes dans les diffrents domaines concerns (comptabilit, rglementation, juridique, private banking, etc.). Le comit daudit assure la communication rgulire avec laudit externe et laudit interne, veille la qualit et lindpendance de leurs travaux et informe lensemble du conseil dadministration, par des rapports synthtiss sur les constats et recommandations majeurs relevs.
Lapproche risque au centre de laudit bancaire.
Dans le cadre du concept de surveillance dualiste au Maroc, BAM exerce une surveillance des tablissements bancaires et ce de manire indirecte. Cest--dire en se basant sur les travaux des auditeurs internes et externes. Ainsi, dans son rle dorgane de vrification du bon fonctionnement du contrle interne, l'auditeur bancaire se voit attribuer un rle beaucoup plus tendu. Il ne vrifie pas
97
seulement la rgularit de traitement des oprations. Il doit galement prendre position, dans un rapport adress au conseil dadministration de la banque sur le respect des conditions dautorisation dune banque. Par ailleurs, il doit aussi constater le (non)-respect de la rglementation bancaire, se prononcer sur la situation financire et notamment prsenter des indications quantitatives et qualitatives sur la situation des risques (adquation de la politique des risques, gestion et contrle). Pour remplir leur rle, les auditeurs utilisent des mthodologies bases sur lanalyse de lenvironnement, des risques existants ou potentiels et de lorganisation interne dune banque.
Comprhension de lenvironnement. En premier lieu, un diagnostic est pos sur linteraction de la banque dans son environnement. Quels sont les clients? Quels sont les produits proposs? Sur quels marchs et quelles rgions gographiques la banque intervient-elle? Qui sont les stakeholders et quelles sont leurs attentes? Quelle est la conjoncture conomique? Quels sont les changements rglementaires? etc.
Cette premire tape permet didentifier les risques dcoulant des activits bancaires (business risks), comme par exemple: sensibilit lvolution des indicateurs conomiques (taux de change, taux dintrt, etc); concurrence; tendance et dveloppement de lenvironnement (par exemple, de la taxation de lpargne, de la nouvelle ordonnance sur le blanchiment dargent de BAM); technologie (e-business, fournisseurs informatiques, disponibilit et scurit de linformation).
Apprciation de la culture de risque. La deuxime tape consiste apprcier la culture de risque de la banque et le degr dlaboration du systme de gestion de risque et du contrle interne. Son point de dpart se situe au niveau de la politique de risque qui reflte la comprhension, la mesure et le contrle de risque par ltablissement bancaire.
Face chacun deux, les tablissements adoptent certains comportements: viter un risque (par exemple, ne pas rentrer sur un nouveau march ou offrir tel type de services); rduire ou transfrer un risque (par exemple, utilisation des drivs de crdit), et enfin, accepter un risque. Une fois ce cadre pos, la banque doit identifier, dfinir et mesurer les risques et attribuer un risk owner pour chacun deux. Ensuite, il est ncessaire de fixer des tolrances aux risques (limites), puis dtablir un suivi et un reporting de lvolution de lexposition aux risques, et ceci de manire individuelle et globale.
Apprciation et analyse de chaque risque. Lauditeur procde une estimation des risques inhrents chaque domaine dactivit (crdit, ressources humaines, systme d'information, etc.). les risques peuvent tre d'ailleurs classs en trois catgories (cf. chapitre 2) :
Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur doit comprendre comment ceux-ci sont grs et contrls.
98
Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises par la banque en vue de minimiser les risques encourus. Si donc limportance du risque se dfinit par le risque inhrent, la capacit de grer ce risque se dfinit par le dispositif de contrle interne mis en place. La conjonction des niveaux estims du risque inhrent et du risque de contrle permet ensuite lauditeur de dterminer ltendue, la priodicit et les mthodes de vrification quil doit entreprendre, en accord avec les principes de la profession.
Le respect des conditions dautorisation. Lanalyse des risques inhrents et les contrles internes mis en place permet de sassurer que les risques sont bien identifis et correctement reflts dans les comptes annuels. Ces travaux permettent galement de se prononcer sur le respect des conditions dautorisation et des rgles de comportement.
Enfin, lapplication dune telle mthodologie permet galement didentifier des opportunits damlioration et doptimisation du systme de contrle interne et de les communiquer la banque sous forme de recommandations ou de plans dactions. Dans le contexte conomique actuel, une gestion de risque efficace se rvle plus que jamais capitale, pour prserver la solidit financire dune banque et apporter la confiance au march. Les autorits bancaires de surveillance doivent intgrer cette ncessit dans la rglementation en vigueur, qui va toutefois encore se renforcer avec lintroduction des nouveaux accords de Ble II. Le dveloppement rcent du corporate governance, limage des fondements du contrle interne rcemment redfinis par BAM, gagne en importance dans la gestion de risque.
La gestion des risques : un processus continu.
La gestion de risque et le contrle interne doivent ainsi tre entendus en tant que processus continu dont lapplication doit tre garantie en permanence. Ce processus doit assurer lidentification des dficiences et la prise de mesures de correction adquates. Lanalyse de ce processus dynamique est au cur de lapproche et des travaux daudit bancaire. Il ne sagit pas seulement dune apprciation fige des risques un instant donn. Lanalyse des risques et les approches daudit bancaire en dcoulant doivent tre communiques et valides avec le conseil dadministration ou le comit daudit. La communication et la comprhension des rles des diffrents acteurs dans la surveillance des banques sen trouveront certainement facilites et amliores. Quant la transparence des informations dterminantes sur la situation des risques, elle contribuera renforcer la confiance et amliorer la bonne gouvernance bancaire.
99
Dans un environnement changeant, l'auditeur interne peut jouer un rle dpassant largement celui de "contrleur" pour devenir un "catalyseur" encourageant les dirigeants d'entreprise agir... Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit la volont affirme de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter les risques, de rendre l'organisation existante plus performante et plus efficace. Laudit interne peut jouer un rle non ngligeable en matire defficacit de la banque. Ainsi, dans le cadre de lexercice de sa mission, lauditeur est bien plac pour identifier, outre les problmes de contrle, les domaines dans lesquels les contrles sont inutiles, inefficaces et coteux. Lauditeur peut galement identifier les inefficacits des oprations et peut se voir charger, au-del de sa mission habituelle, de mission de conseil. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte accomplir la mission qu'on lui a assigne. Des conditions sont remplir pour que l'audit interne puisse tre un vritable outil d'efficacit. L'efficacit, et donc le rsultat pour la banque, seront d'autant plus grands, que chacun de ses critres aura pu tre optimis, apportant ainsi une contribution significative l'ensemble. Cette optimisation a toutefois ses limites, qui peuvent tre classes en quatre grandes catgories, selon leur nature :
Une premire limite est lie aux hommes, aux auditeurs bien sr, compte tenu de leurs aptitudes assumer la fonction, de leurs connaissances, de leur formation, de leurs qualits intrinsques, mais aussi aux audits et leur comportement ou la remise en cause ventuelle de leur faon de travailler et de leurs habitudes. Enfin, l'attitude des dirigeants et le soutien qu'ils apportent leur structure d'audit interne, est un gage majeur de russite. Une deuxime limite est constitue par le rapport efficacit/cot. L'existence d'une structure performante d'audit cote cher en termes de salaires, de frais de dplacements, de frais de structure. Il faut donc que l'quipe se rentabilise et il n'est pas toujours vident de mesurer concrtement sa productivit. La troisime limite est lie au fait que la mise en place du contrle interne vient souvent l'encontre de l'efficacit immdiate. Le quatrime type de limite concerne l'volution rapide des techniques et des mthodes de travail. Lexemple de l'informatique qui permet dsormais de travailler en temps rel, va tout fait dans le sens de l'efficacit, mais par contre, conduit souvent des systmes inauditables.
Par ailleurs, avec l'audit systmique qui sera prsent et dvelopp en dtail la deuxime partie, nous verrons que des systmes rputs auparavant comme inauditables pour l' auditeur bancaire, le seront dsormais avec la mthodologie prsente.
100
101
Chapitre 3 : Les systmes daudit interne bancaire marocain et leur efficience : enqute sur le terrain
102
Chapitre 3 : Les systmes daudit interne bancaire marocain et leur efficience : enqute sur le terrain Introduction.
Lenqute sur lefficience de laudit interne au sein du systme bancaire marocain a t ralise avec les inspecteurs gnraux et les responsables daudit interne de cinq banques prives de la place. Elles ont t choisies parmi celles les plus reprsentatives de l'activit bancaire l'chelon national savoir : 3 filiales de banques franaises : Banque Marocaine pour le Commerce et l'Industrie, BMCI (BNP- Paribas); Socit Gnrale Marocaine de Banques, SGMB (Socit Gnrale); Crdit du Maroc, CDM (Crdit Agricole). 2 banques marocaines : Attijariwafa Bank (AWB); Banque Marocaine du Commerce Extrieur - BMCE BANK. Nos interlocuteurs ont rpondu favorablement aux entretiens sollicits, donnant ainsi aux rsultats de lenqute la lgitimit que nous voulons. Le guide d'entretien s'est articul autour de la sensibilit du management l'audit intenre, le positionnement et rle des dpartements de contrle et le dispositif d'audit adopt pour les quatre mtiers choisis savoir le systme dinformation, les activits de march, la gesion des ressources humaines et la comptabilit.
Section 1 : Le guide d'entretien.

Le guide d'entretien adopt lors de lenqute sur lefficience de laudit interne au sein du systme bancaire marocain avait comme objectif didentifier : Le degr de sensibilit du management toutes les catgories de risques: oprationnel, financier et de rputation; Le rle des risk - managers dans la gestion et le contrle des risques; L'indpendance et l'efficacit de l'audit interne dans la mesure et la prvention des risques; L'efficience du systme d'audit interne existant et ltendue de ses travaux; L'exhaustivit de la cartographie des risques et du primtre d'audit; La ralisation de missions spcifiques pour les lignes mtiers : Direction du Systme d'Information, Salle Des Marchs, Direction des Ressources Humaines et Direction de la Comptabilit;
103
L'existence au sein de l'audit interne de ples de comptence aptes mener des missions d'audit dans ces lignes mtiers; La disponibilit de manuels de procdures ou des modes opratoires pour piloter les missions daudit ralises et particulirement celles cites cidessus ( DSI, DRH, DC et SDM); L'exhaustivit des points de contrle par ligne mtier formaliss par le mode opratoire daudit.
1. Sensibilit du management l'audit interne.

Le management est-il sensible tous les risques : oprationnels, financiers et de rputation ? Quelles dispositions pratiques a-t-il pris face ces risques ? Comment le management a-t-il rparti les rles entre les divers acteurs de son entit (Risk management, Audit interne et Compliance) en terme de prvention de ces risques? Comment est-organise la supervision de la prvention des risques oprationnels et la remonte de linformation ?
2. Positionnement et Rle des dpartements de contrle.

2.1 - Risk Management.
Le positionnement des Risk managers dans lorganigramme assure-t-il lindpendance ncessaire laccomplissement de leur mission ? Leur mission est-elle dfinie par une lettre de mission et celle-ci est-elle mise par une autorit approprie ? Le risk manager est-il consult lors de la mise en place de nouveaux produits et procdures, pour rendre un avis sur les risques induits ?
2.2 - Audit interne.
Laudit interne est-il rattach hirarchiquement au Top management (voir au Conseil dAdministration, Directoire) de la banque ? Laudit interne est-il mobilis et soutenu par le comit de direction ? Les recommandations de laudit interne sont-elles suivies par le management en terme de prvention des risques ? Les rapports de missions d'audit sont-ils transmis directement cette hirarchie ? Le primtre ou champs daudit est-il exhaustif et couvre-t- il tous les risques et toutes les entits (rseau, directions centrales, filiales, succursales et fonctions dont le contrle interne et la compliance) ? Le plan annuel d'audit des 3 dernires annes listant les missions menes couvre-t- il la totalit des risques (crdit, march, oprationnels) et des units (oprationnelles et fonctionnelles)?
104
Existe-t- il une cartographie des risques ? est-elle fiable et exhaustive? Est elle constamment mise jour ? Inclut-elle les risques financiers (crdit, march, liquidit), les risques oprationnels (Systme dInformation, Ressources Humaines, Comptable, non conformit, fiscal, ..) et le risque de rputation (ou dimage) ? Les missions ralises couvrent-elles l'ensemble de ces risques ? Si oui, quelle est leur frquence dans le plan triennal d'audit ? Dans quelle mesure les recommandations formules par les missions daudit ont particip l'amlioration des processus de gestion et la prvention des risques ? L'audit interne dispose -t- il de comptences spcifiques aptes mener des missions haute technicit (Direction des Systmes dInformation, Salle Des Marchs, Direction des Ressources Humaines, Direction de la Comptabilit) ? Y a -t- il un auditeur par ple de comptence ou bien des auditeurs polyvalents ? Y a -t- il des manuels de procdures ou des modes opratoires pour piloter les missions daudit ralises? Ces manuels de procdures intgrent-ils des missions daudit (Direction des Systmes dInformation, Salle Des Marchs, Direction des Ressources Humaines, Direction de la Comptabilit) ? Si oui, sont-ils exhaustifs explicites et conformes la rglementation en vigueur ?
2.3 - Compliance et Dontologie.
Un Compliance Officer a-t-il t dsign ? Si oui, quel est son poids rel dans lorganigramme et quelle est son indpendance ? Travaille-t-il avec des outils fiables et exhaustifs ? Existe-t-il un code de dontologie spcifique la banque ? Est-il diffus lensemble des collaborateurs ? Les collaborateurs ont-ils sign un engagement au respect du secret bancaire, la lutte contre le blanchiment et ont-ils pris connaissance de leurs devoirs rappels dans le Rglement intrieur de lentit ?
3. Dispositif d'audit par ligne mtier.

Dans une mission de la Direction du Systme d'Information, les 4 domaines sont-ils couverts : Organisation et management, Scurit, Etudes et dveloppements, Exploitation informatique ?
105
Dans une mission de la Salle Des Marchs, les 3 fonctions sont-elles couvertes : Front Office, Middle Office, Back Office ? Les risques qui en dcoulent sont ils galement couverts : oprationnels, de contrepartie, juridique, de scurit ? Dans une mission de la Direction des Ressources Humaines, les cinq domaines dactivit du mtier sont-ils couverts : Administration, Gestion des carrires, Recrutement, Formation, Relations Sociales ? Dans une mission de la Direction Comptable, les domaines relevant de l'activit comptable et financire sont-ils couverts : Structure et organisation gnrale, Sparation des fonctions, Contrles exerces par le service comptable, Les outils de pilotage, Connaissance et respect des rgles de dontologie, Reportings rglementaires, Risques fiscaux, Consolidation ?
Section 2 : Les conclusions de l'enqute.

Cette section prsente lanalyse des rsultats et restitue dans les grandes lignes les pratiques daudit interne bancaire, les tendances convergentes et les spcificits apparentes. Elle met en lumire les lments marquants qui sen dgagent. Ceux-ci viennent corroborer nos constats travers notre exercice sur le terrain du mtier dauditeur des multi mtiers bancaires et confirmer aussi les enjeux et les volutions majeures de la profession au niveau du systme bancaire marocain. Cette enqute constitue ainsi un support danalyse qualitatif auquel tout responsable daudit interne ou risk manager est invit se reporter, dautant que la deuxime partie de ce mmoire prsente en dtail les bonnes pratiques en la matire travers lapproche de laudit systmique.
106
Cette enqute reflte limage dun audit interne indpendant au service tant de la direction gnrale que du comit daudit mais non parfaitement mme de prvenir correctement avec le risk management toutes les familles de risques. En particulier, laudit interne apparat de plus en plus comme un outil puissant de dtection des risques mais se limite toutefois aux risques classiques (de contrepartie, de traitements oprationnels, ..) sans pour autant se focaliser sur dautres risques tels que les risques march, les risques du systme dinformation, les risques lis aux ressources humaines,... Ce faisant, la non matrise de certains risques peut induire la destruction de valeur au sein de lorganisation et de limiter le rle essentiel de laudit interne, savoir dapporter une contribution dterminante la bonne gouvernance de ltablissement bancaire.
Principaux enseignements et rflexions.
La prsente tude a t mene dans un contexte marqu notamment par lentre en vigueur des normes bloises, de la nouvelle loi bancaire et des nouveaux statuts de BAM. Afin damliorer la gouvernance au sein des banques marocaines, de nombreuses dispositions ont t adoptes, notamment par les circulaires de BAM sur le contrle interne des tablissements de crdit, sur laudit externe des tablissements de crdit et par la refonte des textes de base relatifs la loi bancaire et les statuts de BAM, rforme qui nest pas sans consquences pour laudit interne bancaire. Dans le mme temps, la profession, prenant acte des attentes renouveles des organisations, a dfini de nouvelles normes professionnelles qui centrent lactivit de laudit interne sur lvaluation des processus de management des risques, de contrle interne y compris ceux de la conformit et de gouvernement dentreprise. Quels en sont les impacts pour les pratiques de laudit interne ? Quel est le niveau de participation de laudit interne avec le Risk Management au processus de gestion des risques ?
1 - Sensibilit du management l'audit interne.
Le rattachement direct de laudit interne au top management de la banque confirme limportance du positionnement de laudit interne dans lorganisation. Les responsables daudit interne affirment tous la prise de conscience par le management de la banque de lensemble des risques oprationnels, financiers et de rputation mais part la diligence de missions classiques (respect des procdures de traitements oprationnels et de crdit), rares sont les dispositions pratiques adoptes pour y faire face. Ces dispositions se limitent par la cration de cellules pour la gestion du chantier Ble 2 ou celui de la Compliance. Les rflexions relatives aux structures de Risk management
107
et de prvention des risques oprationnels, except pour les filiales des banques franaises, ne semblent pas tre encore lordre du jour. En termes de prvention de ces risques, il ny a pas une claire rpartition des rles entre les diffrentes structures savoir : le Risk management, lAudit interne et la Compliance. La supervision de la prvention des risques par le management se limite au suivi des rapports daudit sans pour autant disposer dune cartographie des risques consolide pour piloter lvolution de tous les risques par ligne mtier et par entit. Seule une banque (filiale franaise) dispose dun progiciel dautovaluation du systme de contrle interne sur une priodicit trimestrielle, renseign et valid par le responsable de chaque entit. La remonte de linformation sur le dispositif du contrle interne par mtier est centralise au niveau de la Direction de Contrle Interne.
2 - Positionnement et rle des dpartements de contrle. 2.1 - Risk Management.
Les rflexions relatives aux structures de Risk management et de prvention des risques oprationnels, except pour les filiales franaises, ne semblent pas tre encore dans lordre du jour. La dsignation des Risk Managers par mtier est pratique dans une seule banque de la place. Un systme de risk management doit tre mis en place pour sassurer que les risques qui pourraient dcouler de dfaillances ou dinsuffisances, de quelque ordre que ce soit, sont identifis et font lobjet de mesures de nature en limiter la survenance et limpact sur le fonctionnement global de ltablissement bancaire. La gestion des risques ou le risk management aussi bien en interne que conformment aux exigences prudentielles, en est encore ses dbuts. Des efforts ont t nanmoins entrepris par deux banques marocaines en vue de se doter d'outils pertinents capables de renseigner sur la survenance de tout risque de nature oprationnelle, et ce quelle que soit son origine ou sa localisation. Ce nouveau systme est en cours de mise en place et sa fiabilit ne pourrait toutefois tre suffisamment apprcie qu'au cours des annes ultrieures. Le systme d'information parat dans ce sens jouer un rle cl pour communiquer les objectifs de la banque en matire de risque. Il est vident que l'efficacit d'un bon contrle interne dans ce domaine repose sur la fiabilit du systme d'information pour maintenir une culture de contrle et pour s'assurer que l'ensemble du personnel adhre ces objectifs. A titre dexemple la BMCE et la SGMB ont eu l'ide de constituer une base de donnes interne incluant tous les incidents ou les vnements de pertes occasionnes dans le cadre de l'exercice des activits de la banque. Ces vnements doivent nanmoins tre identifis de manire exhaustive et intgre. D'o le rle dterminant qu'aura jouer aussi bien l'audit interne que les reporting en interne.
108
Le systme de collecte et de reporting doit tre une partie intgrante des procdures oprationnelles. Ces exigences ne peuvent que renforcer le rle indniable du "risk manager" charg du suivi et de l'analyse de tous les vnements de pertes identifies travers le systme interne d'information. Mme si les banques utilisent des moyens prventifs contre lexposition aux risques, les rsultats de lenqute mettent en vidence linsuffisance de ces moyens. En cela, la prise de conscience des dirigeants apparat insuffisante ce jour. Au del de cette prise de conscience, cest lvolution de la gestion des risques qui doit tre repense au sein des banques. Par consquent, un pr -requis simpose : la fonction de laudit interne doit contribuer la prvention des risques bancaires travers lidentification des risques et lvaluation de lefficacit du dispositif de contrle interne mis en place.
2.2 - Audit interne.
Le rattachement de laudit interne au plus haut niveau de lorganisation (prsident du Conseil ou du directoire) favorise son indpendance et rduit les risques dinterfrences implicites ou explicites sur le choix des missions ou la formulation des recommandations. Ce rattachement donne une grande majorit dauditeurs internes une libert importante, voire totale, pour la ralisation de leurs missions. Laudit interne doit pouvoir exercer sa mission de sa propre initiative et sexprimer librement. Les contacts avec la direction gnrale sont dailleurs nombreux : la quasi-totalit des banques sondes confirment avoir au moins une runion formelle par mois. Ceci confirme le positionnement de la fonction daudit interne et son importance dans lorganisation. Les banques sont munies de comits daudit et les relations de laudit interne avec ces comits sont troites et permanentes. Les responsables daudit interne assistent toutes les runions du comit daudit. En apportant la direction gnrale et aux administrateurs, par lintermdiaire du comit daudit, un regard impartial sur les risques de la banque et son contrle interne, laudit interne participe grandement lamlioration du gouvernement dentreprise. La plupart des banques ont adopt une structure hirarchique semblable celle des cabinets daudit ; deux dentre elles ont cependant opt pour une hirarchie interne souple, avec moins de niveaux et des rotations au poste de chef de mission. Les recommandations de laudit interne sont suivies par le management qui reoit systmatiquement les rapports de missions d'audit.
Laudit interne largement tourn vers les missions classiques au dpend des missions complexes.
La part des missions classiques relatives au contrle de conformit aux procdures internes (traitements oprationnels et procduraux et risques de crdit) et la
109
rglementation est largement prdominante par rapport des missions expertise leve (Systme dInformation, Salle des marchs...) ou des audits systmiques. Les missions sexercent en priorit autour de lanalyse du contrle interne de tous les processus oprationnels puis autour de lvaluation du contrle interne des processus financiers et comptables. Les audits de conformit aux lois et rglementations et les audits des systmes dinformation, des activits de march ou de la gestion des ressources humaines restent peu significatifs. La part dvolue aux travaux conjoints avec les commissaires aux comptes et aux audits systmiques comptables et financiers reste minoritaire, mme si plus de la moiti des responsables daudit interne estime quils raliseront lavenir plus de missions de ce type. Lvaluation des processus de management des risques est quasiment absente mais tend prendre une part significative avec la prise de conscience progressive du rle dterminant de cette fonction au sein de la banque. En revanche, lvaluation du processus de gouvernement dentreprise reste galement absente en comparaison avec les autres missions et ceci, bien quelle soit inscrite dans la dfinition de laudit interne. Il est probable que la mise en oeuvre souvent rcente de ce processus, est lorigine de ce constat. En matire dactivits de conseil , laudit interne ralise des missions classiques : conseil en organisation, actions de formation et apporte sa contribution des projets de lentreprise. Toutefois, les missions dassurance restent toujours majoritaire.
Laudit interne se professionnalise mais sur une cadence varie. Plan annuel daudit et cartographie des risques :
Mme si le critre majeur reste les demandes spcifiques de la direction gnrale, le plan daudit est dsormais construit en sappuyant fortement sur une analyse des risques. Cette approche par les risques reste toutefois non gnralise et reprsente le critre cit en deuxime lieu par les responsables daudit pour laborer le plan daudit. Lanalyse des volutions particulires de lenvironnement de la banque est galement un critre de poids dans ltablissement du plan annuel daudit. Par ailleurs ; la pratique de la cartographie des risques ne concerne pas toutes les banques. Deux seulement ont hirarchis les risques en fonction de leur impact possible et de leur frquence (probabilit de survenance). Pour les filiales franaises disposant dune cartographie des risques, cette dernire nest toutefois pas exhaustive et ne concerne que quelques risques classiques (des traitements oprationnels, des risques de crdit et parfois des risques march..), les risques oprationnels cits par Ble II et le risque de rputation restent quasiment absents. Sa frquence de mise jour reste alatoire.
110
Le primtre daudit nest pas trs exhaustif et ne couvre pas toujours toutes les entits dune banque. Laudit du rseau dagences occupe le premier rang (70% du budget temps allou au plan annuel daudit) en se focalisant sur le risque des traitements oprationnels et le risque de crdit. Par ailleurs, laudit des filiales, des services centraux, des banques offshore reste peu frquent voire absent pour certaines entits. Les mtiers les moins audits sont : la salle des marchs, le systme dinformation, les ressources humaines, la gestion Actifs Passifs (ALM), le contrle de gestion, le contrle interne, la compliance Lexamen du plan annuel d'audit des 3 dernires annes de certaines banques listant les missions menes ne couvre pas la totalit des risques des units oprationnelles et fonctionnelles mme sil est approuv parfois par le comit daudit. Ainsi peut-on conclure que les programmes annuels daudit sont inadquats ou inefficaces. Trs souvent, les audits effectus ne sont pas suffisamment rigoureux pour dceler et notifier les insuffisances du contrle dans les banques. Dans dautres cas, mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme, except celui de suivi des recommandations par laudit interne, nest prvu pour faire en sorte que la direction remdie immdiatement aux dficiences releves.
Manuels de procdures daudit.
Pour piloter les missions daudit ralises, les directions daudit interne disposent en gnral de manuels de procdures mais se limitant aux procdures internes de traitement et du risque de contrepartie. La mise jour de ces manuels reste une pratique non systmatique. Les modes opratoires daudit (DSI, SDM, DRH, DC, ALM22, gestion dactifs, Compliance, activits de bourse) savrent trs peu frquents.
Auditeurs internes.
Mme si laudit interne apparat comme une fonction plutt attractive, les responsables daudit interne rencontrent des difficults recruter, pour des raisons de comptences principalement. Lune des consquences probables de ces difficults est le recours des ressources extrieures au service, quelles soient internes ou externes la banque, pour rechercher certaines comptences et de lexpertise complmentaire en faisant notamment appel des prestataires externes. Les entretiens mens auprs des responsables daudit interne, confirment que sont exclues de leur primtre dintervention certaines missions exigeant une expertise pointue et une haute technicit telles que laudit des systmes dinformation ou laudit de la salle des marchs et ce pour le manque de comptences en audit interne aptes mener ce genre de missions.
22
DSI (Direction du Systme dInformation), SDM (Salle des Marchs), DRH (Direction des Ressources Humaines), DC ( Direction Comptable), ALM (Asset Liability Management)
111
Dans ce cadre, les filiales des banques franaises font appel laudit interne de leurs maisons mres ayant lexpertise et les outils adquats (modes opratoires spcifiques, outils labors daudit) pour aborder ces missions. Par ailleurs, les banques marocaines recourent aux prestations dexperts externes ou de cabinets spcialiss daudit. La pratique des ples de comptence en audit interne ne semble en gnral pas tre pratique du fait de la nature des profils gnralistes pour les auditeurs. Une seule distinction a toutefois t releve entre lquipe charge du volet inspection, celle de laudit des oprations et des procdures et enfin celle charge dauditer le risque de crdit. Laudit interne dispose gnralement de moyens humains adquats ce qui est rvlateur de la prise de conscience de limportance de cette fonction par le management des banques. Le niveau de qualification des auditeurs internes reste trs disparate dune banque une autre avec une prdominance dquipes htrognes dont une partie est issue des grandes coles de commerce avec une exprience professionnelle ne dpassant pas les deux ans et un autre lot compos de profils ayant dj eu une exprience oprationnelle dans la banque. La volont de former des cadres haut potentiel ayant une vision sur lensemble des processus pour lorganisation semble tre prioritaire par rapport la fidlisation des auditeurs au sein du service. La comptence professionnelle doit aussi tre apprcie au niveau du service daudit interne dans son ensemble, qui doit avoir en son sein toute la gamme des comptences techniques ncessaires pour pouvoir examiner lensemble des domaines dans lesquels ltablissement opre. Le service daudit interne doit maintenir jour les connaissances acquises et assurer une formation continue et actualise chacun des auditeurs. Lorsque dans des domaines spcifiques, le service daudit interne ne dispose pas dune comptence suffisante pour procder un audit, il peut recourir aux services dun expert externe, sous condition toutefois que lexpert soit plac sous la dpendance du chef du service daudit interne qui conserve la supervision de lopration. La comptence, et en particulier les connaissances et lexprience, de chaque auditeur sont essentielles pour le bon fonctionnement du service daudit interne. Il est important que le service daudit interne dispose de personnes ayant reu une formation de niveau lev et disposant de comptences techniques adquates. Lors de la slection de ces personnes il sera tenu compte galement de la nature et de la diversit des activits conduites par ltablissement.
112
2.3 - Compliance & Dontologie.
La cration de la fonction de conformit ou compliance reste rcente, non gnralise et ne jouit pas encore de lautonomie ncessaire, elle reste en gnral dilue avec dautres fonctions telles que le contrle interne, la dontologie, linspection gnrale ou laudit interne. La dsignation dun Compliance Officer reste une pratique peu frquente, elle ne concerne que deux banques ce qui ne nous a pas permis dapprcier le poids rel de cette fonction dans lorganigramme. Les outils mis la disposition de lentit conformit ne permettent pas encore davoir une vision exhaustive et fiable sur tous les traitements raliss, des rflexions dans ce sens sont entames pour quatre banques sondes. Chaque banque dispose dun code de dontologie spcifique ayant pour principal objectif de doter celle-ci dun texte de rfrence visant promouvoir en son sein une forte rigueur dontologique et renforcer ainsi la confiance et la crdibilit quelle doit en permanence inspirer lensemble de ses partenaires savoir les pouvoirs publics, la clientle, les oprateurs et, dune manire gnrale, lopinion publique.
3 - Dispositif d'audit par ligne mtier. 3.1 - Mission de la Direction du Systme dInformation.
L'audit des Systmes dInformations dans son ensemble a fait lobjet dune mission au sein de deux grandes banques de la place. Lune est une filiale franaise ayant bnfici de lexpertise dune mission diligente par linspection gnrale de sa maison mre ayant lexpertise et les outils adquats (modes opratoires spcifiques, rfrentiel COBIT, progiciels labors daudit) pour aborder cette mission. Cette mission a en effet, couvert tous les domaines de la fonction informatique : l'Organisation et le management, la Scurit, les Etudes et dveloppements et l'Exploitation informatique. Lautre banque, pour mener cette mission, a compt sur son propre audit interne mais elle na pas couvert que deux domaines savoir la scurit et les dveloppements informatiques. Les autres banques affirment ne pas avoir les comptences ncessaires pour mener une telle mission. Dans ce cas, la mission daudit du Systme dInformation devrait apprcier comment sont couverts les risques lis la fonction Systme d'information principalement les risques d'efficacit, d'efficience, de confidentialit, d'intgrit, de disponibilit, de conformit, Juridique et d'image. Laudit du Systme dInformation devra mesurer le niveau des risques, leur volution, et lavancement des plans dactions correcteurs.
113
3.2 - Mission de la Salle des marchs.
De part limportance des risques inhrents lactivit de march, trois banques (dont 2 franaises et une marocaine) ont ralis une mission daudit de la Salle Des Marchs mais sans pour autant en couvrir les 3 fonctions du Front Office, du Middle Office et du Back Office ainsi que tous les risques qui en dcoulent oprationnels, de contrepartie, juridique et de scurit. Les missions ralises se limitent : L'examen des principales procdures de traitement (Back office); L'analyse du respect dispositif de contrle interne ; Les missions nont pas procd au recoupement avec les travaux des autres missions (systme dinformation, comptabilit, ..). Elles nont pas analys : La totalit des risques lis lactivit de march savoir les risques de gestion, oprationnels, dontologiques, de fraude, dimage, de crdit, commerciaux et juridiques. Les risques, sur des sondages, transverses plusieurs fonctions, sur un ou plusieurs chantillons doprations. Le mode d'laboration des rsultats comptables et de gestion, ainsi que la procdure de rapprochement de ces deux rsultats. L'inventaire des diffrents tats de reporting et de leur mode d'laboration. La qualit et la fiabilit des informations vhicules sur la nature des oprations traites, des positions prises et de leur rentabilit tant en interne qu'en externe. La qualit de la matrise des risques financiers et les techniques gnres par les oprations. L'ensemble des activits, stratgies et instruments traits par la salle audite. L'inventaire des applications de gestion et de traitement de ces activits et instruments.
3.3 - Mission de la Direction des Ressources Humaines.
De part la sensibilit du domaine auditer, la Direction des Ressources Humaines est une fonction rarement audite au sein des banques. Seulement deux banques ont men une mission daudit Ressources Humaines ces trois dernires annes mais nont toutefois pas couvert les cinq domaines de la gestion des ressources humaines savoir : ladministration, la gestion des carrires, le recrutement, la formation et les relations Sociales. Se trouvent ainsi exclus le recrutement, la gestion des carrires et les relations sociales. Les missions menes se sont en effet limites couvrir les risques de traitements administratifs, de dclarations sociales (CNSS, CIMR,), fiscales (IGR) et dassurance et parfois le volet formation (OFPPT). Parmi les familles de risques nayant pas t abordes, on trouve les risques de management, juridiques, de dontologie, de compliance et oprationnels.
114
De ce fait, un nombre de zones risques nayant pas t couverts tels que : Les rgles de confidentialit (paie, dossiers personnels) et de scurit (back up); Le processus de rvision des rmunrations individuelles ; La gestion des avantages annexes; Le provisionnement des engagements sociaux (retraites, prvoyance, indemnits) ; La sensibilisation du personnel aux risques de fraude interne et externe (consignation du code de dontologie); Le processus dapprciations annuelles ; La rationalisation des mouvements sociaux.
3.4 - Mission de la Direction Comptable.
Les objectifs dune mission daudit de la Direction Comptable sont les suivants : Sassurer de la fiabilit de linformation financire et de sa conformit aux normes dfinies par les autorits de tutelle. On entend par information financire la fois les comptes sociaux, consolids et fiscaux ainsi que les tats rglementaires. Identifier les dysfonctionnements ventuels du dispositif de contrle interne. Apprcier la fiabilit du systme dinformation comptable. Porter une apprciation sur les rsultats et la rentabilit de lentit audite. Sassurer de la connaissance et du respect des rgles de dontologie. Les deux premiers objectifs sus - viss sont atteints par les cinq banques sondes. Par ailleurs, rares sont les missions comptables ayant abord les trois autres objectifs. Diffrents de ceux des auditeurs externes ayant un caractre lgal, les objectifs de cette mission sont tendus et ne peuvent tre atteints quavec une analyse approfondie des zones les plus risques. Cest pourquoi une mission daudit de la fonction comptable doit mettre laccent sur : lidentification des risques et le recoupement avec les travaux des autres missions (systme dinformation ; ressources humaines, ..) concernant les clignotants comptables ; lanalyse des risques transverses plusieurs fonctions, sur un ou plusieurs chantillons doprations ; lexamen des risques de non exhaustivit, de non qualit et de non fiabilit de linformation comptable, de non fiabilit des comptes et des tats financiers, de non fiabilit de linformation financire consolide, rglementaire et fiscale. La mesure du niveau des risques, leur volution, et lavancement des plans dactions correcteurs. Cette mission doit couvrir quatre domaines : laudit systmique du service comptable (apprciation du contrle interne), les reportings rglementaires, les risques fiscaux et la consolidation.
115
Les missions comptables au sein des banques sondes sexercent en priorit autour de lanalyse du contrle interne de tous les processus de traitements comptables et financiers. La part dvolue aux travaux conjoints avec les commissaires aux comptes et aux audits systmiques comptables et financiers reste minoritaire, mme si plus de la moiti des responsables daudit interne estime quils raliseront lavenir plus de missions de ce type. Lvaluation des processus de management des risques comptables est quasiment absente mais tend prendre une part significative avec la prise en conscience progressive du rle dterminant de cette fonction dans la gestion des risques.
116
Laudit interne tel que pratiqu actuellement dans de nombreuses grandes banques marocaines, relve encore quelques insuffisances. En outre, cet audit doit aller dans le sens de limportance accrue confre par les autorits de contrle bancaire lexamen exhaustif et pertinent des processus de gestion du risque et de contrle interne dans une organisation bancaire. Il importe de souligner quil incombe au conseil dadministration et la direction gnrale de sassurer de lexistence dun audit interne adquat et de promouvoir un environnement dans lequel les individus comprennent et assument leurs responsabilits dans ce domaine. Nous avons relev des insuffisances dans la surveillance de certains risques et une absence dune forte culture de contrle et/ou de risque particulirement au sein des banques marocaines. Les cas de pertes importantes refltent tous, sans exception, un manque dattention et de rigueur de la direction envers la culture de contrle dans la banque, une orientation et une surveillance insuffisantes de la part du conseil dadministration et de la direction gnrale ainsi que labsence dun exercice clair des responsabilits de la direction dans lattribution des rles et des tches entre laudit interne, le risk management et la conformit. La supervision de la prvention des risques par le management se limite au suivi des rapports daudit sans pour autant disposer dune cartographie des risques consolide pour piloter lvolution de tous les risques par ligne mtier et par entit.
Ainsi peut-on conclure que les programmes annuels daudit sont inadquats ou inefficaces. Trs souvent, les audits effectus ne sont pas suffisamment rigoureux pour dceler et notifier les insuffisances du contrle dans les banques. Dans dautres cas, mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme, except celui de suivi des recommandations par laudit interne, nest prvu pour faire en sorte que la direction remdie immdiatement aux dficiences releves. Ces cas rvlent galement labsence dincitations appropries pour que laudit interne exerce une surveillance hirarchique rigoureuse et maintienne un niveau lev de conscience du contrle au sein du systme bancaire. Laudit interne na pas achev sa mutation et continuera dvoluer pour apporter aux banques toujours plus de valeur ajoute. Les rsultats de cette enqute permettent dentrevoir les contours de laudit interne de demain et de dfinir les dfis et les enjeux futurs de la profession : affirmer son rle et ses responsabilits dans le gouvernement dentreprise la faveur dun rattachement hirarchique la direction gnrale et de liens fonctionnels avec le comit daudit, lorsquil existe ; se positionner, plus encore que par le pass, comme un outil majeur de dtection, de prvention et de matrise des risques, en coordination avec toute autre fonction concerne (Risk management, compliance,..); maintenir son indpendance, son objectivit et son impartialit ; accrotre sa professionnalisation par :
117
une formation permanente; une mthodologie et des outils adapts et performants bass et sur les risques et sur les systmes (lAudit Systmique); En relevant ces dfis, laudit interne apportera aux banques encore plus de valeur ajoute et sera un acteur incontournable de la bonne gouvernance de lorganisation bancaire.
118
Partie 2 :
L'audit systmique, un nouvel outil au service du risk management pour matriser davantage les risques des mtiers.
119
Chapitre 1 : Les particularits de l'approche d'audit systmique.
120
Chapitre 1 : Les particularits de l'approche d'audit systmique. Introduction.

Les volutions des mtiers bancaires, ont gnr de nouvelles variantes de risques et modifi les facteurs de fragilit financire susceptibles d'affecter la qualit de la situation des acteurs bancaires. Ainsi, il devient de plus en plus impratif de dvelopper des outils d'analyse spcifiques dans le but de prvenir, de dtecter et de couvrir le plus rapidement possible les risques susceptibles d'engendrer une dfaillance bancaire qui ne pourrait tre que prjudiciable la stabilit du secteur financier dans son ensemble. De nombreux tablissements bancaires ont encore un mode de fonctionnement compartiment, avec des silos dinformations, danalyses et dhypothses parfois incohrents entre les entits de la banque. Il leur est donc difficile dobtenir une vision densemble fiable et cohrente des multiples risques rencontrs et den mesurer le niveau de criticit. Si les normes prudentielles et rglementaires demeurent un point d'ancrage essentiel, il est de plus en plus pressant que les tablissements bancaires puissent s'investir dans le dveloppement d'instruments complmentaires d'analyse fonds sur des mthodes la fois quantitatives, qualitatives voire systmiques. Ble II impose la mise en uvre de mthodes plus strictes pour lvaluation et la gestion du risque de crdit, du risque de march et du risque oprationnel. Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences rglementaires, demande beaucoup dimplication, de temps, defforts et de ressources de la part des banques. Avec l'audit systmique, les tablissements bancaires disposent d'un outil prcieux pour mieux grer et contrler leurs risques. Par consquent, trois aspects mritent d'tre dvelopps :

Approches de l'audit du systme de contrle interne; L'approche par les risques; L'approche par les systmes ou l'approche systmique.
121
Section 1 : Approches de l'audit du systme de contrle interne.

L'audit du systme de contrle interne est une ncessit prouve par les diffrents acteurs. Plusieurs approches complmentaires sont possibles dont une approche par les risques, qui se complte d'ailleurs avec une approche par les systmes.
Le contexte.
L'audit, ou la revue du systme de contrle interne, d'une banque peut constituer une mission spcifique mandate par la direction gnrale ou le conseil d'administration qui prouve le besoin d'avoir un diagnostic sur la qualit du systme de contrle interne et des recommandations pour en amliorer l'efficacit. Pour l'auditeur bancaire, ce travail constitue un pralable sa mission gnrale car la qualit du contrle interne conditionnera son programme de travail : tendue des contrles, profondeur des contrles, budget temps. L'auditeur s'appuiera sur un systme de contrle interne dont il aura vrifi l'efficacit. Un systme de contrle interne faible conduira renforcer les tests, les sondages et les contrles pour pallier cette faiblesse. Cette alternative demeure toutefois difficilement applicable pour le cas spcifique des tablissements de crdit, ce pour la simple raison que le contrle interne est un lment incontournable de la scurit des oprations financires. Un contrle interne dfaillant ne saurait tre compens par des tests tendus, compte tenu du volume des oprations, de la complexit et de la diversit des mtiers et de la taille des tablissements financiers dots gnralement d'une organisation largement dcentralise. Ce travail exige en revanche un personnel hautement qualifi car il se fera essentiellement base d'entretiens, d'analyse de l'organisation, d'examen des rapports et documents importants et ventuellement de quelques tests destins vrifier la ralit et l'efficacit des dispositifs et des procdures existantes. Un questionnaire, un guide de contrle interne, ou un mode opratoire daudit par ligne mtier peut constituer un outil prcieux pour mieux "encadrer" la mission. (Cf. 2me Partie). A l'issue de cette revue, l'auditeur pourra tablir son diagnostic soulignant les forces et les faiblesses du systme de contrle interne et ses recommandations pour en amliorer l'efficacit. Plusieurs approches sont possibles pour raliser cette revue du systme de contrle interne. Ainsi, on distingue, l'approche par les risques et l'approche par les systmes. Actuellement, il y a une tendance privilgier davantage l'approche par les risques. Par ailleurs, l'approche systmique permet d'avoir une vision plus globale et matrise des risques et doptimiser ainsi lefficacit de laudit, quelle que soit la complexit des organisations ou des processus auditer. Lauditeur bancaire doit se poser les questions suivantes avant de dfinir sa dmarche d'audit :
122
Comprenons-nous les implications des engagements pris par la banque vis--vis des marchs financiers? Comprenons-nous pleinement le modle conomique de la banque et les risques qui y sont attachs? Le Conseil d'Administration lui-mme les apprhende-t-il ? Les quipes ont-elles les comptences ncessaires au vu des activits ou oprations de la banque ? Avons-nous recours aux expertises requises? Prenons-nous bien la mesure des impacts potentiels de pratiques comptables "agressives" ? Apprhendons-nous vraiment la substance des oprations ralises au del de leur forme? Avons-nous une communication transparente avec le Conseil d'Administration ou le Directoire et/ou le Conseil de Surveillance? Les outils de reporting de la banque sont-ils adapts pour une bonne apprciation des risques? Pour une meilleure apprhension des risques d'un tablissement financier, Lauditeur bancaire est tenu de : Amliorer la comprhension de l'activit et de la performance de la banque et de son environnement/march; Elargir son champ d'investigation; Ne pas se cantonner la fonction financire; Evaluer la qualit du pilotage de lentreprise et les impacts ventuels de l'activit sur les comptes; Identifier et valuer galement ce qui n'est pas dans les comptes ; Renforcer l'analyse de l'activit, des engagements et des oprations des diffrentes fonctions; Renforcer la qualit et l'efficacit de l'audit; Renforcer l'utilisation dans son approche des indicateurs de pilotage de l'activit utiliss par le management; Prendre en compte les amliorations rapides des outils et du contrle des processus du client; Accrotre sa capacit produire des conclusions forte valeur ajoute, rpondant aux proccupations du management.
Le rfrentiel de contrle interne : COSO
Cette approche, est conceptuellement simple et logique. Elle s'inspire dans sa conception de l'approche COSO (Committee of Sponsoring Organizations of the Treadway Commission) qui reprsente un rfrentiel international en matire de contrle interne.
123
Quelques concepts cls du COSO :
Les contrles sont plus efficaces quand ils sont intgrs aux activits oprationnelles; Chaque individu tous les niveaux de l'organisation a une responsabilit en terme de contrle interne ; Le contrle interne ne peut pas fournir une assurance absolue; Le contrle interne est une composante essentielle d'une bonne gouvernance d'entreprise.
Elments considrer pour chaque domaine :
Environnement de contrle
Code de conduite (intgrit, dontologie et thique); Philosophie et style de management des dirigeants; Comptences; Gouvernement d'entreprise : conseil d'administration, comit d'audit; Dlgations de pouvoir et domaines de responsabilit; Politique en matire des ressources humaines.
Evaluation des risques
Processus d'valuation des risques; Mcanismes pour anticiper, identifier et ragir aux vnements significatifs; Processus et procdures pour identifier les changements dans les pratiques comptables, mtier et de contrle interne.
Informations et communication
Production de rapports de performance rpondant aux critres dfinis par l'entreprise; Alignement des systmes d'information et de communication avec la stratgie de la banque;
124
Engagement de l'entreprise pour dvelopper, tester et superviser les systmes d'information; Plan de secours et plan de continuit informatique.
Activit de contrle
Existence de procdures et de normes; Dfinition prcise des activits de contrle intgrant une supervision active; Intgration des activits de contrle l'valuation des risques; Sparation des tches; Mise en place de procdure de sauvegarde des documents et des actifs; Procdures d'autorisation.
Pilotage
Evaluation priodique des contrles internes; Mise en place des recommandations pour amlioration; Fonction d'audit interne structure pour superviser les activits de contrle.
Approche d'valuation du systme de contrle interne.
La premire tape consistera identifier les risques majeurs et la deuxime analyser les dispositifs en vigueur pour matriser ces risques. L'identification des risques peut s'appuyer sur l'inventaire des risques traditionnels et bien connus tels que prsents dans le 1er chapitre de la premire partie. Elle peut galement s'appuyer sur un inventaire, ou "cartographie", tabli par l'tablissement lui-mme (via le risk management). Il conviendra ensuite de l'affiner pour l'adapter au profil spcifique de l'tablissement : ajouter de nouveaux risques, enlever ceux que n'encourent pas l'tablissement et de les hirarchiser selon leur typologie. La deuxime tape consiste rpondre la question : quel est le degr de matrise de ce risque? Il conviendra pour rpondre cette question d'examiner soigneusement les dispositifs de contrle interne, les procdures, les moyens, les outils de mesure et de gestion.
Ebauche d'une dmarche d'valuation du systme de contrle interne.
Le systme de contrle interne ne doit pas tre confondu avec l'audit interne qui est l'organe dont la mission est de s'assurer en permanence que le dispositif de contrle interne est efficace. Dans le cas contraire, laudit interne doit dtecter rapidement les faiblesses pour y porter remde. A ce titre, il fait partie intgrante du systme de contrle interne. Un systme de contrle interne efficace est caractris par : Des objectifs clairement exprims et des moyens appropris; Une forte implication des organes dlibrant et excutifs; Une organisation cohrente des organes de contrle; Des systmes de mesure, de limites et de surveillance des risques rigoureux; Une stricte sparation des fonctions et des tches; Le contrle permanent des oprations et la supervision; Des procdures qui mettent en application la politique de contrle interne; Un systme comptable fiable pour traduire une image fidle;
125
Un systme d'information performant et scuris; Une entit daudit interne forte et indpendante. Toute dmarche de revue du systme de contrle interne viserait les objectifs suivants: Etablir une vue la fois prcise et globale de l'ensemble des risques de la banque; Discuter et valider avec tous les responsables impliqus dans le processus d'identification des risques, le niveau de risque associ chaque activit. L'auditeur devra dans ce cas prcis faire appel ses connaissances approfondies du secteur bancaire et particulirement de l'tablissement audit; Identifier les contrles mis en place afin d'assurer une couverture des risques; Evaluer l'appropriation du contrle interne par les responsables oprationnels.
Section 2 : L'approche par les risques.

L'approche d'audit est en gnrale base sur les risques et peut tre rsume comme suit :
Approche par les risques Changements dans la mise en uvre Application renforce des principes
Une approche partant de l'activit du client pour mieux comprendre et valider les comptes. Une analyse progressive de l'assurance d'audit. La prise en compte des risques d'audit traditionnels (exhaustivit, exactitude, cut-off, droits et obligations, etc).
Une dmarche organise autour des business units et business processes. Des produits finis davantage centrs sur les zones de proccupation du management. Des travaux mieux rpartis sur l'exercice; disparition des phases traditionnelles (intrim, Final). Une gestion de mission en mode projet Une analyse de "l'assurance" d'audit intervalles rguliers en regard des travaux rellement effectus et non de faon thorique au moment de la dfinition de la stratgie.
Les grandes tapes de cette dmarche peuvent tre rsumes comme suit :
Phase I : Identification des principaux risques pouvant menacer le bon fonctionnement de l'tablissement.
Les principales catgories de risques qui seront analyses sont les suivantes :
126
risque de crdit ; risque de march ; risque de taux d'intrt ; risque de liquidit ; risque de rglement; risques oprationnels; risques informatiques; risque juridique; risque humain; risque commercial. Pour ce qui concerne l'identification des principaux risques, ceux-ci devraient tre revus avec les principaux responsables de services de chaque entit lors d'entretiens individuels. Lors de ces entretiens, il est question de revoir avec eux la probabilit de survenance et l'impact potentiel de ces risques sur les objectifs de lentit. Cette phase dbouchera sur la rdaction d'un document d'identification des principaux risques pouvant menacer les processus de la banque.
Phase II : Mise en vidence des principales faiblesses du systme de contrle interne de la banque.
Cette phase s'appuie dans un premier temps sur une prise de connaissance de la politique de gestion des risques au sein de la banque au travers des cinq composants (reconnus par le COSO Report comme tant les cinq piliers du contrle interne) suivants: l'environnement de contrle interne ; l'valuation des risques; les activits de contrle ; l'information et la communication; le monitoring du systme de contrle. Ensuite, il y a lieu d'tudier avec la direction de lentit et les principaux responsables oprationnels quels sont les systmes de contrle existants au sein de la banque et qui couvrent les principaux risques identifis lors de la phase prcdente. Cette phase fait appel un cumul de connaissances assez important qui pourrait tre constitu travers des bases de donnes internes comprenant les meilleures pratiques dans le domaine des systmes de contrle. Cette deuxime phase mettra en vidence les faiblesses les plus importantes dans le dispositif du systme de contrle interne. L'objectif tant de ressortir dune part, l'cart entre les risques les plus importants auxquels s'expose la banque et les systmes de contrle existants et d'laborer dautre part, un document prsentant les principales faiblesses du systme de contrle interne.
Phase III: Elaboration d'un plan d'actions ncessaire la banque pour matriser ses principaux risques et tre en conformit avec la rglementation.
Cette phase aura pour objectif de prioriser les actions qui devront tre inities et d'valuer les moyens mettre en uvre pour atteindre un niveau de risque acceptable par la Direction.
127
Les recommandations seront dtailles et regroupes sous forme de projets, en prcisant la priorit et les ressources devant tre engages. Le plan d'actions propos est prsent pour validation la Direction. Sa mise en place permettra de couvrir les principaux risques qui menacent les objectifs de la Direction et de rpondre aussi aux exigences de Bank Al Maghrib. Au cours de cette phase, il est aussi question de dterminer galement quelles sont les procdures qui doivent tre labores. Cette phase dbouchera sur la rdaction d'un plan d'actions prioriss comprenant les recommandations dtailles (systmes de contrle amliorer ou mettre en place) pour matriser les principaux risques qui menacent les objectifs de la banque.
Section 3 : L'approche systmique.

Les diffrentes dfinitions d'un systme :
Un systme est un ensemble d'objets runis par la relation entre les objets et leurs attributs (A. HALL et R. FAGEN). Un ensemble d'lments en interaction dynamique, organiss en fonction d'un but (J. ROSNAY). Un ensemble des parties coordonnes en vue d'atteindre un ensemble de buts (W. CHURCHMAN). Il ressort de ces diffrents lments que : un systme est constitu d'lments et de relations entre ces lments; un systme est finalis; un systme est un tout non rductible ces parties; un systme est organis.
Les caractristiques principales d'un systme.
L'approche systmique permet d'apprhender le fonctionnement d'une entit complexe qu'est la banque. Elle permet de comprendre la banque comme un ensemble de variables en interaction ayant un certain degr de finalit. La grille d'analyse de la banque permet de rpertorier les variables pertinentes et leurs liaisons. Les paramtres du modle d'analyse de la banque sont :
Sa structure : allocation stable des tches et des rles crant un cadre d'activit inter-reli et permettant la banque de mener et de coordonner ses activits. Ses systmes de gestion : lments qui donnent vie l'organisation (systme d'information, prise de dcision, valuation, contrle). Sa coalition dominante : petit nombre de dcideurs (organes d'administration) ou managers (risk managers) avec des propositions de pouvoir et d'influence avec : une personnalit, des valeurs, des expriences professionnelles.
128
Un environnement dimensions multiples : caractris par la complexit et l'incertitude. Il concerne les volets : commercial, risque, technologique, rglementaire, socio-culturel Les individus : ou ressources humaines venant d'horizons diffrents (des comptences, des attentes, des qualits, des besoins). Une stratgie : avec des choix de domaine d'activit, d'objectifs et de paramtres concurrentiels. Une technologie : c'est dire un ensemble de moyens matriels et immatriels ncessaires la ralisation de l'activit. Une culture : c'est dire un ensemble de valeurs, de croyances et de rgles plus ou moins reconnues par les acteurs de l'organisation, plus ou moins formelles ou informelles qui indiquent le chemin suivre (ce qui est attendu, ce qui est admis, ce qui est rcompens). Des performances : rsultats de la banque sous (organisationnelles, conomiques, techniques, humaines).
diffrentes
formes
La prise en compte conjointe de ces diffrentes variables permet d'analyser l'ensemble des interactions existant dans la banque.
L'approche systmique.
L'approche systmique a modifi profondment les pratiques utilises jusqu'alors pour aborder l'tude et la conception des systmes. L'analyse systmique engendre une dmarche inductive. Son introduction dans l'audit a impos une remise en cause profonde de l'approche utilise s'accompagnant d'une modification de la nature des outils sur lesquels se fait son application. La systmique envisage les lments d'une conformation complexe, des faits, non pas isolment mais globalement, en tant que parties intgrantes d'un ensemble dont les diffrents composants sont dans une relation de dpendance :
Le principe de totalit exprime l'ide que les interactions entre les diffrents lments d'un systme ne peuvent s'apprhender qu'au niveau de la totalit et non au niveau des lments pris sparment. Le principe d'interaction implique que chaque lment peut s'informer et agir sur l'tat des autres. Le principe d'homostasie caractrise un systme auto-rgul, c'est dire capable de ragir toute modification, d'origine interne ou externe, pour revenir son tat initial. Le principe d'quifinalit indique qu'un mme rsultat peut tre obtenu par des voies et conditions initiales diffrentes. Application de l'approche systmique dans l'audit bancaire.
A travers lapproche systmique, les diffrentes composantes du systme de contrle interne seront analyses, comme suit, pour en apprcier l'efficacit :
129
Dfinition des objectifs de contrle interne : sassurer que l'tablissement a dfini ses objectifs en matire de contrle interne et que ceux-ci sont cohrents par rapport aux normes professionnelles.
L'existence d'un document souvent intitul charte de contrle interne , approuv par le conseil d"administration est un point positif. Sa large diffusion et la rfrence permanente ce document sont des facteurs complmentaires indispensables. Les moyens dont dispose le systme de contrle interne permettent de vrifier que l'tablissement est rsolument engag dans la ralisation de ses objectifs.
Rle du conseil d'administration : s'assurer qu'il assume pleinement ses responsabilits en matire de contrle interne. Les procs verbaux de ses runions permettent de s'imprgner de son implication dans ce processus.
Distinguer notamment les rsolutions purement formelles destines se mettre en conformit avec les textes rglementaires des rsolutions qui mettent en vidence ses proccupations relles d'imposer ses objectifs en matire de contrle interne. Des entretiens avec certains membres du conseil d'administration sont un facteur important pour permettre l'auditeur de se forger une opinion sur ce degr d'implication. Notamment avec les membres faisant partie du comit d'audit.
Rle du comit d'audit : son rle peut tre examin essentiellement par des entretiens avec ses membres et l'examen des procs-verbaux ou des documents qu'il a mis ou approuv.
Les points suivants sont rvlateurs de l'efficacit de son rle : composition, pouvoirs, existence et contenu de la charte de contrle interne, nombre de runions tenues dcisions prises durant ces runions, recommandations qu'il a mises, rapports qu'il a soumis au conseil d'administration, etc.
Rle de la direction gnrale : sassurer que la direction gnrale est implique dans le systme de contrle interne et remplit son rle qui est de dfinir les stratgies et d'en suivre la ralisation.
Ce travail pourra tre ralis avec les membres de la direction gnrale. Des entretiens avec les diffrentes units de la banque permettront d'apprcier dans quelle mesure la direction gnrale donne les impulsions ncessaires pour imposer ses objectifs de contrle.
Culture de contrle interne : la culture de contrle interne se constatera galement tout au long de la mission par les entretiens avec les diffrents responsables oprationnels et fonctionnels. Le degr avec lequel l'ensemble du personnel est conscient des risques qu'il assume au quotidien et la manire de les grer peuvent alors tre valus. Audit systmique : audit multidisciplinaire du processus, de l'organisation, du fonctionnement, des procdures,
Dans lexercice de leurs activits, les tablissements de crdit supportent diffrents types de risques. En fonction de leur taille et de la complexit de leurs activits, les tablissements de crdit devraient mettre en place des systmes de gestion du risque savoir les processus de dtection, de mesure et de contrle des expositions aux risques - pour toutes les principales catgories de risques encourus.
130
Les risques bancaires sont lis aux processus de distribution des produits et services, au traitement des oprations, aux systmes dinformation ou des modifications de lenvironnement dans lequel opre la banque (juridique, fiscal, contractuel, rglementaire ou autres). Tout tablissement bancaire est confront ces risques susceptibles de porter atteinte la qualit des services apports ses clients, sa performance commerciale et, partant, son dveloppement dans la rentabilit. Dans ce contexte, une mthodologie dapproche globale des risques serait indispensable pour en tudier les principales causes et consquences, ainsi que les mcanismes de propagation. Une telle approche - appele audit systmique permettra de dterminer les indicateurs et mesures de gestion puis les plans dactions les mieux adapts pour les matriser. Laudit systmique est une approche descriptive, cognitive, prospective, experte et co systmique des dispositifs complexes. Laudit systmique tente de rpondre aux besoins de connaissance et de modlisation prparant la conception de systmes complexes (projet et dispositif) ainsi qu leur pilotage par le commandement et la gestion des dcisions (management). Cette approche permet d'avoir une vision globale et matrise des risques et doptimiser lefficacit de la mission daudit, quelle que soit la complexit des organisations ou des processus auditer. Il sagit dune approche globale du risque avec un ensemble de composants modulaires complets permettant de vrifier l'efficacit du dispositif de contrle interne par ligne mtier, mais qui peut aussi tre intgre individuellement pour complter un systme existant. L'audit systmique aboutit notamment mieux connatre le profil de risque des activits exerces (cartographie des risques), dvelopper et alimenter les outils ncessaires au pilotage de ces risques (rfrentiel de risques par activit, indicateurs de veille et de suivi, incidents oprationnels et pertes conscutives leur survenance). Il vise galement amliorer et coordonner les processus de gestion existants en intgrant, en particulier, les problmatiques de contrle interne, de scurit des systmes dinformation, de dontologie et de plans de continuit des activits dans le cadre dun dispositif de matrise globale des risques. Enfin, il permettra daccrotre la responsabilit, la vigilance et la ractivit des units oprationnelles et ainsi des risk managers qui bnficieront notamment des retours dexpriences et de rpondre aux exigences du march (actionnaires, analystes financiers et agences de notation) et du rgulateur. Une dmarche dtaille d'valuation du systme de contrle interne par l'audit systmique est dveloppe pour quatre lignes mtiers (systme d'information, salle des marches, comptabilit et ressources humaines) dans la deuxime partie.
Audit systmique : outil de matrise et de prvention des risques pour le Risk manager.
Le Risk Manager dune unit coordonne et supervise les diffrents travaux constitutifs dun dispositif de surveillance et de matrise des risques encourus par cette unit. Le management des risques concerne toutes les fonctions support ou oprationnelles existantes de la banque (contrle interne, ressources humaines, systme dinformation,
131
front office, middle office, back office, finance - comptabilit, conformit - dontologie, scurit financire). L'audit systmique permet au Risk Manager de mener bien sa mission en matire d'identification et d'valuation des risques, de mesure et de suivi du cot de ces risques, de prvention et de rduction de leurs impacts et enfin, de surveillance et de matrise desdits risques.
1. Identification et valuation des risques.
La dmarche cartographique permet aux units de dtecter les risques dans les activits ou processus de chaque domaine de leur primtre et de les hirarchiser. Cette analyse passe par l'auto-valuation des risques et des contrles permanents de chaque processus mtier ou support par les responsables d'activits (ex : responsables d'un desk, d'un Back Office,). Le Risk Manager fait tablir avec le concours des responsables concerns de son unit la cartographie de risques de son primtre. Il maintient dans ce cadre les rfrentiels du primtre de la banque / ligne mtier (processus, entits ). Le Risk Manager met jour cette cartographie annuellement ou aprs chaque changement significatif dans lorganisation de son primtre. Il est responsable de la ralisation de la cartographie et la fait valider par le Comit de Contrle Interne ou de risques de la banque.
2. Mesure et suivi du cot des risques (pertes et alertes).
Le Risk Manager fait recenser auprs des responsables des activits concernes les incidents importants et les pertes lies la survenance d'un risque dans son entit.
3. Prvention et rduction des risques.
Le Risk Manager contribue dvelopper limplication des responsables de son entit dans la gestion de leurs risques et promeut les bonnes pratiques en matire de Risk management. Lors du lancement de nouvelles activits et / ou nouveaux produits, le Risk Manager sassure en liaison avec l'auditeur bancaire que leurs caractristiques ont t examines par les spcialistes comptents sous langle des risques oprationnels (dontologie, juridique, fiscalit, scurit des systmes dinformation, comptabilit). Il fait mettre jour la cartographie de son primtre pour en tenir compte. L'audit interne promeut et coordonne avec les autres fonctions risques (crdit et march) et les fonctions support (organisation, systmes dinformation,..) les mesures de prvention et de rduction des risques (optimisation contrles/risques, amlioration des procdures, automatisation des processus..).
4. Surveillance et matrise des risques.
Le Risk Manager surveille lvolution des risques travers un tableau de bord trimestriel rassemblant au minimum les lments suivants : faits marquants de la priode, risques sensibles (processus surveiller), indicateurs cl mis en place, cot du risque et actions majeures (prvues ou en cours).
132
Ce tableau de bord est revu par le Comit de Contrle Interne, puis communiqu la Direction Gnrale. Il appartient lentit, le cas chant, de faire automatiser la collecte et le traitement des donnes ncessaires son alimentation. En relation avec laudit interne, le Risk manager tablit, suit et coordonne le plan dactions global damlioration du Contrle Interne. Les actions damlioration de la matrise des risques proviennent des rsultats de la cartographie, des recommandations des auditeurs et des rgulateurs, et de lanalyse des dysfonctionnements significatifs. Ce plan dactions global est suivi par le Comit de Contrle Interne.
Adhsion du top management : une condition sine qua none pour lefficacit de lapproche daudit systemique.
Pour garantir lefficacit de lapproche daudit systmique, la structure managriale de ltablissement bancaire doit tre suffisamment sensibilise par rapport lapport indniable de cette approche et de sa valeur ajoute en termes doutil de pilotage de la stratgie risques, defficacit et de scurit des traitements oprationnels, defficience du risk management et de la bonne gouvernance en gnral. Ainsi, le top management se doit de : rpartir clairement les rles et les responsabilits entre les divers acteurs intervenant dans le processus de matrise des risques (l'audit interne, le contrle interne, le risk management, la compliance, la dontologie, ) et favoriser la coordination et la synergie entre ces acteurs ; cerner la taxinomie et la particularit de chacun des risques inhrents l'activit bancaire et prendre les dispositions ncessaires pour prvenir et matriser ces risques ; prvoir la mise en place des dispositifs de contrle interne correctifs en cas de production ou de manifestation des risques tels que le Plan de Continuit d'Activit(PCA), les polices dassurance, la refonte du dispositif de contrle interne, instaurer un systme de pilotage stratgique des risques en tant destinataire via un systme de reporting priodique (cartographie consolide des risques, indicateurs des risques cls KRI , rapports sur le contrle interne, rapports de missions de laudit interne), des vnements risques et des incidents survenus en mettant en relief leur criticit, leur svrit, leur occurrence, leur (s) cause(s) (dfaillance ou insuffisance du dispositif de contrle interne en termes defficacit ou de pertinence) et enfin, les mesures prises ou prvues pour soit attnuer limpact financier et/ou de rputation, soit rduire la probabilit de survenance de ces risques.
133
L'audit systmique a modifi profondment les pratiques utilises jusque l par l'auditeur bancaire. Instaure en globalit pour toutes les lignes mtiers ou intgre individuellement pour complter un systme existant, une telle approche permet : d'avoir une vision globale et matrise des risques, quelle que soit la complexit des organisations ou des processus auditer; de vrifier l'efficacit du dispositif de contrle interne par ligne mtier; Enfin, daccrotre la responsabilit, la vigilance et la ractivit des units oprationnelles et ainsi des risk managers dans la matrise, la gestion et la prvention des risques. Paralllement au dveloppent en interne d'outils et techniques de contrles et de gestion des risques bancaires, l'auditeur interne apparat de plus en plus incontournable dans le processus de supervision bancaire architectur par les organes de tutelles. Au del de sa responsabilit de donner un avis indpendant sur la fiabilit des dispositifs de contrle interne, l'auditeur bancaire devient ainsi un acteur incontournable dans la prvention des risques bancaires. Ainsi, une dmarche opratoire d'audit systmique est dveloppe pour quatre lignes mtiers (systme d'information, salle des marches, ressources humaines et comptabilit) dans la deuxime partie illustrant parfaitement l'originalit et la pertinence de l'approche.
134
Chapitre 2 : Mission d'audit de la Direction des Systmes d'Information.
135
Chapitre 2 : Mission d'audit de la Direction des Systmes d'Information. Introduction.

Ce chapitre couvre l'audit de la fonction systme dinformation (SI) dans son ensemble. Il a t divis en quatre domaines correspondant un dcoupage logique des axes danalyse de ladite fonction : l'organisation et le management, la scurit, les tudes et dveloppements et l'exploitation informatique. La matrise de la fonction systme d'information, au sein de toute banque commerciale comme ailleurs, passe notamment par la maitrise des quatre domaines savoir : Une organisation claire et un management adquat avec des procdures gnrales en place visant matriser la fonction SI dans son ensemble, La matrise de la scurit par une analyse rgulire des risques pesant sur le systme d'information de l'entit (scurit logique, scurit physique, et la continuit des services), L'efficacit, l'efficience et l'intgrit des dveloppements dapplications (en interne ou en externe), des progiciels ou des systmes existants ayant t modifis, L'exhaustivit des procdures dexploitation du SI : indicateurs de qualit, performance, planification et contrle des travaux. Comme pour toutes les fonctions, une mission daudit SI comprendra une phase de prparation (collecte de documents et entretiens prparatoires), une phase dinvestigation (entretiens systmiques 23 et sondages) et une phase de rdaction. Il conviendra de couvrir chacun des quatre domaines lors de chaque phase. Selon limportance de la banque audite, ces quatre thmes seront dclins plus ou moins formellement. Dans tous les cas, la mission aura pour objet dapprcier comment sont couverts les risques lis la fonction SI. Parmi les familles de risques recenses, seront principalement concerns les risques d'efficacit, d'efficience, de confidentialit, d'intgrit, de disponibilit, de conformit, juridique et d'image. Laudit des systmes dinformation devra mesurer le niveau des risques, leur volution, et lavancement des plans dactions correcteurs. Le prsent chapitre reprend : pour la phase de prparation, la liste des documents recueillir et des entretiens mener, pour la phase dinvestigation, dans chacun des 4 domaines, les objectifs, les points de contrle, les familles de risques associes et les natures des risques et enfin les sondages et les documents requis.
23
Audit de processus : organisation, fonctionnement, procdures,
136
Pour la phase de synthse, une liste de sondages qui pourraient tre repris dans le rapport.
Prparation.
Ds le dbut de la phase prparatoire de la mission, les auditeurs remettent la Direction des Systmes dInformation (DSI) une liste de documents leur envoyer et/ou tenir leur disposition : Organigramme de la DSI ; Liste des comits auxquels participe le responsable SI ; Description des missions / rles / responsabilits des principaux dpartements de la DSI ; Liste des sites informatiques (dveloppement, archivage,) et des principaux sites utilisateurs ; production, back-up,
Liste des principales socits externes prestataires de services informatiques, avec indication de la nature et de limportance (quantitative/qualitative) des services rendus ; Documents budgtaires de synthse des exercices N et N-1 chiffres et dossiers daccompagnement valids) ; (donnes
Documents de synthse rcents relatifs aux grandes orientations stratgiques / schmas directeurs / principaux projets informatiques (exemple : plan triennal, notes dorientation stratgique,) ; Documents de synthse de prsentation des architectures matrielles, logicielles et rseaux (incluant les principales interconnexions avec lextrieur); Documents de synthse de la cartographie applicative et de prsentation des principales applications sur les diffrentes plates-formes ; Comptes-rendus rcents (ex : 6 derniers mois) des principaux Comits informatiques (internes DSI / inter-Directions / de Direction Gnrale) ; Rapports de synthse dactivit rcents de la DSI diffuss la Direction Gnrale / aux Directions utilisatrices (ex : rapport annuel, derniers rapports mensuels / trimestriels,).
Accs au systme dinformation de la banque audite.
En cas de besoin daccder au rseau local de la banque pour des investigations, demander que les ordinateurs des auditeurs de la mission soient connects avec des droits daccs en lecture uniquement (et pour la dure de la mission) sur les rpertoires de production des serveurs du rseau local. En cas de besoin pour les membres de la mission de disposer dun rpertoire partag, demander la mise disposition dun tel rpertoire, sur un serveur de fichier de la banque. Ne pas oublier de nettoyer ce rpertoire en fin de mission avant de quitter la banque. Pour les systmes de production centraux, demander lattribution dun ou plusieurs comptes utilisateurs ayant toutes les fonctions de consultation et dimpression sur les
137
programmes et donnes de production. Demander expressment de navoir aucune possibilit de cration ou de mise jour des donnes et programmes de production.
Investigation.
Rappel de larborescence de la dmarche daudit systmique :
Mission : nom de la mission objet de laudit. Thme : libell du thme auditer. Sous-thmes : libell du sous-thme appartenant au thme audit. Objectifs/points de contrle : points de contrle vrifier via un questionnaire. Risques : risques inhrents au thme/sous-thme audit. Approches daudit et sondages : approches daudit et de sondages raliser.
Mission d'audit de la Direction des Systmes d'Information. 1. Organisation et management.

Ce domaine concerne l'organisation et les procdures gnrales en place visant matriser la fonction SI dans son ensemble travers : une organisation claire et des dfinitions de responsabilits prcises, une planification court, moyen et long terme formalise des volutions des systmes d'information, la mise en oeuvre de procdures internes formalises, notamment en matire budgtaire et de suivi dactivit, la formalisation des relations avec les utilisateurs et leurs matrises douvrage, la mise en uvre de dispositifs de pilotage et de contrle.
1.1 - Structure et organisation gnrale

Organisation et responsabilits de la fonction. Objectifs/points de contrle. Existe-t-il un organigramme hirarchique et fonctionnel de la fonction informatique, est-il mis jour rgulirement ? La dfinition de la fonction Informatique est-elle clairement tablie (missions et responsabilits) et la position de la fonction au sein de l'entit lui permet-elle d'exercer ses missions de faon satisfaisante ? L'organisation de la fonction Informatique est-elle adapte aux rles et responsabilits qui lui ont t attribus par la Direction Gnrale de la banque ?
Risques. Efficacit, Efficience
138
Approches daudit & sondages. Pour quelques postes figurant sur l'organigramme informatique, vrifier que le titulaire effectif du poste au sein de la Direction informatique correspond bien la personne en charge du poste sur l'organigramme. Prendre connaissance de la dfinition des missions et des responsabilits relatives l'exercice de la fonction. Analyser les relations hirarchiques, le pouvoir dcisionnel et le positionnement par rapport aux autres fonctions. Le rattachement de la fonction informatique doit tre le plus lev possible (en principe la Direction Gnrale de la banque). Analyser la structure de la Direction informatique au travers de son organigramme, en le rapprochant des missions et responsabilits dfinies par la Direction Gnrale de la banque. Rles et responsabilits des diffrents postes. Objectifs/points de contrle. Existe-t-il une dfinition de poste prcisant les rles et responsabilits pour chaque poste figurant sur l'organigramme de la Direction informatique, et est-elle applique dans les faits ? Existe-t-il une procdure formalise prcisant les responsabilits des personnes au sein de la Direction informatique concernant les dlgations de signature ?
Risques. Efficacit, efficience, conformit. Approches daudit & sondages. Pour un certain nombre de postes de la Direction informatique, vrifier que la description de poste comporte les lments suivants : objet du poste, missions, rles et responsabilits, rattachements hirarchiques et fonctionnels, principales relations avec dautres postes internes et externes la Direction informatique. De plus, interroger la personne qui occupe le poste pour s'assurer qu'il connat sa description et qu'il lapplique. S'assurer notamment de la formalisation des autorisations pour les embauches, la dfinition de l'organisation interne, le lancement des projets, les achats et le recours des prestations externes. Sparation des tches.
Objectifs/points de contrle. L'organisation et le fonctionnement effectif de la fonction informatique respectent-ils une correcte sparation des tches incompatibles?

Risques. Efficacit, efficience. Confidentialit, intgrit. Approches daudit & sondages. Consulter l'organigramme et dterminer la sparation des tches en vigueur.
139
Par analyse des travaux effectus par quelques personnes, vrifier qu'elles ne ralisent pas dans la pratique des tches d'autres personnes, lencontre dune correcte sparation des tches.
Stratgie informatique Objectifs/points de contrle. Une stratgie claire et cohrente a-t-elle t dfinie et formalise en matire de systmes d'information, et est-elle respecte ? Les dcisions cls en matire de systmes d'information sont-elles soumises un Comit runissant la Direction Gnrale, les matrises d'ouvrage et les matrises d'uvre de la banque ?
Risques. Efficacit, efficience. Approches daudit & sondages. Consulter les documents dcrivant cette stratgie. S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas dorientations importantes apparaissant comme incohrentes avec la stratgie. S'assurer que ces orientations stratgiques sont respectes et que les matrises douvrage sont consultes loccasion des orientations prises par la banque. Se faire communiquer la note ou l'instruction de la Direction Gnrale de la banque instituant le Comit dcisionnel en matire de stratgie informatique. Examiner par rapport la structure gnrale de la banque la reprsentativit de ce Comit. Examiner les procs-verbaux ou les comptes rendus des runions les plus rcentes de ce Comit et vrifier si les principales dcisions stratgiques en matire d'volution des SI ont bien t prises dans le cadre de ce Comit. Schma directeur / plan informatique :
Objectifs/points de contrle. Les orientations stratgiques, en matire de systmes dinformation, approuves par la Direction Gnrale de la banque, sont-elles dclines sous la forme d'un schma directeur / plan informatique, priodiquement mis jour, reprenant ces orientations et recensant les projets envisags court et moyen terme dans le cadre de leur mise en uvre ? Les prconisations du schma directeur des systmes d'information font-elles l'objet d'un suivi (avec un reporting) de mise en oeuvre priodique et formalis l'intention de la Direction Gnrale de la banque ?
Risques. Efficacit, efficience. Approches daudit & sondages. Rcuprer le schma directeur / plan informatique. Analyser son processus d'laboration et de mise jour, et notamment le lien avec les orientations stratgiques approuves par la Direction Gnrale de la banque. Slectionner quelques projets et s'assurer quils sont en ligne avec ces orientations stratgiques.
140
S'assurer que ce suivi est effectu, soit dans le cadre d'un Comit runissant les principaux responsables de la banque, y compris la Direction Gnrale, soit par un reporting formalis ces responsables.
1.2 - Conduite des activits.

Objectifs/points de contrle. La fonction informatique est-elle dote des moyens permettant un pilotage efficace de son fonctionnement et de son volution ? La fonction informatique dispose-t-elle des moyens financiers adapts sa mission et ceux-ci sont-il grs et contrls de faon adquate ? Un budget informatique est-il labor en conformit avec le processus budgtaire global de l'entit, recense-t-il l'ensemble des dpenses et des recettes associes aux systmes d'information, et fait-il l'objet d'un suivi formalis ?
Risques. Efficacit, efficience. Approches daudit & sondages. Se procurer le budget informatique. Vrifier en particulier que l'laboration de ce budget fait l'objet d'une concertation suffisante entre les Directions de l'entit afin de tenir compte des orientations des Directions "utilisatrices" de l'informatique. Se procurer les documents de suivi du budget informatique. Vrifier en particulier ladquation de lanalyse des carts entre le budgt et le ralis, et de la justification du prvisible. Plans de travail. Objectifs/points de contrle. Le plan informatique long terme est-il rgulirement traduit en plans de travail court terme qui prvoient laffectation des ressources humaines et matrielles ? Ces plans sont-ils priodiquement rexamins et mis jour ? Les plans de travail sont-ils cohrents par rapport aux budgets informatiques ?
Risques. Efficacit, efficience. Approches daudit & sondages. Demander la communication des versions successives des plans informatiques court terme et vrifier leur cohrence avec le plan long terme. S'assurer que ces plans incluent les dveloppements, la maintenance, et qu'une marge de manuvre est conserve afin de raliser des travaux exceptionnels et urgents. Sassurer que les travaux prvus aux plans de travail sont cohrents par rapport aux lignes budgtaires approuves par la Direction Gnrale de la banque.
141
Pilotage et suivi de l'activit. Objectifs/points de contrle. Des instances permanentes ou ponctuelles permettent-elles de piloter de manire adquate les activits conduites par la fonction informatique de la banque ? Des tableaux de bord de gestion, comportant un ensemble pertinent et complet d'indicateurs, sont-ils labors et exploits pour le pilotage de la fonction informatique au sein de la banque ? Un reporting priodique de l'activit de la fonction informatique de la banque est-il effectu auprs de la Direction Gnrale de la banque ?
Risques. Efficacit, efficience. Approches daudit & sondages. Recenser les instances existantes et analyser leurs modalits de fonctionnement. Rcuprer les traces formelles des runions de ces instances et vrifier que des dcisions y sont prises et suivies d'effet. Collecter les diffrents tableaux existants et analyser leur contenu. Vrifier qu'ils contiennent des indicateurs relatifs aux diffrentes activits de la fonction informatique, y compris les principales volutions de la structure (effectifs / organisation...), les principaux dveloppements, la volumtrie en exploitation, les principaux incidents, et des lments de suivi budgtaire. Dterminer si ces tableaux de bord sont utiliss pour des dcisions de gestion. Prendre connaissance de ce reporting et vrifier qu'il reprend fidlement les principaux indicateurs relatifs l'activit de la fonction informatique. Moyens techniques. Objectifs/points de contrle. Dispose-t-on d'un inventaire jour de tous les quipements24 avec leur emplacement et leurs connexions ? Des inventaires physiques priodiques sont-ils effectus et existe-t-il un rapprochement priodique avec la comptabilit ? Existe-t-il une gestion de la performance et de la capacit des quipements ?
Risques. Efficacit, efficience. Approches daudit & sondages. Apprcier l'exhaustivit, la lisibilit, et les procdures de mise jour de cet inventaire. Obtenir les rsultats du dernier inventaire physique : apprcier les procdures mises en oeuvre, y compris lanalyse des carts et le rapprochement avec la comptabilit. Obtenir le reporting correspondant : apprcier la couverture des quipements concerns, et dterminer si ce reporting permet danticiper correctement des modifications de configuration pour amliorer les performances et la capacit de traitement.
24
Equipements concerns: serveurs, postes de travail, imprimantes, quipements rseau (routeurs, multiplexeurs, concentrateurs, modems...)
142
Gestion des ressources humaines Objectifs/points de contrle. La fonction Informatique dispose-t-elle des ressources humaines adaptes ses missions ? La dure moyenne de formation (interne/externe) du personnel est-elle suffisante par rapport aux besoins et aux volutions technologiques ? La fonction SI gre-t-elle ses ressources partir d'un plan de gestion formalis? Le turn-over des collaborateurs est-il limit (de lordre de 5 15% par an) ? Des mesures ont-elles t prises de manire viter que toute fonction essentielle dpende de la prsence d'une personne cl unique (back-up des comptences) ? A-t-on le sentiment que le climat social est correct et qu'il n'y a pas redouter d'action bloquante pour l'exploitation informatique ou d'action interne malveillante?

Risques. Efficacit, efficience. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Recenser le personnel de la fonction informatique. Analyser pour les diffrents responsables et catgories de personnel, leur formation initiale et complmentaire, ainsi que leur exprience vis vis des postes occups. S'assurer que la dure de formation est suffisante (suprieure 5 jours par an et par personne), notamment dans les domaines volutifs (net, rseaux / telecom ...) et dans la conduite de projets,... S'assurer que la planification de la fonction informatique intgre la gestion des ressources. Vrifier que le personnel peut voluer en fonction de ses aptitudes au sein de la fonction informatique. Identifier les raisons d'un ventuel turnover important. S'assurer que des mesures ont t prises pour le rduire : prime, formation, volution de carrire, ... Identifier les personnes cls de la fonction sur lesquelles reposent des responsabilits ou connaissances importantes (ex: chef de projet, responsable de l'exploitation, ...). Vrifier l'existence d'une personne susceptible de les remplacer en cas d'absence temporaire ou dfinitive.
1.3 - Gestion des projets.

Objectifs/points de contrle. La banque a-t-elle tabli une structure gnrale de gestion de projets qui dfinit la mthodologie appliquer pour chaque projet entrepris ? Cette mthodologie couvret-elle, au minimum, lattribution des responsabilits entre la Matrise dOuvrage (MOA) et la Matrise duvre (MOE), le jalonnement des tches, ltablissement et le suivi du budget temps et ressources, les points de contrle et de validation ? La MOA des dpartements utilisateurs participe-t-elle systmatiquement la dfinition et lautorisation dun projet de dveloppement, de mise en uvre ou de modification ? La mthodologie de gestion de projet prvoit-elle lapprobation dun projet par la Direction Gnrale de la banque et lapprobation des diffrents lots et des diffrentes phases par la MOA ?
143
La mthodologie de gestion de projet prvoit-elle une mthode et un contrle du

suivi des charges de travail et des dpenses engages tout au long de son dveloppement ? Tout projet fait-il l'objet d'une dmarche mthodologique et de l'utilisation d'outils de suivi normaliss ? Le suivi des projets se fait-il de manire rigoureuse pour viter tout drapage non contrl en termes de dlais et de cots ?
Risques. Efficacit, efficience. Approches daudit & sondages. Se faire communiquer et apprcier la mthodologie de gestion de projet retenue par la banque. Slectionner un chantillon de projets en fonction de leur taille et de leur criticit. Pour chacun des projets de lchantillon, tudier la cohrence et la pertinence de la mthodologie effectivement applique. Se faire communiquer les documents attestant de la participation de la MOA des dpartements utilisateurs (note de cadrage, cahier des charges, avant-projet,...). Vrifier sur lchantillon slectionn que les projets ont t formellement autoriss par la Direction Gnrale de la banque et que la MOA approuve chaque lot et chaque phase du cycle de dveloppement des projets. Contrler les documents de suivi des projets (contrle de gestion). Vrifier lexistence dune mthodologie et doutils de suivi de projet normaliss. Vrifier sur lchantillon slectionn que les projets sont suivis par une instance adapte, partir d'un reporting adquat des travaux effectus, et vrifier lutilisation effective de la mthodologie et des outils de suivi. Analyser les diffrences entre les plannings et cots initialement prvus et effectivement constats en fin de projet.
1.4 Gestion de la qualit.

Objectifs/points de contrle. Une personne est-elle en charge de la qualit interne, ou vis--vis des tiers, des prestations de la fonction informatique de la banque ? Des niveaux de services ont-ils t dfinis et sont-ils rgulirement mesurs pour valuer la qualit des prestations fournies ses clients (internes / externes) par la fonction informatique de la banque ?
Risques. Efficacit, efficience. Approches daudit & sondages. Prendre connaissance de la dfinition de fonction de la personne en charge de la qualit. Vrifier que ce poste dispose de moyens ncessaires la ralisation de ses objectifs. Recenser les domaines dans lesquels existent des conventions de services. Sassurer que les indicateurs sont pertinents et mesurables de manire objective, et quil y a eu concertation entre la fonction informatique et ses clients pour leur dtermination.
144
Vrifier que des mesures rgulires des niveaux de services sont effectues laide de ces indicateurs, et que des actions damliorations sont engages le cas chant partir de ces mesures.
1.5 - Assurances.
Objectifs/points de contrle. Le choix des garanties en matire informatique correspond-il une stratgie rsultant d'une tude spcifique, valide par la Direction Gnrale de la banque ? Le systme informatique est-il couvert par un contrat d'assurance couvrant les dommages matriels ? La banque a-t-elle souscrit un contrat couvrant les frais supplmentaires dexploitation en cas de sinistre ? La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de mdias25? La banque a-t-elle souscrit d'autres contrats lis aux prcdents (Globale informatique, Responsabilit civile, Pertes d'exploitation, etc...) ?
Risques. Efficacit, efficience. Approches daudit & sondages. Vrifier que le montant et la nature des risques couverts ont t dtermins par une tude prcise portant notamment sur le matriel (configuration centrale, rseaux...), les risques de fraude ou de dtournement, les cots de reconstitution de supports, les pertes d'exploitation ventuelles, etc ... Vrifier que les risques suivants sont bien mentionns : la dtrioration d'origine externe mais aussi interne, d'ordre lectrique ou mcanique, les phnomnes naturels, le vol ou la tentative de vol de matriel (s'assurer que le contrat inclut une garantie de vol sans effraction). S'assurer que le contrat d'assurance prend bien en charge les frais supplmentaires d'exploitation, c'est--dire ceux qui sont mis en uvre au moment du sinistre, la couverture du back-up, les biens et services de remplacement, les frais supplmentaires de transport et de main d'uvre. S'assurer que le contrat couvrant les frais de reconstitution des mdias concerne les programmes dvelopps pour les besoins spcifiques de l'entreprise et les adaptations des progiciels aux besoins particuliers de l'entreprise. Vrifier que les sauvegardes correspondantes existent et sont effectues rgulirement, pour rendre possible la mise en jeu de la garantie. Vrifier que les risques couverts par les diffrents contrats sont complmentaires, non redondants, et cohrents par rapport la stratgie dassurance de la banque.
1.6 Conformit aux lois / rglements et aux normes.

Objectifs/points de contrle. Des mesures ont-elles t prises pour faire respecter la lgislation concernant la protection de la proprit des logiciels 26 ?
25 26
Il s'agit des moyens de stockage de type "unit disques" contenant programmes et donnes utiliss pour le fonctionnement des systmes informatiques Il s'agit essentiellement de la protection contre le piratage informatique (copie, utilisation et diffusion illicites de logiciels).
145
Risques. Conformit. Approches daudit & sondages. Vrifier notamment que les logiciels font lobjet dune licence.
1.7 - Ethique et dontologie.

Objectifs/points de contrle. Le rglement intrieur comporte-t-il des dispositions spcifiques en matire d'thique et de dontologie concernant l'usage du systme d'information ? Remet-on des documents ad hoc aux nouveaux arrivants dans l'entit et leur fait-on le cas chant signer des documents relatifs leurs obligations en matire d'usage du systme d'information ?

Risques. Conformit, disponibilit. Intgrit, confidentialit. Juridique, image. Approches daudit & sondages. S'assurer qu'il existe une dfinition claire et prcise des droits et devoirs auxquels sont soumis les intervenants sur le systme d'information, et que ces lments sont dment communiqus aux personnes concernes. Vrifier qu'en cas de non respect, des sanctions sont prvues et appliques. Se procurer ces documents (ex : moyens mis en oeuvre par lentreprise pour contrler lutilisation des services Internet mis la disposition du personnel). Si un document est sign par les nouveaux arrivants, s'assurer du caractre systmatique de cette procdure sur un chantillon.
1.8 Veille et standards technologiques.

Objectifs/points de contrle. Une fonction de veille technologique a-t-elle t dfinie ? Quels sont ses objectifs et les moyens qui lui sont allous ? Les travaux effectus font-il lobjet dune formalisation ? La fonction informatique labore-t-elle et diffuse-t-elle des normes / standards pour lensemble des domaines placs sous sa responsabilit ? Risques. Efficacit, efficience. Approches daudit & sondages. Si cette fonction existe, vrifier quelle dispose de suffisamment de moyens pour tre rellement oprationnelle. Se procurer et analyser les documents produits et diffuss. Recenser ces standards en matire de scurit, darchitecture technique / fonctionnelle, de conduite de projet, de dveloppement, dexploitation, de micro-informatique, et vrifier que ces standards sont respects.
146
1.9 - Gestion des services assurs par des tiers.

Objectifs/points de contrle. Chaque prestation confie en externe est-elle contractualise et rgulirement suivie et contrle par un responsable de la banque clairement identifi ? Les contrats avec les prestataires de services informatiques font-ils l'objet d'une validation par le dpartement juridique et/ou la Direction des Achats avant signature ? Les contrats incluent-ils systmatiquement une clause d'auditabilit des prestations fournies, prcisant les modalits daudit ? Les contrats de sous-traitance incluent-ils systmatiquement une clause de rversibilit, prcisant les modalits de reprise en interne des prestations ? Risques. Conformit, efficience, efficacit, conformit, juridique. Approches daudit & sondages. Identifier les principales prestations externes, et vrifier pour chacune delles l'existence dun contrat, dun responsable du suivi de la prestation et de procdures de suivi et de contrle effectives (en principe sur la base de conventions de service). Interroger le dpartement juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont) t consult(s) sur des contrats rcemment signs par la fonction informatique avec des tiers. Vrifier sur un chantillon que les avis mis sont formaliss. Recenser les contrats et vrifier l'existence d'une telle clause et sa porte effective. Recenser les contrats de sous-traitance et vrifier l'existence d'une telle clause et son applicabilit effective.
1.10 - Contrle indpendant de lactivit informatique.

Objectifs/points de contrle. Des audits internes et externes de la fonction informatique sont-ils effectus de manire rgulire, et donnent-ils lieu des plans dactions correctrices ?

Risques. Efficacit, efficience, conformit. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Recenser ces audits et vrifier que les recommandations ont fait lobjet de plans dactions correctrices. Sassurer que le primtre de ces missions couvre lensemble de la fonction informatique (absence de sanctuaire ).
1.11 - Evaluation des risques.

Objectifs/points de contrle. Existe-t-il une valuation rgulire des risques informatiques qui pourraient mettre en pril la ralisation des objectifs de la banque ? Cette valuation constitue-t-elle une base afin de dterminer comment grer les risques pour les rduire un niveau acceptable ? Existe-t-il un plan dactions visant mettre en uvre des contrles et des mesures de
147

scurit pour diminuer lexposition aux risques et ce de faon permanente ? Une mise jour des analyses et des actions et est-elle priodiquement effectue en tenant compte notamment des rsultats des audits, et des incidents constats ? Existe-t-il une acceptation formelle des risques rsiduels (aprs mise en oeuvre des plans dactions correctrices) par le management, en fonction de lestimation des risques, de la politique organisationnelle, de lincertitude inhrente lapproche mme de lvaluation des risques et du rapport cot / efficacit de la mise en uvre des mesures de protection et de contrle ? Les risques rsiduels sont-ils compenss par une couverture dassurance adquate ?
Risques. Efficacit, efficience, conformit. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Prendre connaissance des rsultats des analyses rcentes des risques informatiques. Sassurer que lvaluation des risques se fait de manire intgre au niveau gnral des activits de la banque et au niveau spcifique des systmes dinformation de la banque. Prendre connaissance des plans dactions existants visant rduire les risques identifis. Dterminer si ces plans dactions adressent les principaux risques identifis. Dterminer si les risques rsiduels sont clairement identifis et formellement accepts par les responsables de la banque, sur des bases objectives. Dterminer si les risques rsiduels sont correctement couverts par des assurances.

2. Scurit. 2.1 - Cadre de la scurit

Objectifs/points de contrle. La scurit du systme d'information est-elle une proccupation effective au sein de la banque ? Cette proccupation s'est-elle traduite par la mise en place d'une organisation, de procdures et d'outils adapts, permettant la matrise effective des risques auxquels se trouve expose la banque en matire d'organisation informatique et de systmes d'information ? Les aspects de scurit informatique sont-ils intgrs dans les politiques et procdures de la banque 27? Risques. Disponibilit, intgrit, confidentialit, efficacit, efficience. Approches daudit & sondages. Interroger des membres du personnel de la banque tout chelon hirarchique sur le sujet. Rechercher dans les politiques et procdures de scurit informatique de la banque des lments accrditant le caractre effectif de cette proccupation.
27
Ressources humaines, communication, juridique, dontologie, gestion des risques, ...
148
Rechercher la prsence d'une charte scurit dfinissant les rles et responsabilits, ainsi que les droits et devoirs, de chaque type dintervenants de la banque vis vis de la scurit. Faire de mme pour les exigences lgales et rglementaires en matire de scurit des systmes d'information. Procder par interview et/ou par examen des procdures existantes.
2.2 - Analyse des risques

Objectifs/points de contrle. Une cartographie des risques de la banque lis la scurit des systmes dinformation a-t-elle t ralise/mise jour depuis moins dun an ? La banque a-t-elle dtermin le niveau de scurit informatique jug souhaitable par rapport aux exigences de ses mtiers ? La banque a-t-elle effectu une classification selon les critres de la sensibilit / criticit des processus et des informations en fonction de limpact quun sinistre touchant ces processus et ces informations aurait sur la banque ? Des missions priodiques de contrle visant spcifiquement la mise en uvre de la scurit des systmes dinformation sont-elles ralises ? Existe-t-il au sein de la banque des tableaux de bord / indicateurs priodiques de mesure et de pilotage des risques lis la scurit des systmes dinformation ?
28 29 30 31
Risques. Disponibilit, intgrit, confidentialit, conformit. Approches daudit & sondages. Analyser la pertinence de cette tude qui doit comprendre un primtre, une mthodologie, une valuation des diffrents types de risques lis la scurit informatique, et le plan dactions pour traiter ces risques. Prendre connaissance de la manire dont ce niveau a t dfini (par exemple, par une tude de vulnrabilit et/ou lutilisation dune classification32 dtermine par les propritaires des processus / des informations). Sassurer de la couverture de lensemble des processus et des informations de la banque, notamment dans les domaines transverses (gestion des clients, flux). Vrifier que ce travail a t effectu par les propritaires ou par des responsables utilisateurs reprsentatifs et ayant une bonne connaissance de leur activit. Se procurer les rapports de ces missions. Analyser lexhaustivit et la priodicit de ces missions sur le primtre de la scurit de la banque et leur degr dapprofondissement et de pertinence. Vrifier que leurs conclusions servent mettre jour la cartographie des risques au travers de lapprciation du contrle interne. Se procurer, quand ils existent les tableaux de bord / indicateurs existants, et vrifier le niveau de couverture des diffrents types de risques au travers de ces outils.
28 29 30
Technologie, scurit, continuit de service, rglementation, etc Les tablissements de crdit dterminent le niveau de scurit informatique jug souhaitable par rapport aux exigences de leurs mtiers. Incidents, erreurs, indiscrtion, fraude, sabotage 31 Audit interne et externe, contrles du responsable scurit, ... 32 Disponibilit, Intgrit, Confidentialit, Preuve
149
2.3 - Plan scurit.

Objectifs/points de contrle. Existe-t-il au sein de la banque un plan scurit des systmes d'information remis jour priodiquement et dont la mise en uvre est suivie rgulirement ? Ce plan a-t-il t tabli partir d'lments objectifs ? Ce plan couvre-t-il bien l'ensemble des systmes informatiques de la banque ? Risques. Disponibilit, Intgrit, Confidentialit, Efficacit, Efficience. Approches daudit & sondages. Analyser le contenu du plan scurit33. Etudier les modalits de mises jour du plan : volution des configurations matrielles et logicielles / applicatives, recommandations faites sur la scurit (audit interne ou externe, responsable scurit, ...). S'assurer de la correcte mise en uvre des actions du plan en termes de contenu et de dlais (consulter notamment les comptes rendus des instances de pilotage et de suivi de la scurit). Vrifier que l'laboration du plan s'est effectue partir d'une valuation des risques ou d'audits scurit. Vrifier le niveau de couverture des systmes dinformation partir de linventaire disponible. S'assurer notamment que les micro-ordinateurs (autonomes ou connects au rseau) et l'I*net34 sont couverts par le plan.
2.4 - Organisation, responsabilits et instances.

Objectifs/points de contrle. Existe-t-il un Comit charg d'tudier tous les problmes lis la scurit, se runissant priodiquement et dont les travaux sont formaliss ? La scurit informatique dispose-t-elle au sein de la banque d'un poste spcifique (Responsable de la Scurit des Systmes d'Information) sur l'organigramme, avec un rattachement hirarchique lev assorti d'une dfinition de fonction et d'un budget spcifique ? Existe-t-il des administrateurs de scurit, distincts du responsable scurit , chargs de la gestion quotidienne de la scurit et des accs ? Existe-t-il des propritaires nommment dsigns des processus / traitements et des informations / donnes, responsables des rgles, procdures et autorisations d'utilisation des processus et des informations dont ils ont la charge ? Existe-t-il au sein de la banque une sensibilisation et une information rgulire de l'ensemble des utilisateurs concernant les problmes de scurit ? Les rgles de scurit informatique respecter sont-elles intgres dans les contrats /Conventions de services signs par les prestataires externes ? L'utilisation des postes de travail (autonomes ou connects un rseau local) fait-elle l'objet de procdures de scurit particulires dont la mise en uvre est contrle ?
35
33
Il doit comprendre une valuation quantitative des risques, une dfinition des risques intolrables (en liaison avec les utilisateurs), les moyens de scurit existants, ceux mettre en place, le planning et les priorits, un budget annuel de la scurit, les principes et rgles de scurit mettre en place, ainsi que les responsabilits et dates prvues de mise en oeuvre 34 Internet, Extranet, Intranet 35 Pour les entits de taille importante, il est recommand que le responsable scurit n'administre pas lui-mme la scurit.
150
Risques. Disponibilit, intgrit, confidentialit, efficacit, efficience. Approches daudit & sondages. Se procurer le document dcrivant les objectifs et le fonctionnement du Comit. Analyser sa composition, rcuprer les derniers comptes-rendus et valuer la ralit de son rle dans le domaine de la scurit. Prendre connaissance de la dfinition de fonction du responsable scurit. Vrifier que le rattachement du poste se fait au moins au niveau du responsable informatique et de prfrence directement la Direction Gnrale de la banque (pour garantir son indpendance). S'assurer qu'il dispose de vritables moyens pour assumer sa fonction (temps, budget, comptences, ...). Prendre connaissance de leur dfinition de fonction. S'assurer que leurs travaux sont correctement tracs et contrls priodiquement par le responsable scurit. S'assurer de la couverture de l'ensemble des activits de l'entit notamment dans les domaines transverses (gestion des fichiers clients, flux...) par ces propritaires. Prendre connaissance des rles et responsabilits des propritaires et de la ralit de leur action. Interroger des membres du personnel de la banque tous les chelons hirarchiques et valuer leur degr de sensibilisation et d'information. S'assurer de l'existence de supports pour la sensibilisation / l'information36. Vrifier, dans la manire de travailler du personnel, que la scurit est une proccupation permanente. Examiner quelques contrats / conventions. Vrifier notamment qu'ils prcisent que toutes les rgles37 et procdures de la banque relatives la scurit doivent tre respectes et qu'elles ont t portes au pralable la connaissance des prestataires.
2.5 Scurit logique.

Objectifs/points de contrle. Lintgrit des informations enregistres dans (et restitues par) les systmes informatiques est-elle prserve par les dispositifs de scurit logique mis en place ? De mme, la confidentialit des informations sensibles est-elle prserve ?
Risques. Intgrit, confidentialit. Approches daudit & sondages. Sassurer que les contrles mis en place a priori (identification / authentification, habilitations, ) et a posteriori (revue priodique des habilitations, analyse des logs, ) sont complmentaires et permettent de prserver lintgrit et la confidentialit des informations.
36 37
Par exemple: charte de scurit, formation / action de sensibilisation (journal interne, ...) Clause de confidentialit, rgles d'accs aux matriels, logiciels, donnes et documentations en plus des procdures applicables l'ensemble du personnel
151
2.6 - Dispositifs / outils de scurit logique.

Objectifs/points de contrle. La gestion des droits d'accs est-elle prise en charge par un logiciel spcifique et/ou un composant du systme de base ? L'accs aux fonctions de gestion / d'administration des habilitations et des paramtres de scurit est-il strictement limit ? Risques. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Analyser l'architecture de la scurit d'accs et les systmes de scurit en place38 pour accder aux traitements et donnes informatiques. S'assurer qu'elle couvre tous les systmes : serveurs centraux (mainframe), serveurs dcentraliss, micro-ordinateurs connects ou connectables, rseaux,... Lister les utilisateurs ayant accs ces fonctions. S'assurer que cette liste est limite aux personnes en charge de l'administration de la scurit.
2.7 Identification et authentification.

Objectifs/points de contrle. Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse, cl ou carte personnelle, ) effectivement utilises et conditionnant laccs aux systmes dinformation et leurs donnes ? Risques. Disponibilit, Intgrit, Confidentialit. Approches daudit & sondages. Sassurer, pour quelques systmes / donnes sensibles slectionns, que chaque utilisateur dispose de son propre identifiant (le partage au travers didentifiants gnriques tant proscrire) pour y accder. Vrifier que les mcanismes didentification et dauthentification couvrent tous les points daccs39 aux systmes informatiques. Sassurer que des procdures sont en place afin de prserver lefficacit des mcanismes dauthentification par mot de passe.
2.8 - Procdure de gestion des habilitations.

Objectifs/points de contrle. Existe-t-il une procdure de gestion des profils et des habilitations des utilisateurs, incluant une approbation formelle pour l'octroi des droits d'accs ? Chaque utilisateur n'a-t-il accs qu'aux systmes et aux donnes qui lui sont ncessaires la ralisation des tches propres sa fonction ? Des prcautions sont-elles prises pour la protection de l'accs aux donnes confidentielles conserves sur ordinateur personnel, rseau local ou messagerie.
38 39
Pour les utilisateurs et les informaticiens (interne et externes) Connexion par le rseau commut et les autres voies d'entre sur le systme (rseau local principalement)
152
Risques. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Vrifier si la procdure traite l'ensemble des vnements de la gestion des habilitations (cration, modification, suppression) incluant une demande crite et sa validation formelle. Pour quelques utilisateurs sur quelques systmes sensibles, vrifier l'existence des demandes et leur validation formelle. S'assurer galement que les ajouts d'accs font l'objet d'une demande et que la suppression / modification des profils / habilitations est rapide aprs le dpart / la mutation dun collaborateur. Pour cela, prendre la liste les derniers dparts et mutations au sein de l'entit. Sur quelques systmes sensibles, faire un sondage principalement pour quelques utilisateurs ayant des accs privilgis (trs tendus). S'assurer que chaque utilisateur n'a que les accs (en consultation, ajout, modification ou suppression) qui lui sont ncessaires.
2.9 - Interconnexions avec lextrieur.

Objectifs/points de contrle. Tous les systmes informatiques / serveurs de la banque accds depuis lextrieur sont-ils correctement scuriss ? Dans le cadre dchanges ou de transactions lectroniques entre la banque et lextrieur, les procdures en place permettent-elles de vrifier lauthenticit de la contrepartie extrieure, de garantir lauthenticit et la non-rpudiation et des changes ou des transactions ? Lintgrit des changes ou des transactions lectroniques entre la banque et lextrieur est-elle garantie par des dispositifs adapts ? Les procdures permettent-elles de garantir la protection des cls de chiffrement (cls SWIFT notamment) ? Face aux virus, des mesures adquates ont-elles t mises en uvre pour la prvention, la dtection et la correction ? Lutilisation des services Internet par le personnel de la banque est-elle effectue dans des conditions scurises ? Si la banque a mis en uvre des sites Internet, Intranet ou Extranet, des tudes de scurisation de ces sites ont-elles t menes ? Ces sites, comme les connexions des utilisateurs ceux-ci, ont-ils t correctement scuriss par le biais de lutilisation de pare-feu (Firewall ) et de DMZ , et de protocoles tels que SSL pour les connexions ? A-t-on recours des socits de services informatiques pour simuler des attaques externes (tests dintrusions) afin dvaluer et damliorer le cas chant le niveau de scurit en place ? Avant de rendre oprationnel un site, une tude est-elle soumise au service juridique comptent afin de sassurer du correct traitement des aspects juridiques, fiscaux, rglementaires et prudentiels ?
40 41 42 40
Pare-feu: Mcanisme employ pour protger le rseau interne dune entreprise des accs ou usages non autoriss tout en permettant aux utilisateurs locaux daccder lInternet. DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systmes informatiques (rseau interne) de l'entit et le rseau externe (Internet). 42 Secure Socket Layer (SSL): protocole de scurisation des transactions assurant la confidentialit, l'intgrit et en principe l'authentification des parties et la non-rpudiation des transactions par l'usage de la cryptographie cls publiques, fond sur le contrle d'intgrit et le chiffrement des donnes
41
153
Risques. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Obtenir linventaire des points daccs distance aux systmes informatiques de la banque. Sassurer quils sont scuriss par des procdures de call-back ou daccs dment scuriss. Vrifier que les accs / tentatives provenant de lextrieur sont enregistrs dans des logs analyss rgulirement (les tentatives daccs infructueuses doivent en principe tre analyses au jour le jour). Recenser les changes ou transactions lectroniques effectus par la banque avec lextrieur. Pour chacun dentre eux, vrifier lexistence dun mcanisme dauthentification fiable (mot de passe, cl de chiffrement, ...), de non-rpudiation (signatures lectroniques, horodatage, certificats mis par des tiers de confiance,...). Sassurer que des mcanismes de contrle dintgrit adapts (hash coding / scellement43 par exemple) sont utiliss. Apprcier les dispositifs de protection (scurit physique et logique, sparation de fonctions,...) en place. Recenser les sites dploys par la banque, et les tudes de scurisation existantes. Vrifier que des rgles de scurisation ont t suivies. Sassurer que le paramtrage des firewalls a t effectu par des spcialistes de la scurit Internet et quune DMZ est utilise. Se procurer les rapports de ces prestations et vrifier que les faiblesses releves ont t corriges rapidement et/ou quun plan dactions a t tabli. Vrifier auprs du service juridique de la banque la nature du travail effectu sur ce point pour les sites mis en oeuvre, et que dventuelles consultations auprs de spcialistes extrieurs la banque ont eu lieu si en interne les comptences ntaient pas suffisantes.
2.10 - Contrle a posteriori des accs (niveaux 1 et 2 ).

44

Objectifs/points de contrle. Une revue priodique des profils utilisateurs est-elle effectue par un responsable afin de vrifier le respect des procdures et de confirmer les droits daccs existants ? A-t-on instaur des rgles de journalisation45 d'vnements lis la scurit informatique? Existe-t-il un contrle systmatique, priodique et centralis des vnements journaliss? Certains types de violation d'accs sont-ils remonts en temps rel au responsable scurit pour contrle ? Les oprations effectues par les administrateurs de la scurit sur les systmes de scurit sont-elles journalises sans possibilit d'altration ? Ces traces sont-elles revues priodiquement par un responsable scurit distinct des administrateurs de scurit ? Risques.
43 44
Technique de reprsentation dun texte en clair en un quivalent symbolique ( hash code / sceau) indcodable, qui permet de dtecter toute altration du texte en clair. Les contrles de niveau 1 sont contenus dans le traitement des oprations (contrles informatiques, contrles manuels) et ceux du niveau 2 sont effectus par la hirarchie qui supervise le traitement des oprations. 45 Trace d'enregistrement
154
Disponibilit, intgrit, confidentialit.

Approches daudit & sondages. S'assurer de l'existence d'une telle revue par un responsable scurit et/ou un responsable hirarchique, et consulter les lments qui la supportent. En l'absence de formalisation de la revue, la refaire sur un chantillon et confronter les rsultats avec ceux (oraux) obtenus par le responsable. S'assurer que les principaux vnements lis la scurit sont enregistrs et conservs sur une priode suffisante. S'assurer la formalisation de ces contrles et des actions qui en sont issues. Vrifier que les logs mis en place sur les firewalls sont analyss frquemment par une personne comptente. S'assurer que les violations remontes sont les plus pertinentes et risques, et quelles sont effectivement contrles. Se faire communiquer les types doprations concernes et demander la justification d'ventuelles modifications abaissant le niveau de scurit. Interroger les administrateurs ou le responsable scurit pour savoir si ces oprations sont journalises et revues de manire indpendante. Examiner par sondage les supports de ces revues afin dvaluer le caractre effectif et la pertinence des contrles effectus.
2.11 - Scurit physique.

Objectifs/points de contrle. Les moyens et procdures mis en uvre permettent-ils d'assurer la scurit physique du systme d'information (contrle d'accs physique, protection environnementale, incendie, dgts des eaux, humidit, chaleur, coupures lectriques,...)? Les diffrents quipements de scurisation des locaux informatiques et de son environnement sont-ils sous contrat de maintenance et vrifis / tests priodiquement? Existe-t-il des consignes de scurit gnrale affiches, connues et testes?
46
Risques. Disponibilit, intgrit. Approches daudit & sondages. Sur ce point de contrle, une visite des diffrents locaux hbergeant les quipements informatiques est indispensable pour constater par observation les dispositifs en place (visite effectuer avec le responsable du centre de production informatique et/ou celui des services gnraux / logistiques). Se procurer les contrats de maintenance des matriels, les comptes-rendus d'intervention de maintenance prventive / curative, les comptes-rendus de tests. S'assurer que l'ensemble des quipements sont couverts par des contrats et que des interventions prventives priodiques (une deux fois par an) ont lieu. S'assurer que les consignes sont affiches, ont fait l'objet d'une information / formation et sont testes priodiquement. Interroger sur ce sujet les membres du personnel et se faire communiquer les consignes et les comptes-rendus de tests.
46
Equipements de contrle daccs, dtection et extinction incendie, dtection humidit, climatisation, onduleurs, batteries, groupes lectrognes, ...
155
2.12 - Scurit de l'environnement.

Objectifs/points de contrle. Des tudes ont-elles t ralises sur les dangers prsents par des facteurs externes sur les locaux informatiques renfermant des quipements informatiques sensibles et les recommandations prescrites ont-elles t suivies d'effet ? Le btiment a-t-il t spcialement construit pour l'informatique et/ou est-il l'usage exclusif de l'informatique ? Le site informatique est-il peu connu et peu reprable ? Le transformateur alimentant les locaux informatiques est-il correctement scuris? Existe-t-il une rgulation lectrique (contre les pannes lectriques et les variations de extension) comportant au moins un onduleur complt de batteries garantissant une autonomie suffisante ? Ses caractristiques rpondent-elles aux prescriptions des constructeurs de matriels informatiques ? Est-elle teste rgulirement et dispose-t-elle d'un secours? Existe-t-il un groupe lectrogne pouvant tre rapidement oprationnel en cas de coupure de l'alimentation lectrique ? Pour les salles ordinateurs, dispose-t-on de disjoncteurs spars par matriel informatique important, d'un tableau lectrique d'accs facile et d'une coupure gnrale "coup de poing"47 ? La conformit des installations lectriques a-t-elle t vrifie par un organisme agr ? Un systme de climatisation (temprature, hygromtrie, poussire) est-il install et oprationnel ? Ses caractristiques rpondent-elles aux prescriptions des constructeurs des matriels informatiques utiliss ? Est-il test rgulirement et dispose-t-il d'un secours? Risques. Disponibilit, intgrit. Approches daudit & sondages. S'assurer que ces tudes ont bien pris en compte les principales menaces lies l'environnement extrieur48. En l'absence d'tude particulire, vrifier que le responsable informatique a conscience de ces risques. S'assurer que des dispositifs spcialiss sont installs pour surveiller et contrler l'environnement. Vrifier si le btiment renferme uniquement les locaux et installations informatiques. Si le btiment n'est pas l'usage exclusif de l'informatique, examiner la liste et la nature d'activit des autres services et dpartements s'y trouvant. Dterminer si ce voisinage se traduit par des facteurs de risque spcifiques49. S'assurer qu'aucun panonceau n'indique la prsence du site informatique et qu'aucun matriel du site n'est visible et facilement accessible de l'extrieur. S'assurer que le transformateur est protg contre les risques d'incendie, de dgts des eaux et d'accs non autoriss.
47
Il s'agit d'un disjoncteur permettant d'arrter l'alimentation de l'ensemble des quipements en une seule opration d'un "coup de poing" d'o le nom de la commande.
Menaces lies l'environnement extrieur: phnomnes mto, inondation (cours d'eau, sources et nappes phratiques), coule de boue, orages/foudre (paratonnerre), qualit/stabilit du terrain, zone sismique, etc mais galement le voisinage risques pollution, menaces chimiques, voisinage ou stockage de matires inflammables. 49 Allers et venues de personnes extrieures, stockage de matires inflammables, ...
48
156
S'assurer que les quipements/matriels ncessaires50 au fonctionnement de la salle informatique sont branchs sur l'onduleur et sur le groupe lectrogne. Vrifier que la capacit de l'onduleur est suffisante pour les matriels branchs. S'assurer que la capacit relle (teste) des batteries (gnralement 20 minutes) permet, soit l'arrt "propre" des systmes informatiques, soit de tenir jusqu' la fin de la monte en puissance du groupe lectrogne. Vrifier que la capacit du groupe lectrogne est suffisante pour les matriels branchs. S'assurer que le groupe est test au moins une fois par mois. Vrifier que la rserve de carburant est situe dans un endroit scuris, temprature rgule et suffisante pour tenir environ 48 heures. Vrifier qu'il est prvu une scurit de dmarrage du groupe par redondance ou mode de secours (air comprim, essence, batterie, ...). S'assurer que la commande "coup de poing" ne puisse pas tre actionne malencontreusement, mais reste cependant aisment accessible. S'assurer que lors de la mise en place des installations lectriques et lors de changements importants leur conformit est vrifie. Prendre connaissance des procs verbaux d'inspection et s'assurer de la mise en conformit de l'installation avec les recommandations formules, le cas chant. S'assurer que l'installation de climatisation est systmatiquement rtudie l'occasion d'amnagement des locaux, ou de mise en place de nouveaux matriels (serveurs, priphriques, ...). Vrifier la prsence de thermomtres, hygromtres et leur emplacement. Relever les indications portes par les instruments de mesure et vrifier qu'elles sont conformes aux plages prconises par les constructeurs des matriels informatiques.
2.13 - Scurit incendie et dgts des eaux.

Objectifs/points de contrle. L'ensemble des btiments renfermant les locaux informatiques (y compris les salles de marchs) et les locaux attenants sont-ils protgs par une installation de dtection et d'extinction automatique ? Des extincteurs mobiles sont-ils conservs dans les locaux informatiques et les locaux attenants ? Ces extincteurs sont-ils priodiquement vrifis ? Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle respecte? Les salles informatiques sont-elles vierges de tout stock de papier ou matriaux inflammables ? A-t-on fait des tudes sur les dangers prsents par l'eau dans les locaux informatiques et les locaux attenants ? A-t-on vrifi qu'il n'existe pas de canalisations apparentes ou traversant les fauxplanchers ? Les blocs de climatisation sont-ils l'extrieur des salles ordinateurs ? Les faux-planchers sont-ils dots d'un systme de dtection d'eau ou d'humidit, et en cas de besoin existe-t-il un dispositif garantissant l'vacuation de l'eau ? Risques. Disponibilit, intgrit.
50
Il ne suffit pas d'avoir les serveurs sur onduleurs mais galement les quipements de communication et les consoles de pilotage des systmes informatiques
157
Approches daudit & sondages. Se faire dcrire les systmes de dtection et d'extinction (sprinklers -eau-, halon / CO2 gaz dangereux-, FM200 -poudre-,...). S'assurer que les faux planchers sont protgs contre le risque incendie par l'existence d'un dtecteur et d'une bonbonne de gaz d'extinction sous le faux plancher. S'assurer du nombre suffisant d'extincteurs dans les locaux et de leur accs facile. Vrifier que les types d'extincteurs (eau, gaz, poudre) correspondent aux types de matriel protger. Vrifier que les consignes d'utilisation des appareils sont correctement lisibles. Contrler la date de dernire vrification. Vrifier la prsence de panneaux dinterdiction de fumer. S'assurer que les impressions sont effectues dans un local annexe. Etudier l'implantation gographique des locaux informatiques au sein du btiment (risque moindre si la salle est situe dans les tages suprieurs). S'assurer qu'il n'existe pas de points d'accumulation d'eau situs proximit ou au dessus de la salle informatique (toit-terrasse, ballons d'eau, sanitaires, ...). S'il existe des canalisations apparentes, vrifier qu'elles concernent exclusivement le systme de climatisation. Vrifier leur implantation. S'assurer que le systme de dtection d'eau (ou d'un taux d'hygromtrie anormalement lev) est suffisamment sensible, de manire se dclencher suffisamment tt. S'assurer de l'ventuelle existence d'un systme d'vacuation d'eau dans les locaux (plancher inclin ou pompes).
2.14 - Contrle d'accs physique.

Objectifs/points de contrle. Existe-t-il un systme de contrle d'accs aux salles contenant des quipements sensibles tels qu'units centrales et priphriques, serveurs, quipements de communication, terminaux ddis aux transactions sensibles (SWIFT, tlex, salles des marchs...) ? Les visiteurs internes ou externes la banque sont-ils accompagns par une personne habilite accder aux salles informatiques, et un registre des visiteurs est-il tenu et revu priodiquement ? Risques. Disponibilit, intgrit, confidentialit. Approches daudit & sondages. Vrifier que l'accs aux salles contenant des quipements sensibles est limit par un dispositif de type digicode, lecteur de badges ou commande d'ouverture distance. S'assurer de la correcte gestion de ces systmes d'accs. Contrler la liste des personnes auxquelles a t remis ou communiqu le code ou un badge. Dans le cas d'un digicode, s'assurer que les codes sont priodiquement changs. Interroger les personnes habilites accder aux salles informatiques sur la procdure en place pour les visiteurs. Vrifier que ces derniers sont systmatiquement accompagns pendant leur sjour dans les locaux, et quils ne disposent pas dun accs permanent aux salles. Consulter le registre des visiteurs, s'assurer qu'il est complet et revu priodiquement et formellement par un responsable informatique et/ou logistique.
158
2.15 - Continuit de service.

Objectifs/points de contrle. La banque s'est-elle dote des moyens et de l'organisation lui permettant de maintenir son activit mme aprs un incident majeur ou un sinistre gnrant une indisponibilit prolonge (partielle ou totale) du systme d'information ? Risques. Disponibilit, efficacit, efficience, disponibilit, conformit. Approches daudit & sondages. Se procurer les plans de continuit / reprise d'activit et les plans de back-up (secours informatique). Examiner les contrats ventuels avec les fournisseurs de services de secours. Examiner les comptes-rendus de tests ventuels. Prendre connaissance des ventuels incidents majeurs ou sinistres dj survenus et des dispositions prises ces occasions pour y remdier.
2.16 Sauvegardes.

Objectifs/points de contrle. La banque sest-elle dote des moyens lui permettant de disposer de copies de ses donnes aisment utilisables en cas de perte des donnes dexploitation dorigine ? A-t-on pris en compte la ncessit dlaborer des sauvegardes de type production dune part et de type recours dautre part ? Les cycles de sauvegarde et les dures de rtention sont-ils compatibles avec les caractristiques des informations sauvegardes ? Existe-t-il une sauvegarde systmatique de lensemble des informations des serveurs dcentraliss et Bureautiques ? La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des donnes rsidant sur les postes de travail connects ? Contrle-t-on rgulirement quune reprise ou un redmarrage sont effectivement possibles partir des sauvegardes ? Sait-on relire les supports ? Est-on assur de lexhaustivit des donnes relues (restaures) ?
51 52
Risques. Disponibilit, efficacit, efficience. Approches daudit & sondages. Prendre connaissance des procdures de sauvegarde. Vrifier que les procdures sont correctement appliques. Sassurer que ces deux types de sauvegardes existent et que leur exhaustivit est garantie. Vrifier lexistence dune procdure permettant dintgrer les fichiers et programmes des nouveaux dveloppements et maintenances. Sassurer que les sauvegardes de recours sont stockes dans un lieu distinct de la salle informatique.
51 52
Aprs incident d'exploitation Aprs sinistre majeur
159
Recenser ce type de serveurs et vrifier que des sauvegardes priodiques sont ralises en fonction de leur criticit / de la criticit des donnes quils contiennent. Interroger les utilisateurs et les informaticiens sur les possibilits de sauvegardes offertes sur un espace serveur ddi et personnel de leurs fichiers rsidant sur microordinateurs. Seuls des tests de restauration peuvent permettre dtre sr de la qualit des sauvegardes. Sassurer que dans le cas de plantages ou dincidents informatiques, les sauvegardes utilises ont pu permettre la reprise des traitements. Pour les sauvegardes de recours, seul un test du back-up peut prouver leur qualit.
2.17 PCA (Plan de Continuit des Activits ).

53
Objectifs/points de contrle.

Existe-t-il un Plan de Continuit des Activits de la banque remis jour au moins chaque anne ? Le PCA est-il remis jour en cas dvolutions qui le ncessiteraient ? Existe-t-il un PCA, pendant utilisateurs du plan de secours informatique ? Une coordination entre les deux plans (informatique et utilisateurs) existe-t-elle afin dviter tout dphasage ? Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs autonomes (fixes et portables) et les micro-ordinateurs en rseau (serveurs, stations de travail, ) ? Une tude sur la vulnrabilit de la banque face diffrents types de risques physiques ou non (pas ncessairement informatiques) a-t-elle t ralise et a-t-elle entran la mise en place dun Plan de Continuit des Activits de la banque ? A-t-on ralis une tude prliminaire, qui permette de classer les processus et/ou les applications dans lordre dcroissant des pertes ou prjudices qui surviendraient aprs un sinistre physique (total ou partiel), une panne grave ou une grve ? Existe-t-il des locaux et/ou des coffres de scurit permettant de stocker dans des conditions de scurit acceptables les supports informatiques contenant des informations dont la perte serait prjudiciable la banque ? Le PCA contient-il bien les procdures alternatives de traitement mettre en place par les utilisateurs jusqu ce que la fonction informatique soit en mesure de restaurer entirement ses services aprs un sinistre ? Un plan de communication a-t-il t dfini pour permettre la mise en uvre des actions de communication adaptes tant en interne quen externe en cas de survenance dun sinistre ? Une cellule de crise a-t-elle t organise pour grer un sinistre ventuel ? Le PCA est-il test priodiquement dans des conditions les plus proche possibles de la ralit de la production ?
Risques. Disponibilit, intgrit, efficacit, efficience. Approches daudit & sondages. Sassurer de la mise jour priodique du PCA en fonction des volutions de lorganisation de la banque et de son systme dinformation.
53
Le plan de continuit est l'outil de contrle interne qui assure la gestion des ressources et des donnes informatiques sensibles, en cas d'interruption de traitement. Le plan de continuit des activits comprend les lments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up et le plan de reprise d'activits qui intgre les schmas fonctionnels et organisationnels compltant les moyens matriels.
160
Sassurer que des procdures ont t labores par les dpartements utilisateurs, en collaboration avec le service informatique, pour organiser la reprise et la continuit des activits partir du dclenchement du sinistre et jusquau retour la normale. Sassurer que les sauvegardes sont stockes sans dlai dans un lieu scuris une fois leur cration effectue. Vrifier la cohrence des deux plans en termes de droulement, de priorits de reprise, Sassurer que les volutions de systmes et procdures la fois ct informatique et ct utilisateurs font lobjet de mises jour des plans. Recenser les nouvelles applications ou activits sensibles de la banque (ou des modifications significatives rcentes), et vrifier que les plans les prennent bien en compte. Sassurer que cette tude est assez rcente pour tre pertinente. Vrifier que ltude a t formalise et valide par les principaux responsables de la banque. Analyser ce document et vrifier son exhaustivit ; Sassurer que les processus / applications couvrent bien lensemble des activits de la banque. Vrifier que ltude est mise jour en cas de nouveau processus / application ou de modification importante. Sassurer que lon a pris en considration dans cette tude les interdpendances entre processus / applications. Analyser ce document. Sassurer quil a t labor avec des professionnels de la communication et les parties prenantes dans le P.C.A. Vrifier que les procdures de reprise couvrent les diffrentes tapes du droulement du plan de secours informatique. Vrifier que les cibles des actions de communication ont t identifies et les messages adapts. Analyser la composition de la cellule. Vrifier quelle regroupe les parties prenantes du PCA (informatique, utilisateurs, communication), y compris les principaux responsables de la banque ; Sassurer que les modalits de la runion rapide de la cellule sont formalises et communiques aux participants (coordonnes, y compris personnelles, lieu de regroupement, ). Prendre connaissance des conditions de tests. Se procurer les comptes-rendus de tests et vrifier que les problmes rencontrs ont fait lobjet dadaptations dans le PCA.
2.18 Plan de back-up / de secours.

Objectifs/points de contrle. Existe-t-il un plan de secours de lexploitation informatique (ventuellement en mode dgrad54 et/ou clat sur plusieurs sites) ainsi que des documents permettant la mise en uvre rapide des procdures de secours en cas de sinistre ? Le plan de secours prend-il en compte les volutions prvues dans le plan informatique / schma directeur ? Une tude a-t-elle t mene pour dterminer le choix des moyens de secours / de backup pour le systme dinformation de la banque ?
54 En mode dgrad, l'exploitation n'assure que partiellement les services habituels. En gnral, seules les fonctions indispensables la continuit des traitements sont assures. Des procdures manuelles, ou des procdures automatises de contournement, peuvent se substituer des procdures automatises utilises en mode normal dexploitation.
161

Les ressources informatiques critiques pour la continuit des activits ont-elles t identifies et effectivement secourues ? A-t-on effectu une tude de scurit pour le choix des liaisons de tlcommunications entre le site de secours et lensemble des sites connects (internes / externes) ? Lexhaustivit des sauvegardes de recours garantit-elle la reprise de lactivit dans les conditions dfinies par la banque ? Le plan de secours est-il test priodiquement dans des conditions les plus proches possible de la ralit de lexploitation ? Le plan de secours est-il remis jour (volutions matrielles et logicielles, configurations rseau, ) de manire rgulire ? Les activits ncessitant une haute disponibilit des systmes informatiques (par exemple les activits de salles de marchs, les systmes dchanges interbancaires (SWIFT, )) bnficient-elles de solutions de secours en temps rel ?
Risques. Disponibilit, efficacit, efficience. Approches daudit & sondages. Analyser ce document. Sassurer que les procdures sont compltes, claires et dtailles. Vrifier que toutes les parties prenantes disposent dun exemplaire jour du plan. Sassurer que les impacts sur le plan de secours des volutions contenues dans le plan informatique ont t prises en compte. Sassurer que les trois possibilits offertes ont t tudies (mutualisation de moyens chez un prestataire, secours externe ddi la banque, secours interne) et que les moyens mis disposition sont conformes aux choix stratgiques de la banque. Sassurer que ces ressources comprennent les traitements et donnes dapplications critiques, les systmes dexploitation et les logiciels de base, les quipements de tlcommunications, et les fournitures. Vrifier que pralablement cette tude, un recensement des liaisons au(x) sites dexploitation a t effectu. Sassurer que les lignes principales sont doubles. Sassurer quune procdure garantit lexhaustivit des sauvegardes de recours. Vrifier que les hypothses de reprise sont cohrentes avec la fraicheur des donnes des sauvegardes. Prendre connaissance des conditions et des rsultats de tests. Se procurer les comptesrendus de tests et vrifier que les problmes rencontrs lors des tests ont donn lieu des mises jour du plan de secours. Sassurer que le plan est mis jour notamment lors des modifications des configurations matrielles, logicielles (nouveau dveloppement, maintenance, ) et rseau. Vrifier que pour les systmes sensibles concerns, des solutions de haute disponibilit (de type mirroring / clustering55) sont mises en uvre pour permettre de basculer de manire quasi-transparente ( chaud ) dun systme informatique dfaillant un autre.
55
Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallle. La panne d'une ressource tant transparente pour le droulement des traitement par le passage la ressource en miroir / cluster.
162
3. Etudes et dveloppements.
Ce domaine concerne les dveloppements dapplications (en interne ou en externe), lacquisition de progiciels ou la modification de systmes (applications, progiciels) existants. Il concerne non seulement les dveloppements effectus par le dpartement informatique, mais aussi ceux directement raliss par les utilisateurs laide de logiciels bureautique (Microsoft Access ou Excel, par exemple). Lauditeur doit se faire communiquer la liste des dveloppements (applications, progiciels) termins ou en cours par le dpartement informatique avec la charge de travail des quipes informatiques, les dveloppements effectus par les services utilisateurs laide de logiciels bureautique, les classer par ordre dimportance et de criticit pour dterminer un chantillon reprsentatif de systmes sensibles.
3.1 Expression des besoins.

Objectifs/points de contrle. Les objectifs, la nature et le primtre couvert par un projet sont-ils formaliss dans un document crit pralablement son lancement ? Ce document dfinit-il clairement les besoins de la banque dj satisfaits, ceux auxquels doit rpondre le nouveau systme (ou la modification du systme existant) pour les besoins fonctionnels et oprationnels ? La banque a-t-elle dfini une mthodologie lui permettant dassurer la prise en compte des exigences de scurit et de contrle interne dans les projets de dveloppement ou dacquisition de nouveaux logiciels ? Les exigences de scurit sont-elles prises en compte lors de llaboration du cahier des charges ? Risques. Efficacit, efficience, disponibilit, intgrit, confidentialit. Approches daudit & sondages. Sur lchantillon slectionn, tudier la note de cadrage pour en vrifier le contenu. La note de cadrage doit replacer le projet dans son contexte, en dfinir les grandes lignes fonctionnelles et les avantages / gains attendus au travers dune tude conomique (retour sur investissement). Vrifier que le cahier des charges / la description fonctionnelle traite des aspects de scurit et de contrle interne. Sassurer de la prise en compte du systme dhabilitation lors de la conception dune application.
3.2 Choix des systmes.

Objectifs/points de contrle. La mthodologie de dveloppement des systmes prvoit-elle une analyse des solutions alternatives susceptibles de satisfaire les demandes des utilisateurs ? La mthodologie de dveloppement prvoit-elle une tude de faisabilit technologique et conomique de chacune des solutions envisages pour rpondre aux besoins de la banque ? Dans le cadre de lanalyse des solutions alternatives, la banque ralise-t-elle une analyse des risques qui comprend : lidentification des menaces de scurit, des points
163

de vulnrabilit et des mesures de scurit et de contrle envisager ? La banque a-t-elle dfini une stratgie dacquisition / de dveloppement de logiciel dfinissant sil peut tre acquis dans le commerce, dvelopp en interne, ralis en sous-traitance ou par volution du logiciel existant ? Pour les services fournis par des tiers, la banque fait-elle une valuation des besoins et dfinit-elle les spcifications de lappel doffre ? La mthode de choix des fournisseurs de progiciels permet-elle dintgrer les aspects de scurit ? Pralablement au dveloppement ou lachat dun progiciel, la banque fait-elle une analyse des besoins de piste daudit et de confidentialit ?
Risques. Efficacit, efficience, efficacit, disponibilit, intgrit, confidentialit. Approches daudit & sondages. Analyser la documentation des projets pour sassurer que des solutions alternatives ont t tudies. Analyser la documentation des projets slectionns pour contrler que ces tudes ont effectivement t menes. Pour ltude de faisabilit conomique, celle-ci doit inclure une analyse des cots et des bnfices induits par les solutions envisages. Vrifier que cette analyse des risques a t mene et quelle a conduit liminer ou rduire les risques identifis. Se faire communiquer le document reprenant la stratgie dacquisition de logiciel. Pour les projets qui requirent des services fournis par des tiers (par exemple, fourniture dun progiciel, intgration de systmes), contrler que les besoins ont t quantifis et quun appel doffre a effectivement t formalis. Vrifier que le choix dun progiciel nest pas uniquement effectu sur sa capacit couvrir les besoins fonctionnels et techniques de la banque et que les aspects de disponibilit, dintgrit, de confidentialit des informations et de piste daudit font partie intgrante des critres de choix.
3.3 Dveloppement et maintenance.

Objectifs/points de contrle. Le plan de travail de dveloppement est-il labor et mis jour priodiquement et couvre-t-il le dveloppement et la maintenance (volutive et corrective), avec une partie rserve aux demandes inopines non prvues ? Une mthodologie gnrale est-elle suivie et une tude particulire est-elle ralise, lors de la conception des applications, sur le choix des contrles programms / automatiss et des contrles utilisateurs en amont et en aval du traitement de linformation et, si cette tude existe, prend-elle en compte le niveau de sensibilit des donnes ? La banque a-t-elle dfini des normes concernant lutilisation doutils de dveloppement (langage, Atelier de Gnie Logiciel, gnrateur de code, gnrateur de jeux dessai, production de la documentation, ) ? Existe-t-il une sparation effective entre les environnements de dveloppement et dexploitation ? Les droits daccs du personnel des quipes de dveloppement interdisent-ils laccs permanent en criture (ajout, suppression, modification) aux chanes de traitement, programmes et donnes de lenvironnement dexploitation ? Des mesures spcifiques sont-elle prvues pour limiter laccs en lecture aux donnes sensibles / confidentielles de lenvironnement de production ?
164

Le dpartement informatique a-t-il dfini des normes pour la documentation des dveloppements dapplications ? Le dpartement informatique a-t-il dfini des normes de tests (vrifications, documentation et conservation des tests unitaires, de groupes de programmes ou de lensemble dune application) ? Chaque projet de dveloppement fait-il lobjet dun plan de tests (tests unitaires de programmes, tests dintgration, tests de capacit et de performance et tests de recette) ? Les aspects de scurit et de contrle interne sont-ils pris en compte dans les tests effectus ? Une documentation complte est-elle tenue jour pour lensemble des applications utilises par la banque ? La documentation est-elle correctement recense et archive ? Les interfaces internes et externes sont-elles correctement identifies, dcrites et documentes ? Des manuels utilisateurs avec les supports adquats sont-ils labors ? Un manuel de mise en exploitation est-il tabli par les quipes de dveloppement avant la mise en production dune application ? Les demandes de modification ou dvolution sont-elles standardises et soumises des procdures formelles de gestion des changements ? La documentation est-elle mise jour loccasion des modifications des applications ? Le stockage et laccs aux programmes sources sont-ils scuriss ? Utilise-t-on un outil de gestion des sources ? Existe-t-il un contrle priodique de lexhaustivit des sources et de la correspondance entre les sources et les excutables ? Existe-t-il une procdure de sauvegarde priodique des environnements de dveloppement (sources de programmes, donnes de test, etc.) ? Cette procdure inclut-elle les applications dveloppes par les utilisateurs ? Les contrats passs avec les fournisseurs de progiciels dfinissent-ils les modalits de transfert de proprit et les conditions daccs aux programmes sources, en particulier en cas de dfaillance du fournisseur ?
Risques. Efficacit, efficience, disponibilit, intgrit, confidentialit. Approches daudit & sondages. Le plan de travail doit non seulement couvrir le dveloppement de nouvelles applications, mais aussi prvoir des plages de temps rserves la maintenance corrective des applications ainsi qu la prise en compte de demandes urgentes dvolution des systmes (par exemple, rglementation, scurit, ). Evaluer la pertinence de la mthodologie. Ltude particulire doit tre fonde sur lanalyse des schmas de traitement et de circulation des informations et des risques derreur ou de malveillance. Les contrles utilisateurs sont les contrles manuels oprs par les utilisateurs gestionnaires dans un processus fonctionnel. Leur description et leur mise en oeuvre doivent faire lobjet de procdures crites. Vrifier que le secteur Etudes utilise des outils de dveloppement homognes et en respect des normes dfinies par la banque. Ceci sapplique galement aux applications dveloppes directement par les services utilisateurs.
165
Prendre connaissance de la configuration des environnements et sassurer que les quipes de dveloppement ont leurs environnements de dveloppement et de tests distincts de lenvironnement de production / exploitation. La bonne pratique requiert, au minimum, lexistence de deux environnements distincts : celui de dveloppement et de tests (unitaires et dintgration) et celui de production. Vrifier les droits daccs de quelques membres du personnel des tudes et dveloppements pour sassurer quils nont pas daccs permanent en criture lenvironnement dexploitation. Contrler la pertinence de ces mesures. Vrifier les droits daccs des membres du personnel des tudes et dveloppements pour sassurer que ces mesures sont respectes. Les normes doivent inclure lanalyse fonctionnelle, lanalyse organique, la documentation des programmes, la documentation des tests, le dossier dexploitation et la documentation dutilisation de lapplication. Les quipes de dveloppement ainsi que les MOA des dpartements utilisateurs doivent avoir des instructions prcises pour la ralisation, la documentation et la conservation des tests afin de garder la traabilit des tests effectus. Contrler que les tests font lobjet dun planning et que les ressources ncessaires leur ralisation ont t dfinies. Vrifier la teneur (nature, exhaustivit) des tests effectus pralablement la mise en production des systmes pour garantir un fonctionnement correct des traitements concerns. Vrifier que dans la documentation des tests, des tests sont prvus sur les scurits et contrles dvelopps dans les applications pour garantir lexactitude, lexhaustivit et lautorisation des entres, des traitements, des sorties et des donnes gres, ainsi que la piste daudit.56 Chaque systme dvelopp localement ou acquis lextrieur doit disposer, au minimum, des dossiers de conception et dexploitation pour la partie informatique et dun manuel opratoire pour les utilisateurs. Effectuer un sondage pour sassurer que la documentation existe, quelle est adquate et quelle est correctement mise jour en fonction de limportance du systme et des volutions / modifications. La description des interfaces doit permettre de comprendre lenchanement des processus / traitements et les flux dinformation entre les diffrents systmes. Vrifier que les manuels utilisateurs et les procdures / supports sont labors en collaboration avec la MOA et/ou le dpartement en charge de lorganisation. Le manuel de mise en exploitation est un document rdig par les quipes de dveloppement destination de lexploitation informatique. Il dcrit les procdures qui doivent tre suivies pour assurer le bon fonctionnement de lapplication. Il doit contenir une description gnrale des traitements et de leur enchanement, une description des fichiers en entre et en sortie, lestimation de la taille des fichiers et des temps de traitement, les sauvegardes, larchivage. Il doit galement prvoir les contrles effectus par lexploitation pour sassurer de la bonne fin des traitements, et des procdures de reprise et de fonctionnement en mode dgrad en cas dincident dexploitation. Contrler que les modifications et volutions effectues par le dpartement informatique font lobjet dune demande formalise de la part des dpartements utilisateurs et sont
56 la piste daudit consiste en des documents, fichiers, journaux, tats ou listes, qui permettent de suivre pas pas une transaction introduite dans le systme pour en reconstituer le traitement (et inversement, retrouver les transactions lorigine dun traitement).
166
intgres dans un processus de gestion du changement formalis (analyse et chiffrage de la demande, priorisation, approbation par le dpartement demandeur, recette,). Vrifier que la documentation est rgulirement mise jour en fonction des volutions et des modifications apportes aux applications. La bonne pratique veut que les sources des programmes soient conserves dans lenvironnement de production. La sauvegarde des sources des programmes doit tre incluse dans le plan de sauvegarde des systmes informatiques. Pour permettre la traabilit et la piste daudit des traitements, les versions successives des sources des programmes doivent tre conserves en fonction des besoins internes et/ou rglementaires. Vrifier la frquence, ltendue et le stockage des sauvegardes des programmes et des donnes de dveloppement. Les fournisseurs peuvent tre soit des diteurs de logiciels, soit des sous-traitants. Dans le cas de sous-traitance, vrifier que le contrat prvoit une clause de transfert de proprit du logiciel dvelopp au profit de la banque. De mme, contrler que les conditions daccs aux sources des programmes sont dfinies de manire ce que lentit y ait accs en cas de dfaillance du fournisseur. Pour garantir cet accs, les sources et la documentation des programmes doivent normalement tre dpos chez un tiers agr (par exemple un notaire).
3.4 - Protocole de recette et de mise en exploitation.

Objectifs/points de contrle. La mthodologie de dveloppement prvoit-elle une procdure de recette (pralable la mise en exploitation) par les dpartements utilisateurs, des nouvelles applications ou des modifications aux applications existantes ? Le dossier de recette des utilisateurs dfinit-il les rgles de gestion et les scnarios tester qui en dcoulent ? La recette finale est-elle prononce aprs une valuation et une approbation formalises des rsultats des tests par les dpartements utilisateurs (ou la MOA) et les services informatiques ? Lorsque ncessaire, la mthode de dveloppement prvoit-elle la conversion / migration / reprise des donnes de lancien systme, conformment un plan prdfini ? Existe-t-il une procdure formalise de mise en exploitation de toute nouvelle application ou modification aux systmes existants ? Cette procdure spare-t-elle clairement les fonctions de dveloppement et d'exploitation ? Risques. Efficacit, efficience, intgrit, disponibilit. Approches daudit & sondages. Un procs verbal de recette doit tre co-sign par le responsable du projet / de lapplication informatique et les responsables des dpartements utilisateurs (ou la MOA). Contrler que le dossier de recette identifie correctement les rgles de gestion et les scnarios de tests correspondants. Contrler lexistence des Procs Verbaux de recette, et vrifier que les demandes de mise en exploitation sont formalises sur un document adquat et quelles intgrent lapprobation des dpartements concerns (Etudes, Utilisateurs, Exploitation).
167
Vrifier lexistence dun plan de conversion / migration / reprise des donnes des anciennes applications avec une estimation des ressources (humaines et matrielles) ncessaires ces travaux. Vrifier sur quelques applications ayant ncessit une reprise des donnes que la mthodologie a t applique et que les procdures de reprise ont t correctement formalises et planifies. Contrler lexistence de cette procdure et vrifier la sparation des responsabilits entre les secteurs Etudes et Exploitation. Vrifier que la mise en exploitation des applications et des modifications aux programmes nest jamais effectue directement par les quipes de dveloppement.
4. Exploitation informatique. 4.1 Suivi de lexploitation.

Objectifs/points de contrle. Existe-t-il des procdures dexploitation du systme informatique ? Ces procdures dcrivent-elles lexploitation des systmes centraux et des systmes dcentraliss / distribus (par exemple : les systmes installs sur des serveurs du rseau local) ? LExploitation Informatique a-t-elle dfini des contrats de service avec les utilisateurs ? Ces contrats ont-ils t formaliss et signs par les parties ? Le secteur tient-il un tableau de bord reprenant les indicateurs de qualit / performance prvus dans les contrats de service ? Les travaux dexploitation sont-ils correctement planifis pour utiliser au mieux les ressources et atteindre les objectifs cits dans les contrats de service ? Les travaux non planifis (ou exceptionnels) sont-ils analyss et approuvs pralablement leur inclusion dans le plan de travail ? Existe-t-il des journaux (logs) dexploitation permettant de vrifier lexcution et la bonne fin des traitements ? La bonne fin des travaux est-elle contrle (rception des fichiers, excution correcte de tous les programmes, transmissions de fichiers, impression, faonnage) ? Risques. Efficacit, efficience, conformit, intgrit, disponibilit. Approches daudit & sondages. Prendre connaissance des procdures existantes (documentation disponible). Vrifier lexistence dune documentation qui recense les diverses tches dexploitation (par exemple : manuel oprateur). Vrifier que toutes les applications et plates-formes / systmes informatiques sont effectivement couverts par ces procdures. Vrifier lexistence de contrats de service entre le dpartement informatique et les utilisateurs.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la disponibilit, la fiabilit, la performance, le support aux utilisateurs, la rsolution des incidents et la mise en place des changements. Les niveaux de service doivent tre des donnes facilement quantifiables, par exemple : le taux de disponibilit du systme pour les utilisateurs, les temps de rponse, le respect des horaires de production, le nombre dincidents et leur dlai moyen de rsolution, les mises en place des changements (nouveaux programmes, volutions ou corrections dans les programmes existants).
168
Contrler que les quipes dexploitation disposent en permanence dun plan de travail incluant les travaux journaliers, priodiques et exceptionnels. Vrifier que les heures de mise disposition des applications ne perturbent pas les activits des utilisateurs. Se faire communiquer le relev de contrle et danalyse des journaux dexploitation. Sassurer que les contrles des journaux (logs) dexploitation permettent de suivre lexcution et la bonne fin des travaux informatiques. Vrifier, partir de ces documents, quil est possible de retracer facilement les incidents dexploitation.
4.2 Gestion des systmes dexploitation et des rseaux.

Objectifs/points de contrle. La capacit et la performance des diffrents composants du systme sont-elles rgulirement mesures ? Quelle utilisation est faite de ces mesures ? Les achats dquipements dinformatique distribus (matriels et logiciels) sont-ils effectus sur la base dun catalogue labor conjointement par le dpartement des achats et le dpartement informatique ? Les supports originaux et les licences des progiciels, des systmes dexploitation et des outils bureautique sont-ils conservs dans un lieu scuris ? Le dpartement informatique tient-il un inventaire des matriels et logiciels pour les systmes informatiques centraux et pour linformatique distribue (serveurs de rseau local et postes de travail) ? Un inventaire physique des matriels et des logiciels est-il rgulirement effectu ? Les anomalies releves lors dun inventaire sont-elles corriges dans les meilleurs dlais, avec mise jour approprie (aprs analyse), de linventaire informatique et comptable ? Linventaire des progiciels est-il galement confront au stock des licences pour sassurer de ladquation du nombre de licences ? Risques. Efficacit, efficience, conformit, intgrit, disponibilit. Approches daudit & sondages. Contrler que les lments de charge et de performance sont rgulirement mesurs et analyss. Par exemple : les volumes des donnes traites, les temps de traitement, lespace disque utilis, lutilisation des imprimantes, la puissance machine utilise, lutilisation de la mmoire, la charge du rseau et des lignes de tlcommunications, etc. Vrifier que ce catalogue rsulte dune analyse technique et conomique des solutions disponibles. Vrifier que les licences de logiciel et les supports sont regroups et correctement stocks dans un endroit accs restreint. Vrifier que cet inventaire existe et quil est rgulirement mis a jour lors des transferts, des nouvelles acquisitions ou des mises au rebut. Contrler que linventaire est ralis sur une base priodique (au minimum annuelle) et que les diffrences sont justifies.
4.3 Gestion des incidents et du support aux utilisateurs.

Objectifs/points de contrle. Existe-t-il une organisation et des outils / procdures adapts pour identifier et
169

journaliser les incidents dexploitation par nature et pour suivre les actions engages en vue dy remdier ? La direction du dpartement informatique a-t-elle dfini une procdure descalade (remonte) des problmes afin de sassurer quils sont rsolus de la manire la plus efficace ? Les procdures de gestion des incidents prvoient-elles de rechercher les causes originelles des incidents (par exemple : changement de systme dexploitation ou mise en production dune nouvelle application) ? Existe-t-il des procdures de reprise des traitements et de restauration des donnes partir des sauvegardes et des procdures de mise en uvre dun fonctionnement en mode dgrad en cas dincident ? Existe-t-il, au sein de lexploitation, une fonction dassistance / support aux utilisateurs ? Le personnel en charge de cette fonction travaille-t-il en troite collaboration avec le personnel en charge de la gestion des incidents ? Toutes les demandes dassistance / requtes des utilisateurs sont-elles correctement enregistres par la cellule dassistance ? Existe-t-il une procdure descalade au sein du dpartement informatique pour les demandes des utilisateurs qui ne peuvent pas tre rsolues immdiatement par lquipe de support de premier niveau ? Le management du dpartement informatique exerce-t-il un suivi priodique pour sassurer que le traitement des demandes des utilisateurs seffectue en temps voulu ?
Risques. Efficacit, efficience, intgrit, disponibilit. Approches daudit & sondages. Vrifier lexistence de cette organisation et de ces outils / procdures, et se faire communiquer le reporting relatif aux incidents afin den apprcier ladquation. Vrifier que cette procdure prvoit les critres et modalits descalade aux niveaux hirarchiques et dexpertise successifs pour la rsolution des problmes, en tenant compte de la gravit des problmes et de leur priorit de rsolution. Vrifier que les causes des incidents sont analyses au travers des documents de suivi / reporting des incidents. Vrifier lexistence, dans les dossiers dexploitation, de procdures de reprise / restauration et de mise en uvre dun mode dgrad en cas dincident. Vrifier dans lorganigramme que cette fonction est effectivement couverte et que les ressources sont suffisantes par rapport la population des utilisateurs. Sonder quelques utilisateurs cet gard pour valuer leur niveau de satisfaction. Se faire communiquer le registre des demandes dassistance / requtes afin dvaluer ladquation de leur enregistrement. A partir du registre, contrler que les demandes sont rsolues dans les plus brefs dlais et que les procdures descalade entre les diffrents niveaux de support sont respectes.
4.4 Procdures de sauvegarde et darchivage.

Objectifs/points de contrle. Des procdures de sauvegarde des donnes ont-elles t prvues pour les diffrentes applications et les diffrents systmes, conformment la politique de sauvegarde de la banque ? Ces procdures dcrivent-elles les cycles de sauvegarde, les priodes de rtention
170

(conservation) et les lieux de conservation pour chaque type de sauvegarde ? Les sauvegardes de recours sont-elles systmatiquement conserves dans un lieu diffrent du centre informatique pour permettre une mise en uvre du plan de secours en cas de sinistre majeur dans le btiment ? Lidentification externe des supports magntiques, le contrle de leurs mouvements et de leur stockage sont-ils correctement effectus ? Les supports contenus dans la mdiathque sont-ils rgulirement inventoris ? Les anomalies releves suite un inventaire physique sont-elles corriges en temps voulu ? Les supports magntiques sont-ils priodiquement tests pour sassurer quils sont lisibles et que les donnes quils contiennent sont exhaustives ? Existe-t-il des procdures darchivage qui prennent en compte la nature des donnes (frquence de mise jour, sensibilit) et les besoins internes et rglementaires ? Ces procdures sont-elles appliques ? En cas de modification majeure de lapplication, de la structure des donnes ou dun matriel, le dpartement informatique sassure-t-il que les supports darchivage antrieurs peuvent tre relus et consults ?
57 58
Risques. Efficacit, efficience, intgrit, disponibilit. Approches daudit & sondages. Vrifier que ces procdures couvrent lintgralit des sauvegardes, savoir (pour les systmes centraux et dcentraliss) : Systmes dexploitation et configurations systme (y compris les SGBD ), Sources, excutables et donnes de production des applications, environnements de dveloppement / de tests, environnements du rseau local (y compris les serveurs de fichiers et de messagerie et les postes de travail des utilisateurs. Vrifier que la documentation fait galement lobjet de procdures de sauvegarde. Vrifier que, pour chaque type de sauvegarde cit ci-dessus, ces lments ont t dfinis et quils sont pertinents par rapport aux besoins exprims en terme dactivit (notamment vis vis de la nature des donnes sauvegardes et de leur dure de conservation). Vrifier que les sauvegardes de recours sont transfres vers un site extrieur dans les meilleurs dlais. Se faire communiquer les documents de gestion de la mdiathque : mouvements en entre et sortie, inventaire priodique, correction des anomalies. Si les documents de suivi et dinventaire sont inadquats, procder un inventaire physique par sondage et le rapprocher de linventaire informatique. Se faire communiquer les comptes-rendus des tests et analyser les actions qui sont prises suite la dtection danomalies. En cas de doute sur la lisibilit des supports de sauvegarde, faire ventuellement effectuer un test par sondage pour sassurer quils sont lisibles et quils contiennent effectivement les donnes prvues par le plan de sauvegarde. Vrifier que les procdures darchivage ont t labores en tenant compte des besoins propres lactivit et des besoins lgaux et rglementaires.
59
57 58
Aprs sinistre majeur
Cette fonction ne doit pas tre confondue avec la sauvegarde, qui vise permettre une reprise des traitements aprs un incident . Larchivage reprsente le besoin de conservation
pour des buts fonctionnels lis lactivit de lentreprise (besoins internes, lgaux et rglementaires).
59
SGBD : Systme de Gestion des Bases de Donnes.
171
Vrifier que ces procdures prvoient galement le dsarchivage quand la dure de conservation des informations est chue. Contrler que les supports darchives peuvent tre physiquement lus sur les matriels actuels et que les systmes dexploitation, les outils et les applicatifs sont en mesure dinterprter ces informations.
4.5 Mise en exploitation des modifications.

Objectifs/points de contrle. Existe-t-il des procdures formalises pour la mise en production de modifications aux systmes applicatifs existants ? Risques. Efficacit, efficience, intgrit, disponibilit. Approches daudit & sondages. Vrifier que ces procdures incluent la mise jour ventuelle des programmes denchanement des applications, des tests dintgration, de non rgression et de prproduction ventuellement (en cas de modifications importantes ou complexes) pralablement la mise en exploitation effective. A partir des demandes de mises en exploitation, effectuer un sondage sur des applications rcemment modifies.
4.6 - Administration des logiciels systme, des rseaux et des bases de donnes

Objectifs/points de contrle. Existe-t-il une fonction d'administration des logiciels systme (systmes dexploitation...), qui a la responsabilit de leur installation, de leur suivi et de la gestion de leurs volutions? Existe-t-il une fonction d'administration des rseaux / tlcommunications, qui a la responsabilit de leur installation, de leur suivi et de la gestion de leurs volutions? Risques. Efficacit, efficience, intgrit, disponibilit. Approches daudit & sondages. Vrifier lexistence de cette fonction dans lorganigramme du dpartement informatique, avec une description de fonction dtaille.
172
Chapitre 3 : Mission d'audit de la Salle des Marchs.
173
Chapitre 3 : Mission d'audit de la Salle des Marchs. Introduction.

Le prsent chapitre s'applique l'audit de la Salle des Marchs. Les objectifs gnraux de cet audit sont d'valuer : La qualit et la fiabilit des informations vhicules sur la nature des oprations traites, des positions prises et de leur rentabilit, tant en interne qu'en externe; La qualit de la matrise des risques financiers et techniques gnrs par les oprations qu'elle traite ; La contribution des diffrents services concerns (front office, middle office, back office, contrle des risques et contrle interne) cette matrise. Les orientations majeures de la mission accomplir se basent sur : Le recensement de l'ensemble des activits, stratgies et instruments traits par la salle audite, L'inventaire des applications de gestion et de traitement de ces activits et instruments, La revue des procdures de traitement, L'examen des principales procdures comptables, L'analyse du mode d'laboration des rsultats comptables et de gestion, ainsi que la procdure de rapprochement de ces deux rsultats, L'inventaire des diffrents tats de reporting et de leur mode d'laboration. Cest pourquoi ce chapitre met laccent : Sur lidentification des risques et le recoupement avec les travaux des autres auditeurs en phase de prparation, Sur les liens avec laudit des autres fonctions concernant les activits de march en phase dinvestigation, En fonction de lanalyse des risques, sur des sondages, transverses plusieurs fonctions, sur un ou plusieurs chantillons doprations dterminer. Un tel audit couvre cinq domaines : le front office (trading & ventes), le middle office, le back office, le risque de contrepartie, le risque juridique et la scurit physique. Comme pour toutes les fonctions, une mission daudit de la salle des marchs comprendra une phase de prparation (collecte de documents et entretiens prparatoires), une phase dinvestigation (entretiens systmiques 60 et sondages) et une phase de rdaction. Il conviendra, en thorie, de couvrir chacun des 6 domaines lors de chaque phase.
60
174
La mission aura pour objet dapprcier comment sont couverts les risques lis l'activit de march. Parmi les familles de risques recenses, seront principalement concerns les risques de gestion, oprationnels, dontologiques, de fraude, dimage, de crdit, commerciaux et juridiques. Laudit de la salle des marchs devra mesurer le niveau des risques, leur volution, et lavancement des plans dactions correcteurs. Rappel de larborescence de la dmarche daudit systmique :
Mission : Salle des Marchs.
1. Front-Office Trading & ventes. 1.1 - Stratgie, politique, budget.

Objectifs/points de contrle. Une stratgie a-t-elle t dfinie? Cette stratgie est-elle en phase avec celle de la banque? La stratgie prend-elle en ligne de compte tous les risques inhrents lactivit ? Un budget a-t-il t labor? La direction de la banque est-elle implique dans la procdure budgtaire? Risques. Risque de gestion : une stratgie doit tre labore et doit tre en phase avec celle de la banque. Approches daudit & sondages. Plan triennal, notes internes, Budget. Ces documents permettront plus probablement de mieux comprendre les activits de la banque que de trouver des anomalies ou dysfonctionnements. Examiner la procdure budgtaire en lisant les courriers, les notes, les projets, etc.
1.2 - Organisation de lactivit.

Objectifs/points de contrle. Lactivit a-t-elle t clairement dfinie et mise en place ? Les tches des employs sont-elles clairement dfinies? ny a-t-il pas de chevauchements ? La hirarchie des teneurs de livres comptabiliss en mark-to-market est-elle diffrente de ceux comptabiliss en couru ?
175

Sinon, les oprations internes entre des desks anims par la mme hirarchie sont-elles interdites ? La rpartition des traders concide telle avec celle des vendeurs ? Tous les vendeurs peuvent-ils effectuer des oprations avec les clients ? Sont-ils dment autoriss ? Les vendeurs prennent-ils des positions non couvertes ?
Risques. Risque de gestion. Risque de fraude : les gains ou les pertes pourraient tre basculs dun livre lautre. Risque oprationnel : les traders pourraient passer plus de temps coter des oprations qu ngocier. Risque commercial : des cotations trop longues pourraient entraner la perte de client. Risque dontologique : les vendeurs pourraient conclure des oprations en dehors de leur dlgation. Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors de leur dlgation en matire de risque de march. Approches daudit & sondages. Dfinition de poste, organigramme, notes internes. Analyser laffectation des traders et des vendeurs aux clients, aux diffrents produits, aux diffrentes devises au moyen des statistiques (nombre doprations, volumes) et en fonction des rsultats. Organigramme, liste des livres de trading avec le plan de comptes. Analyser laffectation des traders par rapport aux besoins de la force de vente. Vrifier la dlgation de chaque vendeur et la comparer avec les produits traits. Point de contrle difficile vrifier. Analyser le courant doprations pour voir si les vendeurs peuvent un moment quelconque prendre des positions ouvertes sans les dclarer. Le contrle le plus important est celui effectu lors de la rception par un secteur indpendant des confirmations et des rclamations des clients.
1.3 - Stratgie de trading.

Objectifs/points de contrle. Une stratgie a-t-elle t dfinie pour les activits de trading ? Risques. Risque financier. La stratgie en matire de trading pourrait tre trop risque. Approches daudit & sondages. Examiner le livre des positions de trading et vrifier que son volution correspond effectivement cette stratgie. Examen des positions du book de trading. Analyser particulirement les positions des jours qui ont enregistr les plus gros gains ou les plus grosses pertes et demander des explications. Lexplication pourrait se trouver dans des risques non pris en ligne de compte (effet smile ) plutt que dans la stratgie de trading.
176
1.4 - Informations relatives au march.

Objectifs/points de contrle. Les analyses envoyes au client sont-elles ralises par des membres du personnel autoriss et qualifis ? Risques. Risque dimage. Risque dontologique. Approches daudit & sondages. Examen des analyses sur le march envoyes aux clients.
1.5 - Comit de gestion.

Objectifs/points de contrle. Quels sont les diffrents comits auxquels le responsable du trading participe ? Quelle est la nature des relations qui existent entre le front office et les autres secteurs : back office, middle office, comptabilit, engagements ? La contribution des vendeurs est-elle clairement identifie (marge, rmunration des vendeurs, mid-market) et calcule par un secteur indpendant ? Risques. Risque de gestion : une mauvaise coordination entre les secteurs pourrait entraner des pertes financires ou des occasions perdues. Risque financier : un calcul erron de la contribution pourrait entraner le paiement de primes injustifies. Approches daudit & sondages. Examiner les procs verbaux des runions. Quelques points peuvent y tre voqus et servir aux investigations : problmes de partage des gains, mauvaise qualit des traitements, etc Vrifier par un examen ou par des interrogations dans le systme lexactitude de la contribution des vendeurs

1.6 - Avis dopr.

Objectifs/points de contrle. Les avis dopr contiennent-ils toutes les informations ncessaires au traitement des oprations ? 61 Les oprations sont-elles pr-affectes un secteur dtermin ? Existe-t-il une piste daudit pour chaque ticket ? Les tickets de transaction sont-ils horodats ? 62 Existe-t-il une piste daudit en cas dannulation ou de modification? Dans le cas o le Front Office peut annuler ou modifier des oprations (et particulirement les oprations chues) dans les systmes FO et BO, la validit de ces annulations/modifications est-elle contrle de faon indpendante ? Des heures limites de traitement des oprations ont-elles t fixes ? sont-elles respectes ?
61
62
Principes de dontologie spcifiques aux activits de marchs financiers : Les ngociateurs sont responsables des informations renseignes sur les tickets doprs. Ils doivent veiller ce quils soient correctement remplis et viss, et transmis dans les meilleurs dlais aux services de traitement. Principes de dontologie spcifiques aux activits de marchs financiers : Les ordres de la clientle sont enregistrs chronologiquement ds leur rception (horodatage).
177

Les oprations hors site sont-elles autorises ? Dans laffirmative, les traders ont-ils obtenu pralablement lautorisation de la direction et laval du dontologue ? Ces oprations sont-elles effectues dans les conditions de scurit voulues ?
63
Risques. Risque oprationnel et financier. Risque de mauvaise interprtation des ordres par le back office. Risque financier : une affectation a posteriori pourrait amener un transfert de gains dun secteur un autre. Risque oprationnel. En cas de contrle, la piste daudit de chaque ticket doit tre taye. Risque de fraude : le FO pourrait modifier les oprations sans que les secteurs administratifs en soient informs. La modification dune opration chue peut changer le rsultat. Risque oprationnel : des oprations peuvent avoir t inities et non traites. Risque financier : certaines oprations pourraient tre effectues linsu de la banque. Approches daudit & sondages. Procder par sondage sur les tickets dopr pour sassurer de leur exactitude. Vrifier que la procdure assure ce contrle. Les traders chargs de plusieurs desks/portefeuilles devraient faire lobjet dune attention toute particulire. Des procdures particulires devraient sappliquer pour ces personnes. Examiner les tickets de transaction. Lorsque les oprations ne sont pas matrialises par un ticket mais saisies directement dans un systme, examiner lheure de saisie des diffrentes oprations afin de mettre en lumire dventuelles concentrations inhabituelles. Examiner les annulations/modifications. Dans le cas dun systme informatique intgr, examiner les fonctionnalits pour vrifier quune piste daudit est conserve pour les oprations annules ou modifies. Procdures internes. Examen des tickets de la salle. Vrifier les procdures relatives aux oprations hors site. Sassurer que lautorisation a t donne par la direction et le dontologue. Sassurer que ces oprations sont effectues dans les conditions de scurit voulues. : sparation des fonctions, justificatif de lopration, et contrles par le Middle Office respects.
1.7 - Gestion des positions.

Objectifs/points de contrle. Chaque oprateur tient-il un tat rcapitulatif des oprations soit manuellement soit par lintermdiaire dun systme FO? Les oprations sont-elles enregistres dans lordre chronologique sur cet tat.64 ? La position (position de change, solde, impasse en taux, sensibilit, delta, ) de chaque trader est-elle toujours disponible et constamment mise jour ? Le primtre de la position du trader couvre-t-il exactement ce quil est cens couvrir ?
63 Principes de dontologie spcifiques aux activits de marchs financiers : Les ngociateurs susceptibles de raliser une transaction sur un instrument financier en dehors des horaires et de leur lieu de travail habituels doivent pralablement obtenir une habilitation spcifique de leur hirarchie, vise par le dontologue, de telle sorte que les modalits dintervention assurent la scurit requise. 64 Les ngociateurs veillent aussi lenregistrement chronologique des ordres reus, transmis et excuts.
178

Les avis de positions provenant dautres secteurs sont-ils envoys en temps opportun et en bonne et due forme ? Toutes les positions du FO sont-elles rapproches avec celles du BO ? Toutes les positions prises par les autres secteurs sont- elles bien prises en ligne de compte dans le rapprochement? Dans le cas dun systme FO automatis, une solution de secours de suivi des positions est-elle en place et a -t- elle t teste ? Dans le cas o le client a des positions ouvertes avec la banque (oprations de gr gr), les vendeurs ont-ils accs en temps rel la position du client rvalue ? Dispose-t-on dune lettre de dcharge, signe par le niveau N+1 de la hirarchie de linterlocuteur habituel pour les reports de terme cours historiques ?
Risques. Risque oprationnel : labsence dune piste daudit rend impossible tout contrle de second niveau. Risque financier. La position du trader doit pouvoir tre connue tout moment. Autrement, en cas dvolution dfavorable du march et dabsence du trader, la banque ne sera pas en mesure de rduire la position. Risque oprationnel : le cambiste pourrait surveiller une position qui ne couvre pas le primtre quelle devrait couvrir (notamment lorsque cette position est suivie laide dun systme FO). Risque financier : le trader peut ne pas tre inform des positions (trsorerie, changes, ) prises par dautres secteurs. Risque financier : les positions non communiques ou non rconcilies sont responsables de positions inexactes qui peuvent gnrer des pertes. Risque Financier : la position doit tre disponible en cas de panne du systme. Autrement des pertes peuvent tre encourues. Risque commercial et financier : en cas dvolution dfavorable du march, les vendeurs doivent tre en mesure de conseiller le client, tout particulirement dans le cas des produits volatils (drivs). Risque de crdit : le client peut dissimuler des pertes ou des gains. La banque pourrait faire lobjet de poursuites pour soutien illgal ou pour vasion fiscale. Approches daudit & sondages. Vrifier les tats rcapitulatifs du trader ou sassurer que le systme FO assure cette fonction. Examiner ltat pour sassurer que les oprations sont enregistres dans lordre chronologique. Sassurer que ltat rcapitulatif du trader est bien disponible. Dans le cas dun systme FO, sassurer que les oprations sont saisies immdiatement en vrifiant les heures de saisie des oprations pour mettre en vidence dventuelles concentrations inhabituelles ou des oprations tardives. Dans le cas dun systme FO, vrifier la codification du portefeuille/primtre de la position. Examiner les positions communiques aux traders par les autres secteurs (production, commercial, ). Des positions non communiques temps pourraient tre mises en vidence au cours du rapprochement des positions entre le FO et le BO. Vrifier le type des rapprochements effectus sur les positions et sassurer de leur efficacit. Sassurer que ces rapprochements sont effectus rgulirement. Examiner les positions provenant des autres secteurs pour sassurer quelles sont communiques en temps voulu.

179
Vrifier les solutions de secours ainsi que les tests raliss. Vrifier que pour tous les produits volatils, les vendeurs suivent la position du client laide dun systme en temps rel. Vrifier que toutes les oprations avec report au cours historique effectues avec lautorisation pralable du client.
1.8 - Suivi des limites de risque.

Objectifs/points de contrle. Le FO est-il en mesure de suivre ses risques de march ? Le FO est mme de suivre ses risques de contrepartie ? Risques. Risque financier : le FO peut ne pas tre mme de suivre ses risques de march. Il peut dpasser la limite (dans le cas dune variation brusque sur le march par exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans les limites. Risque de crdit : le FO peut initier des oprations avec des clients sans que des lignes de crdit soient disponibles ou dans le cadre de lignes de crdit non autorises. Approches daudit & sondages. Sassurer que le FO dispose des moyens matriels pour suivre ses limites de risques de march. Examiner les utilisations afin didentifier tout dpassement de limites de ce fait. Dans lventualit o le FO na pas de moyen pour suivre les limites et prtend que les limites sont suivies au feeling, sassurer que lutilisation nest pas proche de la limite. Sassurer que le FO a les moyens matriels pour suivre ses limites de risques de contrepartie. Passer en revue les utilisations pour identifier tout dpassement de limites de ce fait.
1.9 - Matrialisation des oprations.

Objectifs/points de contrle. Existe-t-il des contrles permettant de sassurer que toutes les oprations inities par le FO sont matrialises ? 65 Existe-t-il une procdure denregistrement des conversations tlphoniques ? Les enregistrements sont-ils conservs dans un endroit dont laccs est limit aux personnes dment autorises et interdit aux membres du FO ? Les enregistrements sont-ils conservs pendant une dure minimum de 6 mois conformment aux rglementations locales ? Les personnes habilites couter les conversations ontelles t approuves par le dontologue ? Lorsquune conversation tlphonique est coute, le personnel concern est-il autoris entendre la conversation incrimine ? 66
65 les SDM ont lobligation de procder lenregistrement des conversations tlphoniques de tous les ngociateurs dinstruments financiers et des collaborateurs qui sans tre ngociateurs participent la relation commerciale avec les donneurs d'ordres, en tenant compte de lapprciation du dontologue concern et des montants et risques en cause. Ces enregistrements ont pour fin de faciliter les contrles de la rgularit des oprations , leur conformit aux instructions des donneurs dordres et la rsolution dventuels litiges. 66 Ces enregistrements sont conservs dans un endroit dont laccs est strictement rserv aux personnes autorises. La dure de conservation obligatoire des enregistrements est fixe 6 mois et ne peut en aucune faon excder cinq ans, sauf obligation nationale diffrente. Laudition des enregistrements des conversations tlphoniques, peut tre effectue par le dontologue des fins de preuve en cas de litiges ou des fins de contrle. Si le dontologue ne procde pas lui mme laudition, celle ci ne peut intervenir
180

Risques. Risque oprationnel : la contrepartie pourrait contester une opration qui ne serait pas taye par un justificatif (communication tlphonique, communication par Reuter ). Risque oprationnel : la preuve doprations pourrait ne pas tre suffisamment protge. Approches daudit & sondages. Sassurer que la salle dispose des moyens ncessaires pour enregistrer toutes les conversations tlphoniques ou les communications par Reuter ou pour fournir tout autre justificatif des oprations. Sassurer que laccs au systme denregistrement de conversations tlphoniques est protg. Vrifier que les enregistrements sont conservs au moins six mois et conformment aux rglementations locales. Sassurer que le dontologue a bien donn son accord sur les personnes habilites couter les conversations tlphoniques.
1.10 - Sparation des tches.

Est-il interdit aux traders et leurs assistants deffectuer les tches suivantes : 67 rdiger, valider et envoyer des confirmations ou des contrats de trading ? enregistrer les oprations de trading, tenir les livres de positions et des chanciers, prparer des rapports dactivit quotidiens et des tats de positions ( lexception des notes pour informer les traders sur les positions prises) ? rvaluer les positions rgulirement et dterminer les gains ou les pertes pour les comptes officiels ? dnouer les oprations ou effectuer dautres fonctions de paiement ou de rception de fonds, telles que lmission ou la rception et le traitement doprations par cble ou par courrier, des effets ou des lettres de change ? recevoir les confirmations des contreparties et les marier avec les contrats ou les avis de courtiers, suivre les confirmations en suspens et corriger les erreurs qui sy rapportent et autres fonctions de traitement similaires ? grer et rapprocher les comptes Nostri et autres comptes dbiteurs et crditeurs concerns par les activits de trading ? prparer, approuver et enregistrer toute autre criture comptable ?
Le personnel du FO est-il exclu des listes de signatures autorises et des personnes habilites : ouvrir des comptes au nom de la Banque auprs de confrres ou de courtiers ? initier des transferts ou des mouvements sur ces comptes? Une unit indpendante de la salle est elle charge de revoir les rapports quotidiens pour dtecter les dpassements de limites de trading autorises ?
quavec son accord ou laccord dune personne dsigne par lui. Le collaborateur dont les conversations sont enregistres dispose du droit dcouter lenregistrement en cause en cas daudition. 67 Principes de dontologie spcifiques aux activits de marchs financiers La scurit des transactions est notamment assure par le respect du principe de sparation des fonctions de ngociation ( front office ) et de traitement ( middle et back office ). Ces fonctions relvent dorganisation et de hirarchie diffrentes. Elles ne doivent en aucun cas tre assumes par la mme personne.
181

Risques. Risque de fraude. Les traders peuvent confirmer des transactions sans en informer le BO. Des positions peuvent tre prises linsu de la banque. Les traders peuvent manipuler les livres de manire gnrer des gains fictifs ou dissimuler des pertes. Les traders peuvent manipuler les rvaluations pour gonfler les gains artificiellement. Les traders peuvent initier des paiements linsu de la banque. Des positions, des gains ou des pertes peuvent tre cachs la banque. Les traders peuvent dissimuler des irrgularits dans les Nostri occasionnes par des oprations effectues linsu de la banque. Les traders peuvent manipuler les critures comptables pour gnrer des gains fictifs. Les traders peuvent ouvrir des comptes linsu de la Banque afin de dissimuler des pertes ou des gains et de les virer sur dautres comptes. Risque de fraude : les dpassements de limites peuvent ne pas tre signals et ainsi gnrer des pertes suprieures aux stop-loss officiels. Approches daudit & sondages. Sassurer que les points de contrle suivants sont respects. Examiner les contrats et les confirmations pour sassurer quaucun(e) nest sign(e) ni envoy(e) par des traders ou par quiconque leur soit rattach. Vrifier la liste des signatures autorises et des pouvoirs pour sassurer que tous les traders et leurs assistants en sont exclues. Sassurer quaucune criture comptable nest saisie directement par les traders et quaucune position nest tenue par eux. Sassurer que la comptabilit effectue ces tches indpendamment sans intervention du FO. Vrifier que le secteur comptabilit est indpendant du FO dans le cadre de ses rvaluations et de ses calculs de pertes et profits. Tous les chiffres utiliss par le secteur comptabilit doivent pralablement tre valids par le BO (ou par un secteur administratif). Sassurer que les traders nont pas accs aux systmes (Swift, telex ) ou aux moyens de paiement (lettres de change). Sassurer que ces fonctions sont physiquement spares. Sassurer que les traders ne reoivent aucune confirmation. Il conviendrait dviter que des tlcopies, telex, etc ne soient reus dans la salle. Si un telex ou un tlcopieur est ncessaire dans la salle, il y a lieu de sassurer quaucune confirmation ne peut tre reue exclusivement dans la salle. Sassurer que les comptes Nostri et autres comptes dbiteurs et crditeurs sont rapprochs par un secteur indpendant du FO. Sassurer quaucune criture comptable nest saisie directement par les traders. Sassurer que le secteur comptabilit saisit ces critures lui-mme sans aucune intervention du FO. Sassurer que toutes les personnes rattaches au FO sont exclues de la liste des signatures autorises et des mandataires. Sassurer que la fonction suivi de limites nest pas rattache au FO.
1.11- Politique commerciale.

Objectifs/points de contrle. Existe-t-il un programme de visites aux clients ?
182

Chaque runion avec un client fait-elle lobjet dun compte rendu ? Les vendeurs coordonnent-ils leur action avec le secteur commercial de la banque des entreprises ?
Risques. Risque commercial : certains clients peuvent ne pas recevoir la visite dun exploitant. Des opportunits daffaires peuvent ne pas tre dtectes en labsence de visites rgulires chez les clients. Risque de gestion : des renseignements relatifs au client peuvent tre perdus. Risque commercial : une mauvaise coordination entre les secteurs peut tre prjudiciable la relation avec le client. Approches daudit & sondages. Sassurer quil existe bien un planning de visites. Passer en revue les visites rendues aux clients pour sassurer que le planning est respect. Examiner les comptes rendus de visite. Sassurer que les visites aux clients sont effectues conjointement avec le secteur commercial. Sassurer que les cadres de la banque commerciale sont informs des positions prises par les clients et quelles sont suivies. Demander voir les comptes rendus de visites, les tats des positions des clients.

2. Middle-Office. 2.1 - Sparation des tches.

Objectifs/points de contrle. La ligne hirarchique du middle office est-elle diffrente de celle des traders et des marketers ? Risques. Risque financier : la non-sparation des tches pourrait tre source de conflits dintrts et occasionner des pertes financires. Approches daudit & sondages. Vrifier laide de lorganigramme que les lignes hirarchiques sont bien distinctes.
2.2 - Stocks.

Objectifs/points de contrle. Le MO calcule-t-il les risques et les rsultats sur un stock valid chaque jour par un secteur (BO) indpendant du FO ? 68 Sil existe deux systmes (FO et BO), le MO vrifie-t-il que le rapprochement des stocks est correctement effectu (contrle de deuxime niveau) ? Les oprations en suspens sont-elles prises en compte dans les calculs de risques du MO ? Lorsque la salle ne ngocie pas sur une amplitude de 24 heures, les risques sont-ils
68 Chaque jour, partir des positions arrtes le soir prcdent et valides par le back office, la tche du middle office est de : valider les paramtres de march utiliss dans les calculs de risques et de rsultats en contre-vrifiant auprs de sources extrieures .
183
calculs sur toutes les oprations ralises pendant la journe, y compris celles ralises aprs lheure limite du BO ?

Risques. Risque financier et risque de fraude : les calculs des risques et des rsultats peuvent ne pas tre indpendants du FO ce qui impliquerait des risques de positions caches. Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des stocks ce qui peut affecter les calculs de risques et de rsultats. Risque financier : il se peut que toutes les oprations ne soient pas prises en compte, ce qui peut entraner une estimation errone des risques de march. Approches daudit & sondages. Dans le cas dun systme unique, vrifier que le MO calcule les risques et les rsultats postrieurement la validation du stock par le BO. Lorsquil existe deux systmes (FO et BO), vrifier que le BO ou un secteur indpendant du FO effectue un rapprochement entre les deux stocks avant le calcul du MO. Sassurer que le MO est toujours inform des diffrences entre les stocks du FO et du BO. Sassurer que le MO vrifie rgulirement les rapprochements des stocks. Vrifier la procdure en matire doprations en suspens. Cette procdure devrait assurer un calcul des risques sur toutes les oprations effectues au cours de la journe coule.
2.3 - Prix de march.

Saisie des paramtres de march
Objectifs/points de contrle. Existe-t-il une procdure de contrle et de validation des prix de march ? Cette procdure prcise-t-elle : la rfrence indpendante des prix de march (page Reuter, courtier, )? lheure de saisie ?

Cette procdure a-t-elle t valide par toutes les parties concernes (MO, FO, contrle interne, BO, ) ? Cette procdure est-elle respecte ? En cas de saisie manuelle des prix de march, la saisie est-elle vrifie ?
Risques. Risque financier : en labsence de procdure les prix pourraient tre manipuls en cas de dsaccord entre le MO et le FO. Risque oprationnel : les prix de march pourraient ne pas tre saisis correctement. Approches daudit & sondages. Vrifier quune procdure existe, quelle prcise la source des donnes (source, courtier .) et lheure de saisie. Vrifier que cette procdure a t valide par toutes les personnes concernes. Sassurer du respect de la procdure. Vrifier que les prix de march saisis sont correctement contrls.
184
Vrification des prix de march.

Objectifs/points de contrle. En cas de chargement automatique, la codification des paramtres de march est-elle vrifie ? Les prix de march utiliss pour les r-valuations sont-ils soumis un contrle de cohrence? Un contrle est-il effectu pour dtecter des alimentations incompltes ? Risques. Risque oprationnel : la codification pourrait tre incorrecte et par consquent des prix de march errons pourraient tre chargs. Risque financier : des prix de march incohrents pourraient tre utiliss, ce qui pourrait donner un rsultat incorrect. Risque financier : des alimentations incompltes pourraient tre la cause de rsultats incorrects. Approches daudit & sondages. Sassurer que la saisie de toute nouvelle source dun paramtre de march (page Reuter .) est doublement vrifie. Vrifier que les changements de source (fusion dactions, nouveaux marchs) sont traits comme il se doit. Sassurer quil existe un contrle et quil est efficace en consultant les prix de march sur une certaine priode et dtecter ceux qui seraient incohrents. Sassurer que les tats danomalies sont bien vrifis et que cette vrification est documente. Contrler que les donnes de march sont vrifies pour sassurer que les alimentations incompltes sont dtectes avant toute valuation de stocks. Modifications.

Objectifs/points de contrle. Chaque modification dans la rfrence dun prix de march est-elle justifie et documente ? Les modifications des prix de march sont-elles documentes? Les prix de march sont-ils modifis et valids par un secteur indpendant du FO? Existe-t-il une piste daudit pour chaque paramtre de march ? Risques. Risque financier : les rfrences pourraient tre modifies afin de manipuler les prix de march Risque financier : les prix de march pourraient tre manipuls. Risque financier : en labsence dune piste daudit approprie, aucun contrle de second niveau ne peut tre assur. Il existe par consquent un risque de manipulation des prix de march. Approches daudit & sondages. Sassurer que toutes les modifications des rfrences des prix de march sont documentes.
185
Sassurer que toute modification ou intervention sur les prix de march est taye par un document qui nmane pas du FO. Examiner les prix de march. Pour chacun, la source (page Reuter par exemple) et lheure de chargement ou de saisie devrait tre disponible.
Protection des accs.

Objectifs/points de contrle. Laccs aux prix de march et aux rfrences des prix de march est-il protg ? Le FO peut-il forcer les donnes de march ? Les calculs de la courbe des taux, les mthodes dinterpolation, des coefficients dactualisation et les autres paramtres utiliss sont-ils clairement documents ? Laccs aux calculs est-il interdit au FO ? Risques. Risque financier : le FO pourrait dissimuler des pertes en manipulant les prix de march. Risque financier : les paramtres de march pourraient tre inexacts ou manipuls ce qui pourrait entraner des rsultats inexacts. Approches daudit & sondages. Vrifier que laccs aux prix de march et aux rfrences est protg. Vrifier que le FO ne peut pas forcer les prix de march et les rfrences que sil le fait, un contrle appropri garantit quil ne peut pas y avoir de manipulation. Vrifier que la documentation existe et quelle est jour. Sassurer que les calculs sont bien conformes la documentation. Sassurer que le FO ne peut avoir accs aux calculs et les modifier. Limites.

Objectifs/points de contrle. La direction de la banque (le directeur de la banque ou le conseil dadministration) et les responsables de desks sont-ils impliqus dans la fixation des limites globales de la banque ? Les limites globales tiennent-elles compte des exigences en matire de fonds propres ? Les limites globales sont-elles revues aussi souvent que ncessaire et au minimum une fois par an ? Le responsable de la salle a-t-il fix et dcompos des limites de risques de march oprationnelles en phase avec les limites globales ? Risques. Risque financier : la limite peut ne pas tre oprationnelle (parce que trop basse) ou inutilise parce que trop importante (dans ce cas du capital serait allou inutilement). Risque financier : les limites de certaines units peuvent tre trop leves et exposer la Banque un risque financier (faillite). Risque financier : du fait des fluctuations sur le march, les limites peuvent tre obsoltes (trop faibles ou trop leves). Risque oprationnel : les traders peuvent ne pas avoir respecter une limite individuelle les limites globales pourraient par consquent tre dpasses.

186
Approches daudit & sondages. Vrifier les utilisations pour estimer si les limites semblent appropries. Vrifier au moyen de notes internes, de courriers, de procs verbaux de runion, etc que la direction locale et le responsable du desk sont formellement impliqus dans la fixation des limites. Vrifier que les limites ont t fixes en tenant compte du capital de la banque et vrifier galement que la fixation de ces limites est documente. Vrifier que le capital risque (si vous pouvez le calculer) est infrieur au capital de la banque. Sassurer que les limites ont t r-examines. Demander le document dtaillant les limites fixes chaque trader.
2.4 - Risques de march. 2.4.1 - Mthodologie

Objectifs/points de contrle. La mthodologie labore par la SDM pour le suivi des risques de march est-elle respecte ? Les limites globales couvrent-elles lensemble des risques de march auxquels la banque est expose ? Risques. Risque financier : les risques de march pourraient tre sous-valus. Approches daudit & sondages. Sassurer que la mthodologie est bien respecte Sassurer quelle couvre lensemble des risques de march inhrents lactivit. Vrifier que la mthodologie mise en uvre fixe des limites spcifiques pour : les chances, les devises, les produits, le march. Sattacher la validit des modles mathmatiques, les risques de liquidit, la position dominante sur un march donn (importantes positions sur les instruments financiers terme par exemple) Sinformer sur des perturbations de march rcentes qui ont affect lactivit de trading de la banque. Sassurer que les pertes ont t contenues dans les limites prvues.
2.4.2 - Suivi des limites.

Objectifs/points de contrle. Toutes les limites fixes (produits, maturits, devises, marchs) au FO sont-elles suivies par un secteur indpendant ?69 Les limites sont-elles suivies au jour le jour? Les dpassements de limites sont-ils signals conformment la procdure ? 70 Les actions correctives sont-elles suivies de prs par le MO ? Risques. Risque financier : le FO pourrait prendre des positions non autorises.
69 Quotidiennement, sur la base des positions front office arrtes la veille au soir et valides par le back-office, la mission des suivis dactivit est de : mesurer les niveaux dexposition en risques de marchs en appliquant la mthodologie en vigueur et contrler le respect des limites octroyes et des rgles spcifiques de gestion spcifies dans les dlgations. 70 En cas de franchissement de limites, alerter immdiatement par crit les hirarchies front et middle offices concernes.
187
Risque financier : les dpassements de limites qui ne sont pas signals pourraient entraner une exposition des risques excessifs et par consquent des pertes potentielles suprieures aux prvisions. Risque financier : dtecter les dpassements sans suivre les actions correctives peut inciter le FO dpasser continuellement les limites. Une action corrective inadapte ou trop laxiste pourrait affecter la crdibilit et lefficacit des contrles.
Approches daudit & sondages. Sassurer que le MO assure le suivi de toutes les limites fixes au FO (chances maximum, restrictions relatives aux produits, etc ) Sassurer que le MO est dot doutils appropris pour assurer ce suivi. Examiner par sondage les tats de risques afin de trouver tout dpassement de limite. Demander voir tous les tats de risque et vrifier par sondage que tous les dpassements de limites ont bien t signals. Vrifier pour quelques dpassements quelles actions correctives ont t prises et de quelle manire elles ont t suivies : courrier, notes, rapports, etc. Vrifier que les actions correctives entreprises augmentent la crdibilit du contrle. De trop nombreux dpassements pourraient indiquer un manque de crdibilit dans le contrle des limites.
2.4.3 Calcul des limites.

Si les limites sont calcules par un systme :

Les calculs du systme ont-ils t valids par un secteur indpendant du FO et du MO ? Le primtre (desk, portefeuille) des tats de risque est-il vrifi rgulirement pour sassurer que toutes les oprations sont bien prises en ligne de compte ? Laccs la codification du systme de calcul et ddition des tats de risques est-il interdit au FO ? Loutil utilis peut-il calculer correctement les risques de march ? Loutil utilis (Excel, tats, rapports,) est-il fiable ? Est-il indpendant du FO, en ce sens quil utilise des donnes vrifies par un secteur indpendant. ? Un plan de secours/une sauvegarde a-t-il(elle) t mis(e) en place et test(e) ? Le primtre (desk, portefeuille) du calcul de risque est-il vrifi rgulirement pour sassurer que toutes les oprations sont prises en compte ?
Risques. Risque financier : les risques de march pourraient tre mal calculs. Les limites pourraient tre calcules sur un primtre incorrect cause dune mauvaise codification des systmes. La limitation de laccs la codification du systme de calcul des risques met la Banque labri des risques de fraude (manipulations des risques de march). Risque financier : les risques de march pourraient tre mal calculs.
Si les limites ne sont pas calcules par un systme :

188
Approches daudit & sondages. Vrifier les documents justificatifs des calculs de risques. Vrifier si le primtre de ltat couvre lensemble des transactions et si le MO procde un contrle rgulier. Vrifier laccs au systme pour sassurer que le FO ne peut pas modifier les tats de risques, son primtre et les calculs. Vrifier que loutil utilis est mme de calculer les risques de march. Vrifier que loutil utilis a des droits daccs appropris. Vrifier que les calculs ne sont pas sujets des erreurs de traitement (dans le cadre dune utilisation dun fichier Excel par exemple). Vrifier que les donnes utilises pour les calculs sont valides par un secteur indpendant du FO. Vrifier que loutil utilis est dot dun systme de secours qui a t test. Vrifier si le primtre du calcul englobe toutes les oprations et si le MO procde des contrles rguliers.
2.4.4 Limites intrajour.

Objectifs/points de contrle. Si les systmes ne permettent pas un suivi en temps rel des limites de march, existet-il un contrle a posteriori par sondage pour sassurer que les positions en cours de journe ne dpassent pas les limites de march ? Ces contrles sont-ils documents ?
Risques. Risque financier : labsence de contrle sur les oprations en cours de journe pourrait entraner un dpassement de limites par le FO, ce qui pourrait exposer la Banque des pertes potentielles suprieures aux prvisions. Approches daudit & sondages. Vrifier que le MO effectue des contrles a posteriori par sondage. Vrifier que ces vrifications sont documentes.
2.4.5 - Rsultats/Rvaluation au cours du jour.

Objectifs/points de contrle. La banque est-elle en mesure de procder une valuation au cours du jour de toutes ses positions indpendamment du FO ? La banque a-t-elle mis en place une procdure permettant de calculer quotidiennement les gains ou les pertes comptables indpendamment du FO ? Risques. Risque financier : la banque doit tre en mesure dvaluer au cours du jour ses positions pour dterminer son rsultat latent, mme si le rsultat est en couru. Risque financier : les rsultats doivent tre calculs par un secteur indpendant afin dviter toute dissimulation de perte et les risques de fraude. Approches daudit & sondages. Sassurer que le MO a les moyens de rvaluer toutes les positions au cours du jour.

189
Sassurer que le MO a ses propres outils pour procder ces r-valuations ainsi que des donnes valides et quil est par consquent indpendant du FO. Vrifier que les calculs sont effectus par un secteur indpendant. Sassurer que ce secteur a les moyens dassurer lindpendance de la production : stock valid par le BO, indpendance des paramtres de march.
2.4.6 - Couverture du risque de change sur les rsultats en devises

Objectifs/points de contrle. Les rsultats sur oprations de change (relatifs la banque) sont-ils couverts auprs de la salle des marchs au moins une fois par mois ? 71 Risques. Risque financier : le risque de change sur les rsultats pourrait ne pas tre couvert. Approches daudit & sondages. Vrifier que le rsultat sur oprations de change est couvert auprs de la salle au moins une fois par mois.
2.4.7 - Calcul des rsultats.

Si les rsultats sont calculs par un systme :

Les calculs effectus par le systme ont-ils t valids par un secteur indpendant du FO ? Le primtre (desk, portefeuille) de ltat de rsultats est-il vrifi rgulirement pour sassurer que toutes les oprations sont prises en compte ? Laccs la codification du systme de calcul et ddition des tats de rsultats est-il interdit au FO ?
Si les rsultats ne sont pas calculs par un systme ddi :

Loutil utilis est-il capable de calculer correctement les rsultats ? Loutil utilis (Excel, tats, ) est-il sr ? Est-il indpendant du FO, en ce sens quil utilise des donnes vrifies par un secteur indpendant ? Une procdure de secours a-t-elle t mise en place ? teste ? Le primtre (desk, portefeuille) des calculs de rsultats est-il vrifi rgulirement pour sassurer que toutes les oprations sont bien prises en compte ? Tous les lments constitutifs du rsultat ont-ils t pris en compte : trsorerie interne rsiduelle, cot de la liquidit, risques de garantie et risques metteurs, provisions, etc?
Risques. Risque financier : les rsultats pourraient tre mal calculs. Les limites pourraient tre calcules sur un primtre incorrect du fait dune mauvaise codification des systmes. Limiter laccs la codification du systme dans le cadre des calculs de rsultats
71 Dans chaque unit, les rsultats en devises sur oprations courantes, qu'ils soient valus en couru ou en marked to market, doivent tre cds au moins mensuellement contre monnaie locale auprs de la salle des marchs, ou auprs de la Gestion Actif-Passif de la banque.

190
protge la Banque des risques de fraude (manipulation des rsultats). Risque financier : des rsultats mal calculs pourraient donner des informations incohrentes sur la rentabilit de lactivit et laffectation des primes.
Approches daudit & sondages. Vrifier les documents de validation des rsultats. Vrifier que le primtre des tats englobe toutes les oprations et que le MO procde rgulirement des contrles. Vrifier laccs au systme pour sassurer que le FO ne peut pas modifier les tats de rsultats, leur primtre et les calculs. Sassurer que loutil utilis est capable de calculer les rsultats. Sassurer que loutil utilis dispose des droits daccs appropris. Vrifier que les calculs ne sont pas sujets des erreurs de traitement (dans lutilisation dun fichier Excel par exemple). Vrifier que les donnes utilises dans les calculs sont valides par un secteur indpendant du FO. Vrifier que loutil utilis dispose dune sauvegarde et dune procdure de secours et que les deux ont t testes. Vrifier que le primtre du calcul englobe toutes les oprations et sassurer que le MO procde rgulirement des vrifications. Vrifier que tous les lments constitutifs des cots et des produits sont bien pris en compte. Le financement de lactivit de chaque desk par exemple devrait tre pris en compte. Vrifier sil y aurait lieu de facturer le cot de la liquidit.
2.4.8 - Rconciliation des rsultats.

Objectifs/points de contrle. Le calcul des rsultats comptables est-il soumis la validation des traders par le biais dun rapprochement formel avec les rsultats du FO ? Les rsultats du MO sont-ils rapprochs rgulirement des rsultats comptables? 72 Risques. Risque financier : le rapprochement est une garantie de la validit des rsultats. Il permet de sassurer galement que les oprateurs FO sont daccord avec les rsultats. Approches daudit & sondages. Vrifier le rapprochement et sassurer que tous les carts sont expliqus et documents.
3. Back Office. 3.1 - Structure et gestion de lactivit.

Objectifs/points de contrle. Qui est charg de contrler la productivit ? Avec quelle priodicit la qualit de la productivit est-elle value ? La direction dispose-t-elle de processus et doutils spcifiques pour mesurer et amliorer
72 Quotidiennement, sur la base des positions front office arrtes la veille au soir et valides par le back-office, la mission des suivis dactivit est d'effectuer des rapprochements priodiques avec la comptabilit gnrale de la banque.
191

la productivit et la qualit du service ? Existe-t-il des statistiques dtailles par produit sur le nombre doprations ? le nombre derreurs ? le nombre de rclamations ? Les contrles effectus par la hirarchie sont-ils formaliss ?
Risques. Des zones de non-productivit pourraient ne pas tre mises en lumire. La direction pourrait prendre des dcisions inappropries faute dune bonne connaissance de lactivit. Lactivit pourrait ne pas tre correctement suivie. Approches daudit & sondages. Demander les plans dactions, les notes de projet ou les statistiques relatives la productivit tenues par la direction. Demander des statistiques portant au moins sur les deux dernires annes afin danalyser lvolution. Sassurer que les documents vrifis par la hirarchie sont correctement viss.
3.2 - Procdures et organisation.

Objectifs/points de contrle. Des procdures formelles existent-elles au niveau de la banque ? Ces procdures sontelles mises jour rgulirement et communiques aux membres du personnel concerns ? Lapplication correcte des procdures au niveau de la banque fait-elle lobjet de vrifications rgulires ? Risques. La remise de procdures prcises aux membres du personnel permet de rduire les risques oprationnels par une intervention rapide et de garantir la poursuite de lactivit dans le respect des procdures en cas de dpart ou dabsence dun employ occupant un poste clef. Des erreurs de traitement peuvent survenir dans le cas dun non respect des procdures. Approches daudit & sondages. Demander consulter les procdures les plus rcentes et vrifier quelles correspondent lactivit actuelle. Sassurer que les membres du personnel connaissent parfaitement les procdures en vigueur.
3.3 - Sparation des tches.

Objectifs/points de contrle. Le BO est-il hirarchiquement indpendant du FO ? Existe-t-il une vritable sparation des tches entre le FO / BO / le secteur rglement?73 Des contrles spcifiques sont-ils mis en uvre pour sassurer quil existe une indpendance totale entre le FO (qui initie les oprations), le BO (qui saisit les oprations dans les systmes de gestion), les personnes charges des rglements et le
73 La scurit des transactions est notamment assure par le respect du principe de sparation des fonctions de ngociation ( front office ) et de traitement ( middle et back office ). Ces fonctions relvent dorganisation et de hirarchie diffrentes. Elles ne doivent en aucun cas tre assumes par la mme personne.
192
secteur comptabilit ? Les fonctions de rapprochement et de confirmation sont-elles assures par des personnes diffrentes au sein du BO ?
Risques. Des oprations frauduleuses peuvent tre conclues et traites en labsence dun contrle appropri et dune vritable sparation des tches. Une mme personne pourrait tre charge de lensemble du processus, ce qui empcherait le contrle de deuxime niveau. Approches daudit & sondages. Demander les organigrammes, les dfinitions de postes. Sassurer par exemple que les systmes BO ne permettent pas de saisir des oprations dans les positions tenues par le FO. Vrifier de mme que les systmes FO ne permettent pas le traitement et le rglement des oprations. Par le biais dentretiens, identifier les personnes charges de ces diffrentes fonctions.

3.4 - Saisie des oprations.

Objectifs/points de contrle. Les tickets dopr font-ils lobjet dun horodatage ? (vrification pour sassurer que les tickets sont correctement et rgulirement transmis au BO : exhaustivit des oprations enregistres) . Les tickets dopr sont-ils pr-affects aux oprateurs ou aux desks ? Les tickets dopr sont-ils diffrents selon le type dinstrument ? Les horodateurs sont-ils jour ? Les tickets dopr sont-ils correctement et compltement remplis ? (exactitude des donnes). Les tickets dopr contiennent-ils toutes les informations requises par les rgles de march (cela vaut aussi pour les oprations internes) ? Les tickets dopr sont-ils signs par les traders ? Les oprations sont-elles saisies au fil de leau et correctement ? Les fonctions de saisie et de validation des oprations sont-elles effectivement spares ? Si les traders utilisent Reuters, les conversations sont-elles imprimes au BO ? Les impressions de conversations Reuters sont-elles rgulirement vrifies par le BO ? Les oprations internes sont-elles formalises par un ticket dopr ? Un rapprochement est-il effectu entre les tickets dopr et les saisies dans le systme? Risques. Les oprations peuvent tre saisies avec un certain retard ou incorrectement. Il pourrait en rsulter une mauvaise valuation du risque ou une dissimulation de postions. Une opration conclue par le FO pourrait ne pas tre enregistre par le BO. Il pourrait y avoir un transfert de rsultat par une affectation a posteriori. Les tickets dopr pourraient tre incorrectement saisis. Lhorodatage permet de connatre prcisment lheure laquelle une opration a t conclue, ce qui peut tre utile dans le cas dune rclamation clientle. Les oprations peuvent tre saisies de manire incorrecte.

193

Lvaluation des positions pourrait tre inexacte si le stock de position est lui-mme inexact. Le contrle de deuxime niveau pourrait ne pas tre assur. Certaines transactions pourraient tre dissimules par le FO et certaines oprations pourraient tre omises. Les oprations internes pourraient ne pas tre documentes et par consquent difficiles identifier. Tous les tickets dopr pourraient ne pas tre enregistrs dans les systmes de gestion.
Approches daudit & sondages. Vrifier que les tickets doprations sont bien horodats au moment ou lordre client est reu et au moment ou lexcution est acheve. Sassurer que les tickets dopr contiennent des informations relatives au desk. Prendre un chantillon de tickets dopr par type dinstrument et vrifier quils sont diffrents. Vrifier que tous les tickets dopr prcisent lheure de conclusion de lopration. Vrifier au FO que les horodateurs indiquent les bonnes date et heure. Prendre un chantillon de tickets dopr et vrifier quils sont compltement remplis et quils ne comportent pas de mots rays ou effacs. Prendre de faon alatoire quelques oprations et comparer la date dopration avec la date de saisie, la date de valeur, la date de paiement. Dterminer le nombre doprations saisies de faon incorrecte, rechercher les causes et analyser les consquences. Vrifier les signatures apposes sur les tickets dopr, les droits daccs aux systmes et les noms des utilisateurs utiliss pour la saisie. Vrifier la cohrence entre les tickets / les telex / les impressions Reuters. Vrifier que les contrles relatifs aux conversations Reuters sont documents et formaliss. Vrifier que les tickets dopr relatifs aux oprations internes sont correctement remplis. Sassurer quils peuvent tre facilement identifis par le BO (numros spcifiques, archivage ). Cette vrification peut tre mene de pair avec celle des retards de saisie.
3.5 - Archivage des dossiers.

Objectifs/points de contrle. Les dossiers sont-ils conservs dans un endroit sr ? laccs ce local est-il protg? Les dossiers des oprations sont-ils correctement conservs ? sont-ils complets (ticket dopr, confirmations, ordres de paiement, fiches de saisie, documentation lgale, messages telex et description de produits complexes, sil y a lieu ) ? Les diffrents types doprations peuvent-ils tre aisment individualiss ? oprations en cours ? oprations chues ? Risques. La protection des dossiers pourrait ne pas tre suffisamment assure. Le suivi des oprations peut tre difficile faute dune documentation correcte. Une comptabilisation incorrecte des oprations pourrait cacher des pertes financires ventuelles.

194
Approches daudit & sondages. Tester les droits daccs au local dans lequel les dossiers sont conservs. Choisir quelques oprations et sassurer que les fichiers peuvent tre facilement trouvs et quils sont correctement documents.
3.6 - Modification / annulation dune opration.

Objectifs/points de contrle. Existe-t-il une procdure pour la modification ou lannulation dune opration ? Existe-t-il une piste daudit en cas dannulation ou de modification dune opration (registre spcifique, classement des tickets dopr correspondants .) ? Toutes les modifications/annulations sont-elles expliques, autorises par la hirarchie et documentes ? Des tats danomalie spcifiques sont-ils dits en cas de modification des oprations ? Risques. Les oprations pourraient tre modifies ou annules par les membres du personnel sans que ces annulations ou modifications soient documentes. Approches daudit & sondages. Prendre un chantillon doprations modifies et annules et analyser le processus.
3.7 - Gestion des oprations en dehors des heures d'ouverture.

Objectifs/points de contrle. Un horaire butoir a-t-il t dfini en ce qui concerne lactivit de trading (lheure limite denvoi des derniers tickets dopr et pour arrter la journe comptable) ? Existe-t-il une procdure formalise en ce qui concerne le traitement des oprations conclues en dehors des heures douverture ? Risques. La scurit des oprations pourrait ne pas tre assure. Approches daudit & sondages. Demander consulter la procdure relative aux ngociations en dehors des heures douverture. Identifier les oprations effectues en dehors des heures douverture et analyser de quelle manire elles ont t traites.
3.8 - Gestion des oprations hors site.

Objectifs/points de contrle. Existe-t-il une procdure spcifique pour les oprations hors site ? Risques. La scurit des oprations pourrait ne pas tre assure . Approches daudit & sondages. Demander consulter la procdure relative aux ngociations hors site.
195
Identifier des oprations effectues hors site et analyser de quelle manire elles ont t traites.
3.9 - Rapprochement des stocks.

Objectifs/points de contrle. Les stocks enregistrs dans les applications BO sont-ils constamment rapprochs avec les systmes FO ? Risques. Lexactitude de la position de la banque nest pas assure en labsence dun rapprochement des stocks appropri. Les carts dans les stocks pourraient signifier que certaines oprations nont pas t enregistres dans les systmes FO ou BO, entranant des valuations incorrectes. Approches daudit & sondages. Vrifier que les stocks sont rgulirement rapprochs (selon quelle frquence ?) et que ces rapprochements ne mettent pas en vidence des suspens. Analyser au moins trois rapprochements de stocks : identifier le seuil de signification des carts constats, le niveau de dtail, Vrifier que des rapprochements sont rgulirement effectus entre le FO et le BO. Demander consulter au moins trois rapprochements et identifier toute opration en suspens. Les suspens doivent tre expliqus et documents.

3.10 - Contrle de position.

Objectifs/points de contrle. Le BO procde-t-il priodiquement (lidal tant une priodicit quotidienne) un rapprochement entre les positions FO et BO ? Sinon de quelle manire les positions vrifier sont-elles choisies ? Les positions du BO et de la comptabilit sont-elles rapproches priodiquement (au moins chaque date darrt comptable)? Risques. Les rsultats de la Banque pourraient tre inexacts en labsence dune position exacte des stocks. Approches daudit & sondages. Choisir certaines oprations et rapprocher les saisies / la rcapitulation des saisies / les tickets dopr ou demander voir des rapprochements effectus par le BO. Si le rapprochement est automatis, analyser les tats danomalie. Vrifier que ltat contient toutes les positions rapprocher. Vrifier que toutes les positions du BO sont bien enregistres dans le systme comptable. En cas de dversement automatique en comptabilit, vrifier quil ny a pas de suspens ou sil y en a, quils sont identifis et documents.
196
3.11 - Suspens.

Objectifs/points de contrle. Existe-t-il une procdure spcifique pour liquider les suspens ? Cette procdure est-elle correctement applique ? Les anomalies sont-elles numrotes, enregistres dans un registre interne et signales la direction ? Les suspens sont-ils dtects et rgls ponctuellement ? Une piste daudit est-elle assure lorsque le suspens implique la modification ou lannulation dune opration ? Une analyse des suspens est-elle faite lattention de la direction : origine, consquences financires ? Cet impact financier est-il systmatiquement affect au desk responsable du suspens ? Quelles actions correctives sont entreprises ? Sont - elles approuves par la direction ? Risques. Les suspens peuvent suggrer des erreurs de traitement par le BO et peuvent entraner des pertes financires. Approches daudit & sondages. Vrifier que le BO est au courant de tous les suspens et quil en assure le suivi : si les suspens sont mis dans un fichier spcifique, demander le consulter et procder un examen dtaill ; nombre des suspens, explications, temps ncessaire leur rglement Demander consulter la procdure interne relative au rglement des suspens ou toute note dinformation.
3.12 - Processus de confirmation.

Objectifs/points de contrle. Le BO est-il le seul secteur charg de lenvoi et de la rception des confirmations? La rception ou lenvoi de confirmations par le FO est-il strictement interdit(e) ? Le processus de confirmation est-il automatis ? Dans laffirmative, est-il suffisamment scuris (accs swift, au telex .) ? Les confirmations sont-elles envoyes lextrieur en temps opportun (un jour ouvrable au plus tard aprs la date dopration) ? (FED) Les confirmations sont-elles vrifies avant dtre envoyes ? Ces confirmations sont-elles signes par des signataires dment autoriss ? Existe-t-il un suivi formalis des confirmations non reues ? ou non signes ? Est-il procd un rapprochement formel entre les tickets dopr, les confirmations envoyes et les confirmations reues de contreparties et les saisies dans le systme? Ce rapprochement est-il fait manuellement ou automatiquement ? Les signatures apposes sur les confirmations sont-elles vrifies ? (FED)75
74
Risques. En labsence dune vritable sparation des tches, des oprations pourraient tre dissimules par le FO. Des oprations frauduleuses peuvent tre conclues dans un environnement non
74 75
FED Trading and Capital Markets Activities Manual. FED Trading and Capital Markets Activities Manual Feb 1998
197

scuris. Des confirmations incorrectes peuvent tre la cause de rclamations des contreparties. Labsence de confirmation ou une mission tardive peut entraner des saisies incompltes. Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en vidence. Une opration pourrait tre mal enregistre. La Banque pourrait ne pas tre labri en cas de diffrend avec la contrepartie.
Approches daudit & sondages. Vrifier que toutes les confirmations sont directement envoyes par le BO et quelles sont conserves par ce secteur. Vrifier que le FO ne peut pas avoir accs au processus de gnration des confirmations. Vrifier que les confirmations ne peuvent tre effectues que par des personnes autorises, et quil existe une piste de connexion. Prendre quelques confirmations et sassurer quelles contiennent toutes les informations utiles relatives lopration et quelles sont signes par des personnes autorises. Examiner les tats rcapitulatifs des confirmations pour identifier les oprations dont les confirmations sont en suspens depuis plus de 15 jours (FED)76. Vrifier si toutes les diffrences entre les confirmations envoyes par les contreparties et les tats de la Banque sont enregistres dans un registre des anomalies. Vrifier que toutes les irrgularits sont envoyes pour rglement un cadre indpendant de la fonction trading. (FED) 77 Vrifier que tous les suspens ncessitant une action corrective sont rapidement identifis, examins et rgls en temps opportun. (FED)78 Analyser les tats danomalies ventuels. Si ce rapprochement nest pas formalis, choisir certaines oprations et raliser le test. Demander consulter le recueil des signatures autorises des contreparties conserv par le BO et le comparer quelques confirmations.
3.13 - Gestion de la trsorerie.

Objectifs/points de contrle. Les mouvements sont-ils cumuls et enregistrs par date de valeur ? par devise ? par correspondant ? La banque dispose-t-elle dun systme de gestion de trsorerie fiable ? La banque dispose-t-elle dun outil fiable de gestion de prvisions des flux ? La prvision de liquidit et les soldes comptables sont-ils rapprochs quotidiennement ? Les oprateurs sont-ils informs des nouvelles prvisions de position? Comment? Risques. Des anomalies pourraient ne pas tre dtectes. Approches daudit & sondages. Prendre quelques comptes et analyser le processus de gestion de la trsorerie en liaison avec la fonction FO.
76 77 78
FED Trading and Capital Markets Activities Manual, Feb 1998 FED Trading and Capital Markets Activities Manual, Feb 1998. FED Trading and Capital Markets Activities Manual, Feb 1998
198
3.14 - Analyse des rclamations.

Objectifs/points de contrle. Existe-t-il une procdure formalise pour traiter les rclamations des clients ? Toutes les rclamations sont-elles consignes dans un registre ad hoc ? Ce registre estil jour ? est-il correctement tenu (indique-t-il la nature de la rclamation, la date de rglement, la solution apporte ) ? Ce registre est-il rgulirement soumis laudit interne ? Est-il vis par la direction de la banque ? Les rclamations non rgles sont-elles soumises la direction pour dcision ? dans quel dlai ? Chaque rclamation de client est-elle tudie dun point de vue financier ? lincidence est-elle affecte en analytique au desk responsable ? Des pnalits de retard sont-elles systmatiquement demandes et payes ? La personne charge dtudier les rclamations est-elle diffrente de celle qui initie ou traite les oprations ? Est-ce que les conversations tlphoniques sont enregistres ? Risques. La banque peut avoir payer des pnalits pcuniaires. La sparation des tches pourrait ne pas tre assure ce qui fait obstacle un contrle appropri. Il existe un risque de fraude du fait que des rclamations peuvent ne pas tre suivies. En cas de litige la piste daudit peut ne pas tre assure. Approches daudit & sondages. Analyser de quelle manire les rclamations sont traites par le BO. Sil existe un registre, lexaminer. Vrifier que la fonction examen des rclamations est assure par des personnes indpendantes (par des entretiens, lexamen de lorganigramme). Vrifier que les conversations sont enregistres.
4. Risque de contrepartie. 4.1 - Octroi des lignes de Crdit.

Objectifs/points de contrle. Est-ce que les lignes pour les oprations de march font partie de la demande globale de lignes de risque pour la contrepartie ? Est-ce que le dpartement des engagements dispose des master agreements signs avec chacun des clients utilisant des produits drivs ? Est-ce que les lignes de risque sont accordes par le Comit de Crdit ? Est-ce que le dpartement commercial est inform des lignes de risque pour les activits de march sur les clients accrdits ? Risques. Risque de crdit : La demande de lignes pour les oprations de march insuffisamment documente et motive, peut conduire une sous-estimation du risque sur un client. Risque de crdit : Labsence de la documentation affaiblit la position de la banque en

199

cas de conflit avec un client. Risque de crdit : Les lignes pour les oprations de march ne doivent tre donnes que par le Dpartement des engagements et valides par le Comit de Crdit. Risque de crdit : Le dpartement commercial doit tre inform des lignes de risque attribues pour les oprations de march de manire avoir une vue globale de la relation.
Approches daudit & sondages. Ce point doit tre vrifi avec les fonctions commerciale et engagements afin de vrifier que le processus global intgre bien les trois dpartements. Vrifier, par sondage, que les contrats cadres sont bien signs avant/pendant que la banque entre en transaction avec un client. Vrifier que les lignes sont bien accordes par le Dpartement des Engagements. Vrifier que le dpartement commercial est bien inform des demandes de lignes pour les oprations de march.
4.2 - Systme de gestion du risque de crdit.

Objectifs/points de contrle. Existe-t-il un systme de gestion du risque de crdit pour les oprations de march ? Est-il en temps rel ? Couvre-t-il lensemble des produits ?
Risques. Risque de crdit : labsence de systme de gestion peut conduire une sousvaluation du risque de contrepartie. Approches daudit & sondages. Vrifier que lensemble des produits traits sont pris en compte par le systme de gestion des risques de contrepartie, notamment des produits comme les instruments dpart dans le futur.
4.3 Rvaluation.

Objectifs/points de contrle. Dans le cas o le systme nest pas intgr, est-ce que les rvaluations des positions clients sont ralises par un service indpendant du Front Office ? Si le systme nest pas intgr : Est-il matris (quil soit dvelopp en interne ou achet un fournisseur) ? Est-il scuris en terme de droit daccs, de sauvegarde et de backup ? Est-ce que les paramtres de march servant la rvaluation pour le calcul du risque de contrepartie sont valids par un dpartement indpendant ? Risques. Sparation des tches : Le Front Office peut dissimuler des pertes si cest lui qui procde aux rvaluations des positions Risque de crdit : le systme peut ne pas tre assez scuris et pour diverses raisons mal valuer le risque de contrepartie. Risque de crdit : Le risque de contrepartie peut tre mal calcul.

200
Approches daudit & sondages. Vrifier que les rvaluations sont faites par un service indpendant du Front Office. Il faut vrifier que le systme de gestion du risque de contrepartie est suffisamment scuris, il faudra veiller vrifier que les paramtres de march servant au calcul des positions soient fournis par un service indpendant du Front Office. Vrifier que les paramtres de march sont valids par un dpartement indpendant du Front Office. Pour plus de prcision vous pouvez vous reporter la section consacre au Middle Office.
4.4 - Suivi du risque de crdit.

Objectifs/points de contrle. Est-ce que les risques de contrepartie sont suivis par un service indpendant du Front Office ? Est-ce que les positions sont suivies sur une base continue (temps rel) et contrles par un service indpendant du Front Office ? Est-ce que les dpassements de limites sont notifis au responsable du desk avec copie au management ? Est-ce que les notifications de dpassement sont suivies ? Risques. Risque de Crdit :Le Front Office ne doit pas tre impliqu dans le suivi du risque de contrepartie. Lindpendance du contrle garantit que les dpassements seront notifis. Risque de crdit : Les franchissements de limites non signals peuvent conduire augmenter le risque de crdit sur un client. Risque de crdit : Les dpassements doivent tre signals et corrigs sinon le rle du dpartement de contrle sera diminu. Approches daudit & sondages. Vrifier quun dpartement rellement indpendant contrle le risque de contrepartie. Vrifier que pour chaque dpassement une notification est envoye au responsable du desk avec copie sa hirarchie. Vrifier que pour chaque dpassement, les actions correctrices ont t prises partir des mails, des mmos etc
5. Risque Juridique.
5.1 - Capacit lgale des personnes. Objectifs/points de contrle. Est-ce que linterlocuteur possde la capacit engager son entreprise sur des oprations de march? Est-ce que linterlocuteur est habilit traiter pour tous types doprations (options, swaps de taux etc) et de montants ? Est-ce que les employs de la banque sont autoriss traiter avec les contreparties, pour quels types de montants et de produits ? Risques. Risque Juridique : La banque peut se voir reprocher des oprations au motif que la

201
personne qui a trait navait pas le pouvoir de le faire. Risque Juridique et financier: Une transaction initie par une personne non autorise peut conduire des pertes en cas de contestation
Approches daudit & sondages. Vrifier dans le dossier client la ou les personnes autorises traiter. Vrifier que seuls les employs rguliers sont autoriss traiter. 5.2 - Contrat cadre. Objectifs/points de contrle. Est-ce que les contrats cadres sont signs avec les contreparties traitant des produits drivs ? Avant de traiter le premier deal, sil manque des contrats signs, existe-t-il un suivi ? Est-ce que la personne qui a sign avait le pouvoir de le faire ? Est-ce que les contrats cadres sont signs avec les contreparties travaillant en repo et prt/emprunt de titres avec la banque ? Risques. Risque Juridique : le contrat cadre doit tre juridiquement valable. Risque Juridique : labsence des contrats cadres affaiblit la position de la banque en cas daction en justice. Approches daudit & sondages. Demander la validation officielle du Dpartement Juridique. Vrifier que le contrat cadre est sign avant de raliser la premire transaction et que la signature a t authentifie. 5.3 - Confirmations. Objectifs/points de contrle. Est-ce que le contenu des confirmations a t valid par un dpartement juridique?

Risques. Risque Juridique : la confirmation doit tre juridiquement valable pour les produits sensibles. Approches daudit & sondages. Vrifier que les confirmations envoyes aux clients sur les produits drivs non standards ont t valides par le dpartement Juridique. 5.4 - Conversation tlphonique. Objectifs/points de contrle. Est-ce que le systme denregistrement des conversations fonctionne correctement ?
Risques. Risque Juridique et Commercial : Mme si un enregistrement nest pas une preuve forte, ce systme aide en cas derreur sur une opration.
202
Approches daudit & sondages. Vrifier le fonctionnement du systme, vrifier quil existe aussi une procdure pour la conservation des enregistrements.
6. Scurit Physique.
6.1 - Accs. Objectifs/points de contrle. Est-ce que laccs la salle des marchs est rserv aux personnes autorises ?
Risques. Fraude : Un accs rserv est la premire tape pour viter les oprations frauduleuses. Approches daudit & sondages. Vrifier que les portes sont fermes et que laccs est rserv aux membres du FrontOffice. 6.2 - Systmes. Objectifs/points de contrle. Est-ce que les PC et autres systmes de dealing sont dconnects en dehors des heures de travail ? Est-ce que le systme denregistrement des conversations fonctionne correctement ? Risques. Risque de fraude : Ces systmes sont protgs par des user et des password . Une utilisation frauduleuse de ces systmes est impossible lorsque ces systmes sont dconnects. Risque juridique et commercial : Mme si un enregistrement nest pas une preuve forte, cet appareil aidera sur dventuels litiges. Approches daudit & sondages. Vrifier que les systmes informatiques sont bien dconnects en dehors des heures de travail. Vrifier le fonctionnement du systme, vrifier quil existe aussi une procdure pour la conservation des enregistrements. 6.3 - Back-up. Objectifs/points de contrle. Est-ce que la solution de back-up de la salle est oprationnelle ? Risques. Risque de continuit dactivit. Approches daudit & sondages. Pour ce contrle il faudra sassocier avec lauditeur en charge de la fonction informatique.
203

204
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.
205
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines. Introduction.

La fonction Ressources Humaines couvre cinq domaines : ladministration, la gestion des carrires, le recrutement, la formation et les relations sociales. Elle a, au sein de toute banque commerciale comme ailleurs, quatre missions essentielles assurer : Administrer (les classifications, ladministration du personnel, la paie); Rpondre aux besoins, en fournissant les ressources humaines adaptes (le recrutement, lorientation, la formation, la motivation); Garantir la continuit du fonctionnement de lentreprise (le dialogue social, lenvironnement du travail); Optimiser les cots des ressources humaines (les rmunrations, le contrle de gestion). Selon la taille de la banque, les Ressources Humaines (RH) seront plus ou moins structures ; une gestion directe par le management assist dun secrtariat administratif dans les petites units, une Direction des Ressources Humaines (DRH) importante dans les plus grandes. Comme pour toutes les fonctions, une mission daudit de la Direction des Ressources Humaines comprendra une phase de prparation (collecte de documents et entretiens prparatoires), une phase dinvestigation (entretiens systmiques 79 et sondages) et une phase de rdaction. Il conviendra, en thorie, de couvrir chacun des cinq domaines lors de chaque phase. Selon limportance de la banque audite, ces cinq thmes seront dclins plus ou moins formellement. Dans tous les cas, cependant, la mission aura pour objet dapprcier comment sont couverts les risques lis la fonction Ressources Humaines. Parmi les familles de risques recenses, seront principalement concerns les risques de management, juridiques, de dontologie et de compliance, oprationnels et fiscaux. Laudit RH devra mesurer le niveau des risques, leur volution et lavancement des plans dactions correcteurs. Le prsent chapitre reprend : Pour la phase de prparation, la liste des documents recueillir et des entretiens mener, Pour la phase dinvestigation, dans chacun des cinq domaines, les objectifs, points de contrle, familles de risques associes et natures des risques, sondages et documents. Pour la phase de synthse, une liste de sondages qui pourraient tre repris dans le rapport et une indication sommaire des domaines les plus sensibles.
79
206
Les points de contrle essentiels.
Au cours de la mission, les points de contrle essentiels seront les suivants : 1. Les cinq fonctions RH sont-elles couvertes (Administration, Gestion, Recrutement, Formation, Relations Sociales) ? 2. Les rgles de confidentialit (paie, dossiers personnels) et de scurit (back up) sont-elles respectes ? 3. Y a-t-il des tableaux de bord fiables lintention du Responsable de la banque ? 4. Le processus de rvision des rmunrations individuelles est-il formalis ? 5. Y a-t-il un systme de rmunration objectif et connu ? 6. Comment sont grs les avantages annexes ? 7. Le provisionnement des engagements sociaux (retraites, prvoyance, indemnits, ) est-il adquat ? 8. Le personnel est-il sensibilis aux risques de fraude interne et externe ? 9. Les rgles de prise de congs sont-elles respectes (prise de tous les congs, dure dabsence minimum, ) ? 10. Existe-t-il un plan de formation ? Est-il suffisant et respect ? 11. En cas de mouvements sociaux, des activits ou des quipements pourraient-ils tre bloqus ?
Prparation.
Documentation spcifique demander la banque. Parmi la documentation spcifique demande la banque au cours de la phase de prparation, les documents suivants concernent plus particulirement la fonction Ressources Humaines :

Organigramme de la DRH, Liste des comits auxquels participe le responsable RH, Liste du personnel en activit (ge, anciennet, fonction, niveau hirarchique, statut, diplmes, salaire, emploi temps complet partiel), Systme de salaires et de bonus, avantages annexes, liste des bonus ou primes des trois dernires annes, Liste des heures supplmentaires par dpartement au cours des trois dernires annes, Liste des absences hors congs annuels au cours des trois dernires annes, Programme de formation des trois dernires annes (budget ralis), Principaux lments de la rglementation du travail, Le cas chant, plans sociaux des cinq dernires annes, Liste des organisations syndicales reprsentes, Rglement intrieur,
207

Charte des contrles (au Secrtariat du Personnel), Supports de communication de la DRH. Entretiens pralables

Top management, Responsable RH (DRH).
Investigations.
La fonction RH est une fonction support. Les investigations auront donc pour objet de sefforcer de rpondre deux types de proccupations : Celles relatives laudit de conformit : conformit avec les accords sociaux, avec les aspects juridiques et fiscaux, avec les budgets et avec lorganisation. Celles relatives aux audits stratgiques : quelles sont les pratiques de rtribution, les freins la mobilit interne, quelle est la politique de gestion des comptences, la formation est-elle efficace, comment peut-on apprcier la qualit du climat social Rappel de larborescence de la dmarche daudit systmique :
1. Organisation gnrale de la fonction RH. Thme : Structure de la DRH Objectifs/points de contrle

Existe-t-il un organigramme dtaill de la DRH ? Les 5 fonctions sont-elles couvertes (voir supra) ? Lorganisation est-elle adquate ? La rpartition des responsabilits au sein de la ligne-mtier RH est-elle claire et efficace ?
Risques. Risque oprationnel. Non suivi ou suivi imparfait de certaines fonctions RH. Approches daudit & sondages. Organigramme RH. Dfinitions de fonctions du personnel RH.
208
Nombre de personnes ddies chaque fonction par rapport la taille de la banque (en particulier pour ladministration de personnel : Formation du personnel RH (passe et prvue).
Stratgie. Objectifs/points de contrle.

Des objectifs sont-ils fixs annuellement par ligne-mtier ? Sont-ils accompagns de plans dactions ? La synergie avec le management est-elle suffisante ? La DRH est-elle associe la dtermination des objectifs ? La procdure budgtaire intgre-t-elle les objectifs RH ? Les objectifs annuels gnraux de la banque sont-ils communiqus aux diffrents responsables de la banque ?
Risques. Risque li au management. Risque oprationnel. Non prise en compte des impratifs de la banque. Non respect du budget. Non application des dcisions prises. Approches daudit & sondages. Plans dactions, instructions en matire de recrutement, formation, gestion individuelle, acquisition de moyens. Communications avec le management (courriers, mails), existence dune communication institutionnelle, de rgles crites, de visites rgulires. Participation du Directeur des Ressources Humaines la fixation des objectifs (notes, mails). Participation du DRH la procdure budgtaire, budget de la banque. Communication crite aux responsables sur les objectifs.
Qualit.
Objectifs/points de contrle. Y a-t-il une dmarche qualit au sein de la DRH ? Risques. Risque oprationnel. Efficacit non mesure. Approches daudit & sondages. Etudes statistiques sur les dlais de traitement des demandes (de cong, de formation, etc.), sur les couvertures de postes, sur le suivi de la formation, la satisfaction des stagiaires,
209
Audit.
Objectifs/points de contrle. Les recommandations de lAudit Interne et/ou de lInspection Gnrale sont-elles prises en compte ? Risques. Risque li au management, risque oprationnel. Approches daudit & sondages. Rponses de la DRH aux rapports dAudit Interne, respect des dlais de mise en uvre, notes internes. Dontologie.

Objectifs/points de contrle. La rglementation interne et la dontologie sont-elles respectes ? Les rgles de confidentialit sont-elles respectes au sein de la DRH ? Risques. Risque juridique, risque li au management, Risque oprationnel, risque de dontologie et de compliance. Divulgation dinformations sensibles. Approches daudit & sondages. Vrifier que le rglement intrieur et le code de dontologie ont t remis chaque collaborateur, et lus (sondage), Vrifier la scurit et la confidentialit du systme de paie et de bonus, la distribution des fiches de paie sous pli ferm, les dossiers personnels dans un local fermant cl. Procdures. Objectifs/points de contrle.
La banque a-t-elle dfini des procdures pour le fonctionnement du dpartement RH ?

Risques. Risque oprationnel. Suivi non homogne selon les personnes. Approches daudit & sondages. Procdures existantes, vrification de leur respect (sondage). Information externe. Objectifs/points de contrle.
Le march local de lemploi est-il connu ?

Risques. Risque li au management.
210
Approches daudit & sondages. Information rcente disponible, abonnements. Information interne. Objectifs/points de contrle.
Existe-t-il des tableaux de bords pour la Direction Gnrale, avec indicateurs quantitatifs et qualitatifs (turn-over, dmissions, ) ? Pour le responsable de la banque ? Pour la DRH ?
Risques. Risque li au management. Information incomplte ou insuffisante. Approches daudit & sondages. Copie des tableaux de bord remis la DG et la DRH. Ressources. Objectifs/points de contrle.
Les ressources humaines, matrielles, budgtaires (formation, systmes dinformation, ) sont-elles adaptes ?
Risques. Risque li au management, risque oprationnel. Inadquation des moyens. Approches daudit & sondages. Budget des RH, comparaison entre budget propos et budget adopt, entre besoins exprims et ressources obtenues. Systmes dinformation
Objectifs/points de contrle. Y a-t-il un pilotage centralis de la fonction RH ? Risques. Risque oprationnel. Approches daudit & sondages. Mode denregistrement et de suivi des absences, embauches, dparts, formation, 2. Administration. Dossiers du personnel.

Objectifs/points de contrle. Les dossiers sont-ils complets ? A jour ? Correctement classs ? Confidentiels ? Qui assure le secrtariat du personnel et la gestion des dossiers ? Existe-t-il un systme dhabilitation pour les personnes qui ont accs aux dossiers ? Qui signe les augmentations de salaire, les embauches, les contrats de travail, les
211
lettres dobservations ou de sanctions ?

Risques. Risque oprationnel, risque juridique. Connaissance incomplte de la formation, des congs, apprciations trop anciennes, Approches daudit & sondages. Sondage sur dossiers individuels dans plusieurs directions ou dpartements. Voir en annexe 2 le contenu standard dun dossier. Respect des rgles de confidentialit. Suivi quotidien. Objectifs/points de contrle. Liste quotidienne des absences (causes), heures supplmentaires, personnel temporaire, stagiaires. Dans les points de vente recevant du public, les rgles de prsence minimum sont elles respectes ? Risques. Risque oprationnel, risque juridique, risque li au management. Absences injustifies, retards, heures supplmentaires systmatiques, Approches daudit & sondages. Liste des absences par service, sondage sur exactitude de cette liste sur quelques jours. Idem pour heures supplmentaires. (Voir annexe 3). Contrle sur prsences minimum dans points de vente recevant du public. Traitement de la paie. Objectifs/points de contrle.
Comment la paie est-elle traite (interne, externe) ? Par qui (en interne ? par un sous-traitant externe ?) Y a-t-il des contrles ? Un back-up ? Une sparation des tches ? Le processus dtablissement de la paie permet-il de sassurer que les oprations et donnes traites sont compltes, exactes, autorises et effectues dans les dlais ?
Risques. Risque li au management, risque oprationnel. Non confidentialit, fraude interne. Approches daudit & sondages. Sondage sur les tats dits par le systme traitant la paie et vrifier leur exhaustivit, fiabilit et dlai de traitement. Rglementation. Objectifs/points de contrle.
La DRH a -t-elle une bonne connaissance de la rglementation ? (droit du travail, )

212
Risques. Risque juridique, risque li au management. Non respect des rgles locales. Approches daudit & sondages. Possession et utilisation dun code du travail jour. Abonnements aux sources dinformation de mise jour de la rglementation. Statistiques.
Objectifs/points de contrle. Existe-t-il des statistiques jour sur : les effectifs (rpartition, classes dge, anciennet, qualification, rmunration, taux de rotation), le march du travail dans le secteur bancaire ? Risques. Risque oprationnel. Non adaptation au march, connaissance insuffisante des donnes de base pour gestion moyen terme des effectifs. Approches daudit & sondages. Documents statistiques tablis par la DRH (et sondage sur fiabilit). Informations gnrales sur le march du travail local. Bilan social s'il existe. Comptabilisation des critures.

Objectifs/points de contrle. La saisie des critures est-elle faite par les personnes en charge dtablir la paie ? Y a-t-il des contrles tablis par la Comptabilit ou un autre secteur (autre que DRH) ? Y a-t-il des rapprochements entre les critures comptables et les tats de gestion ? Risques. Risque oprationnel. Risque de fraude. Approches daudit & sondages. Comparaison des listings comptables des critures de paie et du listing du personnel en gestion. Comparaison des listings comptables des critures (paie et rmunrations variables, y compris heures supplmentaires) de rmunrations variables (y compris heures supplmentaires) et des listings de gestion de ces lments variables. 3. Gestion des carrires. Apprciations.
Objectifs/points de contrle. Comment fonctionne le systme dapprciation ? Les diffrents dlais (apprciation
213
annuelle, temps de rponse par lintress) sont-ils respects ? Le personnel a-t-il un droit de rponse ? Le systme dapprciation est-il pris en compte pour la dtermination des rmunrations ? Pour la dtermination des besoins de formation ?
Risques. Risque oprationnel. Dmotivation du personnel. Risque li au management. Approches daudit & sondages. Pour chaque dpartement, consulter les notations des annes n et n-1 de quelques collaborateurs. Vrifier leur cohrence dune anne sur lautre. Vrifier, par sondage dans diffrents dpartements, la cohrence entre la priode prvue et effective de notation dune part et la date des mesures individuelles dautre part. Vrifier la prise en compte des points faibles ventuels dans le plan de formation individuel. Mutations. Objectifs/points de contrle. Comment sont dcids les changements de poste ? Rles respectifs de la hirarchie, de la DRH ; de la DG ? Y a-t-il une Bourse de lemploi ? Y a-t-il des entretiens de gestion rguliers ? Comment les collaborateurs font-ils remonter leurs desiderata ? Quels sont les dlais pour les mouvements de personnel entre une dcision et sa mise en uvre ? Risques. Risque oprationnel. Gestion non optimale et mcontentement du personnel. Mauvaise adquation possible entre le personnel et les fonctions exerces. Conflit entre intrt individuel des hirarchiques et intrts du Groupe. Approches daudit & sondages. Entretiens (toutes fonctions). Procdures formalises sur les changements de postes. Copie de la Bourse de lemploi. Gestion des carrires.
Objectifs/points de contrle. Existe-t-il un recensement et un suivi spcifique des cadres fort potentiel ? Risques. Risque li au management. Mcontentement de cadres potentiel. Approches daudit & sondages. Entretien avec le responsable de la banque. Si le recensement existe : critres ? Consquences ?
214
Rmunrations.

Objectifs/points de contrle. Quel est le systme de rmunration de la banque ? Mesures collectives et individuelles, rmunration fixe et variable. La dtermination de la partie variable est-elle objective ? Ses critres sont-ils prdfinis et accepts formellement par lintress ? Les objectifs individuels sont-ils fixs a priori et non a posteriori ? Quelles sont les modalits de rmunration des cadres suprieurs ? Existe-t-il des systmes dintressement aux rsultats ? Comment fonctionnent-ils ? Le personnel du dpartement RH est-il sensibilis aux risques de fraude interne et externe en matire de rmunrations ? Des dispositions sont-elles prises pour prvenir la fraude ? Risques. Risque oprationnel, risque li au management. Absence de matrise de la masse salariale, non respect du budget, de la politique de rmunration. Dmissions de cadres dirigeants. Dmotivation du personnel. Risques de fraude. Salaires fictifs, avantages indus. Approches daudit & sondages. Procdure budgtaire, comptes-rendus de runions sur mesures individuelles, rgles de rmunration variable communiques au personnel. Par sondage, calcul de rmunrations variables partir des critres prdfinis. Vrification de la date de fixation des objectifs individuels. Voir avec le responsable de la banque et la DRH les modalits crites et pratiques de rmunration. Vrifier que les dcisions DRH sont appliques sans modifications dans la banque. Rgles relatives lintressement. Accord dentreprise le cas chant. Existence dun contrle interne sur lapplication des accords (modalits de calcul). 4. Recrutement. Politique de recrutement.
Objectifs/points de contrle. Comment sont dfinis les besoins ? Comment sont donnes les autorisations ? Qui a le pouvoir de recruter ? Risques. Risque li au management. Approches daudit & sondages. Procdure budgtaire. Autorisations spcifiques crites pour recrutements hors budget.
215
Besoins.
Objectifs/points de contrle. Existe-t-il une fiche de besoin prcise pour chaque poste ? Risques. Risque oprationnel. Inadaptation des postes. Approches daudit & sondages. Fiches de besoins. Slection.

Objectifs/points de contrle. Comment sont slectionnes les candidatures ? Les modes sont-ils diffrents selon les niveaux ? Les rles respectifs du dpartement demandeur, de la DRH et du responsable de la banque sont-ils clairement dfinis ? Risques. Risque de fraude. Non utilisation du meilleur mode de recrutement. Risque oprationnel. Perte de temps, demandes de personnel mal formules. Approches daudit & sondages. Contrat avec prestataire extrieur. Appel doffres, copie des annonces doffre demploi. Document contractuel gnral. Profil de poste, salaire propos dcrit par le dpartement demandeur. Embauche.

Objectifs/points de contrle. Existe-t-il un contrat de travail ? Est-il standard, systmatique, revu par le service juridique ? A lembauche, la DRH distribue-t-elle un document sur le secret professionnel, sur les rgles dontologiques, sur lutilisation de la micro-informatique ? Risques. Risque de dontologie et de compliance. Risque juridique. Mconnaissance des rgles de base de la banque. Approches daudit & sondages. Documents remis aux nouveaux embauchs. (Rgles spcifiques pour les mtiers sensibles).
216
Suivi.

Objectifs/points de contrle. Y a-t-il un suivi formalis et systmatique des jeunes embauchs ? Y a-t-il des statistiques sur les dmissions ? Des entretiens avec les dmissionnaires ? Risques. Risque oprationnel. Dmotivation du personnel. Approches daudit & sondages.
Modalits de suivi des jeunes embauchs, entretiens. Comptes-rendus dentretiens avec les dmissionnaires.
Qualit. Objectifs/points de contrle. Le recrutement rpond-il de manire satisfaisante et dans les dlais acceptables aux besoins (profil et niveau de comptence) ? Risques. Mauvaise adquation entre besoins et ressources. Approches daudit & sondages. Mesurer les dlais entre expression des besoins, propositions de dossiers et embauche des candidats, Comparer les profils demands et les profils des candidats prsents et recruts. 5. Formation. Plan de formation.

Objectifs/points de contrle. Existe-t-il un plan de formation ? Est-il respect ? Est-il cohrent avec les moyens, les besoins, le budget, les obligations lgales ? Des besoins sont-ils exprims ? Sont-ils pris en compte ? Risques. Risque oprationnel. Formation insuffisante ou coteuse. Formation inadapte ou non coordonne. Approches daudit & sondages. Plan de formation, suivi par la DRH, mode dlaboration (entretiens de formation, remonte formalise des besoins). Mode de dtermination des besoins, entretiens annuels de formation. Inscriptions aux actions de formation. Cot de la formation. Objectifs/points de contrle.
217
Le cot de la formation en % de la masse salariale est-il acceptable ?

Risques. Risque oprationnel. Formation inutile ou insuffisante. Approches daudit & sondages.
Pourcentage de la masse salariale consacr la formation (budget et rel). (La moyenne pour le secteur est de 5,00%).
6. Relations et activits sociales. Engagements sociaux.

Objectifs/points de contrle. Y a-t-il un systme de retraite propre la banque ? Est-il conforme la lgislation (code du travail) ? Les engagements pris lgard du personnel en matire dindemnits et de gratifications (dparts, retraites, prvoyance, mdaille du travail etc) sont-ils couverts par une provision adquate ? Risques. Risque oprationnel, risque juridique, risque fiscal. Retraites insuffisamment provisionnes. Approches daudit & sondages.
Rgime de retraite de la banque. Provision pour retraites : vrifier ladquation des ressources et provisions du rgime de retraite par rapport aux engagements vis--vis des ayants-droits. Vrifier si le calcul a t confi des professionnels (type actuaires).
Syndicats.
Objectifs/points de contrle. Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids respectifs ? Risques. Risque oprationnel. Sous ou sur-reprsentation du personnel. Approches daudit & sondages. Tracts, entretiens avec les reprsentants. institutionnelles, runions formelles. Tableau de rsultats des lections. Mouvements sociaux.
Existence
de
relations
sociales

Objectifs/points de contrle. La banque a-t-elle connu des mouvements sociaux ? Ont-ils t suivis ? Des activits ou des quipements pourraient-ils tre bloqus suite des mouvements sociaux ?
218
Risques. Risque oprationnel. Mauvais climat social. Rumeurs fondes ou infondes. Approches daudit & sondages. Taux dabsentisme pour grve. Existence de plans de secours. Instruments dvaluation du climat social. Communication interne.
Objectifs/points de contrle. Existe-t-il un ou des journaux dentreprise ? Qui les rdige ? Risques. Risque oprationnel. Mauvais climat social. Approches daudit & sondages. Journaux internes, entretiens avec les rdacteurs. Prts au personnel.
Objectifs/points de contrle. Y a-t-il des prts au personnel la consommation, immobiliers ? Existe-t-il des rgles crites ? Les taux sont-ils attractifs ? Y a-t-il des impays ? Les prts sont-ils remboursables en cas de dmission ? Risques. Risque de crdit, risque oprationnel. Cot si les taux sont trop bas, mauvais climat social sils sont trop levs. Approches daudit & sondages.
Rgles crites pour prts au personnel. Mode de dcision. Contrle de la DRH sur les prts taux bonifis. Limitations, impays. Rpartition des prts consentis en fonction des niveaux hirarchiques.
Scurit du travail.
Objectifs/points de contrle. Existe-t-il un suivi des accidents du travail ? Risques. Risque oprationnel. Risque financier et juridique. Approches daudit & sondages.
Suivi au travers du bilan social ou de tout autre indicateur.
219
Synthse.
La phase de synthse, consacre la rdaction du rapport daudit, comprendra llaboration des constats, mais galement ltablissement dune liste de sondages. Pour mmoire, et pour information, on rappellera ci-dessous quels sont les sondages qui peuvent tre effectus et lists dans le rapport, et, sagissant des constats, les domaines les plus sensibles. Sur ces domaines sensibles, une apprciation claire sera porte dans la synthse de la fonction RH, autant que possible.
Liste des sondages possibles
Nombre de codes de dontologie remis compar au nombre de collaborateurs de la banque ( travers des accuss de rception). Contenu des dossiers personnels. Volet Gestion, volet Administration. Sont-ils complets ? Liste des absences compare aux absences relles sur quelques jours. Liste des heures supplmentaires compare aux heures supplmentaires relles sur quelques jours. Apprciations annuelles : tablies la date prvue, cohrence dune anne sur lautre, cohrence entre notation et mesures individuelles. Rmunration variable : cohrence du montant avec les rgles de calcul prtablies. Prts au personnel : respect des rgles, impays ou retards.
Domaines les plus sensibles (doivent faire lobjet dune apprciation dans la synthse de la fonction RH)
Respect des rgles de dontologie et de confidentialit. Existence de procdures crites dans la fonction RH. Scurit, confidentialit du traitement de la paie. Existence et suivi dun plan de formation.
220
Chapitre 5 : Mission d'audit de la Direction Comptable.
221
Chapitre 5 : Mission d'audit de la Direction Comptable. Introduction.

Le prsent chapitre s'applique l'audit de la fonction Comptabilit. Les objectifs de cet audit sont les suivants : Sassurer de la fiabilit de linformation financire et de sa conformit aux normes dfinies par les autorits de tutelle. On entend par information financire la fois les comptes sociaux, consolids et fiscaux ainsi que les tats rglementaires, Apprcier la fiabilit du systme dinformation comptable, Identifier les dysfonctionnements ventuels du dispositif de contrle interne, Porter une apprciation sur les rsultats et la rentabilit de lentit audite, Sassurer de la connaissance et du respect des rgles de dontologie. Ces objectifs sont donc diffrents de ceux des auditeurs externes. En effet, ces derniers ont une mission lgale lissue de laquelle ils doivent donner une opinion sur les comptes (certification avec ou sans rserve, refus de certification). Ces missions sont tendues et ne peuvent tre atteintes par le seul audit de la fonction comptable. En consquence, laudit de cette fonction doit imprativement sappuyer sur : les travaux des auditeurs des autres missions (DSI, SDM,..), les travaux des autres auditeurs externes, et des autorits de tutelle, une analyse des risques, afin dadapter le programme de travail la dimension de la mission tout en le centrant sur les zones les plus risques. Cest pourquoi ce chapitre met laccent sur : lidentification des risques et le recoupement avec les travaux des autres auditeurs en phase de prparation, les liens avec laudit des autres fonctions ( clignotants comptables ) en phase dinvestigation, des sondages, transverses plusieurs fonctions, sur un ou plusieurs chantillons doprations dterminer. Un tel audit est plus particulirement applicable dans le cadre dune banque ayant une comptabilit propre. Il ne couvre pas les spcificits comptables lies certaines activits (crdit-bail, assurance, affacturage, gestion dactifs). Il couvre quatre domaines : laudit systmique du service comptable (apprciation du contrle interne), les reportings rglementaires, les risques fiscaux et la consolidation.
222
Comme pour toutes les fonctions, une mission daudit de la fonction comptable comprendra une phase de prparation (collecte de documents et entretiens prparatoires), une phase dinvestigation (entretiens systmiques et sondages) et une phase de rdaction. Il conviendra, en thorie, de couvrir chacun des quatre domaines lors de chaque phase.
80
La mission aura pour objet dapprcier comment sont couverts les risques lis la fonction comptable. Parmi les familles de risques recenses, seront principalement concerns les risques de non exhaustivit, de non qualit et de non fiabilit de linformation comptable, de non fiabilit des comptes et des tats financiers, de non fiabilit de linformation financire consolide, rglementaire et fiscale. Laudit comptable devra mesurer le niveau des risques, leur volution, et lavancement des plans dactions correcteurs.
Prparation.
Documents collecter.
Documentation gnrale :
Organigramme gnral de la Direction Financire et comptable, Dfinitions de fonctions des principaux responsables, Tableau de bord des risques oprationnels, Rapports mis par les auditeurs externes au cours des trois derniers exercices : notes de synthse et lettres de recommandations sur le contrle interne, Programme annuel daudit interne de la banque sur les trois derniers exercices et cartographie des risques de la banque, Dernier rapport des autorits de tutelle (BAM, Administration fiscale, Office des changes), Documentation sur les contraintes lgales ou rglementaires (ratios prudentiels, etc).
Documentation spcialise :
Comptabilit :
Descriptif de larchitecture des systmes comptables et de reporting, Plan de Comptes des Etablissements de Crdit (PCEC), Balance gnrale des comptes du dernier arrt annuel ou trimestriel, Reporting rglementaire local des trois derniers exercices, Liasses de consolidation des trois derniers exercices et dtail des retraitements ventuels entre la liasse de consolidation et la comptabilit, Liste des tats de contrle et danomalies dits rgulirement (frquence quotidienne, mensuelle, trimestrielle), Liste des procdures comptables existantes.
80
223
Contrle de gestion (documents utiliser notamment pour lanalyse financire) :
Reporting de gestion destin au Management de la banque et commentaires. Budget et commentaires.

Entretiens prparatoires.
A titre indicatif, nous dressons une liste dentretiens prparatoires avec certaines entits concernes par la mission daudit comptable : Direction comptable et financire : sinformer sur les spcificits comptables de la banque audite, Direction du contrle interne : obtention des rapports des auditeurs externes, connatre leur plan de travail sur les dernires annes et sur lanne venir (thmes de revues de procdures), Direction Juridique et Fiscale : identification des risques juridiques ou fiscaux ventuels, Auditeurs externes: dysfonctionnements et zones de risques dj identifis lors des prcdentes missions.
Travaux prparatoires : Analyse financire et apprciation des performances de la banque.
Lobjectif de cette analyse financire est double : identifier les principales activits et les variations significatives sur les dernires priodes afin de dgager des zones de risques et dorienter les travaux de la phase dinvestigation, apprcier les performances financires de la banque, au vu dun certain nombre de ratios (coefficient dexploitation, Return On Equity, Return Of Weighted Assets,). Ces performances doivent tre values la fois par rapport aux objectifs fixs (budget) mais aussi par comparaison avec la concurrence. Lanalyse porte sur les postes du bilan, du hors bilan et du compte de rsultat. Elle sappuie galement sur lannexe. Ce travail est raliser, de prfrence, ds la phase prparatoire, en sappuyant sur les documents de la banque audite : tats financiers, tableaux de bord du contrle de gestion et commentaires associs.
Informations chiffres :
Les rubriques suivantes doivent tre renseignes dans un tableau (liste indicative, adapter en fonction de lactivit) :
Compte de rsultat : ( cf . Annexe 5 ) :
224
Dtail de la formation du Rsultat Brut dExploitation (PNB, frais gnraux) par secteur (Commercial, Trsorerie, Gestion du Fonds de Roulement, etc), puis, pour chaque secteur, par mtier (Commercial : activits Particuliers, PME, Entreprises, Groupes ; Trsorerie : Trading, Sales, Drivs, Change,). Si linformation est disponible, analyser galement la formation du Rsultat Brut dExploitation par produit.
Bilan et hors bilan : ( cf . Annexe 6 ) : Dcomposition dtaille des postes dactif, de passif et de hors bilan sur les trois dernires annes, en date darrt (soldes comptables) et en capitaux moyens. Dcomposer galement le bilan et le hors bilan par produit.
Points analyser / informations pertinentes / liens avec les autres fonctions :
Mettre en vidence la part de chaque activit dans le PNB, Expliquer les principales variations dune anne sur lautre, en mettant notamment en vidence la variation des marges et des commissions (saider des commentaires du Contrle de Gestion), Effectuer, tous secteurs confondus, une analyse dtaille de la variation des frais gnraux sur les trois derniers exercices. Cette analyse pourra servir lors de laudit des frais gnraux, A partir de lanalyse du bilan, mettre en vidence et expliquer les variations importantes, Analyser lvolution du portefeuille de crances douteuses et les mouvements de provisions sur les derniers exercices. Regarder notamment lvolution des ratios suivants : crances douteuses / total crances et provisions / portefeuille de crances douteuses.
Exploitation des travaux des auditeurs externes.
Lobjectif est de relever les zones considres comme risques par les auditeurs externes, et les intgrer la dmarche didentification des risques (comprenant notamment la cartographie). Apprcier ltendue de leurs travaux et notamment les thmes dintrim (revues de procdures). Documents exploiter : Notes de synthse des auditeurs externes des trois dernires annes, annuels et semestriels sil en existe, Lettres de recommandations ou rapport sur le contrle interne, Rapports sur la situation fiscale, Rapports spcifiques.
225
Investigation.
Rappel de larborescence de la dmarche daudit systmique :
1. Audit systmique du service comptable.

1.1 - Structure et Organisation Gnrale. Organisation et rattachement hirarchique.

Objectifs/points de contrle. Lorganisation de la fonction comptable de la banque permet-elle de satisfaire les contraintes ou besoins de la banque et dassurer la remonte des informations ncessaires la production des comptes ? Le rattachement hirarchique du service comptable est-il conforme son rle et lindpendance ncessaire la fonction? Risques. Risque de non exhaustivit, de non qualit et de non fiabilit de linformation comptable. Approches daudit & sondages. Obtenir lorganigramme de la banque et analyser le positionnement hirarchique du service comptable et le pouvoir dcisionnel du responsable. La norme prvoit que le responsable comptable soit rattach au responsable de la banque ou au directeur financier. Missions.

Objectifs/points de contrle. Existe-t-il une dfinition des missions et responsabilits du service comptable ainsi que des rgles de fonctionnement qui lui sont applicables ? Les missions du service comptable ont-elles t dclines au niveau de chaque collaborateur par lintermdiaire dune dfinition de fonction signe par le responsable hirarchique et le collaborateur ? Risques. Risque de non exhaustivit, de non qualit et de non fiabilit de linformation comptable.
226
Approches daudit & sondages. Vrifier que les missions et les responsabilits ainsi que les champs dintervention du service comptable ont t dfinis par une structure hirarchique comptente (Direction Gnrale ou comit excutif). Vrifier que le service comptable est en charge des missions suivantes : la production des reportings et des tats rglementaires, le contrle et la justification des comptes, la mise jour du plan de comptes de la banque, la validation du paramtrage des tats financiers sur la comptabilit, la rdaction des procdures comptables conformment aux lois et rglements en vigueur. Ressources humaines et Moyens.

Objectifs/points de contrle. Le service comptable dispose-t-il des ressources humaines adaptes ses missions ? La formation des collaborateurs du service comptable est-elle suffisante et adapte aux besoins du service comptable ? Le service comptable at-il une documentation suffisante et mise jour ? Risques. Risque de non exhaustivit, de non qualit et de non fiabilit de linformation comptable. Approches daudit & sondages. Sassurer de ladquation qualitative et quantitative des ressources avec la charge de travail : nombre de personnes, qualification et niveau de comptence du personnel. Pour cela, vrifier : les dossiers du personnel, les valuations annuelles, les plans de formation des trois dernires annes, les mouvements et la rotation du personnel. Systmes dinformation.

Objectifs/points de contrle. Le service comptable dispose-t-il des outils adapts lexercice de ses missions ? Risques. Risque de non exhaustivit, de non qualit et de non fiabilit de linformation comptable. Approches daudit & sondages. Se faire dcrire par le responsable comptable le systme dinformation. Reprer les zones de fragilit du systme : dlai et qualit des reportings, nature et nombre dcritures comptables saisies manuellement par le service comptable, mauvaise qualit (ou absence) de linterface entre les diffrents sous-systmes, non blocage du systme informatique sur les mois et les exercices prcdents (attention aux critures manuelles rtroactives).
227
Normes et Procdures comptables

Objectifs/points de contrle. Existe-t-il des normes et procdures comptables adaptes au fonctionnement du service comptable ? Sont-elles mises jour en fonction des volutions de la rglementation ? Sont-elles connues des membres du personnel et accessibles tous ? Risques. Risque de non exhaustivit, de non qualit et de non fiabilit de linformation comptable. Approches daudit & sondages. Vrifier que les procdures comptables de la banque sont produites et valides par le service comptable et incluent principalement : le plan de compte, les modalits denregistrement, de traitement et de restitution des informations, lexhaustivit des schmas comptables utiliss, la priodicit et la nature des contrles mis en uvre, le calendrier darrt des comptes, les principes comptables en vigueur et la rglementation. Dfinition des responsabilits de saisie et de contrle des comptes
Objectifs/points de contrle. Les responsabilits de saisie et de contrle des comptes ont elles t dfinies pour lensemble du plan de compte ? Risques. Risque de non exhaustivit, de non qualit et de non fiabilit de linformation comptable. Approches daudit & sondages. En rgle gnrale, les saisies comptables sont dcentralises dans les diffrents dpartements de la banque audite (Back Offices, Ressources Humaines, Moyens Gnraux, etc). Il convient de vrifier que le service comptable a :

rparti les comptes par dpartement, dit une balance par service gestionnaire qui doit tre justifie par chaque dpartement concern, tabli une fiche de fonctionnement documente par compte (schmas comptables), list les contrles de premier niveau qui comprennent principalement : le pointage des oprations passes en compte, la rgularisation des critures, la justification des soldes comptables et le rapprochement du solde comptable avec les documents internes (dtail des critures composant le solde comptable).
228
Archivage des donnes comptables

Objectifs/points de contrle. Le service comptable a-t-il mis en place une procdure darchivage des documents comptables selon les normes en vigueur? Risques. Risque fiscal. Approches daudit & sondages. Vrifier lexistence de cette procdure et sa conformit aux normes. 1.2 - Sparation des Fonctions. 1.2 - 1 Respect du principe de sparation des fonctions.
Objectifs/points de contrle. La banque respecte-t-elle le principe de sparation des fonctions entre la production, le contrle et lanalyse ? Risques. Risque de Fraude. Approches daudit & sondages. Sassurer du respect du principe de sparation des fonctions au sein comptable (stricte sparation entre la saisie, la validation informatique, des comptes). Sassurer du respect de ce principe dans tous les services en charge comptables (travail raliser par les auditeurs en charge des autres production, engagements, marchs, gestion des moyens). 1.2.2 - Accs aux guides de saisie et habilitations. Objectifs/points de contrle. Laccs au systme comptable est-il contrl, cest dire : seul un nombre restreint doprateurs a accs au systme comptable (le personnel des back offices et de la comptabilit), les habilitations accordes ces personnes sont elles mmes limites aux besoins de leur poste. Risques. Risque de fraude. Approches daudit & sondages. Vrifier que les profils utilisateurs des collaborateurs correspondent aux besoins de leur poste. Sassurer que les accs aux guides de saisie ouverts (permettant de mouvementer nimporte quel compte) sont strictement limits au service comptabilit (travail raliser en liaison avec lauditeur informatique).
du service le contrle de saisies fonctions :
229
1.3 - Contrles exercs par le service comptable. 1.3.1 - Contrles de second niveau exercs.
Objectifs/points de contrle. Le service comptable effectue-t-il un rel contrle sur les comptabilits dcentralises dans les B/O ? Risques. Risque de fraude et de non fiabilit de linformation comptable. Approches daudit & sondages. Sassurer que le contrle de second niveau effectu par la comptabilit comprend les points de contrle suivants : vrification mensuelle des justifications de compte, contrle de la piste daudit par sondage en allant du solde de la balance gnrale jusqu lcriture dorigine, mise sous surveillance de certains comptes plus risqus (comptes de passage, compte pivot, comptes nostri), suivi et analyse de la rgularisation des suspens comptables. Ces contrles doivent tre matrialiss, conservs dans un dossier (class par nature de compte, par type dopration, par devise...) et disponibles pour tout contrle des auditeurs internes et externes. 1.3.2 - Interfaces entre les systmes oprationnels et la comptabilit gnrale.
Objectifs/points de contrle. Le service comptable vrifie-t-il rgulirement le bon droulement des interfaces entre les systmes oprationnels et la comptabilit gnrale ? Risques. Risque de fraude et de non fiabilit de linformation comptable. Approches daudit & sondages. Vrifier que le service comptable : effectue priodiquement (par exemple tous les mois) un contrle des interfaces entre les systmes oprationnels et la comptabilit gnrale, identifie et analyse les carts ventuels, et sassure que les corrections adquates on t apportes par les Back Offices. 1.3.3 - Oprations saisies par la comptabilit. Objectifs/points de contrle. Le responsable comptable a-t-il mis en place une procdure de suivi et de contrle des oprations saisies par la comptabilit ? Risques. Risque de fraude. Approches daudit & sondages. Recenser les oprations saisies comptabilises.
230
Etudier le processus de comptabilisation de ces oprations : Qui dfinit le schma de comptabilisation ? Qui effectue la saisie ? Qui valide la saisie ? Quels sont les contrles de second niveau exercs ?
1.3.4 - Ouverture, fermeture et modification des comptes.
Objectifs/points de contrle. Le service comptable a-t-il la responsabilit de la gestion du plan de compte interne (ouverture, fermeture et modification) ? Risques. Risque de fraude. Approches daudit & sondages. Vrifier que le service comptable fait un suivi rigoureux de son plan de compte. Il doit : tre lunique service avoir les habilitations pour procder louverture, la fermeture et la modification des comptes internes, tablir une procdure propre au service comptable pour procder louverture, la fermeture et la modification de comptes, diter rgulirement le plan de compte et vrifier formellement toutes les modifications intervenues, identifier les comptes dormants et en faire un suivi rgulier, les fermer sils sont non utiliss depuis un certain dlai fixer dans la procdure. 1.3.5 - Rapprochement comptabilit / gestion.
Objectifs/points de contrle. Le service comptable sassure-t-il en liaison avec le contrle de gestion de la correspondance entre les tats financiers et les tats de gestion ?
Risques. Risque de non fiabilit des comptes et des tats financiers. Approches daudit & sondages. Vrifier la frquence des rapprochements entre les informations comptables et de gestion (au minimum mensuelle) ? Obtenir les derniers tats de rapprochement. Les carts sont-ils identifis et analyss ? 1.4 - Les outils de pilotage. 1.4.1 - Contrle des comptes.

Objectifs/points de contrle. Le Responsable Comptable dispose-t-il dindicateurs ou de tableaux de bord permettant de recenser et de quantifier les suspens sur une liste dtermine de comptes sensibles (nostri, dbiteurs et crditeurs divers, etc) ? Le Responsable Comptable utilise-t-il ces tableaux de bord ? En particulier, analyse
231
t-il lanciennet des suspens ? Sassure-t-il que ses collaborateurs suivent correctement les critures anciennes non rgularises (demandes de justifications complmentaires, relances des services concerns) ? Le Responsable Comptable (en liaison avec le Directeur Financier) analyse-t-il les variations des diffrents postes du bilan, du hors bilan et du compte de rsultat ?
Risques. Risque de fraude. Risque de non fiabilit des comptes. Approches daudit & sondages. Examiner quelques tableaux de bord rcents du Responsable Comptable sur le suivi des comptes sensibles. Points dattention : Quelle est la frquence de ces tableaux de bord ? Sont-ils exhaustifs (liste des comptes suivis : sassurer de la prsence des comptes les plus sensibles) ? Les informations qui y figurent sont-elles pertinentes (par exemple date denregistrement comptable) ? Le contrle du chef comptable est-il matrialis sur ces tats ? 1.4.2 - Reporting rglementaire.

Objectifs/points de contrle. Les indicateurs du Responsable Comptable permettent-ils de sassurer du respect des dlais de production et denvoi des travaux de reporting rglementaire ? Risques. Risque rglementaire. Approches daudit & sondages. Examiner le planning de production des tats et situations comptables. 1.4.3 - Productivit.
Objectifs/points de contrle. Dispose-t-il dautres indicateurs de productivit (temps passs, en jours / homme, pour la production des diffrents tats de reporting rglementaires) ? Risques. Risque d'efficience. Approches daudit & sondages. Discuter de ce point avec le Responsable Comptable. Par ailleurs, on pourra tablir des comparaisons dans le temps entre le nombre dUnits Temps Plein et le nombre dcritures. 1.4.4 - Supervision hirarchique. Objectifs/points de contrle. Ces informations (contrle des comptes, reporting rglementaire, productivit) sontelles galement communiques au Directeur Financier (ou autre hirarchie de
232
rattachement du service comptable) ? Sous quelle forme (mme format de reporting ou information plus synthtique prpare par le Responsable Comptable) ? Sont-elles exploites par le Directeur Financier ?
Risques. Risque de fraude, risque de non fiabilit des comptes, risque rglementaire. Approches daudit & sondages. Consulter les tableaux de bord mis la disposition du Directeur Financier par le service comptable. 1.5 - Connaissance et respect des rgles de dontologie. Objectifs/points de contrle. Les membres du service comptable ont-ils connaissance des rgles de dontologie de la banque? Ont-ils dj eu appliquer ces rgles ? Risques. Risques associs : mise en cause de la banque pour non respect de la rglementation, divulgation dinformations confidentielles. Approches daudit & sondages. Vrifier la diffusion et la prise de connaissance du code de dontologie de la banque. Les deux points suivants doivent plus particulirement tre souligns dans le cas dun personnel comptable :

le respect du secret professionnel, le droit et devoir dappel.
2. Les reportings rglementaires.

2.1 - Liasse de consolidation. Objectifs/points de contrle. La liasse de consolidation est-elle alimente correctement ? Les informations qui y figurent sont-elles rapproches de la comptabilit gnrale ? Les normes comptables appliques sont-elles conformes aux normes rglementaires ? Risques. Non fiabilit de linformation financire servant de base la production des comptes consolids. Approches daudit & sondages. Audit systmique : Quel est le mode de production de la liasse : alimentation automatique ou saisie manuelle ? Quels sont les contrles exercs au sein du service comptable : rapprochement systmatique de la liasse avec la comptabilit gnrale, validation par le Responsable Comptable ? A partir de la liasse de consolidation du dernier arrt trimestriel :

233

vrifier la concordance de la liasse avec le grand livre, analyser et contrler les ventuels retraitements.
2.2 - Intra-groupes.

Objectifs/points de contrle. La banque identifie-t-elle ses oprations intra-groupes ? Existe-t-il une procdure de rconciliation avec les contreparties internes (circularisation et rapprochement) ? Risques. Non fiabilit de linformation financire servant de base la production des comptes consolids. Approches daudit & sondages. Auditer la procdure de rconciliation des oprations intra-groupes : Le service comptable change-t-il des confirmations avec ses contreparties sur les oprations intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec lensemble des contreparties) ? Les carts sont-ils analyss et expliqus ? 2.3 - Reporting engagements pondrs. Objectifs/points de contrle. Le reporting engagements pondrs est-il aliment correctement : Les informations qui y figurent sont-elles rapproches de la comptabilit gnrale ? La rglementation de BAM en la matire est-elle applique ? Risques. Non fiabilit de linformation financire communique la Banque Centrale et servant de base au calcul du ratio de solvabilit. Approches daudit & sondages. Audit systmique : Quel est le dpartement en charge du calcul des engagements pondrs : comptabilit ou engagements ? Existe-t-il un systme ddi la production des engagements pondrs ? Estil interfac avec le systme comptable ? Des ajustements manuels sont-ils ncessaires ? Pour quel type doprations ? Existe-t-il une piste daudit satisfaisante permettant de remonter la source de chaque ligne de la liasse de reporting ? Quels sont les contrles, manuels ou automatiques, effectus sur la liasse ? La liasse dfinitive est-elle contrle et valide par le dpartement des engagements ? Test sur un chantillon dengagements : Slectionner quelques dossiers dans la liste des dossiers dengagement revus lors de laudit de cette fonction. On prendra soin de slectionner des types dopration pouvant facilement engendrer des erreurs : mission de garanties intra-groupes, gages espces reus en garantie, lignes octroyes pour des oprations de march. Vrifier pour ces oprations quelles sont correctement prises en compte
234
dans la liasse dengagements pondrs. Pour cela, il est ncessaire de suivre la piste daudit jusqu la ligne adquate de la liasse.
2.4 - Ratio de liquidit.

Objectifs/points de contrle. Le reporting sur le ratio de liquidit est-il correctement rempli par la banque audite ? Risques. Non fiabilit de linformation financire. Approches daudit & sondages. Auditer le processus de production de ce reporting, Qui produit ce reporting ? Quelle est la source de linformation ? Quels sont les contrles effectus ? 2.5 - Reporting statutaire. Objectifs/points de contrle. La banque audite respecte-t-elle les rgles prudentielles ? Remplit-elle les obligations de reporting imposes par les autorits rglementaires ? Le processus dlaboration du reporting statutaire garantit-il lexactitude, lexhaustivit et le respect des dlais ? Risques. Non respect de la rglementation BAM. Risque de sanctions BAM. Approches daudit & sondages. Afin de valider ces points, il conviendra : de sinformer des contraintes rglementaires en matire de rgles prudentielles (par entretien avec le Directeur Financier et consultation des textes officiels), dobtenir et de contrler les tats de reporting rcents envoys aux autorits rglementaires (Banque Centrale, Ministre des Finances principalement) : sassurer que tous les tats de reporting requis sont envoys dans les dlais requis et que les ratios prudentiels locaux (solvabilit, liquidit,) sont respects.
NB : on trouvera des informations galement dans les rapports des Commissaires aux Comptes (qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque Centrale.

3. Risques fiscaux.
3.1 - Dclarations fiscales.

Objectifs/points de contrle. Le reporting fiscal est-il ralis dans les dlais et valid par les personnes habilites ? La banque a-t-elle effectu les dmarches ncessaires pour se documenter et appliquer les rgles fiscales en vigueur ?
235
Risques. Risque rglementaire. Approches daudit & sondages. Consulter les liasses fiscales des derniers exercices et les tats de reporting du responsable comptable. Passer en revue la documentation fiscale du responsable financier. Sassurer que les liasses sont revues par le responsable fiscal (sil en existe un) et par le management. 3.2 - Identification des Risques Fiscaux.
Objectifs/points de contrle. Les risques fiscaux ont-ils t identifis par la banque et, si oui, sont-ils correctement provisionns ? Risques. Risque rglementaire. Approches daudit & sondages. Sassurer, en cas de pertes fiscales, quelles sont justifies et non rptitives et ne correspondent pas un habillage fiscal. Vrifier sil y a eu des redressements fiscaux ou sil y a des contrles fiscaux en cours et si oui, quune provision passive a t constitue pour le montant du risque. Vrifier que les frais de sige refacturs aux filiales sont justifis fiscalement quant leur ralit et leur montant. Vrifier que les impts diffrs sont fiscalement justifis (plus-values long terme...).
4. Consolidation.
4.1 Primtre.

Objectifs/points de contrle. Le primtre retenu par la banque est-il comptablement justifi? Risques. Risque de non fiabilit de linformation financire, Risque rglementaire. Approches daudit & sondages. Obtenir et valider la liste des socits du primtre ainsi que les mthodes de consolidation retenues. Pour ce faire, on vrifiera lexactitude des pourcentages dintrt et pourcentages dintgration calculs pour chaque socit. 4.2 - Elimination des oprations intra groupes.

Objectifs/points de contrle. La banque a-t-elle mis en place une procdure didentification des intra-groupes ? Ces intra-groupes ont-ils t limins pour la production des comptes consolids ?
236
Risques. Risque de non fiabilit de linformation financire, risque rglementaire. Approches daudit & sondages. Vrifier que la procdure mise en place par la banque pour rapprocher les montants intra-groupes socit par socit permet didentifier la rciprocit et lexhaustivit des liminations (confirmations rciproques des intra-groupes par fiches navettes avec les autres units du primtre de consolidation). Sassurer que les montants limins enregistrs en consolidation ont bien t dclars sur les liasses de consolidation de chaque filiale concerne et inversement que lensemble des intra-groupes recenss ont effectivement t limins en consolidation. 4.3 Retraitements.
Objectifs/points de contrle. Le passage du rsultat social au rsultat consolid de la banque est-il expliqu et les retraitements effectus sont-ils justifis ? Risques. Risque de non fiabilit de linformation financire consolide, risque rglementaire. Approches daudit & sondages. Obtenir le tableau de passage du rsultat social au rsultat consolid de la banque. Vrifier la justification des principaux retraitements effectus et leur conformit avec les normes comptables, notamment : la prise en compte des retraitements obligatoires avec llimination des critures purement fiscales (provisions rglementes), les retraitements dhomognisation (amortissement des immobilisations selon une dure homogne par exemple).
237
238
Conclusion gnrale
239
240
Conclusion gnrale.
Le pilotage des risques bancaires via le risk management et l'audit interne est une problmatique largement d'actualit. Le paysage bancaire marocain fait actuellement face un environnement socioconomique mouvant et de plus en plus complexe. Avec la croissance des volumes doprations, le dveloppement des produits diversifis et sophistiqus, la rapidit de renouvellement des process, l'automatisation acclre des traitements, les risques auxquels les banques sont actuellement confrontes sont devenus plus nombreux, plus significatifs et plus complexes surtout dans un contexte de baisse des marges. Ces mutations posent d'une part des problmes de difficults daudit et de management des risques et dautre part, elles accroissent le risque daudit inadapt voir dfaillant. Des systmes dficients en matire de gestion et d'audit des risques dans le secteur bancaire peuvent rapidement provoquer des pertes financires considrables lesquelles, si elles ne sont pas contenues adquatement par des tampons solides aptes endiguer le risque systmique, sont susceptibles d'engendrer un effet de domino auprs d'autres oprateurs sur les marchs avec des consquences difficilement calculables pour le systme financier. S'il est vrai que l'audit bancaire comporte des cots levs, il s'est avr qu'un audit dficient ou insuffisant cote encore plus cher. L'audit bancaire prsente quelques spcificits de part les particularits de lenvironnement analys. En effet, en sappliquant au systme de gestion et de contrle des risques bancaires, il en dcoule une pluridisciplinarit des champs observs : ressources humaines, systme d'information, comptabilit, activits de march . De plus, les risques bancaires sont des phnomnes complexes et difficiles cerner. Ce qui entrane des particularits pour lauditeur concernant la manire dobserver, linterprtation des rsultats et les difficults dlaboration du systme de rfrence. Encore s'agit-il de s'assurer que l'audit mis en place est bien apte accomplir la mission qu'on lui a assigne. Lenqute mene auprs du systme bancaire marocain a mis en vidence certaines insuffisances dans la gestion et l'audit des risques au sein des tablissements bancaires. Cette gestion longuement assimile une simple conformit aux procdures internes et des rgles prudentielles s'est rvle inadquate dans la mesure o les banques se sont limites pour la plupart au respect d'un ensemble d'indicateurs plutt gnraux et ont pass sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du management et du conseil d'administration dans le contrle des organisations bancaires ce qui a induit
241
labsence dun exercice clair des responsabilits du top management dans lattribution des rles et des tches entre laudit interne, le risk management et la compliance. Laudit interne tel que pratiqu actuellement dans de nombreuses grandes banques, savre inadquat ou du moins prsente des insuffisances. En outre, cet audit doit aller dans le sens de limportance accrue confre par les autorits de contrle bancaire lexamen exhaustif et pertinent des processus de gestion du risque et de contrle interne dans une organisation bancaire. Les tablissements bancaires sont aujourdhui conduits s'investir davantage pour tirer les conclusions de ces volutions. Laxe de progrs le plus vident est la mise en place dun systme interne daudit et de risk management et ce, quelle que soit la nature du risque (crdit, march, oprationnel, conformit, rputation...). Ainsi, les banques doivent plus que jamais disposer dun systme daudit et de risk management performant, efficace et labor, susceptible danalyser, de mesurer, de matriser et d'assurer une raction rapide face lapparition de nouveaux risques. Si les normes prudentielles et rglementaires demeurent un point d'ancrage essentiel, il est de plus en plus pressant que les tablissements bancaires puissent s'investir dans le dveloppement d'instruments complmentaires d'analyse fonds sur des mthodes la fois quantitatives et qualitatives voir systmiques. Le Comit de Ble impose la mise en uvre de mthodes plus strictes pour lvaluation et la gestion du risque de crdit, du risque de march et du risque oprationnel. Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences rglementaires serait possible avec l'approche de l'audit systmique. Celle-ci a modifi profondment les pratiques utilises jusque l par l'auditeur bancaire. Instaure en globalit pour toutes les lignes mtiers ou intgre individuellement pour complter un systme existant, une telle approche permet aux tablissements bancaires de disposer d'un outil prcieux pour mieux grer et contrler leurs risques. Cette approche permet galement : d'avoir une vision globale et matrise des risques, quelle que soit la complexit des organisations ou des processus auditer; de vrifier l'efficacit du dispositif de contrle interne par ligne mtier; enfin, daccrotre la responsabilit, la vigilance et la ractivit des units oprationnelles et ainsi des risk managers dans la matrise, la gestion et la prvention des risques. Paralllement au dveloppent en interne d'outils et techniques de contrles et gestion des risques bancaires, l'auditeur interne apparat de plus en plus
242
incontournable dans le processus de supervision bancaire architectur par les organes de tutelles. Au del de sa responsabilit de donner un avis indpendant sur la fiabilit des dispositifs de contrle interne, l'auditeur bancaire devient ainsi un acteur important dans la prvention des risques bancaires. Ainsi, la dmarche opratoire d'audit systmique dveloppe dans le prsent mmoire pour les quatre lignes mtiers (systme d'information, salle des marches, comptabilit et ressources humaines) illustre parfaitement l'originalit et la pertinence de l'approche. Par ailleurs, les nouvelles volutions du cadre rglementaire du secteur bancaire marocain notamment travers la refonte rcente des statuts de Bank AlMaghrib lui confrant lautonomie en matire dlaboration et de conduite de la politique montaire et la nouvelle loi bancaire ayant renforc les prrogatives de la banque centrale dans le domaine de la supervision bancaire dune part, et la convergence des dispositifs de contrle interne au regard des normes internationales et les principes fondamentaux dicts par le Comit de Ble dautre part, permettraient au secteur dtre mme de faire face la concurrence trangre et daccompagner l'accs des oprateurs aux marchs extrieurs. Le renforcement de la concentration au sein du secteur bancaire, travers les conomies d'chelle qu'elle induit, constituerait cet gard un atout majeur. Paralllement, la Banque centrale veille ce que les tablissements de crdit renforcent leurs dispositifs de contrle interne, conduisent leurs activits de manire saine et maintiennent leurs fonds propres des niveaux appropris au regard des risques quils encourent. Les travaux prparatoires pour lapplication du nouvel accord sur les fonds propres ont conduit opter pour une dmarche progressive, adapte au contexte national, mais incitative ladoption dapproches plus fines dites de notation interne pour lallocation des fonds propres. La transition du secteur bancaire vers le nouveau dispositif de Ble II dans de bonnes conditions ncessite, nanmoins, lacclration du processus de restructuration des diffrentes composantes de ce secteur. Lintensification de la concurrence, inhrente la libralisation croissante de lactivit bancaire et louverture de lconomie nationale, sest traduite, ces dernires annes, par un resserrement de la marge dintermdiation bancaire, imposant des standards de comptitivit de plus en plus contraignants. Cette volution a engendr une nouvelle dynamique dans le secteur qui sest concrtise par un mouvement de concentration des tablissements de crdit et la recherche dun positionnement sur lchiquier rgional et international.
243
La situation prudentielle des banques commerciales demeure conforme aux normes observes sur le plan international. Leur ratio de solvabilit dgage globalement un excdent qui devrait, toutefois, tre consolid pour les placer en position de faire face, aisment, aux nouvelles contraintes imposes par le nouveau dispositif de Ble II. Ce faisant, laudit interne na ainsi pas achev sa mutation et continuera dvoluer pour apporter aux banques toujours plus de valeur ajoute. Les rsultats de lenqute mene permettent dentrevoir les contours de laudit interne de demain et de dfinir les dfis et les enjeux futurs de la profession savoir : affirmer son rle et ses responsabilits dans le gouvernement dentreprise la faveur dun rattachement hirarchique la direction gnrale et de liens fonctionnels avec le comit daudit, lorsquil existe ; se positionner, plus encore que par le pass, comme un outil majeur de dtection, de prvention et de matrise des risques, en coordination avec toute autre fonction concerne (Risk management, Compliance,..); maintenir son indpendance, son objectivit et son impartialit ; accrotre sa professionnalisation par : une formation permanente; une mthodologie et des outils adapts et performants bass et sur les risques et sur les systmes (lAudit Systmique); En relevant ces dfis, laudit interne apportera aux banques encore plus de valeur ajoute et sera un acteur incontournable de la bonne gouvernance de lorganisation bancaire. Ce travail de recherche constitue ainsi un support danalyse qualitative auquel tout responsable daudit interne ou risk manager est invit se reporter, dautant que de frquentes rfrences aux rfrentiels et aux normes professionnelles viennent rappeler les bonnes pratiques en la matire. Il reflte limage dun audit interne au service tant de la direction gnrale que du comit daudit, mme de prvenir la destruction de valeur au sein de lorganisation bancaire et dapporter une contribution dterminante une bonne gouvernance.
244
245
Annexes
246
247
Annexe N1 Tableau synthtique des principales catastrophes financires.

Socit
Barings
Type de catastrophe
Faillite financire
Causes
Erreur
Impact rsultats
Anne
Stratgie errone avec des 1. Management trop confiant volumes dmesurs par 2. Trop grande concentration des rapport la taille de pouvoirs l'tablissement 3. Faiblesse du contrle interne, faible supervision des employs et manque de reporting 4. Manque de comprhension de l'activit Pertes de 800 millions de .
Faillite de la banque 1995 et rachat pour 1 franc symbolique par une banque hollandaise
Orange County MGRM 81
Cessation de paiements Cessation de paiements
Pas de reporting en valeur 1. Valorisation des portefeuilles au Pertes de 1,64 des portefeuilles cot historique milliard de dollars 2. Pas de reporting rgulier Stratgie de vente de produits ptroliers hasardeuse 1. Mauvaise comprhension des risques de l'activit 2. Mauvaise gestion des corrlations entre les risques de march 3. Ngligence sur l'tablissement de limites bien dfinies 1.Trop grande concentration des pouvoirs 2. Faiblesse du contrle interne Perte de 8,2 milliards de francs
1993 1995 1992
Morgan Grennfell
Perte de confiance des investisseurs
Placement dans des actions non cotes et trs spculatives
Perte de 400 millions 1994 de dollars 1997 93 millions de dommages et intrts Pertes de 1,1 milliard de dollars 1994 1996 1995
Bankers Trust Perte d'image
Insuffisante explication des Insuffisante vrification des risques lis aux produits connaissances techniques des vendus clients Manque de sgrgation des tches 1. Dpassement des limites de position pour rcuprer es pertes 2. Ventes d'obligations appartenant aux clients 3. Falsification des relevs bancaires
Daiwa
Fermeture d'une succursale et dmission de la direction gnrale Pertes financires
Lloyds
Stratgie d'indemnisation de sinistre illimite l'poque de la dcouverte de l'amiante et autres polluants Investissements massifs dans le seul march immobilier, suivi d'une chute des prix.
1. Mauvaise matrise des risques 509 millions de livres 1991 moyen et long terme sterling 1995
Confederation Pertes Life financires
1. Aucune stratgie de diversification prvue 2. Management trop confiant
Pertes de 1,3 milliards de dollars
1980 1993
Source : PricewaterhouseCoopers.2002
81
METALLGESELLSHAFT Refining and Marketing (MGRM).
248
Annexe N2 Contenu type du dossier administratif du personnel

1. Renseignements, embauches, rintgration, rgime (temps plein, partiel) 2. Apprciation 3. Formation 4. Appointements, mutations, titularisation, promotions 5. Absences 6. Etat - civil, Situation de famille, adresse 7. Prts et avances 8. Intressement, primes, participation 9. Contrat spcifique (dtachement, CDD, ANAPEC ). Pour le personnel dtach, avantages particuliers (logement, voyages, scolarit, etc) 10. Incidents 11. Mdailles du travail 12. Service national 13. Pices diverses 14. Sortie (dmission, retraite, plan social)
249
Annexe 3 Etat des Absences

Sur base de leffectif pay mensuel moyen de lanne (en nombre de personnes), avec les jours ouvrs par an. n % % % % % % n-1 % % % % % % n-2 % % % % % %
Maladie Accidents du travail Congs de maternit Congs autoriss (vnements familiaux,) Autres causes Total
Annexe 4 Typologie des risques informatiques

OBJECTIF DEFINITION DU RISQUE DE NON ATTEINTE DE LOBJECTIF
Efficacit
Risque de traitement et de mise disposition dinformations inadquates, non pertinentes, tardives ou inexploitables. Efficience Risque de traitement et de mise disposition dinformations avec une utilisation des ressources non optimale (productive et conomique). Confidentialit Risque de divulgation non autorise dinformations sensibles. Intgrit Disponibilit Conformit Traabilit Juridique Image Risque de non exhaustivit, dinexactitude et dinvalidit des informations traites, gres et mises disposition. Risque dindisponibilit des informations et des ressources (humaines, matrielles, logicielles...). Risque de non respect des lois, rglementations, contrats, standards, normes externes et internes. Risque de ne pas disposer des traces ncessaires des recherches / contrles a posteriori ou titre de preuve en cas de litige. Risque de litige port devant les tribunaux. Risque datteinte la rputation de lentreprise.
250
Annexe 5 Compte de rsultats

Anne 1 Anne 2 Anne 3 Intrts et produits assimils - Intrts et charges assimiles + Produits sur oprations de crdit-bail - Charges sur oprations de crdit-bail et assimiles + Produits sur oprations de location simple - Charges sur oprations de location simple + Revenus des titres revenu variable + Commissions (produits) - Commissions (charges) +/- Gains ou pertes sur oprations des portefeuilles de ngociation +/- Gains ou pertes sur oprations des portefeuilles de placement et assimils + Autres produits dexploitation bancaire - Autres charges dexploitation bancaire = PRODUIT NET BANCAIRE - Charges gnrales dexploitation - Dotations aux amortissements et provisions / immobilisations corporelles et incorporelles = RESULTAT BRUT DEXPLOITATION - Cot du risque = RESULTAT DEXPLOITATION +/- Gains ou pertes sur actifs immobiliss = RESULTAT COURANT AVANT IMPOT +/- Rsultat exceptionnel - Impt sur les bnfices +/- Dotations / reprises de FRBG et provisions rglementes = RESULTAT NET
251
Annexe 6 Bilan
Anne 1 Anne 2 Anne 3
Actif Oprations de trsorerie et interbancaires Oprations avec la clientle Dont crances douteuses Dont provisions pour crances douteuses Oprations sur titres Comptes de rgularisation et divers Valeurs immobilises

Passif Oprations de trsorerie et interbancaires Oprations avec la clientle Oprations sur titres Comptes de rgularisation Provisions passives et non affectes Dettes reprsentes par un titre Capitaux propres hors rsultat Rsultat

Hors bilan Engagements donns en faveur des tablissements de crdit Engagements donns en faveur de la clientle Engagements reus des banques Engagements reus de la clientle
Ratios / autres informations : Anne 1 Anne 2 Anne 3
Effectifs (Units Temps Plein en fin de priode) Engagements pondrs Coefficient dexploitation (%) ROWA (return on weighted assets) ROE (return on equity) analytique aprs impts Ratio crances douteuses / total crances Ratio provisions crances douteuses / crances douteuses
252
Annexe N7 Circulaire BAM N6/G/2001

BANK AL-MAGHRIB LE GOUVERNEUR Circulaire N 6/G/2001 Rabat, le 25 Kaada 1421 19 Fvrier 2001
CIRCULAIRE N 6 RELATIVE AU CONTROLE INTERNE DES ETABLISSEMENTS DE CREDIT Dans le cadre des prrogatives qui leur sont dvolues notamment par le dahir portant loi n1-93-147 (6 juillet 1993) relatif lexercice de lactivit des tablissements de crdit et de leur contrle, les autorits montaires ont dict un ensemble de rgles prudentielles dordre quantitatif visant prmunir les tablissements de crdit contre certains risques tels que les risques de liquidit, de solvabilit, de concentration des crdits et de dprciation des actifs. Afin de renforcer le dispositif prudentiel susvis et dans le but damener les tablissements de crdit matriser davantage les risques quils encourent, les autorits montaires estiment que ces tablissements doivent se doter dun systme de contrle interne. La prsente circulaire a pour objet de prciser, en particulier, les modalits et les rgles minimales que les tablissements de crdit doivent observer pour la mise en place de ce systme. ARTICLE PREMIER Les tablissements de crdit sont tenus de mettre en place un systme de contrle interne, dans les conditions minimales prvues par les dispositions de la prsente circulaire. ARTICLE 2 Le systme de contrle interne consiste en un ensemble de dispositifs conus et mis en uvre, par les instances comptentes, en vue d'assurer en permanence, notamment : - la vrification des oprations et des procdures internes, - la mesure, la matrise et la surveillance des risques, - la fiabilit des conditions de la collecte, de traitement, de diffusion et de conservation des donnes comptables et financires, - lefficacit des canaux de la circulation interne de la documentation et de linformation ainsi que de leur diffusion auprs des tiers. - Conception, mise en oeuvre et suivi des tches du contrle interne. - Dispositif de vrification des oprations et des procdures internes. - Dispositif de mesure, de matrise et de surveillance des risques. - Dispositif de contrle de la comptabilit. - Dispositions diverses et transitoires. I- CONCEPTION, MISE EN OEUVRE ET SUIVI DES TACHES DU CONTROLE INTERNE ARTICLE 3 La conception du systme de contrle interne incombe lorgane de direction (direction gnrale, directoire ou toute instance quivalente) qui doit, cet effet : - identifier lensemble des sources de risques internes et externes, - dfinir les procdures de contrle interne adquates, - prvoir les moyens humains et matriels ncessaires la mise en uvre du contrle interne. ARTICLE 4 Lorgane de direction labore, galement, la structure organisationnelle approprie pour la mise en uvre du systme de contrle interne. ARTICLE 5 Le systme de contrle interne ainsi que sa structure organisationnelle, conus par lorgane de direction, doivent tre agrs par lorgane dadministration (conseil dadministration, conseil de surveillance ou toute instance quivalente).
253
ARTICLE 6 Lorgane de direction est tenu de veiller la mise en place du systme de contrle interne, une fois adopt par lorgane dlibrant. Il doit, cet effet, dsigner un responsable qui relve directement de son autorit et qui a pour tche dassurer un suivi exhaustif du systme de contrle interne et de veiller sa cohrence. ARTICLE 7 Les tablissements de crdit constitus en groupe, dot d'un organe central, choisissent le responsable vis au 2me alina de larticle prcdent en concertation avec ledit organe. ARTICLE 8 Les fonctions du responsable vis au 2me alina de larticle 6 ci-dessus peuvent tre assures par l'organe de direction lorsque la taille de l'tablissement ne justifie pas de confier ces tches une personne spcialement dsigne cet effet. Elles peuvent galement, dans le cas des tablissements contrls de manire exclusive par un autre tablissement de crdit, tre assumes par le responsable du contrle interne de ce dernier. ARTICLE 9 Le responsable du contrle interne rend compte de l'exercice de sa mission l'organe de direction ainsi qu'au comit vis l'article 15 ci-dessous. ARTICLE 10 Lorgane de direction doit veiller au suivi du systme de contrle interne. Il est tenu, dans ce cadre de : - sassurer, en permanence, de la bonne excution de la mission confie au responsable vis au 2me alina de larticle 6 susvis et du bon fonctionnement global du systme de contrle interne, - prendre les mesures ncessaires pour remdier, en temps opportun, toute carence ou insuffisance releve dans les dispositifs de contrle. ARTICLE 11 Lorgane de direction est tenu dlaborer un manuel de contrle interne qui prcise notamment : - les lments constitutifs de chaque dispositif et les moyens de leur mise en uvre, - les rgles qui assurent l'indpendance des dispositifs de contrle vis- - vis des units oprationnelles, - les diffrents niveaux de responsabilit du contrle. ARTICLE 12 Le manuel de contrle interne doit tre rexamin priodiquement en vue dadapter ses dispositions particulirement aux prescriptions lgales et rglementaires ainsi qu l'volution de l'activit, de l'environnement conomique et financier et des techniques d'analyse. ARTICLE 13 Lorgane de direction doit tablir, au moins une fois par an, un rapport sur les activits du contrle interne qu'il adresse lorgane dadministration. Ce rapport dcrit les actions de contrle effectues et les insuffisances releves, notamment au niveau des domaines que couvre le dispositif de gestion des risques prvu par le Plan Comptable des Etablissements de Crdit, ainsi que les mesures correctrices y affrentes. Il doit, dans le cas des tablissements qui dtiennent le contrle exclusif dautres entits caractre financier, retracer les activits du contrle interne au niveau de l'ensemble des entits du groupe. ARTICLE 14 Lorgane dadministration est tenu de sassurer de la mise en place et du suivi, par lorgane de direction, du systme de contrle interne. A cet effet, il procde, au moins une fois par an, lexamen de lactivit et des rsultats du contrle interne sur la base des informations qui lui sont adresses par lorgane de direction conformment aux dispositions de larticle 13 ci-dessus ainsi que par le comit prvu larticle 15 ci-dessous. ARTICLE 15 Lorgane dadministration est tenu de constituer un comit charg de lassister en matire de contrle interne. Ce comit procde notamment lvaluation de la cohrence et de ladquation des dispositifs de contrle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposes pour combler les lacunes ou insuffisances dceles dans le systme de contrle interne.
254
ARTICLE 16 Le comit vis larticle 15 ci-dessus doit tre compos, en partie, dadministrateurs non dirigeants ayant les comptences requises. Il relve directement de lorgane dadministration qui en dtermine les modalits de fonctionnement et auquel il rend compte. ARTICLE 17 Lorgane dadministration doit veiller ce que lauditeur externe de ltablissement soit rgulirement invit assister aux runions du comit prvu larticle 15 ci-dessus. ARTICLE 18 Les tablissements de crdit qui contrlent de manire exclusive dautres entits caractre financier doivent sassurer que les systmes de contrle interne mis en place au sein de ces dernires soient cohrents et compatibles entre eux de manire permettre notamment une surveillance et une matrise des risques au niveau du groupe. Ils sassurent galement que les systmes de contrle interne susviss sont adapts lorganisation du groupe ainsi qu la nature des entits contrles. ARTICLE 19 Lorgane dadministration de tout tablissement de crdit habilit recevoir des fonds du public doit veiller ce que les auditeurs externes formulent, dans le cadre de leur mission de rvision et de contrle annuels des comptes, un avis sur l'organisation et le fonctionnement du systme de contrle interne. ARTICLE 20 Lorgane de direction doit adresser, la Direction du Contrle des Etablissements de Crdit de Bank Al-Maghrib, une copie du rapport annuel vis larticle 13 ci-dessus et ce, au plus tard le 31 mars de l'exercice suivant. Les rapports et les comptes rendus portant sur le contrle interne doivent galement tre mis la disposition des commissaires aux comptes, des auditeurs externes et des contrleurs de Bank AlMaghrib. ARTICLE 21 Les membres de lorgane dadministration et de lorgane de direction veillent promouvoir, au sein de leur tablissement, une culture de contrle forte qui met l'accent particulirement sur la ncessit, pour chaque agent, d'assumer ses tches dans le respect des dispositions lgales et rglementaires en vigueur et des directives internes tablies par les organes comptents. Ils adoptent, cet effet, une politique de formation et d'information qui met en avant les objectifs de l'tablissement et explicite les moyens de leur ralisation. II- DISPOSITIF DE VERIFICATION DES OPERATIONS ET DES PROCEDURES INTERNES ARTICLE 22 Le dispositif de vrification des oprations et des procdures internes doit permettre aux tablissements de crdit de sassurer notamment : - de la conformit des oprations effectues et des procdures internes avec les prescriptions lgales et rglementaires en vigueur ainsi quavec les normes et usages professionnels et dontologiques, - du respect des normes de gestion et des procdures internes fixes par les organes comptents. La mise en place de ce dispositif doit refaire dans le respect notamment des articles 23 25 ci-aprs, ARTICLE 23 Les modalits dexcution des oprations quotidiennement effectues par les entits oprationnelles doivent comporter, comme partie intgrante, les procdures de contrle appropries pour s'assurer de la rgularit, de la fiabilit et de la scurit de ces oprations ainsi que du respect des autres diligences lies la surveillance des risques qui leur sont associs. Des vrifications priodiques doivent tre galement effectues en vue de sassurer du respect des procdures de contrle interne. ARTICLE 24 Les niveaux d'autorit et de responsabilit ainsi que les domaines d'intervention des diffrentes units oprationnelles doivent tre clairement prciss et dlimits.
255
De mme, une sparation stricte doit tre tablie entre les units charges, chacune en ce qui la concerne, de l'initiation, de l'excution et du contrle des oprations. Les domaines qui prsentent des conflits d'intrts potentiels ou des risques de chevauchement de comptences ou de responsabilits doivent tre identifis, soumis une surveillance continue et faire l'objet d'une valuation rgulire en vue de leur suppression. ARTICLE 25 Chaque service ou unit oprationnelle doit tre dot dun manuel dans lequel sont consignes les procdures dexcution des oprations quil est charg deffectuer. Ces consignes fixent notamment les modalits d'engagement, d'enregistrement et de traitement des oprations ainsi que les schmas comptables correspondants. III- DISPOSITIF DE MESURE, DE MAITRISE ET DE SUREVEILLANCE DES RISQUES ARTICLE 26 Les dispositifs de mesure, de matrise et de surveillance des risques doivent permettre de sassurer que les risques encourus par ltablissement de crdit, particulirement les risques de crdit, de march, de taux dintrt global, de liquidit et de rglement ainsi que les risques informatique et juridique, sont correctement valus et matriss. ARTICLE 27 Les risques de crdit, de march, de taux d'intrt global, de liquidit et de rglement doivent tre maintenus dans le cadre des limites globales arrtes par la rglementation en vigueur ou fixes par lorgane de direction et approuves par l'organe dadministration. Ces limites doivent tre revues, autant que ncessaire et au moins une fois par an, en tenant compte, notamment, du niveau des fonds propres de l'tablissement. ARTICLE 28 Le contrle du respect des limites vises larticle prcdent doit tre effectu de faon rgulire et inopine et donner lieu ltablissement dun compte rendu lattention des organes comptents. Ce compte rendu doit comporter une analyse des raisons ayant motiv les ventuels dpassements ainsi que, s'il y a lieu, les propositions et/ou recommandations y affrentes. ARTICLE 29 Les dispositifs de mesure, de matrise et de surveillance des risques doivent tre adapts la nature, au volume et au degr de complexit des activits de ltablissement. ARTICLE 30 Les tablissements de crdit constituent, si le volume et la diversit de leurs activits le justifient, des comits chargs dassurer le suivi de certaines catgories de risques spcifiques (comit de risque crdit, comit de liquidit, ). 1- RISQUES DE CREDIT ARTICLE 31 On entend par risque de crdit, le risque quun client ne soit pas en mesure dhonorer ses engagements lgard de ltablissement de crdit. ARTICLE 32 Le dispositif de contrle du risque de crdit doit permettre de sassurer que les risques auxquels peut sexposer ltablissement de crdit, du fait de la dfaillance de la clientle, sont correctement valus et rgulirement suivis. La mise en place dun tel dispositif doit se faire dans le respect des dispositions minimales prvues aux articles 33 42 ci-aprs. ARTICLE 33 Les critres dapprciation du risque de crdit ainsi que les attributions des personnes et des organes habilits engager ltablissement doivent tre dfinis et consigns par crit. Ces consignes doivent tre adaptes aux caractristiques de ltablissement, en particulier, sa taille, la nature et au volume de ses activits. ARTICLE 34 Les demandes de crdit doivent donner lieu la constitution de dossiers comportant toutes les informations quantitatives et qualitatives relatives au demandeur notamment les documents
256
comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de revenu ou tout autre document en tenant lieu. Les informations portent tant sur le demandeur de crdit lui-mme que sur les entits avec lesquelles il constitue un groupe dintrt, compte tenu des liens juridiques et financiers qui existent entre eux. Les dossiers de crdit doivent tre rgulirement mis jour. ARTICLE 35 L'valuation du risque de crdit prend en considration, notamment, la nature des activits exerces par le demandeur, sa situation financire, la surface patrimoniale des principaux actionnaires ou associs, sa capacit de remboursement et, le cas chant, les garanties proposes. Elle prend galement en compte toutes autres informations permettant une apprciation plus complte du risque tels que la comptence des dirigeants et l'environnement conomique dans lequel le demandeur de crdit exerce son activit. ARTICLE 36 Les dcisions d'octroi des crdits prennent en considration la rentabilit globale des oprations effectues avec le client et ce, travers lanalyse prvisionnelle des charges et produits y affrents (cots oprationnels et de financement, charge correspondant au risque de dfaillance ventuelle de la contrepartie et rmunration des fonds propres). ARTICLE 37 Lvaluation du risque de crdit donne lieu lattribution, chaque client, dune note par rfrence une chelle de notation interne. ARTICLE 38 Les risques de crdit encourus sur une mme contrepartie (client individuel ou groupe de personnes physiques ou morales lies entre elles et prsentant un risque unique pour ltablissement de crdit) doivent tre recenss et centraliss quotidiennement. Ceux encourus par secteur, pays ou zone gographique doivent ltre au moins une fois par mois. ARTICLE 39 Les risques de crdit encourus sur des clients bnficiant de concours relativement importants doivent faire l'objet d'une surveillance particulire, tant sur une base individuelle qu'au niveau du groupe. ARTICLE 40 Les concours consentis aux personnes physiques ou morales apparentes ltablissement de crdit ainsi que lvolution de leurs encours doivent tre rgulirement ports la connaissance de lorgane dadministration. Lorgane dadministration doit tre galement inform de toute opration susceptible dengendrer un conflit entre les intrts de ltablissement et ceux des personnes prcites. ARTICLE 41 Les concours qui, au regard de la rglementation en vigueur, sont considrs comme crances en souffrance doivent tre enregistrs dans les comptes appropris du plan comptable des tablissements de crdit et donner lieu la constitution des provisions requises. ARTICLE 42 Les encours des crances en souffrance ainsi que les rsultats des dmarches, amiables ou judiciaires, entreprises pour leur recouvrement doivent tre rgulirement, et tout le moins deux fois par an, ports la connaissance de lorgane dadministration. Celui-ci doit galement tre tenu inform des encours des crances restructures et de lvolution de leur remboursement. 2- RISQUES DE MARCHE ARTICLE 43 On entend par risques de march, les risques de pertes qui peuvent rsulter des fluctuations des prix des instruments financiers qui composent le portefeuille de ngociation ou des positions susceptibles dengendrer un risque de change, notamment les oprations de change terme et au comptant. Le portefeuille de ngociation susvis comprend : - les titres acquis, ds lorigine, avec lintention de les revendre brve chance en vue de tirer bnfice des carts entre les prix dachat et de vente, et ce dans le cadre dune activit de march, y compris les titres livrer ou recevoir, - les titres recevoir et livrer dans le cadre de transactions sur le march primaire ou le march gris,
257
les produits drivs destins maintenir des positions ouvertes isoles pour tirer avantage de lvolution des prix ou couvrir les risques de march encourus sur les instruments viss aux tirets prcdents. ARTICLE 44 Le dispositif de contrle des risques de march doit permettre de sassurer que les risques auxquels peut sexposer ltablissement de crdit, du fait des fluctuations qui pourraient affecter les prix des instruments financiers viss larticle 43, font lobjet dune valuation approprie et dune surveillance rgulire. La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des articles 45 47 ci-dessous. ARTICLE 45 Les transactions sur les instruments financiers viss larticle 43 doivent faire lobjet dun suivi quotidien de manire : - apprhender les positions dtenues en chaque instrument et en calculer les rsultats, - mesurer le risque de taux dintrt, le risque de change et le risque sur titres de proprit lis ces positions, - sassurer du respect des limites et des procdures internes mises en place pour la matrise de ces risques. ARTICLE 46 La mesure des risques de march doit tre effectue de faon en cerner les diverses composantes et ce, par le recours des procds qui permettent une agrgation, aussi bien sur une base individuelle que consolide, de lensemble des positions relatives des instruments financiers ou des marchs diffrents. ARTICLE 47 Des valuations rgulires, notamment en cas de fortes variations affectant un march ou l'un de ses segments, doivent tre effectues pour suivre lvolution des risques susviss. Les modles d'analyse retenus pour ces valuations doivent, eux aussi, rgulirement faire lobjet de rvisions, leffet den apprcier la validit et la pertinence au regard de lvolution de lactivit, de lenvironnement des marchs et des techniques danalyse. ARTICLE 48 Le dispositif vis larticle 44 ci-dessus doit galement permettre de sassurer du respect des dispositions rglementaires prvues en la matire, des normes et usages professionnels et dontologiques ainsi que des limites fixes par les instances comptentes. 3- RISQUE GLOBAL DE TAUX D'INTERET ARTICLE 49 Le risque global de taux dintrt se dfinit comme limpact ngatif que pourrait avoir une volution dfavorable des taux dintrt sur la situation financire de ltablissement de crdit. ARTICLE 50 Le dispositif de contrle du risque global de taux dintrt doit permettre de sassurer que les risques susceptibles daffecter ngativement les lments de lactif, du passif et du hors bilan de ltablissement de crdit, du fait dune volution dfavorable des taux dintrt, sont correctement mesurs et font lobjet dune surveillance rgulire et adquate. Le dispositif susvis doit tre mis en place dans le respect notamment des prescriptions des articles 51 53 ci-aprs. ARTICLE 51 Les positions et les flux certains et prvisibles rsultant de lensemble des oprations de bilan et de hors bilan doivent tre correctement mesurs et faire lobjet dune surveillance rgulire. De mme, lensemble des facteurs de risque global de taux dintrt ainsi que leur impact sur les rsultats et les fonds propres doivent tre identifis et valus. ARTICLE 52 Les paramtres et les hypothses retenus pour lvaluation du risque global de taux dintrt doivent tre choisis en tenant compte notamment du niveau dactivit de ltablissement de crdit sur les diffrents marchs.
258
ARTICLE 53 Les paramtres et les hypothses viss larticle prcdent doivent faire lobjet de rexamens priodiques pour sassurer de leur cohrence et de leur validit au regard de lvolution de la structure des activits exerces et des conditions du march. 4- RISQUE DE LIQUIDITE ARTICLE 54 Le risque de liquidit sentend comme le risque pour ltablissement de crdit de ne pas pouvoir sacquitter, dans des conditions normales, de ses engagements leur chance. ARTICLE 55 Le dispositif de contrle du risque de liquidit doit permettre de sassurer que ltablissement de crdit est en mesure de faire face, tout moment, ses exigibilits et dhonorer ses engagements de financement envers la clientle. La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des articles 56 et 57 ci-dessous. ARTICLE 56 La trsorerie immdiate ainsi que les entres et sorties de trsorerie prvisionnelles des chances dtermines doivent tre values de manire correcte, en tenant compte notamment de l'incidence des fluctuations des marchs de capitaux. ARTICLE 57 Les possibilits daccs aux marchs des capitaux dont bnficie ltablissement, en particulier les lignes de crdit ouvertes par les correspondants, doivent tre revues priodiquement afin de tenir compte des ventuels changements qui pourraient affecter la situation ou la renomme de ltablissement lui-mme ou la situation financire ou juridique de ces correspondants. 5- RISQUE DE REGLEMENT ARTICLE 58 Le risque de rglement sentend comme le risque de survenance, au cours du dlai ncessaire pour le dnouement de lopration de rglement, dune dfaillance ou de difficults qui empchent la contrepartie dun tablissement de crdit de lui livrer les instruments financiers ou les fonds convenus, alors que ledit tablissement a dj honor ses engagements lgard de ladite contrepartie. ARTICLE 59 Le dispositif de contrle du risque de rglement doit permettre de sassurer que les risques auxquels peut sexposer ltablissement de crdit sont correctement valus et font lobjet dun suivi rigoureux et rgulier. ARTICLE 60 Le dispositif de contrle du risque de rglement doit permettre de sassurer que les diffrentes phases du processus de rglement sont identifies et font lobjet dune attention particulire, notamment l'heure limite pour l'annulation unilatrale de l'instruction de paiement, l'chance de la rception effective des fonds relatifs l'instrument achet et le moment o la rception de ces fonds ou instruments est confirme. 6- RISQUE INFORMATIQUE ARTICLE 61 Le risque informatique sentend comme le risque de survenance de dysfonctionnements ou de rupture dans le fonctionnement du systme de traitement de linformation, imputables des dfaillances dans le matriel ou des erreurs, des manipulations ou autres motifs (virus) affectant les programmes dexcution. ARTICLE 62 Le dispositif de contrle des risques informatiques doit assurer un niveau de scurit jug satisfaisant par rapport aux normes technologiques et aux exigences du mtier. La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des articles 63 65 ci-dessous. ARTICLE 63
259
Les supports de l'information et de la documentation relatifs l'analyse et l'excution des programmes doivent tre conservs dans des conditions prsentant le maximum de scurit contre les risques de dtrioration, de manipulation ou de vol. ARTICLE 64 Des procdures d'urgence ainsi que du matriel et des logiciels de secours doivent tre prvus pour faire face tout dysfonctionnement du systme informatique ou la survenance d'vnements pouvant le rendre inoprant. ARTICLE 65 Les dispositifs de scurit, d'urgence et de secours susviss doivent faire lobjet de vrifications priodiques en vue de tester leur bon fonctionnement. 7- RISQUE JURIDIQUE ARTICLE 66 Le risque juridique sentend comme le risque de survenance de litiges susceptibles dengager la responsabilit de ltablissement de crdit du fait dimprcisions, de lacunes ou dinsuffisances dans les contrats et autres actes de nature juridique le liant des tiers. ARTICLE 67 Le dispositif de contrle du risque juridique doit permettre de sassurer que les contrats et les autres actes de nature juridique liant ltablissement de crdit toute contrepartie sont rdigs et conclus dans le respect des dispositions lgales et rglementaires en vigueur et sont soumis un contrle strict en vue de parer toutes insuffisances, imprcisions ou lacunes. 8- AUTRES RISQUES ARTICLE 68 Les autres risques englobent tous les risques qui pourraient tre engendrs par des procdures inefficientes, des contrles inadquats, des erreurs humaines ou techniques, des fraudes ou par toutes autres dfaillances. ARTICLE 69 Le dispositif de contrle des risques viss larticle 68 doit permettre de sassurer que les risques qui pourraient dcouler de dfaillances ou dinsuffisances, de quelque ordre que ce soit, sont identifis et font lobjet de mesures de nature en limiter la survenance et limpact sur le fonctionnement global de ltablissement. La mise en place dun tel dispositif doit se faire dans le respect notamment des prescriptions des articles 70 et 71 ci-aprs. ARTICLE 70 Lorgane dadministration et lorgane de direction doivent prendre les prcautions et les mesures adquates pour empcher que leurs tablissements ne soient impliqus, leur insu, dans des oprations financires lies des activits non autorises par la loi et plus gnralement pour viter la survenance de tout vnement susceptible d'entacher leur rputation ou de porter atteinte au renom de la profession. ARTICLE 71 Les dispositifs mis en place pour assurer la scurit des personnes et des biens doivent tre conformes aux normes usuellement requises en la matire. De mme, les dommages auxquels peuvent se trouver exposs les personnes et les biens doivent tre couverts par des contrats d'assurances dment souscrits. IV- DISPOSITIF DE CONTROLE DE LA COMPTABILITE ARTICLE 72 Le dispositif de contrle de la comptabilit doit permettre aux tablissements de crdit de s'assurer de la fiabilit et de l'exhaustivit de leurs donnes comptables et financires et de veiller la disponibilit de linformation au moment opportun. La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan comptable des tablissements de crdit ainsi que de celles des articles 73 77 ci-aprs. ARTICLE 73 Les modalits denregistrement comptable des oprations doivent prvoir un ensemble de procdures, appel piste d'audit, qui permet :
260
de reconstituer les oprations selon un ordre chronologique, de justifier toute information par une pice d'origine partir de laquelle il doit tre possible de remonter par un cheminement ininterrompu au document de synthse et rciproquement. - et d'expliquer l'volution des soldes d'un arrt l'autre par conservation des mouvements ayant affect les postes comptables. ARTICLE 74 Le bilan et le compte de produits et charges doivent tre obtenus directement partir de la comptabilit. ARTICLE 75 Les oprations qui comportent des risques de march doivent donner lieu, tout le moins la date d'arrt de fin de mois, un rapprochement entre les rsultats calculs par les units oprationnelles et les rsultats comptables obtenus sur la base des rgles d'valuation en vigueur. Les carts significatifs constats doivent tre justifis et ports la connaissance de lorgane de direction. ARTICLE 76 Les titres et autres valeurs de mme nature dtenus ou grs pour le compte de tiers doivent tre suivis travers une comptabilit matire qui en retrace les entres, les sorties et les existants et faire l'objet d'inventaires priodiques. Distinction doit tre faite entre les valeurs reues en dpt libre et celles servant de garanties en faveur de l'tablissement de crdit lui-mme ou de tiers. ARTICLE 77 Des valuations rgulires du systme d'information comptable et de traitement de linformation doivent tre effectues en vue de sassurer de sa pertinence au regard des objectifs gnraux de prudence et de scurit et de la conformit aux normes comptables en vigueur. V- DISPOSITIONS DIVERSES ET TRANSITOIRES ARTICLE 78 Les tablissements de crdit crent une structure charge de linformation du public et des rapports avec la clientle. Cette structure a principalement pour mission la diffusion de linformation lintention du public et lexamen des rclamations et dolances de la clientle. ARTICLE 79 Les tablissements de crdit doivent prendre toutes les mesures ncessaires pour entamer immdiatement la mise en place du systme de contrle interne prvu par les dispositions de la prsente circulaire. Ils doivent adresser la Direction du Contrle des Etablissements de Crdit, fin juillet et fin dcembre 2001, un rapport retraant ltat davancement de la mise en place de ce systme. ARTICLE 80 Les manquements aux dispositions de la prsente circulaire sont passibles des sanctions prvues par les prescriptions du dahir portant loi n 1-93-147 prcit. Sign : M. SEQAT
261
Annexe N8 Circulaire BAM devoir de vigilance

BANK AL-MAGHRIB -------------------LE GOUVERNEUR Circulaire n 36/G/2003 Rabat, le 29 Chaoual 1424 24 Dcembre 2003
CIRCULAIRE N36 RELATIVE AU DEVOIR DE VIGILANCE INCOMBANT AUX ETABLISSEMENTS DE CREDIT Considrant les dispositions du troisime tiret du deuxime alina de larticle 5 du dahir n 1-59-233 du 23 hijja 1378 (30 juin 1959) portant cration de Bank Al-Maghrib ; Considrant le Code de commerce notamment son article 488 ; Considrant les normes dictes par le Comit de Ble en matire de devoir de diligence au sujet de la clientle et les standards internationaux relatifs la lutte contre la criminalit financire organise notamment les recommandations du Groupe dAction Financire sur le Blanchiment de Capitaux (GAFI) ; Considrant les dispositions de larticle 70 de la circulaire de Bank Al-Maghrib n6/G/2001 relative au contrle interne. Bank Al-Maghrib fixe, ci-aprs, les rgles minimales que les tablissements de crdit sont tenus dadopter au titre du devoir de vigilance au sujet de la clientle. Article 1 : Les tablissements de crdit sont tenus de mettre en place les procdures ncessaires qui leur permettent : - Didentifier leur clientle et den avoir une connaissance approfondie ; - Dassurer le suivi et la surveillance des oprations de la clientle notamment celles prsentant un degr de risque important ; - De conserver et de mettre jour la documentation affrente la clientle et aux oprations quelle effectue. Ils doivent, en outre, sensibiliser leur personnel et le former aux techniques de dtection et de prvention des oprations caractre inhabituel ou suspect. Article 2 Les procdures vises larticle premier ci-dessus sont consignes dans un manuel qui doit tre approuv par lorgane dadministration de ltablissement de crdit. Ce manuel doit tre priodiquement mis jour en vue de ladapter aux dispositions lgales et rglementaires en vigueur et lvolution de lactivit de ltablissement de crdit. I - IDENTIFICATION DE LA CLIENTELE Article 3 Les tablissements de crdit sont tenus de recueillir les lments dinformation permettant lidentification de toute personne qui : - Souhaite ouvrir un compte, quelle que soit sa nature, ou louer un coffre fort ; - Recourt leurs services pour lexcution de toutes autres oprations, mme ponctuelles, telles que le transfert de fonds. Article 4 Pralablement louverture de tout compte, les tablissements de crdit doivent avoir des entretiens avec les postulants et, le cas chant, leurs mandataires, en vue de sassurer de leur identit et de recueillir tous les renseignements et documents utiles relatifs aux activits des titulaires des comptes et lenvironnement dans lequel ils oprent notamment lorsquil sagit de personnes morales ou dentrepreneurs individuels.
262
Les compte rendus de ces entretiens doivent tre verss aux dossiers des clients, prvus aux articles 5 et 6 ci-aprs. Article 5 Une fiche douverture de compte doit tre tablie au nom de chaque client personne physique, au vu des nonciations portes sur tout document didentit officiel. Ce document doit tre en cours de validit, dlivr par une autorit marocaine habilite ou une autorit trangre reconnue et porter la photographie du client. Sont consigns dans cette fiche les lments suivants : - Le(s) prnom(s) et le nom ; - Le numro de la carte didentit nationale, pour les nationaux ainsi que sa dure de validit ; - Le numro de la carte dimmatriculation, pour les trangers rsidents ainsi que sa dure de validit ; - Le numro du passeport ou de toute autre pice didentit en tenant lieu, pour les trangers non rsidents et sa dure de validit ; - Ladresse exacte ; - La profession ; - Le numro dimmatriculation au registre de commerce, pour les personnes physiques ayant la qualit de commerant ainsi que le centre dimmatriculation. Les lments didentification ci-dessus doivent galement tre recueillis des personnes qui pourraient tre amenes faire fonctionner le compte dun client en vertu dune procuration. La fiche douverture de compte ainsi que les copies des documents didentit prsents doivent tre classes dans un dossier ouvert au nom du client. Article 6 Une fiche douverture de compte doit tre tablie au nom de chaque client personne morale dans laquelle doivent tre consigns, selon la nature juridique de ces personnes, lensemble ou certains des lments didentification ci-aprs : - La dnomination ; - La forme juridique ; - Lactivit ; - Ladresse du sige social ; - Le numro de lidentifiant fiscal ; - Le numro dimmatriculation au registre du commerce ainsi que le centre dimmatriculation. Cette fiche doit tre conserve dans le dossier ouvert au nom de la personne morale concerne ainsi que les documents complmentaires, ci-aprs prciss, correspondant sa forme juridique. Les documents complmentaires devant tre fournis par les socits commerciales incluent notamment : - Les statuts mis jour ; - La publicit lgale relative la cration de la socit et aux ventuelles modifications affectant ses statuts ; - Les procs-verbaux des dlibrations des assembles gnrales ou des associs ayant nomm les administrateurs ou les membres du conseil de surveillance ou les grants ; - Les noms des dirigeants et les personnes mandates pour faire fonctionner le compte bancaire. Dans le cas de socits en cours de constitution, ltablissement de crdit doit exiger la remise du certificat ngatif, le projet des statuts et recueillir tous les lments didentification des fondateurs et des souscripteurs du capital. Les documents complmentaires devant tre fournis par les associations incluent : - Les statuts mis jour ; - Le certificat ou rcpiss de dpt lgal du dossier juridique de lassociation auprs des autorits administratives comptentes ;
263
Les procs-verbaux de lassemble gnrale constitutive portant lection des membres du bureau, du prsident et la rpartition des tches au sein du bureau ; Les noms des dirigeants et les personnes mandates pour faire fonctionner le compte bancaire. Les documents complmentaires devant tre fournis par les coopratives incluent : Les statuts mis jour ; Le procs-verbal de lassemble constitutive ; Lacte portant nomination des personnes habilites faire fonctionner le compte ; La dcision portant agrment de la constitution de la cooprative. Les documents complmentaires devant tre fournis par les tablissements et autres entits publics incluent : Lacte constitutif ; Les actes portant nomination des reprsentants ou fixant les pouvoirs des diffrents organes de ltablissement ; Les noms des personnes habilites faire fonctionner le compte. Pour les autres catgories de personnes morales (groupement dintrt conomique, groupement dintrt public, socit anonyme simplifie, etc), les tablissements de crdit exigent les lments complmentaires didentification spcifiques en se rfrant aux textes lgislatifs qui les rgissent.
Article 7 Les tablissements de crdit recueillent des personnes qui ne disposent pas de comptes ouverts sur leurs livres et souhaitent louer un coffre fort ou effectuer des oprations ponctuelles auprs de leurs guichets les lments ncessaires leur identification et celle des personnes qui en sont les bnficiaires. Article 8 Sont soumises aux mmes exigences vises aux articles 4, 5 et 6 ci-dessus, les demandes douverture de comptes distance (par voie dInternet, par exemple). Article 9 A dfaut des originaux, les photocopies des documents didentit viss larticle 5 et celles des statuts, des procs verbaux et des documents dlivrs par une autorit administrative prvus larticle 6 ci-dessus doivent tre dment certifies conformes par les autorits comptentes. Dans le cas des personnes morales ayant leur sige social ltranger, ces documents doivent, sauf dispositions particulires prvues par une convention internationale, tre certifis conformes auprs des services consulaires marocains installs dans leur pays ou auprs des reprsentations consulaires de leur pays au Maroc. Les documents rdigs dans une langue autre que lArabe ou le Franais doivent tre traduits dans lune de ces deux langues par un traducteur asserment. Article 10 Les documents viss aux articles 5 et 6 ci-dessus doivent faire lobjet dun examen minutieux pour sassurer de leur rgularit apparente et, le cas chant, tre rejets si des anomalies sont dtectes. Lorsque les informations fournies par le client ne concordent pas avec celles figurant sur les documents prsents, des justificatifs complmentaires doivent tre exigs. Article 11 En vue de sassurer de lexactitude de ladresse donne par tout nouveau client, une lettre de bienvenue lui est adresse. En cas dadresse errone, ltablissement de crdit doit sassurer par tous moyens de ladresse exacte. A dfaut, il peut dcliner lentre en relation et procder la clture du compte. Article 12 Les tablissements de crdit doivent tre en mesure de connatre, lors de louverture dun compte, si le postulant, dispose dj dautres comptes ouverts sur leurs livres et si cest la cas, lhistorique de ces comptes. Ils se renseignent sur les raisons pour lesquelles la demande douverture dun nouveau compte est formule.
264
II - SUIVI ET SURVEILLANCE DES OPERATIONS DE LA CLIENTELE Article 13 Les tablissements de crdit doivent classer leurs clients par catgories, selon leur profil de risque. A cet effet, les fiches douverture de compte doivent retracer le profil de risque du client, tabli sur la base des documents reus en application des dispositions des articles 5 et 6 ci-dessus, des rsultats des entretiens viss larticle 4 ci-dessus et en tenant compte de certains indicateurs tels que le pays dorigine du client, lorigine des fonds, la nature de lactivit exerce, la nature des oprations effectues et lhistorique du compte. Article 14 Les tablissements de crdit doivent instituer, pour chaque catgorie de clients, des limites au del desquelles des oprations pourraient tre considres comme inhabituelles ou suspectes. Article 15 Les oprations inhabituelles ou suspectes vises larticle 14 ci-dessus, incluent notamment les oprations qui : - Ne semblent pas avoir de justification conomique ou dobjet licite apparent ; - Portent sur des montants sans commune mesure avec celles habituellement effectues par le client ; - Se prsentent dans des conditions inhabituelles de complexit. Article 16 Les tablissements de crdit doivent porter une attention particulire aux oprations financires effectues par des intermdiaires professionnels (tels que les notaires, les avocats, les entreprises qui effectuent, titre de profession habituelle lintermdiation, le conseil et lassistance en matire de gestion de patrimoine) pour le compte de leurs clients personnes physiques ou morales. Article 17 Les tablissements de crdit doivent prter une attention particulire aux oprations excutes par des personnes dont le courrier est domicili chez un tiers, dans une bote postale, aux guichets de ltablissement ou qui changent dadresse frquemment. Article 18 Les conditions douverture de nouveaux comptes et les mouvements de fonds dimportance significative doivent faire lobjet de contrles centraliss en vue de sassurer que tous les renseignements relatifs aux clients concerns sont disponibles et que ces mouvements nimpliquent pas doprations caractre inhabituel ou suspect. Toute opration considre comme ayant un caractre inhabituel ou suspect doit donner lieu llaboration dun compte rendu lintention du responsable vis larticle 19 ci-aprs. Article 19 Chaque tablissement de crdit doit dsigner un responsable et un supplant chargs dassurer les relations avec Bank Al-Maghrib en ce qui concerne les questions ayant trait au devoir de vigilance. Ce responsable a galement pour tches : - De centraliser et examiner les comptes rendus des agences sur les oprations ayant un caractre inhabituel ou suspect ; - Dassurer un suivi particulier des comptes qui enregistrent des oprations considres comme inhabituelles ou suspectes ; - De tenir la direction de ltablissement continuellement informe sur les clients prsentant un profil de risque lev. Article 20 Les tablissements de crdit doivent se doter de systmes dinformation qui leur permettent, pour chaque client : - De disposer de la position de lensemble des comptes dtenus ; - De recenser les oprations effectues ; - Didentifier les transactions caractre suspect ou inhabituel vises larticle 14 ci-dessus. III - CONSERVATION ET MISE A JOUR DE LA DOCUMENTATION Article 21 Les tablissements de crdit conservent pendant dix ans les justificatifs relatifs : - A l'identit de leurs clients et ce, compter de la clture des comptes de ces derniers ;
265
A lidentit des personnes vises larticle 7 ci-dessus ; Aux oprations effectues avec leurs clients et ce, compter de leur date dexcution.
Article 22 L'organisation de la conservation des documents doit notamment permettre de reconstituer les transactions individuelles (montant et nature de l'opration) et de communiquer dans les dlais requis, les informations demandes par toute autorit habilite. Article 23 Les tablissements de crdit veillent la mise jour rgulire des informations relatives leurs clients. Article 24 Les tablissements de crdit doivent veiller, autant que possible et progressivement, mettre jour les dossiers relatifs lidentification de leurs clients avec lesquels ils sont en relation avant lentre en vigueur des dispositions de la prsente circulaire. IV - FORMATION DU PERSONNEL Article 25 Les tablissements de crdit doivent veiller ce que leur personnel, directement ou indirectement concern par la mise en uvre des dispositions de la prsente circulaire, bnficie dune formation approprie. Ils doivent sensibiliser le personnel aux risques auxquels pourraient tre confronts leurs tablissements sils viendraient tre utiliss des fins illicites. V - AUTRES DISPOSITIONS Article 25 Les tablissements de crdit ayant des filiales ou des succursales, installes dans des zones offshore ou dans des pays ne disposant pas de rglementation en matire de vigilance, au moins quivalente celle applicable au Maroc, doivent veiller ce que ces entits soient dotes dun dispositif de vigilance similaire celui prvu par la prsente circulaire. Article 26 Les tablissements de crdit incluent, dans le cadre du rapport sur le contrle interne quils sont tenus dadresser la Direction du Contrle des Etablissements de Crdit conformment larticle 20 de la circulaire n 6/G/2001 prcite, un chapitre consacr la description des dispositifs de vigilance mis en place et des activits de contrle effectues en la matire. Article 27 Les dispositions de la prsente circulaire entrent en vigueur compter du 1er janvier 2004. Sign : A.JOUAHRI
266
Annexe N9 Circulaire Relative A L 'Audit Externe Des Etablissements De Crdit

BANK AL-MAGHRIB LE GOUVERNEUR C N 9/G/2002 Rabat, 05 Joumada I 1423 16 Juillet 2002
CIRCULAIRE RELATIVE A L 'AUDIT EXTERNE DES ETABLISSEMENTS DE CREDIT Les dispositions des articles 38 41 du dahir portant loi n 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif lexercice de lactivit des tablissements de crdit et de leur contrle stipulent respectivement ce qui suit : Article 38 Les tablissements de crdit recevant des fonds du public sont tenus de faire procder, par des auditeurs externes, la rvision et au contrle annuels de leur comptabilit afin de sassurer que cette dernire reflte fidlement leur patrimoine, leur situation financire et leur rsultat. Les auditeurs externes vrifient, galement, la demande de Bank Al-Maghrib, que lorganisation de ltablissement de crdit prsente les garanties requises usuellement pour prserver le patrimoine et prvenir les fraudes et les erreurs. Article 39 Le gouverneur de Bank Al-Maghrib peut, sil le juge utile, demander aux tablissements de crdit ne recevant pas de fonds du public de procder des audits externes. Article 40 Les auditeurs externes sont agrs par le gouverneur de Bank Al-Maghrib. Ils ne doivent avoir, ni directement ni indirectement, aucun lien de subordination ou aucun intrt de quelque nature que ce soit avec ltablissement de crdit, ou un rapport de parent ou dalliance avec ses dirigeants. Article 41 Les rapports et les rsultats des audits sont communiqus au gouverneur de Bank Al-Maghrib. Celui-ci peut, sil le juge utile, en tenir informs les membres du conseil dadministration de ltablissement concern. Les rapports et les rsultats des audits sont galement communiqus aux commissaires aux comptes de ltablissement de crdit . La prsente circulaire a pour objet de prciser les modalits dapplication des dispositions susvises. Article premier Les dispositions de la prsente circulaire sappliquent : - lensemble des banques - et aux socits de financement recevant des fonds du public. Leur champ dapplication peut, toutefois, tre tendu aux autres tablissements de crdit, si Bank AlMaghrib le juge utile. TITRE I : AGREMENT DES AUDITEURS EXTERNES Article 2 Les tablissements de crdit adressent la Direction du Contrle des Etablissements de Crdit de Bank Al-Maghrib (DCEC) les demandes dagrment relatives aux auditeurs externes quils envisagent dengager pour assurer la mission daudit dfinie par la prsente circulaire. Article 3
267
Les demandes dagrment relatives aux auditeurs externes exerant titre indpendant doivent tre accompagnes de dossiers comportant les documents suivants : 1) un document attestant de linscription de lauditeur externe sur le tableau de lordre des expertscomptables et de lexercice effectif de la fonction dexpert-comptable ; 2) le curriculum vitae, dment dat et sign, de lauditeur externe et de chacun de ses collaborateurs susceptibles de prendre part aux travaux daudit des tablissements de crdit ; 3) une dclaration sur lhonneur, conforme au modle joint en annexeI, date et signe par chacune des personnes vises au point 2 ci-dessus, par laquelle le signataire atteste, notamment, quil ne tombe pas sous le coup de lune des incompatibilits prvues par : - la loi n 15-89 rglementant la profession dexpert-comptable et instituant un ordre des expertscomptables, promulgue par le dahir n 1-92-139 du 14 rajeb 1413 (8 janvier 1993), - le dahir portant loi n 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif lexercice de lactivit des tablissements de crdit et de leur contrle - et la loi n 17-95 relative aux socits anonymes, promulgue par le dahir n 1-96-124 du 14 rabii II 1417 (30 aot 1996) ; 4) une note faisant ressortir lexprience professionnelle de lauditeur externe, les moyens techniques et humains dont il dispose et, le cas chant, lappui dont il pourrait bnficier de la part dautres partenaires qualifis, nationaux ou trangers, ainsi que les rfrences des missions daudit antrieures ralises auprs des tablissements de crdit et les services de consultation et de conseil, rendus par lauditeur, y compris par le biais de filiales spcialises. Article 4 Les demandes dagrment concernant les auditeurs externes exerant en qualit de socits dexpertscomptables doivent comprendre, outre les informations vises larticle 3, les documents ci-aprs : - une fiche de renseignements, conforme au modle joint en annexeII, dment date et signe par le reprsentant statutaire de la socit ; - une copie certifie conforme des statuts de la socit mis jour ; - le curriculum vitae de chacun des associs appels participer aux missions daudit des tablissements de crdit. Article 5 Toute demande dagrment doit tre accompagne dune attestation, conforme au modle joint en annexeIII, dment date et signe par un responsable habilit le faire, par laquelle ltablissement de crdit certifie que le choix de lauditeur externe a t effectu dans le respect des dispositions prvues par la prsente circulaire. Article 6 Dans le cas o lauditeur externe fait appel, dans le cadre de sa mission, des experts ne faisant pas partie de son effectif pour effectuer des travaux ponctuels, il est tenu de sassurer que ces personnes nenfreignent pas les dispositions lgales relatives aux incompatibilits vises au point 3 de larticle 3 ci-dessus. Article 7 La DCEC peut demander communication de tous autres renseignements quelle estime ncessaires pour linstruction des demandes dagrment. Article 8 Les auditeurs externes sont agrs pour un mandat de 3 ans renouvelable. Les demandes de renouvellement des agrments doivent tre adresses la DCEC selon les modalits prvues aux articles 2 5 ci-dessus. Article 9 Le renouvellement de lagrment des auditeurs externes ayant exerc leur mission, auprs dun mme tablissement, durant deux mandats conscutifs ne peut intervenir : - qu lexpiration dun dlai de trois ans, dans le cas des auditeurs externes exerant titre indpendant, - que sous rserve du remplacement de lassoci responsable de la mission daudit, en ce qui concerne les auditeurs externes exerant en qualit de socits dexperts-comptables. Article 10
268
La dcision doctroi de lagrment ou, sil y a lieu, de refus de lagrment dment motive, est notifie ltablissement de crdit concern, 30 jours maximum compter de la date de rception dfinitive du dossier de demande dagrment. Article 11 Bank Al-Maghrib peut adresser un avertissement tout auditeur externe qui ne sacquitte pas de sa mission avec la comptence et la diligence requises ou faillit ses engagements. Article 12 Bank Al-Maghrib peut suspendre ou, le cas chant, retirer lagrment un auditeur externe, lorsque celui-ci : - se trouve, en infraction au regard des dispositions lgislatives relatives aux incompatibilits prvues par la loi 15-89, le dahir portant loi n 1-93-147 ou la loi 17-95 prcits, - fait lobjet de mesures disciplinaires de la part de lordre des experts-comptables ou de sanctions pnales en application des dispositions de la loi n 15-89 susvise, - ne tient pas compte de lavertissement qui lui a t adress par Bank Al-Maghrib, en application des dispositions de larticle 11 ci-dessus. Article 13 La dcision de suspension ou de retrait de lagrment est notifie ltablissement de crdit concern qui doit soumettre la DCEC une demande dagrment dun nouvel auditeur externe, selon les modalits prvues aux articles 2 5 ci-dessus. Article 14 La dcision de rvocation du mandat dun auditeur externe, par ltablissement de crdit lui-mme, doit tre pralablement notifie Bank Al-Maghrib et dment motive. Lauditeur externe peut, sa demande, tre entendu par Bank Al-Maghrib. Article 15 Les tablissements de crdit communiquent, chaque anne, la DCEC, copie de la lettre de mission prcisant notamment ltendue des travaux devant tre entrepris par lauditeur externe ainsi que les moyens humains quil prvoit cet effet. TITRE II : MISSION DES AUDITEURS EXTERNES Article 16 La mission de lauditeur externe consiste tablir : - un rapport dans lequel il formule une opinion sur la rgularit et la sincrit de la comptabilit et atteste que celle-ci donne une image fidle du patrimoine, de la situation financire et des rsultats de ltablissement de crdit, - un rapport dtaill dans lequel sont consignes : * ses apprciations sur ladquation et lefficience du systme de contrle interne de ltablissement de crdit, eu gard sa taille, la nature des activits exerces et aux risques encourus, * les observations et anomalies releves au cours de ses investigations dans les diffrents domaines prvus par a prsente circulaire. Article 17 Les travaux ncessaires laccomplissement de la mission daudit doivent tre planifis et excuts sur la base dun programme qui tient compte de la qualit du systme de contrle interne de ltablissement de crdit et des normes professionnelles prvues en la matire. CHAPITRE I : EVALUATION DU SYSTEME DE CONTROLE INTERNE Article 18 Lauditeur externe procde lvaluation de la qualit du systme du contrle interne de ltablissement de crdit eu gard aux dispositions de la circulaire de Bank Al-Maghrib n 6/G/2001 relative au mme objet. Article 19 Lauditeur externe procde lapprciation de lorganisation gnrale et des moyens mis en uvre pour assurer le bon fonctionnement du contrle interne, compte tenu de la taille de ltablissement de crdit, de la nature des activits exerces et des risques encourus.
269
Lvaluation de lorganisation gnrale et des moyens du contrle interne est faite loccasion du premier rapport tabli dans le cadre de la prsente circulaire. Les rapports ultrieurs peuvent ne comporter que les changements qui affectent les domaines susviss. Article 20 Lauditeur externe value la qualit et ladquation du dispositif mis en place pour la mesure, la matrise et la surveillance du risque de crdit en procdant notamment lanalyse : - des modalits de dcision, dexcution et de gestion des crdits ; - des procdures de recouvrement des crances et des modalits de classification des crances en souffrance et de leur provisionnement ; - des procdures de centralisation des risques, de reporting interne et de surveillance du respect des limites rglementaires et de celles fixes par les organes comptents de ltablissement de crdit. Article 21 Lauditeur externe apprcie la qualit et lefficience du dispositif de mesure, de matrise et de surveillance des risques de march, en procdant notamment lexamen : - des modalits de dcision, dexcution et denregistrement des oprations de march ; - des procdures de mesure de lexposition aux risques inhrents ces oprations ; - de la mthode de calcul des rsultats oprationnels et de leur rapprochement avec les soldes comptables ; - des procdures dapprhension du risque de rglement ; - des mcanismes de reporting interne et des mthodes de surveillance du respect des limites rglementaires et de celles fixes par les organes comptents de ltablissement. Article 22 Lauditeur externe apprcie la qualit et ladquation du dispositif de mesure, de matrise et de surveillance du risque global de taux dintrt et de liquidit, en procdant, en particulier, lvaluation : - des procdures dapprhension de lexposition globale au risque de taux dintrt ; - des procdures de mesure et de suivi des principaux dterminants de la liquidit ; - des mcanismes de reporting interne et des modalits de surveillance du respect des limites rglementaires et de celles fixes par les organes comptents de ltablissement. Article 23 Lauditeur externe apprcie ladquation des dispositifs mis en place pour : - prvenir les fraudes, manipulations et erreurs susceptibles dengager la responsabilit de ltablissement de crdit ou de porter atteinte lintgrit de ses actifs ou de ceux de la clientle ; - empcher que ltablissement ne soit impliqu, son insu, dans des oprations financires lies des activits illicites ou de nature entacher sa rputation ou de porter atteinte au renom de la profession ; - garantir la scurit des personnes et des biens. Article 24 Lauditeur externe apprcie la fiabilit et lintgrit du systme de traitement de linformation comptable et de gestion en procdant notamment lvaluation : - du dispositif de scurit du systme dinformation - de la fiabilit de la piste daudit ; - des procdures comptables et de contrle de linformation. Article 25 Les lacunes significatives releves dans les diffrents dispositifs du contrle interne doivent tre portes, ds leur constatation, la connaissance de lorgane de direction et du Comit daudit de ltablissement de crdit. Article 26 Lauditeur externe fait tat dans son rapport dtaill des insuffisances significatives constates au niveau : - de lorganisation gnrale du contrle interne ; - des dispositifs de contrle viss aux articles 20 23 ci-dessus, tout en prcisant le nombre et les montants des dpassements des limites rglementaires et/ou internes ; - du systme de traitement de linformation.
270
Il signale si ces anomalies sont portes de manire rgulire la connaissance des organes dadministration et de direction de ltablissement et si elles donnent lieu aux mesures de redressement appropries. Il fait, galement, tat des recommandations susceptibles de pallier les faiblesses et insuffisances releves. Article 27 Lauditeur externe est tenu de signaler Bank Al-Maghrib, dans les meilleurs dlais, tout fait ou dcision dont il a eu connaissance au cours de lexercice de sa mission et qui est de nature constituer une violation des dispositions lgislatives ou rglementaires applicables aux tablissements de crdit, affecter la situation financire de ltablissement audit ou porter atteinte la renomme de la profession. CHAPITRE II : REVISION DE LA COMPTABILITE Article 28 Lauditeur externe vrifie que les comptes annuels de ltablissement de crdit sont labors dans le respect des principes comptables et des mthodes dvaluation prescrites par le plan comptable des tablissements de crdit (PCEC) et quils sont prsents conformment aux rgles prvues par ce plan. Article 29 Lauditeur externe vrifie par sondage, sur la base dun chantillon reprsentatif, la rgularit et la correcte comptabilisation des oprations ainsi que la conformit et la cohrence des soldes comptables. il procde galement, lexamen des mouvements des comptes et lanalyse des pices justificatives. Article 30 Lauditeur externe procde lexamen des principes comptables et mthodes dvaluation adoptes par ltablissement de crdit et ayant trait notamment : - la classification des crances en souffrance et leur couverture par les provisions ainsi qu la comptabilisation des agios y affrents ; - lvaluation des garanties prises en considration pour le calcul des provisions ; - la comptabilisation et au traitement des crances restructures et des provisions et agios y affrents ; - limputation des crances irrcouvrables au compte de produits et charges ; - la comptabilisation et lvaluation lentre et en correction de valeur des diffrents portefeuilles de titres ; - lvaluation des lments libells en devises et la comptabilisation des carts de conversion ; - la constitution des provisions pour risques et charges ; - la prise en compte des intrts et des commissions dans le compte de produits et charges ; - lvaluation et lamortissement des immobilisations corporelles et incorporelles ; - la rvaluation des immobilisations corporelles et financires. Article 31 Lauditeur externe apprcie la qualit des actifs et des engagements par signature de ltablissement de crdit leffet notamment didentifier les moins-values et les dprciations, relles ou potentielles, et de dterminer le montant des provisions ncessaires leur couverture, compte tenu des dispositions rglementaires en vigueur. Article 32 Lvaluation de la qualit du portefeuille de crdits se fait sur la base dun chantillon reprsentatif tenant compte de la nature de lactivit, de la taille et de la qualit du systme de contrle interne de ltablissement de crdit ainsi que des dispositions prcises ci-aprs. Lexamen des risques est effectu en donnant la priorit : - aux crdits dont lencours, par bnficiaire tel que dfini par la circulaire n 3/G/2001 relative au coefficient maximum de division des risques, est gal ou suprieur 5 % des fonds propres de ltablissement de crdit ; - aux concours consentis aux personnes physiques et morales apparentes ltablissement, telles que dfinies par le PCEC ; - aux autres dossiers de crdit prsentant un risque anormal (crances ayant enregistr des impays ou fait lobjet de consolidation, crdits consentis des clients oprant dans des secteurs connaissant des difficults, etc).
271
Les critres au vu desquels est dtermin lchantillon susvis doivent tre prciss et justifis dans le rapport dtaill, en indiquant la part examine dans lencours total des crdits. Article 33 Les anomalies et insuffisances significatives releves dans la comptabilit ou dans les tats financiers ainsi que les omissions dinformations essentielles pour la bonne apprciation du patrimoine, de la situation financire et des rsultats de ltablissement, doivent tre portes la connaissance de lorgane de direction en vue de leur redressement. Article 34 Lauditeur externe fait tat dans ses rapports des ajustements, considrs comme significatifs au regard des normes de la profession en vigueur, qui doivent tre apports aux tats de synthse en prcisant en particulier : - le montant des crances en souffrance non classes ; - le montant de linsuffisance des provisions ncessaires pour la couverture des crances en souffrance ; - le montant de linsuffisance des provisions ncessaires pour la couverture des dprciations du portefeuille titres ; - le montant de linsuffisance des provisions pour dprciations des autres actifs ; - le montant de linsuffisance des provisions pour risques et charges ; - le montant des soldes injustifis ; - tout autre cart matriel constat par rapport aux normes comptables et mthodes dvaluation prescrites par le PCEC. Il mentionne galement les autres ajustements qui, son avis, doivent tre apports aux dclarations adresses Bank Al-Maghrib, en particulier, celles ayant trait la rglementation prudentielle et aux emplois obligatoires. TITRE III : DISPOSITIONS DIVERSES ET TRANSITOIRES Article 35 Les rapports viss larticle 16 ci-dessus, dment dats et signs par lauditeur externe, doivent tre adresss, par celui-ci, la DCEC au plus tard : - 15 jours, avant la date de la runion de lassemble gnrale ordinaire des actionnaires de ltablissement de crdit concern ou de lorgane social en tenant lieu, en ce qui concerne le rapport dopinion ; - le15 juin de lexercice suivant celui au titre duquel laudit est effectu, pour ce qui est du rapport dtaill. Article 36 La DCEC peut saisir les auditeurs externes pour leur demander tous claircissements et explications propos des conclusions et opinions exprimes dans leurs rapports et, le cas chant, de mettre sa disposition les documents de travail sur la base desquels ils ont formul ces conclusions et opinions. Elle peut galement, cette fin, tenir des runions de travail avec les auditeurs externes. Article 37 Les tablissements de crdit sont tenus de mettre la disposition des auditeurs externes tous les documents et renseignements que ceux-ci estiment ncessaires pour laccomplissement de leur mission. Article 38 Les tablissements de crdit organisent des runions priodiques entre leurs auditeurs externes et leurs auditeurs internes, leffet dexaminer les questions ayant trait au systme de contrle interne et aux autres questions dintrt mutuel. Article 39 Les tablissements de crdit communiquent la DCEC, sa demande et dans les dlais fixs par elle, les mesures prises et celles quils envisagent de mettre en uvre pour remdier aux lacunes, erreurs et insuffisances releves par lauditeur externe. Article 40 Les demandes dagrment relatives aux auditeurs externes qui, la date de publication de la prsente circulaire assurent la mission daudit auprs des tablissements de crdit, doivent tre adresses la
272
DCEC dans un dlai de 60 jours maximum compter de cette date, accompagnes de la lettre de mission vise larticle 15 ci-dessus. Article 41 Les dispositions de la prsente circulaire entrent en vigueur compter de la date de sa publication.
273
Bibliographie
274
275
BIBLIOGRAPHIE Ouvrages.
Antoinne Sardi, Audit et inspection bancaires - l'audit interne- Editions Afges, Septembre 2002. Antoinne Sardi, Pratiques de la comptabilit bancaire, Editions Afges, 1999. Coopers & Lyberland, IFACI, La nouvelle pratique du contrle interne - Editions des organisations, Octobre 1994. Michel Rouach, Grard Nauleau, Le contrle de gestion bancaire et financier - Edition Economica, Septembre 1999. Jean-Michel Errera, Christian Jimenez, Pilotage bancaire et contrle interne - Edition les Eska, Juillet 1999. Amine Tarazi, Risques bancaires, drglementation financire et rglementation prudentielle : Une analyse en terme d'esprance-variance. Siruwet, Jean Luc, Roessler, Lydia, Le contrle comptable bancaire, un dispositif de maitrise des risques : normes, techniques et mise en uvre. Azedine Berrada, Techniques de banques et de crdit. Edition 2000. COBIT (Gouvernance, Contrle et Audit de lInformation et des Technologies Associes) Brokers and dealers in securities : Guide daudit publi par lAmerican Institute of Certified Public Accountant. R.VATIER, "L'audit : Qu'est-ce que c'est?", Personnel, n362, juillet 1995. R.VATIER, "L'audit social", Personnel, n365, dcembre 1995. A.AUBERT, "L'audit : Des reprsentations clates", Education Permanente, n132/1997-3, 1997. "Audit social au service du management des ressources humaines : professionnalisme des consultants", ISEOR, Economica, Paris, 1994.
Thses & mmoires.

Gestion des risques bancaires : enjeux rglementaires et oprationnels, Hamid Atide, Mmoire d'Expertise Comptable Marocain, Session Mai 2004. Evaluation du risque de crdit en matire bancaire, Ilhame Loubna Lahlou, Mmoire d'Expertise Comptable Marocain, Session Novembre 1999. Le suivi des risques d'une banque : approche mthodologique et outils d'analyse, Lorin Christophe, Mmoire d'Expertise Comptable Franais, Session Mai 2000.
Publications des organismes professionnels.

Principes fondamentaux pour un contrle bancaire efficace- Comit de Ble sur le contrle bancaire- Septembre1997. Note de Stratgie du Secteur Financier, Rapport de la Banque Mondiale sur le Maroc, Septembre 2000. Rapport de la Banque Mondiale sur le respect des normes et codes (RRNC) Royaume du Maroc Comptabilit et Audit 25 juillet 2002. North African Banks Lack Momentum Amid Turbulent Regional Environment , Standard & Poor's, September 2003. Bank Industry Risk Analysis : Morocco (Kingdom of) , Standard & Poor's, November 2003. Value and Reporting in the Banking Industry, Edition PricewaterhouseCoopers. Challenges of the new Basel Accord - Actions for senior management, Edition PricewaterhouseCoopers. Implementation the New Basel Accord, Edition PricewaterhouseCoopers.
276

Operational Risk Management, Basel Committee on Banking Supervision , September 1998. Nouvel accord de Bale sur les fonds propres : note explicative, Secrtariat du Comit de Bale sur le Contrle bancaire, Janvier 2001. Nouvel accord de Bale sur les fonds propres : Comit de Bale sur le Contrle bancaire, Janvier 2001. Internal Control and Audit Weakness for Foreign Banks US Branches, GAO, September 1997. Principes fondamentaux pour un contrle interne efficace, Comit de Bale sur le contrle bancaire, Septembre 1997. Internal control Management and Evaluation Tool, GAO (United States General Accounting Office), August 2001. Rapports de Bank Al Maghrib 2003,2002 et 2001.
Publications rglementaires.
Rapport annuel sur le contrle, lactivit et les rsultats des tablissements de crdit, exercice 2004. Circulaires de Bank Al Maghrib N6,N9,N19. Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke, ratio de division des risques, ratio de liquidit, rserve montaire" Rglement Franais N97-02 sur le contrle interne bancaire. Loi bancaire marocaine de 1993. Livre blanc de la commission bancaire franaise relatif la scurit des systmes d'information 1995. Circulaire D1/EB/2002/6 : sur le contrle interne ainsi que sur la fonction daudit interne et la fonction de Compliance des entreprises dinvestissement. Commission bancaire et financire Bruxelles, le 14 novembre 2002.
Publications spcialises.
Le secteur bancaire au Maroc MINEFI DREE/TRSOR Prestation ralise sous systme de management de la qualit certifi AFAQ ISO 9001, le 26 juillet 2004. Le rle du contrle interne, Georges Ravet ( de la caisse d'epargne) - Revue Banque Magazine N616, Juillet-Aout 2000. Bale II - Plus de rgles, moins de fonds propres? Yves Burger (Standard & Poor's) Revue Banque Magazine N654, 01/01/2002. Le Contrle interne des systmes dinformation. Revue Banque Magazine N558, 01/09/1998. Une mthode pour les procdures de contrle. Revue banque Magazine N598, 01/12/1998. Risques de march : la construction des modles internes. Revue Banque Magazine N592 01/05/ 1998. Le systme de Contrle interne des tablissements de crdit - Institut Montaire Europen - Revue dconomie financire n48 (juillet 1998). Banque et Risque - Revue Horizons bancaire du Crdit Agricole N313 Mai 2002. Gestion des risques : Comptabilit et valuation des risques bancaires, Etienne Boris (PricewaterhouseCoopers) - Revue Banque Magazine N654, 01/01/2002, Revue Banque magazine - (N616)- (ISBN/ISSN)- 01/07/2000. La chronique du risk management avec PricewaterhouseCoopers - Systmes d'information - Technologie XBRL : une relle opportunit pour Bal II, Jimmy Zou (PricewaterhouseCoopers) - Marie-Jeanne Deverdun (PricewaterhouseCoopers), Banque Magazine - (N656) - 01/03/2004.
277

Risque oprationnel : l'apport des outils automatiss de gestion des risques, Marie Agns Nicolet (Deloitte Touche Tohmatsu) - Banque magazine - (N654) - 01/01/2004. Mthodologie : le suivi du risque oprationnel, Sylvie Lpicier (LGB Finance) - Yann Le Tallec (LGB Finance) - Banque magazine - (N652) - 01/11/2003. Mtiers de la banque - IAS/Bale II : quels nouveaux profils ? , Anne Drif (Revue Banque) - Banque magazine - (N652) - 01/11/2003. Dbat : Bale II et la stabilit financire, Michel Dietsh (Institut d'tudes politiques de Strasbourg) - Dominique Garabiol (Groupe Caisse d'Epargne) - Pierre-Yves Thoraval (Commission Bancaire) - Alain Duchteau (Secrtariat gnral commission bancaire) Banque magazine - (N651) - 01/10/2003. Bale II- Asset managers et risque oprationnel : les nouveaux paradoxes, Didier Bentre (PricewaterhouseCoopers)- Isaak Look (PricewaterhouseCoopers) - Banque magazine(N651) - 01/10/2003. Audit Committee and Governance Survey Results. Deloitte and Touche , Avril 2003 Global Internal Audit : The New Reality , Deloitte Touche Tohmatsu 2003. Global Banking Industry Outlook : Top 10 Issues , Deloitte Touche Tohmatsu 2004. Doyon, M. (1996) Tuned in Management, Internal Auditor, december. Hopkins, D. (1996) The Auditing Business, Internal Auditor, october. Audit Committee Newsletter KPMGs Audit Committee Institute Edition 1, avril 2003 Laudit et le contrle internes - Mise niveau en Audit - Mounim Zaghloul, Consultant CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Rseau BKR International, 12 au 14 Septembre 2002. Bale II : Gense et enjeux Confrence-dbat association d'conomie financire Commission Bancaire, Banque de France et Eurosysteme jeudi 27 mai 2004. Lapproche risque au centre de laudit bancaire par Barbara Lambert Partner, Ernst & Young SA/Switzerland et Antonio Mira Senior Manager, Ernst & Young SA/Switzerland Revue LAGEFI Haute Finance Novembre 2003. Analyse, mesure et contrle des risques dans le monde bancaire Pierre-Yves Thoraval (Secrtariat gnral de la Commission bancaire), Directeur de la Surveillance gnrale du Systme bancaire 1res Rencontres Internationales Institut Europlace de Finance - 4 juillet 2003 Evaluation du risque de crise bancaire - Rapport trimestriel BRI (Banque des Rglements Internationaux) , dcembre 2002. Basel Committee on Banking Supervision Internal audit in banks and the supervisors relationship with auditors - A survey August 2002 Bank For International Settlements (BRI). Le systme bancaire dans la tourmente - Par Ibrahim Warde Chercheur au Center for International Studies, Massachusetts Institute of Technology (Cambridge), auteur de The Financial War on Terror (IB Tauris, Londres, paratre) - Le Monde Diplomatique novembre 1998. L'analyse des risques oprationnels : un enjeu qui dpasse le secteur bancaire - Par Jean-Franois Pirus PDG de la socit de conseil Internet Business Services, et responsable du site BPMS.info, deux entits spcialises dans le management des processus. (19/03/2004). Le nouveau mtier de "Responsability Manager" par Yves Medina, dontologue de PricewaterhouseCoopers, conseiller-matre la Cour des comptes et vice-prsident de l'Observatoire sur la responsabilit socitale des entreprises (ORSE). Les Echos, L'Art de la gestion des risques 13 dcembre 2000. Vers une nouvelle approche de risque par Dominique Chesneau, associ chez PricewaterhouseCoopers, Les Echos, L'Art de la gestion des risques 13 dcembre 2000.
278
Sites Internet.
http://www.federalreserve.gov/boardocs/supmanual : http//pwc.com http//bpms.info http://www.iviq.org http://www.nbb.be http://www.monde-diplomatique.fr
279

Audit Bancaire

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Bancaire

Transféré par

Droits d'auteur :

Formats disponibles

INSTITUT SUPERIEUR DE COMMERCE ET D'ADMINISTRATION DES ENTREPRISES CYCLE SUPERIEUR DE GESTION (C.S.

MEMOIRE PRESENT EN VUE DE L'OBTENTION DU DIPLOME DU CYCLE SUPERIEUR DE GESTION

L'audit systmique, un outil defficacit du risk management

Par Membres du Jury

M. Hassan BOUBRIK M. Omar BOUNJOU

Chapitre 2 : Spcificits de l'audit bancaire

Chapitre 2 : Mission d'audit de la Direction des Systmes d'Information.

Chapitre 3 : Mission d'audit de la Salle des Marchs.

Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.

Chapitre 5 : Mission d'audit de la Direction Comptable.

Conclusion gnrale.......239 Annexes .....246 Bibliographie.......276

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Chapitre prliminaire : Le systme bancaire marocain, vue d'ensemble.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Chapitre prliminaire : Le systme bancaire marocain : vue d'ensemble.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

SYSTEME FINANCIER MAROCAIN - CADRE INSTITUTIONNEL

Ministre des Finances

Conseil Dontologique des Valeurs Mobilires (CDVM)

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

1. Le paysage bancaire marocain

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

LISTE DES ETABLISSEMENTS DE CREDIT ET DES BANQUES OFFSHORE Raison sociale

2. Environnement institutionnel et rglementaire en pleine mutation

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

3. Activit et rsultats du systme bancaire.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Etablis depuis lexercice 2000 nets de provisions pour dprciation dactifs.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

4. Evaluation du systme bancaire marocain.

Rapport de lagence de notation internationale Standard and Poors du 20 avril 2006.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

PNB : Produit Net Bancaire.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Chapitre 1 : Typologique et valuation des risques bancaires.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Chapitre 1 : Typologie et valuation des risques bancaires. Introduction.

Laudit systmique bancaire, un outil defficacit du risk management. __________________________________________________________________________________________

Section 1 : Typologie des risques bancaires.