Académique Documents
Professionnel Documents
Culture Documents
Audit Bancaire
Audit Bancaire
Par
: M. Badr FIGUIGUI
Membres du Jury
M. Mostafa MELSA
: Professeur lISCAE, Prsident du jury;
M. Abdellatif MAZOUZ : Directeur de recherche, suffragant ;
M. Mohammed HDID : Expert comptable Associ Saaidi-consultants,
M. Hassan BOUBRIK
M. Omar BOUNJOU
suffragant ;
: Secrtaire Gnral de la Caisse de Dpt et
de Gestion (CDG), suffragant ;
: Directeur Gnral dAttijari Wafa Bank, suffragant.
- Septembre 2007 -
Sommaire simplifi
SOMMAIRE SIMPLIFIE
Partie introductive
Introduction
...6
Problmatique gnrale...9
Intrt du sujet..12
Hypothse centrale....13
Propos mthodologiques .......16
Chapitre prliminaire : Le systme bancaire marocain : vue densemble..19
Conclusion gnrale.......239
Annexes .....246
Bibliographie.......276
Partie introductive
Partie introductive
Introduction
Problmatique gnrale
Intrt du sujet
Hypothse centrale
Propos mthodologiques
Chapitre prliminaire : Le systme bancaire
marocain : vue densemble
Introduction.
Le secteur bancaire est en mutation : drglementation, dsintermdiation, risques
accrus, pour nen citer que les lments les plus courants.
Les banques font face un environnement socioconomique mouvant et de plus en
plus complexe.
En effet, les banques marocaines comme les banques trangres ont vcu de profonds
bouleversements dans les annes quatre vingt se traduisant par la dcentralisation et
l'internationalisation des activits, la croissance des volumes doprations, le
dveloppement des produits sophistiqus et la prise de risques dans un contexte de
baisse des marges.
Depuis le dbut du troisime millnaire, en Europe, on constate une acclration des
fusions et des acquisitions dans le secteur bancaire. Phnomne qui semble se
propager pour toucher ainsi le paysage bancaire marocain.
Si, historiquement, la restructuration du secteur bancaire n'est pas un phnomne
nouveau, comment expliquer lacclration actuelle ? Quelles en sont les consquences
sur les fonctions exerces par les banques et les risques qui en dcoulent ? Le paysage
bancaire mondial y compris celui marocain sera-t-il domin par quelques mga banques
dans quelques annes ?
Ainsi, avec les volutions qui marquent le secteur bancaire et qui se caractrisent
notamment par la rapidit de renouvellement des process, l'automatisation acclre
des traitements ainsi que par la technicit et la diversit croissantes des produits, les
risques auxquels les banques sont confrontes sont devenus plus nombreux, plus
significatifs et plus complexes.
Ces mutations posent d'une part des problmes de difficults danalyse et de contrle
des risques, de protection des investisseurs et de transparence des marchs et d'autre
part, des exigences toujours plus leves la gestion des risques et lorganisation des
tablissements bancaires. De mme, elles accroissent le risque de contrles inadapts
voir dfaillants.
Les tablissements bancaires sont aujourdhui conduits s'investir davantage pour tirer
les conclusions de ces volutions.
Laxe de progrs le plus vident est la mise en place dun systme interne de
connaissance de leur exposition aux risques, quelle que soit lorigine du risque (crdit,
march, systme d'information...).
Le pilotage des risques bancaires via le risk management et l'audit interne est une
problmatique largement d'actualit, depuis dj quelques annes dans beaucoup de
pays occidentaux (Etats Unis, Japan, Grande Bretagne, France,). Ceci n'est pas le
fruit du hasard, mais une consquence des problmes conomiques importants que
soulve la question, ayant abouti dans certains cas des situations dramatiques.
Les pertes importantes qu'ont subies plusieurs banques et tablissements financiers
sur leur activit de trading illustrent par ailleurs, de manire assez pragmatique, les
consquences de "break-down " dans le processus de matrise des risques. De
nombreuses affaires sur plusieurs grands marchs tels que Barings, Fleming et Morgan
Grenfell, Dawa et Sumitomo, Orange country et Metallgesellschaft, ne sont que des
exemples de cette liste noire (Cf. Annexe 1) et ont montr que lexistence de
procdures adaptes tait ncessaire mais pas suffisante.
A la suite de ces affaires et des menaces que fait peser une faillite bancaire sur le
systme financier tout entier, et sur la confiance quil doit inspirer tous, les exigences
des instances de rgulation vont en croissant, les contrles se renforcent et les
sanctions deviennent plus dissuasives.
Ces instances ont, leur tour, labor des doctrines dont lobjet principal est de
soumettre les banques des rgles permettant de minimiser le risque de les voir
manquer leurs obligations vis--vis de leurs dposants.
Le dveloppement de ces rgles dites prudentielles est en train de converger vers
une approche de plus en plus similaire celle rsultant des analyses de la thorie
financire : le projet du nouveau ratio de solvabilit dit Mc Donough a pour principal
objectif de mieux prendre en compte la ralit des risques pour la dfinition des
exigences de fonds propres auxquelles sont soumises les banques.
Il y a quelques annes, le Maroc a lui aussi failli tomber sous le coup d'une instabilit
financire cause par les difficults financires de deux grandes banques publiques de
la place. Sans l'intervention des pouvoirs publics, cette crise aurait pris un tournant
dangereux.
S'il est vrai que ces accidents n'ont pas mis le systme financier en danger, ils n'en
sont pas moins porteurs d'un avertissement pour tous : des systmes dficients en
matire de gestion et d'audit des risques dans le secteur financier peuvent rapidement
provoquer des pertes financires considrables lesquelles, si elles ne sont pas
contenues adquatement par des tampons solides aptes endiguer le risque
systmique, sont susceptibles d'engendrer un effet de domino auprs d'autres
oprateurs sur les marchs avec des consquences difficilement calculables pour le
systme financier.
Cette proccupation est relle, comme en tmoigne l'actualit internationale : les crises
rcentes de l'Argentine, la Turquie et la crise asiatique d'il y a quelques annes n'en
sont que des exemples.
Ces turbulences financires qui ont secou les marchs financiers internationaux en
gnral et celui marocain en particulier, ont mis en vidence certaines faiblesses dans la
gestion et l'audit des risques au sein des tablissements bancaires. Cette gestion
longuement assimile une simple conformit des rgles prudentielles s'est rvle
inefficace dans la mesure o celle-ci sest limite pour la plupart au respect d'un
Problmatique gnrale.
Contexte international
La problmatique de gestion et d'audit des risques apparat donc comme une donne
omniprsente et essentielle dans l'apprciation de la qualit des tablissements de
crdit. Une rtrospective sur l'volution des normes et des pratiques en la matire
souligne toutefois le caractre rcent de cette proccupation avec les premires
rflexions d'ensemble qui remontent seulement une vingtaine d'annes.
C'est en effet en 1988 que le premier texte international visant rguler l'exposition aux
risques des banques a vu le jour, avec la publication par le Comit de Ble de l'accord
sur l'adquation des fonds propres qui, rappelons-le , ne traitait l'poque que les
risques de crdit ( cette norme est la base de la dcision rglementaire de Bank AlMaghrib (BAM) N96 du 25 dcembre 1992 relative l'instauration du ratio de solvabilit
impos l'ensemble des oprateurs dans le secteur bancaire).
L'volution spectaculaire des rfrentiels de gestion des risques dcoule de deux
phnomnes qui sont venus se cumuler.
-
L'analyse des textes qui manent des autorits prudentielles bancaires, au niveau
international, montre une attention croissante porte depuis quelques annes par ces
autorits ces thmes, avec en particulier :
-
Une autre tendance de fond observe depuis 1998 rside dans l'largissement des
rfrentiels de gestion et de matrise des risques, vers une conception tendue
l'ensemble des risques banacires, alors qu'ils taient concentrs initialement sur les
risques financiers (crdit, march,..). En particulier, des travaux approfondis ont t
entrepris par le Comit de Ble sur le thme du risque oprationnel.
Dans ce contexte de foisonnement et de progression continue des textes sur la gestion
des risques des banques, les rapports annuels des grandes banques internationales
comportent actuellement des prsentations de plus en plus importantes sur les
dispositifs globaux de "risk management", et une communication dsormais spcifique
sur la gestion du risque oprationnel.
La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un
"going concern".
Cette problmatique gnrale tant prcise, Qu'en est-il de la question au Maroc?
Contexte marocain
Le paysage bancaire marocain se caractrise par un cadre prudentiel qui a fait l'objet
d'une refonte profonde ds 1993 concidant avec la promulgation de la nouvelle loi
bancaire. Dans le prolongement de cette nouvelle loi bancaire, plusieurs rglements se
sont succds, dont le plus important est la circulaire N6 relative au contrle interne
des tablissements de crdit diffuse par Bank Al Maghrib (BAM) en fvrier 2001.
Avant la diffusion de cette nouvelle circulaire, un dbat fragment a t soulev depuis
quelques annes avec pour toile de fond les dysfonctionnements vcus ces derniers
temps par certains tablissements de crdit ; jusque-l considrs comme pionniers
dans le pilotage bancaire et le contrle interne.
10
11
Comment a-t-il rparti les rles entre les divers acteurs de son entit (Risk
management, Audit interne et Compliance en termes de gestion, de contrle et de
prvention de ces risques ?
Intrt du sujet.
Plus pratiquement, lintrt du sujet dcoule de trois considrations principales :
12
L'objectif de cerner et de prvenir tout risque de perte de valeur qui ncessite des
outils adquats en termes de dveloppement, de reporting et de matrise des
risques qui passent incontournablement par un renforcement du dispositif de
contrle interne et par consquent de l'approche d'audit.
Eu gard cette volont aussi bien publique que prive, et dans le cadre mme
du processus naissant d'alignement sur les standards internationaux la fois
comptables et financiers, les tablissements de crdit marocains offrent-ils un
environnement propice pour une mise en uvre dans les dlais souhaits par les
autorits montaires des nouvelles recommandations formules dans les
nouvelles dispositions rglementaires ?
Hypothse centrale.
Face un environnement socioconomique de plus en plus difficile marqu par la
multiplicit et la complexit des risques et l'accroissement du risque daudits inadapts
ou dfaillants, les banques doivent plus que jamais disposer dun systme de gestion et
13
14
Elle aboutira notamment mieux connatre le profil de risque des activits exerces
(cartographie des risques), dvelopper et alimenter les outils ncessaires au pilotage
de ces risques (rfrentiel de risques par activit, indicateurs de veille et de suivi).
Elle vise galement amliorer et coordonner les processus de gestion existant en
intgrant, en particulier, les problmatiques de contrle interne, de scurit des
systmes dinformation, de dontologie, dans le cadre dun dispositif dvaluation
globale des risques.
Enfin, elle permettra daccrotre la responsabilit, la vigilance et la ractivit des units
fonctionnelles et de rpondre aux exigences du risk-management.
En instaurant une nouvelle approche d'audit systmique, les tablissements bancaires
seraient aptes mieux valuer et grer leur risque.
Laudit systmique prsente une approche intgre capable didentifier les facteurs de
risque et qui inclut toutes les analyses appropries la mesure de tous les types de
risques : crdit, march et oprationnel.
Une telle approche permet d'avoir une vision globale et matrise des risques, quelle
que soit la complexit des organisations ou des processus auditer, de vrifier
l'efficacit du dispositif de contrle interne par ligne mtier, et enfin, daccrotre la
responsabilit, la vigilance et la ractivit des units oprationnelles et ainsi des risk
managers dans la matrise, la gestion et la prvention des risques.
Instaur en globalit pour tous les mtiers ou intgr individuellement pour complter un
systme existant, l'audit systmique contribuerait invitablement amliorer l'efficience
du systme d'audit interne bancaire marocain en mettant en uvre une politique globale
de gestion des risques.
Ainsi, une dmarche mthodologique d'audit systmique est dveloppe, titre
illustratif, dans le prsent travail pour quatre lignes mtiers (systmes d'information,
salle des marchs, ressources humaines et comptabilit), et qui pourrait d'ailleurs tre
tendue d'autres mtiers, illustre parfaitement l'originalit et la pertinence de
l'approche.
Un audit systmique devient aujourdhui un instrument efficace la conduite raisonne
du mtier de banquier.
Il ne sagit donc pas simplement dun audit classique, mais dune tape dans un
processus permanent danalyse et dvaluation des risques bancaires, sur la base
duquel le management pilote les diffrentes activits.
Cest dailleurs lobjectif principal recherch par le Comit de Ble : le fait de pousser les
banques moderniser leurs systmes internes de pilotage des risques devrait en effet
conduire une scurisation accrue et donc une amlioration globale de la qualit du
systme de contrle interne et de la bonne gouvernance bancaires.
15
Propos mthodologiques.
La mthodologie du traitement du prsent sujet s'inscrit en trois tapes:
D'abord, au travers d'un travail d'enqute approfondie sur le terrain auprs d'un
chantillon reprsentatif des banques marocaines, dresser un constat de la
problmatique et des enjeux de la question et les difficults pragmatiques de sa
mise en uvre. L'orientation de mon travail dcoulera en grande partie des
rsultats de cette analyse qualitative, qui se veut tout d'abord un outil permettant
de mettre en exergue les difficults la fois techniques et mthodologiques dans
l'audit interne des risques bancaires.
Si les concepts et les mthodes font l'objet d'un large consensus, l'organisation
des systmes et des structures grant les modles internes est
incontournablement diffrente d'un tablissement l'autre. Mon propos ce sujet
est d'tudier les difficults de mise en place de dispositifs internes efficaces
d'audit en s'appuyant sur une analyse approfondie de la stratgie et de
l'organisation des diffrentes activits des tablissement de crdit marocains.
Tout en s'alignant sur les nouvelles dispositions dcoulant du comit de Ble sur
le contrle bancaire ainsi que les nouvelles rgles institues par la circulaire N6
relative au contrle interne des tablissements de crdit au Maroc, ce travail se
veut aussi un diagnostic de la ralit des tablissements de crdit marocains eu
gard cette nouvelle tendance rglementaire et leur capacit pouvoir s'y
conformer dans les dlais souhaits. On ne manquera pas cet effet, de rappeler
quelques expriences trangres sur les meilleures pratiques "Best practices" de
la profession d'audit.
Enfin, par une mise en perspective de la fonction daudit interne auprs du top
management, travers un benchmarking et un raccordement de synergie entre
d'une part les enseignements tirs de mon exprience personnelle en audit
bancaire, et d'autre part par les nouvelles approches d'audit interne pratiques,
lchelon mondiale, par plusieurs banques de renom. Ces dernires constitueront
via leur Approches daudit systmique, un repre incontournable de la conduite
de ce travail.
Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle
approche d'audit systmique dans le dispositif de matrise globale des risques.
Pour tudier tous ces aspects, mon travail s'articule en deux parties:
La premire partie traite des pratiques d'audit interne dans le systme bancaire
marocain. Elle prsente d'abord, un examen typologique des risques bancaires et
leurs critres d'valuation comme tant l'tape la plus importante et surtout la
plus difficile apprivoiser dans le processus de management des risques et un
aperu sur ce qu' en sont les pratiques pour le systme bancaire marocain.
16
La premire partie traite des pratiques d'audit interne dans le systme bancaire
marocain. Elle prsente d'abord, un examen typologique des risques bancaires et
leurs critres d'valuation comme tant l'tape la plus importante et surtout la
plus difficile apprivoiser dans le processus de management des risques et un
aperu sur ce qu' en sont les pratiques pour le systme bancaire marocain.
Ensuite, elle souligne les principes fondamentaux relatifs l'audit interne en
gnral et les particularits de l'audit bancaire de part la pluridisciplinarit des
champs observs (ressources humaines, systme d'information, activits de
march) et la multiplicit et la complexit des risques qui en dcoulent.
Enfin, une prsentation des rsultats de l'enqute sur l'efficience du systme
d'audit bancaire marocain, travers un chantillon de cinq banques prives
marocaines, choisies parmi les tablissements les plus reprsentatifs de l'activit
bancaire l'chelon national.
17
18
Chapitre prliminaire :
Le systme bancaire marocain,
vue d'ensemble.
19
20
OPERATEURS
BANQUES
Banque Centrale
BANK AL MAGHRIB
SOCIETES DE FINANCEMENT
Banques commerciales
- Crdits la consommation
Banques spcialises
- Crdits bail
Filiales de banques trangres - Autres
Succursale de banque trangre
ASSOCIATIONS PROFESSIONNELLES
GPBM, APSF, APSB, ASFIM
Ministre des
Finances
Conseil
Dontologique des
Valeurs Mobilires
(CDVM)
Le Ministre des Finances nest pas impliqu dans le contrle des oprations courantes
des tablissements de crdit, mission dvolue exclusivement aux services de Bank AlMaghrib qui trouve ses prrogatives renforces par la nouvelle loi bancaire du 14 fvrier
2006 en particulier dans le domaine de la supervision bancaire.
Le Groupement Professionnel des Banques du Maroc (GPBM) est linstance
professionnelle des banques. Il communique notamment les dcisions et positions
communes de la profession en matire denvironnement oprationnel des banques et
publie rgulirement des recommandations sur les taux de base bancaire. Les autres
associations professionnelles incluent lAssociation Professionnelle des Socits de
Financement (APSF) et lAssociation Professionnelle des Socits de Bourse (APSB) et
des OPCVM (ASFIM).
21
Dix-sept, compter de 2004, suite au rachat fin 2003 de Wafabank par la Banque Commerciale du Maroc, devenue cette occasion Attijariwafa Bank.
22
BANK AL AMAL , cre en 1989, a pour mission le financement de projets dinvestissement visant la rinsertion dans leur pays dorigine des Marocains rsidant ltranger.
MEDIAFINANCE (cre en 1996) et CASABLANCA FINANCE MARKETS (cre en 1998) interviennent sur le march des titres ngociables de la dette.
Le FEC est un tablissement public cr en 1959, devenu banque en DECEMBRE 1996. Le FEC a pour mission de concourir au dveloppement des collectivits locales, en
leur accordant des concours techniques et financiers.
23
Sigle
(CFM)
(CITI BANK)
(CAM)
(CDM)
(CIH)
(FEC)
(MDF)
(SGMB)
(UMB)
Source : BAM
24
Elles ont concern aussi bien le systme bancaire que les autres compartiments du
secteur financier.
2.1 - Dispositif de contrle interne
Les tablissements de crdit ont t appels renforcer leur dispositif de contrle
interne suite linstitution de rgles minimales par la circulaire n6/G/2001 du 19 fvrier
2001.
Aux termes de ce texte, ils sont tenus de se doter dun systme de contrle interne leur
permettant de sassurer que les oprations ralises sont conformes aux dispositions
lgales et rglementaires en vigueur ainsi quaux orientations des organes de gestion et
que les limites fixes par ces organes pour la prise de risques sont strictement
respectes.
Ce dispositif doit galement garantir la fiabilit des conditions de collecte, de traitement,
de diffusion et de conservation des donnes comptables et financires.
Les instances dirigeantes doivent tre directement impliques dans la conception, la
mise en uvre (organe de direction) et lapprobation du systme de contrle interne
(conseil dadministration ou de surveillance).
Lorgane dadministration doit se faire assister par un Comit daudit constitu, en partie,
dadministrateurs non dirigeants, charg notamment dvaluer la cohrence et
ladquation des dispositifs de contrle mis en place ainsi que la pertinence des
mesures prventives, dtectives ou correctrices adoptes pour matriser les risques
constates.
De plus, les tablissements de crdit, dune certaine taille, sont tenus de dsigner un
responsable du contrle interne, indpendant des entits oprationnelles, charg du
suivi de lefficacit du dispositif de contrle interne.
2.2 - Nouvel Accord sur les fonds propres (Ble II)
2.2.1- Rle du Comit de Ble
Le Comit de Ble sur le contrle bancaire sert de forum pour la coopration entre les
pays membres et non membres en matire de supervision bancaire. Il a pour vocation,
notamment :
de renforcer, lchelle mondiale, la solidit et la stabilit du secteur bancaire et de
rduire les disparits entre les rglementations nationales ;
de faciliter les changes dinformations sur les activits des banques vocation
internationale ;
damliorer les techniques de contrle bancaire.
Dans le prolongement de ses efforts de consolidation de la stabilit du systme
bancaire international, le Comit de Ble avait publi, en 1988, un cadre dadquation
des fonds propres des banques, dit ratio Cooke, reposant sur une couverture minimale
de 8% des risques de contrepartie par les fonds propres.
25
Ce ratio, conu au dpart pour les banques denvergure internationale, a t adopt par
lensemble des autorits bancaires. En 1996, le Comit de Ble a amend ce ratio en
largissant lassiette des risques ceux associs aux activits de march.
Sagissant du Maroc, les autorits montaires ont transpos le dispositif de 1988 dans
la rglementation nationale ds 1993, ce qui sest traduit par un accroissement
significatif des fonds propres des banques.
Le ratio Cooke a montr ses limites sous leffet, notamment, de la globalisation
financire qui sest accompagne de lapparition de nouveaux risques et qui a entran
de nombreuses crises financires.
En outre, la sophistication des pratiques, dveloppes par les banques pour lvaluation
et la matrise de leurs risques, a rendu ncessaire la mise en place dun nouveau
dispositif plus adapt au contexte des marchs internationaux.
Ainsi, en juin 1999, le Comit de Ble a propos un amendement laccord de 1988
cens introduire une plus grande sensibilit aux risques et permettre dapprhender de
manire plus exhaustive lensemble des risques encourus.
Aprs de larges consultations auprs des instances de supervision, des banques et
dautres parties intresses, le Comit de Ble a publi, en juin 2004, la version
dfinitive du nouvel Accord sur les fonds propres sous lappellation convergence
internationale de la mesure et des normes de fonds propres .
Le nouvel Accord repose sur les trois piliers suivants :
des exigences minimales de fonds propres qui sont une extension des rgles dfinies
dans laccord de 1988 ;
un processus de gestion des risques et de surveillance prudentielle renforc ;
une discipline de march moyennant la publication, par les banques, dinformations
priodiques sur la nature et le volume des risques ainsi que sur les mthodes de leur
gestion.
2.2.2- Travaux mens pour la transposition de Ble II au Maroc
La dmarche adopte par Bank Al-Maghrib, pour la transposition du nouvel Accord, tient
compte de la ralit et de la structure du systme bancaire marocain. Cest une
dmarche structurante et incitative, en vue dadopter les meilleures pratiques en matire
de gestion des risques, et ouverte sur les diffrentes approches de calcul des fonds
propres rglementaires prvues par le Comit de Ble.
Elle sinscrit dans un cadre de concertation continue avec la profession bancaire qui a
montr sa disposition adopter le nouvel Accord.
En vue dune bonne transition vers ce nouveau dispositif, Bank Al-Maghrib sest fixe
comme priorits de mettre le systme de supervision en conformit avec lensemble des
principes du Comit de Ble, de renforcer le cadre rglementaire et la transparence
financire.
26
pour financer leur activit de crdit qui a t tendue, de manire plus significative, la
distribution de concours court terme.
3.1.- Les emplois des banques ont connu une hausse couvrant des volutions
diffrencies de leurs diffrentes composantes
Apprhend travers lactivit sur base sociale, qui intgre celle exerce par les
succursales et les agences installes ltranger, le total cumul des bilans5 des
banques a atteint en 2004, 417 milliards de dirhams en progression de 8,6% par rapport
2003. Le volume de leur activit ralis au Maroc sest lev 411,5 milliards de
dirhams, en hausse de 8,4%, reprsentant 98,7% de lactivit sur base sociale.
28
29
30
Ce texte limite le pouvoir des banquiers rcuprer les actifs des socits dfaillantes.
Le rapport souligne toutefois que ladossement de plusieurs tablissements des
banques trangres leur permet de bnficier dun transfert de technologie et dun
savoir-faire. En outre, le niveau de rentabilit du secteur rsiste, malgr une forte
pression sur les marges dintrt. Cette rentabilit est prserve grce une
consolidation dans le secteur et ladoption dune politique de niche. Lune des ambitionscls des banques est de devenir universelles. Pour ce faire, elles largissent leur palette
de services, notamment dans le crdit la consommation.
Contraintes d'environnements bancaires et structurels.
Les banques du secteur priv dominent le secteur bancaire marocain. Des 17 banques
dans le systme, 10 sont des tablissements financiers privs. Les oprations des
banques marocaines sont orientes vers l'conomie domestique, avec la prsence trs
limite d'oprations avec l'tranger, elles-mmes s'expliquant en grande partie par la
dpendance significative aux dpts de marocains rsidents l'tranger.
L'exprience des banques du secteur public dans la sphre des banques commerciales
est relativement limite (situation succdant celle d'organisme financier spcialis o
les tablissements publics bnficiaient d'un statut juridique privilgi les plaant l'abri
de toute concurrence prive ou trangre et bnficiant en outre d'une dispense de
l'application intgrale des dispositions prudentielles).
La mise en uvre du processus de libralisation a mis en vidence des dfaillances de
fond qui se sont rvls principalement travers la qualit dgradante de leur actif
d'engagement fortement pnalis par le poids des crances en souffrance. Ces
dsquilibres ont eu un impact significatif non seulement sur la rentabilit de ces
tablissements, mais mme sur leur existence fortement compromise par le poids des
pertes importantes occasionnes par une mauvaise gestion du risque de crdit.
A l'oppos, les tablissements du secteur priv semblent plus rsistants la volatilit et
la lenteur de croissance de l'conomie marocaine. Mais ils ne sont pas tout aussi moins
vulnrables que les tablissements publics, juger par le poids des crances en
souffrance qui dpassent de loin les normes observes chez d'autres pays.
Le systme bancaire marocain semble ouvert une concurrence dmesure par
rapport aux opportunits de financement d'activits conomiques prometteuses,
s'accompagnant par une pression agressive sur les marges et l'engagement dans les
relations crdites d'un niveau de risque lev.
Demande et offre peu sophistiques.
Dans l'ensemble, les banques marocaines manquent de modles de dveloppement
conomique cohsifs, s'expliquant en grande partie par le faible niveau de bancarisation
de la population et l'existence d'une conomie parallle traitant gnralement en dehors
du systme bancaire. L'activit bancaire n'est ni grande dans sa taille, ni sophistique
en terme d'offre de produits. Quelques banques du secteur priv de renomme
suprieure ont nanmoins la capacit technique pour fournir des produits bancaires plus
avancs, toutefois, le march demeure tir par une demande cantonne dans les
31
services de base. C'est vrai mme dans segment des entreprises, o prter consiste
typiquement en des oprations de financement de trsorerie court terme et taux fixe.
Par consquent, les banques dans leur ensemble accusent un retard relativement
considrable dans la mise niveau des activits de support en particulier les fonctions
de risk management et de management des systmes d'information.
Dans ce contexte, le dveloppement de la distribution de crdit au Maroc a t
troitement corrl au rythme de la croissance de l'activit macro-conomique pendant
les cinq derniers exercices et est rest modeste compte tenu des besoins de
financement modrs de l'conomie. Ainsi :
La croissance de banque de dtail semble des plus prometteuses, condition que les
outils de gestion du risque et des procdures soient mis en place.
Faible niveau de rentabilit.
La rentabilit globale du secteur bancaire marocain demeure relativement faible
compare d'autres pays; elle affiche une ROE stabilise autour de 7%. Le niveau bas
de cette performance est beaucoup plus inhrent aux banques spcialises en phase
de redressement et affichant par la mme occasion une rentabilit ngative tirant vers le
bas la performance globale du secteur bancaire. Hormis les banques spcialiss, le
niveau de la ROE se situerait entre 10% et 11% en retrait par rapport aux performances
atteintes au cours des annes prcdentes (une moyenne de 14% - 15% durant ma
priode 1996-2000).
L'ensemble du secteur semble par ailleurs de plus en plus orient vers le financement
d'engagements de qualit au dtriment du volume, dans un contexte sectoriel de plus
en plus concurrentiel caractris notamment par un double phnomne d'effritement
des marges et d'accroissement des impays.
Si ces banques continuent par ailleurs tendre et diversifier leurs revenus pour
surmonter la pression sur les marges d'intrt, leur performance financire future devrait
rester relativement stable. Les banques marocaines semblent profiter cet effet d'un
niveau relativement lev des marges d'intrt et d'un cot rduit de leurs ressources
(comme plus de 50% de leurs dpts sont des dpts vue non rmunrs).
Sur les annes venir, le taux d'intermdiation moyen ne devrait que lgrement
dcliner pour atteindre un niveau moyen allant de 4% 6%. A l'inverse de la marge
d'intermdiation, les marges sur trsorerie et commissions devraient voir leurs
contributions dans le PNB7 augmenter dans les annes venir et compenser ainsi la
baisse prvisible des revenus tirs de l'activit de crdit.
32
Le rapport entre les crances en souffrance nettes des provisions et lencours net des
crdits des banques commerciales sest tabli 3,8 %, au lieu de 3,9% en 2003 et 3,5%
33
en 2002. Rapportes aux fonds propres, ces crances ont reprsent 20,5% en 2004,
contre 22,4% en 2003 et 18,7% en 2002.
Les ramnagements des rgles de classification et de provisionnement des crances
en souffrance, intervenus la fin des annes 2002 et 2004, ont eu un impact diffrent
sur les banques commerciales, certaines dentre elles ayant vu leurs crances en
souffrance saccrotre plus rapidement, notamment en 2003, pour se mettre en
conformit avec ces dispositions.
En gnral, les plus grandes banques disposent d'avantages comptitifs plus
troits. Ces tablissements ont dvelopp une solide notorit sur le march et
affichent une bonne sant financire susceptible d'endiguer, mieux que les banques
dominante publique, toute aggravation du risque de contrepartie comme tant la
principale cause d'insolvabilit. Leurs comptes de prts aux entreprises affichent
toutefois des concentrations leves sur diffrents secteurs.
En outre, ces concentrations ont augment davantage lorsque les banques se sont
dsengages des secteurs considrs comme risqus (l'agriculture, le tourisme, le
textile et les importateurs de crale). Etant donn le manque d'opportunits de prt aux
grandes entreprises, les banques tendent tre largement exposes des petites et
moyennes entreprises.
Le problme de qualit des actifs a empir au cours des deux prcdentes annes
s'expliquant en grande partie par le ralentissement et le caractre volatile de la
croissance conomique ainsi qu'une exposition de risque moins diversifie.
Les banques du secteur public accusent des dficiences importantes en matire de
gestion du risque et de contrle de crdit, aboutissant ainsi des problmes de
qualit d'actif devenant de plus en plus svres.
Trs peu de banques ont mis de ct les niveaux adquats de capitaux propres
contre les mauvaises crances.
Faible niveau de gouvernement d'entreprise.
Les banques marocaines affichent des rsultats mitigs quand il s'agit de parler du
gouvernement d'entreprise. D'un cot positif, les pratiques bancaires au Maroc sont
relativement conservatrices, en particulier dans le secteur priv. De plus, les banques
marocaines peuvent se prvaloir d'un antcdent satisfaisant en matire de stabilit du
systme bancaire marocain. Pendant les deux dernires dcennies, aucune crise de
banque principale ne s'est produite au Maroc.
Nanmoins, la communication financire accuse toujours un retard au regard des
meilleures pratiques internationales et se compare dfavorablement avec les standards
observs dans d'autres pays mergeants. Ce n'est pas directement li aux mthodes
comptables, qui s'alignent dans leur ensemble sur le modle europen - un modle
bas sur des rgles qui accordent une place importante au cot historique au dtriment
de la valeur conomique.
34
Un hritage si historique n'est pas un facteur de contrainte en soi, mais limite des
comparaisons avec d'autres banques mergeantes, qui appliquent de plus en plus des
Standards Internationaux de Comptabilit.
Le principe de gouvernement d'entreprise tait quasiment absent dans la plupart des
tablissements de crdit dominante publique :
La communication financire ainsi que les pratiques comptables ont besoin d'tre
adapts dans le sens d'une meilleure information sur la situation financire des
tablissements de crdit. Le faible niveau de gouvernement d'entreprise est une
question rcurrente.
Les participations de l'Etat dans le secteur bancaire ont approuv son inefficacit,
notamment travers les multiples cas de mauvaise gestion et de fraude.
La rglementation ainsi que la surveillance samliorent, mais une allure lente, qui
place les tablissements de crdit la trane des standards internationaux.
35
Premire partie :
L'audit interne dans le systme
bancaire marocain : des pratiques
limites aux fonctions classiques.
36
Chapitre 1 :
Typologique et valuation des
risques bancaires.
37
38
Les risques oprationnels qui ont leur source dans les risques que lorganisation,
ses acteurs et lenvironnement externe font courir la banque. Ils intgrent les
risques lis aux systmes dinformation, aux procdures, aux personnes et
lenvironnement externe.
39
Risques stratgiques
Risques inhrents l'activit
Bancaire
Risques financiers
Risques oprationnels
Liquidit
Compliance
Crdit
Juridique
March
Scurit & SI
Comptabilit
Fiscalit
RH & Fraudes
Excution des
transactions
Risques de rputation
Antoine SARDI : "Audit et Contrle Interne bancaires " Ed Afges septembre 2002 .
40
41
principales des pertes supportes par des banques en difficult dans l'Union
Europenne.
La premire analyse des 68 tablissements de crdit confronts des problmes
financiers a clairement mis en vidence que le risque de crdit tait dans 75% des cas
la principale cause des situations graves vcues par le secteur bancaire.
Par consquent, ce facteur tait prpondrant compar aux autres sources de risques,
comme par exemple les pertes sur les oprations de march, les problmes de liquidit
et la mauvaise gestion.
L'vidence de ce constat a t par ailleurs parfaitement illustre au Maroc travers les
dboires de certains tablissements financiers publics, sur lesquels le gouvernement
avait pourtant beaucoup mis pour appuyer plusieurs secteurs conomiquement et
socialement trs sensibles.
En effet, le poids des crances en souffrance sest hiss 19,4% en 2004, contre
18,7% en 2003 et 17,7% en 2002. (Compte non tenu des banques spcialises, ce taux
est respectivement de 12,4% en 2004, contre 12,3% en 2003 et 11,2% en 2002) du
portefeuille global des engagements des banques. Cette situation est inhrente
principalement l'aggravation des crances malsaines dans les secteurs agricoles et
immobiliers fortement reprsentatifs de l'encours global des engagements bancaires
tous secteurs confondus.
L'on observe galement depuis quelques annes un accroissement sans prcdent des
crdits individuels, en particuliers ceux assortis de gages hypothcaires au dtriment
des crdits aux entreprises ou aux professionnels.
Ces changements traduisent de temps en temps un renouveau de ngligences sur des
standards lmentaires de prudence. Cela a t parfaitement illustr par la baisse
progressive des taux d'intrt sur certaines oprations de crdit en comparaison avec
ce qui tait pratiqu il y a deux quatre ans. De plus, nul ne peut ignorer les facilits qui
ont accompagnes l'octroi des crdits et la constitution de garanties.
Dans ce contexte, BAM n'a pas hsit exprimer publiquement son souci et a rappel
toute la profession bancaire la raison suite des baisses successives de taux d'intrt
sur des crdits hypothqus pratiqus par certaines grandes banques de la place.
En dfinitive, le risque de crdit demeure la premire cause des difficults et des faillites
des banques. Les cas douloureux des situations difficiles vcues par certains
tablissements bancaires spcialiss du secteur bancaire marocain en sont une parfaite
illustration.
1.2 - Les risques de march
On entend par risques de march, les risques pouvant rsulter, pour un tablissement
de crdit, dune volution dfavorable des donnes de march ou de leur volatilit. Ce
sont les risques de pertes qui peuvent rsulter des fluctuations des prix des instruments
financiers qui composent le portefeuille de ngociation ou des positions susceptibles
dengendrer un risque de change, notamment les oprations de change terme et au
comptant.
42
les titres acquis, ds lorigine, avec lintention de les revendre brve chance
en vue de tirer bnfice des carts entre les prix dachat et de vente, et ce dans
le cadre dune activit de march, y compris les titres livrer ou recevoir,
les produits drivs destins maintenir des positions ouvertes isoles pour
tirer avantage de lvolution des prix ou couvrir les risques de march encourus
sur les instruments viss aux tirets prcdents.
Mme si sur le plan local, les activits de march ont t relativement moins ouvertes
sur les innovations caractrisant les nouveaux marchs avec notamment la cration de
nouveaux instruments financiers, elles demeurent toutefois un enjeu qui prserve toute
son importance pour les tablissements de crdit marocains, et ceci pour au moins deux
raisons :
les marges sur les oprations de placement et de trsorerie devraient voir leur
contribution dans le PNB augmenter dans les annes venir et compenser ainsi
la baisse prvisible des revenus tirs de l'activit de crdit;
les imbrications de plus en plus fortes entre les activits de march et celles de
crdit et de liquidit.
Dans ce contexte, de nouvelles entits appeles " salle des marchs " ont ainsi t
cres pour rpondre justement cette contrainte croissante des risques de march.
Les activits traditionnelles et les activits nouvelles ont t runies dans cette nouvelle
entit qui regroupe dsormais l'ensemble des activits financires ;
Un aspect spcial de gestion de risque est le contrle des activits de march. Les
vnements fortement mdiatiss impliquant Bankers Trust, Barings et Daiwa Banks
ainsi que les pratiques douteuses sont venues pour rappeler cet gard l'enjeu
grandissant sur les questions du professionnalisme et d'intgrit.
En ralit, ces vnements constituent une parfaite illustration des pertes importantes
qui pourraient rsulter de ngligences dans la gestion et la couverture des risques au
sein de la banque.
Les causes de ces accidents convergent gnralement vers les mmes faiblesses : la
confusion du front office et du back office, des marges de manuvre excessives et non
contrles entre les mains de certains commerciaux combine une approche bnigne
du management n'ayant aucune vue sur les positions risques engages par les
43
Cependant, une part importante des oprations en devises est traite par les filiales des
banques marocaines l'tranger qui ne sont pas soumises aux limites fixes par BAM
mais celles du pays hte. Nanmoins, les banques transmettent rgulirement BAM
les tats financiers de leurs filiales l'tranger.
L'introduction du march des changes depuis mai 1996, a fortement diminu le volume
des ventes directes de dirhams par la Banque Centrale aux banques trangres
s'ajoutant la baisse des dpts en devises des banques auprs de Bank Al Maghrib
de plus de moiti et leur rorientation vers les correspondants trangers, la suite de
l'autorisation donne aux banques d'effectuer des placements en devises l'extrieur.
Cependant, les positions de change sont restes un niveau nettement en de des
ratios rglementaires. Le march des changes terme affiche toutefois, un
dveloppement important10.
Activit de placement
L'impact de la baisse des taux d'intrt sur les marges nettes d'intrt a t plus que
compens par des revenus croissants gnrs par l'activit de placement, elle-mme
tirant profit d'un niveau exceptionnel de liquidit que la majorit des banques a d placer
en bons de trsor qui reprsente fin 2004 dj 18% des actifs totaux du systme.
Bank Al Maghrib a autoris les banques conserver les positions la fois longues et courtes en prvoyant toutefois des limitations et des mesures mme de prvenir des
drapages spculatifs .Ainsi une banque ne peut dpasser :
Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets ;
Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets ;
Les tablissements bancaires doivent, par ailleurs, dclarer BAM les pertes de change de plus de 3% enregistres sur toute position dans une devise donne et ce ,
immdiatement aprs le constat de la perte , BAM peut alors , s'il le juge utile , demander l'tablissement bancaire concern de procder la liquidation de la position en
question .
10
L'encours mensuel moyen des contrats de couverture terme est pass de 7,1 milliards en 2001 7,9 milliard de dirhams en 2002, dont 6,5 milliards pour la couverture des
risques de change lis aux importations et 1,4 milliards au titre des exportations.
44
le comportement positif des dpts dont une partie considrable provient des
marocains rsidents l'tranger.
La majeure partie des dpts bancaires est d'une dure infrieure un an. Les banques
bnficient toutefois de la stabilit de leurs dpts vue et ont une faible dpendance
vis-- vis de gros dpts terme institutionnels ou commerciaux.
En plus de la forte proportion des dpts vue, l'autre particularit importante des
dpts des banques commerciales marocaines est que prs du quart de ces dpts
provient des MRE. Le risque de liquidit associ ces dpts a t faible au cours des
dernires annes, la part des dpts MRE dans lensemble des dpts des banques est
reste relativement stable au tour de 25 28%.
Nanmoins, vu que ces dpts sont mobiles, ils reprsentent la source la plus
importante du risque de liquidit du systme bancaire marocain. " Cette dpendance par
rapport cette manne d'argent est dangereuse, soulignent les analystes de S&P dans
un rcent rapport sur la solvabilit des banques nord-africaines. N'importe quelle
45
variation radicale dans les tendances d'outre mer de dpt de liquidits reprsenterait
une menace importante pour le secteur bancaire".
1.4 - Le risque de taux
Le risque global de taux dintrt se dfinit comme limpact ngatif que pourrait avoir
une volution dfavorable des taux dintrt sur la situation financire de ltablissement
de crdit. Le risque de taux dintrt concerne la fois les positions de taux prises en
salles de marchs ainsi que lexposition au risque de transformation qui est inhrent
lactivit bancaire par dfinition.
Ce risque affecte la fois les bnfices dun tablissement et la valeur conomique de
ses crances, dettes et instruments du hors-bilan.
Les principales formes du risque de taux dintrt auxquelles les banques sont
gnralement exposes sont les suivantes :
-
risque de rvision de taux, qui rsulte de diffrences dans lchance (pour les taux
fixes) et le renouvellement des conditions (pour les taux variables) des positions de
lactif, du passif et du hors-bilan;
risque de base, qui est d une corrlation imparfaite dans lajustement des taux
reus et verss sur des produits diffrents, dots par ailleurs de caractristiques
de rvision de taux analogues;
risque de clauses optionnelles, qui est li aux options explicites ou implicites dont
sont assortis nombre de crances, dettes et positions du hors-bilan des banques.
46
La masse et la diversit des oprations traites quotidiennement par une banque sont
toujours considrables. Des erreurs, ngligences, retards et fraudes se produisent
invitablement. Ils engagent, non seulement la responsabilit pcuniaire de
l'tablissement, mais galement contribuent dtriorer son image de marque.
L'inefficacit est aussi un risque important, qui se traduit par un cot excessif des
services qui obrent la rentabilit. A cette inefficacit, s'ajoute en gnral une mauvaise
qualit des services, qui l encore est un facteur de dtrioration de l'image de marque
de l'tablissement.
Or, autant les pertes conscutives des risques mesurs, et consciemment assums et
contrls, sont normales car inhrentes au mtier de banquier, autant les pertes par
ngligence, par inadvertance, par inconscience ou par l'insuffisance d'organisation sont
intolrables. Elles sont toujours la consquence d'une carence dans le systme de
contrle interne.
Ce sont l quelques aspects du risque oprationnel sans que cette liste soit exhaustive
ou limitative. En effet, le concept du risque oprationnel n'est pas bien dfini et ne fait
pas l'objet d'un consensus. Il correspond galement une srie de pertes occasionnes
par la gestion des oprations qui ne sont pas relies aux risques parfaitement
identifiables, appels parfois risques financiers, tels que le risque de march, de crdit,
de liquidit, de taux d'intrt. Certains d'ailleurs dfinissent le risque oprationnel
comme tout risque autre que les risques financiers.
La circulaire BAM N6 donnait un sens plutt restrictif au risque oprationnel, dfini,
l'article 8, comme '' tous les risques qui pourraient tre engendrs par des procdures
inefficientes, des contrle inadquats, des erreurs humaines ou techniques , des
fraudes ou par toutes autres dfaillances".
Le risque oprationnel n'est pas un sujet nouveau. Durant les dix dernires annes, les
faillites bancaires, les pertes lies des erreurs de valorisation ou un mauvais suivi
des risques ont dfray la chronique : parmi les incidents les plus rcents, Barings,
Daiwa ou Sumitomo et la liste n'est pas exhaustive. Les pertes y affrents sont estimes
12 milliard de dollars sur les dix dernires annes.
La gestion des risques oprationnels commence proccuper de plus en plus les
tablissements, de mme que les actionnaires et les rgulateurs. Les propositions
rcentes du comit de Ble en sont la preuve.
En juin 1999, le comit de Ble dans son projet de rforme du ratio Cooke intgre
explicitement l'importance des risques autres que les risques de crdit et de marchs et
insiste sur la ncessit d'un environnement de contrle interne rigoureux, essentiel pour
la gestion des risques oprationnels.
Il faut toutefois souligner que les problmes financiers vcus par certains
tablissements financiers sont souvent la combinaison de la survenance d'un risque de
47
Les travaux de normalisation mens dans le secteur bancaire ont remis au got du jour
la notion de risque oprationnel. Si ce risque en soi nest pas nouveau, lvolution de la
rglementation bancaire le replace au premier rang des proccupations au travers de
normes que lon dsigne communment sous le terme de Ble II .
Lapprciation de la solvabilit bancaire, jusquici mesure au travers du ratio Cooke, va
devoir prendre en compte les risques oprationnels, en sus des risques de crdit et des
48
risques de march. Ceci se fera au travers dun nouveau ratio, baptis Mc Donough
du nom de lancien prsident du Comit de Ble.
Le Comit Ble II a men une analyse quantitative de ces risques sur prs dune
centaine dtablissements. Les rsultats dmontrent la frquence et le cot global
levs des incidents oprationnels : ils gnrent en moyenne prs de 90 millions
deuros de perte. Une analyse plus fine dmontre que si les sinistres les plus levs
sont aussi les mieux couverts (incendie, dgts des eaux), cest finalement la diversit
des risques non couverts qui explique limportance du cot final.
Le nouvel accord sur les fonds propres a pour but de mieux aligner lvaluation de
ladquation des fonds propres sur les principales composantes des risques bancaires
et dencourager les banques renforcer leurs procdures de mesure et de gestion du
risque.
Les trois piliers du ratio McDonough :
Pilier I : exigences minimales en fonds propres pour couvrir les actifs
pondrs en fonction du risque.
des normes renouveles pour mieux tenir compte des risques mais
sans modification du niveau global des fonds propres (8% en
moyenne);
une meilleure prise en compte des techniques de rduction des
risques;
une prise en compte des risques oprationnels.
Pilier III : plus grande discipline de march avec une exigence accrue
de transparence sur la structure des fonds propres et les risques
encourus.
Les fonds propres doivent couvrir les risques de crdit et de march et les
risques oprationnels.
Ratio McDonough = Fonds propres/Risques crdit + march + oprationnels 8%
49
En 1988, le Comit de Ble I a propos la mise en place du ratio Cooke, qui impose aux
banques de disposer dun montant de fonds propres proportionnel leur encours de
crdit. Aprs avoir intgr les risques de march au ratio Cooke en 1996, le comit de
Ble prsid par W.McDonough en a dcid la refonte en 1999.
La logique de cette rforme est simple : elle suggre le passage dune mthode
purement quantitative et forfaitaire une mthode ajoutant le qualitatif au quantitatif et
partant plus sensible la qualit intrinsque des risques. Plus prcisment, elle vise
rconcilier le capital conomique et le capital rglementaire.
Les consultations soumises la profession bancaire par le comit de Ble, en vue de la
mise en place dun nouveau ratio de solvabilit Mcdonough insiste sur les points
suivants :
Une plus grande diffrenciation dans le traitement des risques de crdits : lincitation
adopter un nouveau systme de notation interne concernant le risque de crdit
permettant aux banques destimer par elles-mmes, aux moyens de leurs
informations internes, la charge en capital, cest dire le montant des fonds propres
ncessaires pour couvrir ce risque de crdit.
Cette note drivera du calcul de la perte attendue dfinie comme tant le produit de
la probabilit de dfaut (qui sera estime par la banque), la perte en cas de dfaut et
de lexposition au moment du dfaut.
EL = PD x LGD x EAD
EL : Expected Loss ou perte attendue.
PD : Default Probability ou probabilit que le dbiteur ne veuille pas ou ne puisse pas
remplir ses engagements contractuels. La probabilit de dfaut mesure le risque dfaut du
dbiteur.
LGD : Loss Given Default ou perte occasionne en cas de dfaut du dbiteur : il sagit du
pourcentage de perte que la banque subirait par rapport au montant du crdit ouvert au
moment du dfaut.
EAD : Exposure At Default ou montant du crdit qui est expos au moment du dfaut.
Dans le cadre de lapproche IRB (Internal Rated Basing) de base, la banque estimera
uniquement la probabilit de dfaut et utilisera les donnes, concernant la perte en cas
de dfaut et lexposition au moment du dfaut, fournies par lautorit de tutelle.
Dans lapproche IRB avance, la banque estimera elle-mme tous ces facteurs de
risque, auxquels on peut ajouter le facteur M ou Maturity cest dire la dure restante
du crdit dont lampleur influence le risque de non-remboursement.
Le futur rgime donnera aussi un rle plus important aux autorits de surveillance.
Conformment aux dispositions prvues par le pilier 2, et pour tenir compte du
profil risque de chaque tablissement, ces autorits seront habilites imposer
des exigences de fonds propres suprieures celles rsultant de la seule application
des formules rglementaires.
50
51
En outre, les lois existantes peuvent tre impuissantes rsoudre des problmes
juridiques rencontrs par une banque. Une action en justice impliquant un tablissement
donn peut avoir des consquences plus vastes pour lactivit bancaire et entraner des
cots, non seulement pour lui-mme mais pour de nombreuses autres banques ou pour
lensemble du systme bancaire; par ailleurs, les lois concernant les banques et autres
entreprises commerciales peuvent changer.
2.3 - Le risque comptable.
Le risque comptable sentend comme le risque de non fiabilit, de non exhaustivit des
donnes comptables et financires et/ou de non disponibilit de linformation au moment
opportun conformment aux prescriptions du plan comptable des tablissements de
crdit (PCEC). Il sagit, pour la Banque, des risques rsultant :
Les risques lis aux ressources humaines concernent principalement les risques de
management, juridiques, de dontologie, de compliance, oprationnels et fiscaux. Ces
risques peuvent tre synthtiss en :
52
d'absence d'une gestion optimise des cots des RH (les rmunrations, le contrle
de gestion);
Ces risques englobent tous les risques qui ne peuvent tre rpertoris dans la liste des
risques dvelopps plus haut. A la diffrence de la circulaire N6 qui a qualifi les
risques oprationnels d'autres risques, nous avons regroup ci-dessous dautres
catgories de risques :
2.5.1 - Le risque de rglement.
53
ressources engages deviennent sans valeur et la perte cause sera dune substance
significative.
2.5.3 - Le risque systmique.
C'est une composante du risque de contrepartie ou du risque metteur. Pour avoir une
vision plus claire du risque pays, il faut tudier ses composantes, savoir le risque de
dfaillance du souverain, le risque de change, le risque de non-transfert et le risque
systmique deffondrement dune conomie.
Avec les premires crises des pays alors dits en voie de dveloppement , puis la
fin des annes 90, crises dans lAsie du sud-est, de la Russie, du Brsil, de lArgentine
qui est un cumul de lensemble de ces risques, constitue un exemple extrme du risque
pays au sens moderne du terme. Il ne sagit plus du risque de non-transfert mais
bien de leffondrement gnral du systme montaire et financier dun pays.
Le risque-pays peut surtout apparatre lorsquil sagit de prts des gouvernements
trangers ou des organismes qui en dpendent, de tels crdits ntant gnralement
pas assortis de garanties, mais il est important de le prendre en compte lors dun prt ou
dun investissement ltranger, que lemprunteur soit public ou priv.
Il existe aussi une composante du risque pays appele risque de transfert, qui
survient lorsque lobligation dun emprunteur nest pas libelle dans la monnaie locale. Il
54
peut arriver que lemprunteur, quelle que soit sa situation financire, ne puisse disposer
de la devise dans laquelle lobligation est libelle.
2.5.5 - Le risque de non-conformit Compliance Risk
les lois et circulaires traitant des obligations professionnelles, c'est--dire les rgles
de lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que
les rgles de conduite du secteur financier et de protection des investisseurs.
55
3. Le risque de rputation.
Le risque de rputation est l'atteinte de la confiance qu'une banque doit inspirer sa
clientle et au march la suite d'une publicit ou dun vnement. Cette perte de
confiance peut alors avoir des effets dsastreux : retraits massifs des dposants, perte
de clientle, mfiance des marchs qui est suivie gnralement par une crise de
liquidit.
Le risque de rputation rsulte galement de dysfonctionnements oprationnels et de
lincapacit de satisfaire aux lois et rglementations en vigueur. Ce risque est
particulirement prjudiciable aux banques, tant donn que la nature de leur activit
ncessite le maintien de la confiance des dposants, des cranciers et du march en
gnral.
Lorgane dadministration et lorgane de direction doivent prendre les prcautions et les
mesures adquates pour empcher que leur tablissement bancaires ne soit impliqu,
leur insu, dans des oprations financires lies des activits non autorises par la loi
et plus gnralement pour viter la survenance de tout vnement susceptible
d'entacher la rputation de cet tablissement ou de porter atteinte au renom de la
profession.
56
nationaux
Une prise en compte accrue de ces risques par les dirigeants des banques. Cette
prise de conscience peut s'expliquer par la relative maturit acquise dans la gestion
des risques qui a mobilis l'attention au cours des cinq dernires annes,
La pression des rgulateurs pour une meilleure information sur les risques
bancaires.
sassurer que les risques auxquels peut sexposer ltablissement de crdit, du fait
de la dfaillance de la clientle, sont correctement valus et rgulirement suivis ;
pouvoir identifier de manire centralise tous les risques bilan et hors bilan lgard
dune mme contrepartie ou dun groupe de contreparties, dun mme secteur
conomique, dun pays ou dune zone gographique;
57
prises par au moins deux personnes et ce, aprs analyse dune unit spcialise
indpendante dtude de risques;
Les critres retenus pour l'apprciation du risque de crdit se basent pour l'ensemble
des tablissements bancaires marocains sur une analyse systmatique de la situation
conomique et financire de la contrepartie. Cette analyse se traduit, dans certains cas,
par l'affectation d'une note de signature qui concerne dans un premier temps les
grandes entreprises puis les PME/PMI.
Les clients particuliers ne font toutefois pas l'objet de notation, ils sont nanmoins
segments selon les critres commerciaux pouvant servir dfinir l'offre de crdit
notamment. L'valuation du risque pour cette catgorie de clientle est base sur le
revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes
entourant son caractre la fois vridique et permanent.
De manire gnrale, la surveillance des risques repose sur un contrle deux
niveaux:
contrle priori;
contrle posteriori.
Contrle priori.
Ce contrle repose sur le principe selon lequel les principales oprations des clients
doivent faire l'objet de l'accord d'un dlgataire ds lors que celles-ci mettent la position
de la contrepartie en anomalie (notamment les dpassements) ou concourent la mise
en place d'un nouveau crdit.
Ce traitement est centralis gnralement au niveau de la Direction des Crdits qui
prend en charge toute la fonction d'octroi de crdits relative aux clients d'une certaine
taille.
Un tel contrle suppose la ncessit de disposer d'outils permettant de connatre
individuellement et en temps rel les autorisations et les utilisations de chaque client
la demande et au cas par cas.
58
Nanmoins, les outils disponibles actuellement pour analyser finement les risques de
contrepartie par nature et par secteur, sont encore insuffisants. Les banques se sont
engages dans un programme d'investissement considrable en systme d'information
en vue de contribuer l'laboration d'une cartographie des risques fiable notamment
pour ce qui concerne la nature des risques ainsi que les risques lis aux dpassements
par rapport aux limites dmarquant les clients sains de ceux douteux.
Contrle posteriori.
Le principe de contrle posteriori repose principalement sur la surveillance des
dpassements et des impays, qui s'exerce nanmoins selon des priodicits variant
entre un mois, un trimestre voire un semestre.
Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques, ce
qui diminue de la qualit des contrles en terme d'exhaustivit et de ractivit.
La pertinence de ce systme repose par ailleurs sur une vigilance accrue des
oprationnels qui sont le plus mme d'attirer l'attention sur des risques sensibles ou
naissants. C'est justement la raison pour laquelle ce systme peut se rvler inefficace
tant donn le contexte la fois manuel et non formalis qui entoure tout le processus
d'identification.
Rating.
Lvaluation du risque de crdit donne lieu lattribution, chaque client, dune note
(appele aussi "cotation", "rating") par rfrence un chelle de notation interne.
En l'tat actuel, la rentabilit des oprations n'est le plus souvent obtenue qu'au travers
un PNB agrg. Elle ne prend pas en compte tous les cots et notamment le cot du
risque.
Certaines banques sont parvenues depuis peu tablir un RBE par client et par
opration. Cependant, ce calcul reste approximatif dans la mesure o les charges
affectes chaque relation sont attribues sur la base de cls de rpartition qui restent
empreintes d'arbitraire en l'absence d'un systme de comptabilit analytique permettant
de dcliner finement les cots par client.
Suivi des provisions
Les concours qui, au regard de la rglementation en vigueur, sont considrs comme
crances en souffrance doivent tre enregistrs dans les comptes appropris du plan
comptable des tablissements de crdit et donner lieu la constitution des provisions
requises.
59
Les encours des crances en souffrance ainsi que les rsultats des dmarches,
amiables ou judiciaires, entreprises pour leur recouvrement doivent tre rgulirement
ports la connaissance de lorgane dadministration.
Les banques possdent intervalles de temps rguliers, pour certaines
trimestriellement pour d'autres semestriellement, l'identification des crances ligibles
aux critres de classification de BAM.
Il sagit, pour une opration donne, du risque de taux dintrt pris dans toutes ses
composantes ainsi que du risque de change.
Les systmes et procdures mis en place pour en assurer la matrise devront
permettre, entre autres, de:
60
agrger sur une base homogne toutes les positions, quels que soient les produits et
les marchs, cette mesure globale tant fonde elle aussi sur la notion de perte
potentielle maximale worst case ;
procder au moins une fois par mois au rapprochement des rsultats comptables et
des rsultats de gestion et analyser les carts constats.
sassurer du respect des limites et des procdures internes mises en place pour la
matrise de ces risques.
Une distinction s'opre entre deux types de limites qui doivent, en tout tat de cause,
couvrir toutes les natures de risques et permettre leur agrgation :
61
62
dj, sont tenus sur des supports manuels et se rvlent impuissantes oprer des
modlisations de sries statistiques complexes, volumineuses et multicritres.
Le risque de taux est voqu gnralement en tant que risque de march. Ce ci pourrait
tre partiellement vrai, mais, il serait tentant d'englober dans le mme cadre le risque de
taux global ou structurel et le risque de march.
Les modles de risque de march sont fonds gnralement sur trois principes : le
portefeuille peut tre valoris tout moment de faon incontestable (valeur de march,
market-to-market). Les positions peuvent tre rapidement soldes. Un historique de
quelques annes dcrit suffisamment des variations de march pour se faire une bonne
ide des risques futurs.
Or aucun, des trois principes de march n'est transposable au "portefeuille bancaire"
des dpts et crdits de la clientle : la valeur du portefeuille bancaire est celle
laquelle on trouve un acqureur. Rien n'implique qu'elle corresponde la juste valeur
actuarielle qui fait si souvent foi sur les marchs. Aucun lien simple et objectif n'existe
entre cette valeur du portefeuille bancaire et le niveau prsent ou anticip des taux
d'intrt.
Si une forte baisse des taux advenait, aucun rseau bancaire ne pourrait
raisonnablement, ni en dix jours, ni mme en dix mois, se dfaire de ses dpts. Le stop
Loss (variable statistique permettant de dterminer le montant maximum de perte
tolre) n'est pas un concept applicable aux rseaux bancaires.
C'est pourquoi, la circulaire N6 spare le risque de taux des activits de march du
risque de taux global.
La position structurelle de taux recle des risques majeurs surtout en cas de trs forte et
trs durable variation des taux d'intrt. Pour une banque de dpt, par exemple, le
scnario fcheux serait une forte baisse des taux suivie d'une longue priode de taux
bas. Quel historique indique aujourd'hui ce que pourrait tre l'ampleur statistique d'un tel
phnomne, et quelle serait sur plusieurs annes l'attitude de ses clients ?
Une bonne partie des difficults apprhender concernant le risque de taux structurel
rside dans les innombrables options caches vendues (implicitement ou non) aux
clients : dpts ou retrait des fonds sur les comptes vue, remboursement par
anticipation des crdits, modification des taux rglements, options diverses de
l'pargne logement.
Mmes parfaitement modlises, ces options ne pourraient pas tre parfaitement
couvertes. En effet, toutes les couvertures d'option partent du principe que le client
auquel on a vendu ces options aura un comportement financirement rationnel.
Par exemple, le jour o ses droits prt d'pargne-logement seront moins chers que les
taux de crdit normaux, il devrait immdiatement emprunter le maximum via ses droits.
Il apparat ds lors que la modlisation des options caches passe par une modlisation
comportementale des clients, ce qui est loin d'tre un indicateur efficace d'une
couverture parfaite contre le risque de taux global.
Compte tenu de ces difficults, un risque de taux global persiste, mme aprs
couverture ventuelle, et il est lgitime d'envisager une exigence en fonds propres pour
63
couvrir ce risque rsiduel. L'objectif d'une exigence en fonds propres est de couvrir un
risque de perte extrme.
Les banques qui se sont dotes d'une gestion actif-passif ont eu fixer les modalits de
leur couverture (montants, dures, instruments utiliss). Si les montants ont vocation
ressembler ceux des postes couverts, et si les instruments disponibles ne sont pas
innombrables, les choix d'horizon de temps pour les couvertures sont moins vidents
tablir; Ils peuvent tre tays par des tudes statistiques (lois d'coulement du passif
vue), des hypothses de dformation venir du bilan (nouvelle production) ou autres
considrations financires ou commerciales.
64
65
de justifier toute information par une pice d'origine partir de laquelle il doit tre
possible de remonter par un cheminement ininterrompu au document de synthse et
rciproquement;
d'expliquer l'volution des soldes d'un arrt l'autre par conservation des
mouvements ayant affect les postes comptables.
Les oprations qui comportent des risques de march doivent donner lieu, tout le
moins la date d'arrt de fin de mois, un rapprochement entre les rsultats calculs
par les units oprationnelles et les rsultats comptables obtenus sur la base des rgles
d'valuation en vigueur.
Les carts significatifs constats doivent tre justifis et ports la connaissance de
lorgane de direction.
Des valuations rgulires du systme d'information comptable et de traitement de
linformation doivent tre effectues en vue de sassurer de sa pertinence au regard des
objectifs gnraux de prudence et de scurit et de la conformit aux normes
comptables en vigueur.
66
trangers ou que la valeur des actifs dtenus par ces mmes cranciers trangers
diminue soudainement et substantiellement.
Les systmes et procdures mis en place pour en assurer la matrise devront permettre,
entre autres, de:
mesurer le niveau du risque par pays en fonction de la nature des oprations, de leur
dure et de la classification des pays,
67
intgre. D'o le rle dterminant qu'aura jouer aussi bien l'inspection gnrale et
l'audit interne que les reporting en interne.
Le systme de collecte et de reporting doit tre une partie intgrante des procdures
oprationnelles. A cet effet, la notion de contrle de deuxime niveau devrait tre bien
dveloppe et communique tous les responsables oprationnels, tant donn qu'une
bonne matrise de ce risque passe par la qualit de contrle opr ce niveau.
Ces exigences ne peuvent que renforcer le rle indniable du "risk manager" charg du
suivi et de l'analyse de tous les vnements de pertes identifis travers le systme
interne d'information.
Lintgration du risque oprationnel dans la cartographie des risques.
Conformment aux pratiques issues des travaux du Comit de Ble, les banques sont
tenues de cartographier leurs units mtier, fonctions organisationnelles ou processus
par catgorie de risque.
Le systme interne de mesure du risque oprationnel doit tre troitement associ la
gestion quotidienne des risques de l'tablissement. Les donnes produites doivent faire
partie intgrante de ses processus de surveillance et de contrle de son profil de risque
oprationnel.
L'exposition au risque oprationnel et les pertes subies doivent tre rgulirement
notifies la direction de la banque concerne, la direction gnrale et au conseil
d'administration.
Principes directeurs :
68
Dmarche
69
Composants de lvaluation.
Cette exposition est value par une cotation prospective des risques, en frquence et
en impact, base sur le niveau de perte potentielle. Elle est dcrite par trois
composants:
Sound practices for the management and supervision of operational Risk (fvrier 2003) - Risk Management :
Identification, Assessment, Monitoring and Mitigation/ Control
70
Les banques, ont amlior depuis plusieurs annes leurs dispositifs de veille
rglementaire afin dapprofondir la connaissance de la rglementation par leurs salaris
et de formaliser davantage les procdures de contrle de la conformit de leurs
dcisions la rglementation ou aux lois.
Comme le relve le Comit de Ble, le risque de non-conformit fait dsormais lobjet
dune gestion plus formalise et identifie de la part des tablissements15.
Ce constat rejoint lapprciation qui peut tre porte sur la situation des banques
lchelon international en la matire.
En effet, il ressort que ces banques ont toutes engag, des degrs divers, une
rflexion quant aux modalits dorganisation dun dispositif permettant de sassurer de la
conformit de leurs activits la rglementation, la loi, aux normes ou aux usages
professionnels. La quasi-totalit des grands tablissements se sont dj dots dun
responsable de la conformit (le titre tant variable selon les tablissements :
responsable de la conformit ou compliance officer , dontologue).
Les tablissements de crdit apparaissent cependant avoir des dfinitions htrognes
de la conformit. Chez un certain nombre dentre eux, le champ dintervention du
responsable dsign de la compliance se limite la supervision du dispositif de
prvention du blanchiment et la dontologie.
Plusieurs de ces tablissements ont labor des procdures prcisant les modalits du
suivi de ce risque, voire une charte de la conformit.
13 Ble II International Convergence of Capital Measurement and Capital Standards June 04 : 675 Scenario analysis
14 Ble II International Convergence of Capital Measurement and Capital Standards June 04 : 676 Business environment and internal control factor
15 1 Dans le document consultatif du Comit de Ble du 27 octobre 2003 sur la fonction de conformit dans les banques Consultative Document on the Compliance Function
in Banks . Sound Practices for the Management and Supervision of Operational Risk Saines pratiques de gestion et de contrle du risque oprationnel (fvrier 2003)
point 2.
71
16
formule dans le texte du troisime document consultatif du Comit de Ble davril 2003
72
73
Conclusion du chapitre 1.
Depuis quelques annes, les risques bancaires sont devenus plus nombreux et leur
nature a volu : les produits bancaires sont de plus en plus diversifis, les
contreparties voluent et la volumtrie des oprations sest considrablement accrue.
Ce constat suggre en outre, trois volutions majeures :
Il y a quelques annes, seul le risque de crdit faisait lobjet dun vritable suivi par
les autorits de contrle. En 1995, la rglementation internationale a impos un suivi
spcifique des risques de march. Le Comit de Ble demande aujourdhui aux
banques une dmarche identique pour les risques oprationnels.
La gestion des risques n'est videmment pas nouvelle : son existence concide avec
celle de l'activit bancaire mme. L'lment nouveau est la complexit croissante qui
la caractrise, rendant ainsi le secteur plus vulnrable. Les instruments classiques
de couverture ne semblent par ailleurs plus adapts face aux nouvelles donnes de
l'environnement financier.
Dans l'ensemble, le secteur bancaire souffre encore de quelques lacunes qui pourraient
tmoigner d'une certaine fragilit de leur structure de contrle et d'audit interne. Certes,
les efforts consentis jusqu'ici tmoignent d'une volont commune et sans quivoque
visant mieux cerner les risques bancaires.
En mme temps, cet effort ne sera vraisemblablement salutaire que s'il dpasse le
stade de l'analyse statique des risques en portefeuille pour accder une vision plutt
dynamique et volutive de la gestion des risques bancaires.
Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur en
collaboration avec le risk manager doit comprendre comment ceux-ci sont grs et
contrls. Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises
par la banque en vue de minimiser les risques encourus.
Si donc limportance du risque se dfinit par le risque inhrent, la capacit de grer ce
risque se dfinit par le risque de contrle. La conjonction des niveaux estims du risque
inhrent et du risque de contrle permet ensuite lauditeur de dterminer ltendue, la
priodicit et les mthodes de vrification quil doit entreprendre, en accord avec les
principes de la profession.
Ainsi, la mise en place dun audit systmique des multi risques bancaires est
tout point de vue reconnu comme un pralable, entre autres, au dveloppement sain
des activits bancaires.
74
75
Chapitre 2 :
Spcificits de l'audit bancaire.
76
77
rgulier des comptes d'une entreprise, s'en porte garant auprs des divers partenaires
intresss de la firme et, plus gnralement, porte un jugement sur la qualit et la
rigueur de sa gestion" (dictionnaire La rousse en cinq volumes).
Ds cet emploi, on a trois caractristiques de ce qu'est un audit quels que soient le
domaine o il s'applique et l'volution des pratiques :
une activit spcialise et comportant une certaine distance, une marge d'extriorit
par rapport la chose examine,
Cest lactivit qui applique, en toute indpendance des procdures cohrentes et
des normes dexamen en vue dvaluer ladquation et le fonctionnement de toute ou
partie des actions menes dans une organisation par rfrence des normes (M.
Gervais).
Laudit interne est un dispositif interne lentreprise qui vise :
Apprcier lexactitude et la sincrit des informations notamment comptables,
Assurer la sincrit physique et comptable des oprations,
Garantir lintgrit du patrimoine,
Juger de lefficacit des systmes dinformations
Ralis par un service de lentreprise, laudit interne consiste vrifier si les rgles
dictes par lentreprise elle-mme sont respectes .
Laudit interne est le dpartement dune entreprise charg dexaminer et dvaluer
le contrle interne dans tous les domaines et tous les niveaux. Au del de ce rle
traditionnel, il peut aussi assumer une fonction de conseil.
Laudit interne est une fonction dexpertise indpendante au sein de lentreprise,
assistant la direction de celle-ci pour le contrle gnral de ses activits
(LIFACI)17.
Laudit interne est lintrieur dune organisation une fonction indpendante
dvaluation priodique des oprations pour le compte de lorganisation.
Audit ne signifie pas inspection : inspecter cest observer, examiner et rendre
Compte;
Audit ne signifie pas contrle : contrler cest inspecter par rapport une
norme impose ou une rgle non remise en cause.
Auditer cest :
17
78
2. Principes Fondamentaux.
Il est attendu des auditeurs internes quils respectent et appliquent les principes
fondamentaux suivants:
Intgrit.
Les auditeurs internes doivent montrer le plus haut degr dobjectivit professionnelle
en collectant, valuant et communiquant les informations relatives lactivit ou au
processus examin. Les auditeurs internes doivent valuer de manire quitable tous
les lments pertinents et ne se laissent pas influencer dans leur jugement par leurs
propres intrts ou par autrui.
18
79
Confidentialit.
Les auditeurs internes doivent respecter la valeur et la proprit des informations quils
reoivent. Ils ne divulguent ces informations quavec les autorisations requises, moins
quune obligation lgale ou professionnelle ne les oblige le faire. Les auditeurs
internes :
doivent utiliser avec prudence et protger les informations recueillies dans le
cadre de leurs activits ;
ne doivent pas utiliser ces informations pour en retirer un bnfice personnel, ou
dune manire qui contreviendrait aux dispositions lgales ou porterait prjudice
aux objectifs thiques et lgitimes de leur organisation.
Comptence.
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les
expriences requis pour la ralisation de leurs travaux :
ils ne doivent sengager que dans des travaux pour lesquels ils ont les
connaissances, le savoir faire et lexprience ncessaires ;
doivent raliser leurs travaux daudit interne dans le respect des normes pour la
pratique professionnelle de laudit Interne19 ;
doivent toujours sefforcer damliorer leur comptence, lefficacit et la qualit de
leurs travaux.
Indpendance et impartialit.
19
80
L'audit interne joue un double rle aussi bien pour le comit de direction que pour les
Risk managers :
Pour la direction, l'audit interne joue un rle d'assurance sur lapplication des
directives et politiques et sur la qualit du contrle interne ;
Pour les Risk managers, l'audit interne joue un rle de conseil pour se contrler
et contrler leurs entits et pour amliorer le fonctionnement de leurs entits.
Ainsi, Il en dcoule des attentes deux niveaux :
Laudit attend de laudit interne une valuation, quil remonte ses problmes et
ses contraintes et quil fasse preuve de pdagogie son gard ;
La Direction, quant elle, attend de laudit interne lassurance que le contrle
interne fonctionne correctement, une apprciation sur la qualit du systme
dinformation et de pilotage et un jugement sur la rigueur de gestion.
4.1 - Lever la confusion : audit interne et inspection.
Audit interne
Contrle le respect des rgles
Rgularit/ efficacit et leur pertinence, caractre
suffisant,
Remonte aux causes pour
Mthode et objectifs laborer des
recommandations pour viter
la rapparition du problme.
Considre que le responsable
Evaluation
est toujours responsable et
donc critique les systmes et
non les hommes : value le
Caractristiques
81
Inspection
Contrle le respect des
rgles sans les interprter ni
les remettre en cause.
Sen tient aux faits et
identifie les actions
ncessaires pour les rparer
et remettre en ordre.
Dtermine les
responsabilits : value le
comportement des hommes,
parfois leurs comptences et
Audit interne
Risques de dysfonctionne -ment : transgression des
rgles, dsordres inefficacits.
Risques portant sur lensemble
des ressources.
Traitement des risques Identification, dmonstration,
recommandation.
Contrle interne, pratique
dorganisation communment
Rfrentiel
adoptes.
2me : sassure que les
responsables matrisent leurs
Niveau
risques.
Risk management
Risques purs : alatoires,
accidentels, sans esprance
de gain.
Risques portant sur les
biens et les personnes.
Identification, rsolution.
Au cours des missions de conseil, les auditeurs internes considrent lensemble des
risques rencontrs, y compris ceux qui nentrent pas dans le primtre de la mission,
dans la mesure o ils sont significatifs.
82
garantir une gestion efficace des performances, assortie dune obligation de rendre
compte ;
veiller sur la cohrence des objectifs des missions ralises avec les valeurs et les
objectifs gnraux de lorganisation.
83
L'audit s'oriente de plus en plus vers une approche intgre globale de l'entreprise.
Chaque audit particulier doit permettre de dboucher sur un audit de direction. L'audit
de stratgie couronne l'difice en permettant de vrifier que chacune des fonctions de
l'entreprise est efficace dans la ralisation du rsultat final.
84
L'audit devient alors un audit de la performance et les normes d'audit se situent dans la
ralisation des quatre notions suivantes : notions defficacit, notion d'efficience, notion
de pertinence et notion dconomie.
Notion d'efficacit.
Une rponse positive la question " est-ce que l'objectif est atteint ? " souvent donne
naissance la question suivante : existe-t-il une autre alternative plus efficace, pour
atteindre les mmes rsultats ?
L'efficacit examine le rapport entre l'effort et la performance.
L'efficacit est dfinie comme tant "la mesure dans laquelle un programme atteint les
buts viss ou les autres effets recherchs. 20
Notion d'efficience.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part,
et les ressources utilises pour les produire, d'autre part.
Dans une opration base sur l'efficience, pour tout ensemble de ressources utilises le
produit obtenu est maximum, ou encore les moyens utiliss sont minimaux pour toute
qualit et quantit donnes de produits ou de services.
Notion de pertinence.
En rsum, on peut schmatiser par une reprsentation triangulaire les relations entre
objectifs, moyens et rsultats.
Objectifs
Pertinence
Efficacit
Moyens
20
Rsultats
85
Degr de conformit aux rgles : comparer les pratiques effectives avec les
procdures prescrites (lgislation, impratifs techniques).
Degr defficacit : comparer les objectifs viss avec les rsultats atteints.
86
Phase vrification
Phase conclusion
Son objectif est double, d'abord disposer de la culture ncessaire pour comprendre
lactivit de lorganisation audite et pouvoir poser les bonnes questions pour
ensuite matriser le sujet audit.
La prise de connaissance se fait suivant un plan dapproche organis permettant de
prvoir les moyens les mieux appropris pour latteinte des objectifs.
Pour mener bien cette tape, l'auditeur dispose de divers moyens tels que le
questionnaire de prise de connaissance, la documentation collecte auprs de laudit
et les entretiens avec les responsables.
87
Son objectif est didentifier les risques potentiels partir de donnes gnrales et de la
connaissance pralable de lentit audite, et de reprer les risques rels partir dun
examen attentif de lactivit et des observations releves.
La prise de connaissance se fait suivant la "note dorientation" qui dfinit les objectifs
gnraux, les objectifs spcifiques et le champ daction.
Parmi les moyens dont dispose l'auditeur, on trouve le dcoupage fonctionnel et
gographique de lentit auditer et les entretiens et investigations.
Dfinition des objectifs
Elle permet de formaliser les axes dinvestigation de la mission et de dfinir ses limites,
d'exprimer les objectifs atteindre pour le donneur dordre et les audits.
Elle constitue la synthse des forces et faiblesses de l'entit, des priorits et des
proccupations du management.
La note dorientation permet de confirmer lexistence des forces et dvaluer limpact des
faiblesses. Elle ne mentionne pas les travaux daudit qui seront rpertoris dans le
programme de vrification.
6.4.2. La phase ralisation
88
Lossature du rapport labore partir des problmes figurant sur les FRAP et des
conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est
lenchanement des messages que lauditeur veut livrer lors des prsentations et dans le
rapport concluant la mission. Lossature du rapport constitue :
Le guide de rdaction du rapport daudit interne ;
Le guide de rdaction du rsum du rapport ;
Le support de prsentation.
Compte rendu final, mise au point ou dbriefing
Le compte rendu final au site, appel galement mise au point ou dbriefing, est la
prsentation orale par le chef de mission, au principal responsable de lentit audite,
des observations les plus importantes. Il est effectu la fin du travail sur le terrain.
Le compte rendu final sur site rpond au souhait lgitime du principal responsable de
lentit audite dtre inform. Il incite le responsable agir immdiatement, en cas
dirrgularit sans attente du rapport et peut tre utilis pour mettre en valeur la qualit
de la dmarche de laudit.
Le dbriefing doit tre programm dans le cadre du travail sur le terrain. Sa prparation
se fait en tenant une runion de synthse de lquipe daudit avant deffectuer les
dernires vrifications du travail sur le terrain.
Cet audit devrait tre effectu par un personnel bien form et comptent bnficiant
dune indpendance oprationnelle. La fonction daudit interne, en tant qulment de la
surveillance du systme de contrle interne, devrait rendre compte directement au
conseil dadministration, ou son comit daudit, ainsi qu la direction gnrale.
La fonction daudit interne constitue un lment majeur de la surveillance en continu du
systme de contrle interne, parce quelle fournit une valuation indpendante du
caractre adquat des politiques et procdures tablies et du respect de la conformit
ces dernires. Il est essentiel que la fonction daudit interne soit indpendante du
fonctionnement de la banque au quotidien et quelle ait accs lensemble des activits
conduites par lorganisation bancaire, y compris dans ses succursales et filiales.
90
Les dficiences des contrles internes, quelles soient dtectes par un secteur
dactivit, laudit interne ou un autre personnel de contrle, devraient tre notifies dans
les meilleurs dlais au niveau de la direction approprie et faire lobjet dun traitement
rapide. Les dficiences importantes devraient tre signales la direction gnrale et
au conseil dadministration.
Les auditeurs internes doivent assurer un suivi ou toute autre forme approprie de
surveillance et informer immdiatement la direction gnrale ou le conseil de toute
insuffisance non corrige. Pour faire en sorte que toutes les dficiences soient traites
au plus tt, la direction gnrale devrait tre responsable de linstauration dun systme
destin suivre les faiblesses du contrle interne ainsi que les actions destines y
remdier.
Le conseil dadministration et la direction gnrale doivent recevoir priodiquement des
rapports recensant les problmes de contrle dcels. Des points qui apparaissent peu
importants lors de contrles individuels peuvent fort bien rvler des tendances
susceptibles, sous un angle global, de reprsenter une dficience de contrle majeure si
une action nest pas entreprise temps.
Vers la fin des annes 80, on commence parler beaucoup de contrle interne : il s'agit
de l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrle bien
ses oprations, qu'il n'y ait pas de problmes de scurit ou de fiabilit.
91
Dans les annes 90, quelques faillites clbres alertent les autorits de tutelle
internationales. Une globalisation qui change tout. Auparavant, les banques ne
dpendaient que de la supervision des autorits nationales. Mais le systme bancaire
s'est mondialis et les autorits de tutelle se sont regroupes dans le fameux Comit de
Ble, pour dicter des rgles gnrales valables pour tous les pays. Et tout
naturellement, on se cale alors sur les meilleures pratiques.
Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une
rgle commune beaucoup plus exigeante que les rgles habituelles. Il leur faut donc se
mettre niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent
tirer avantage de ces contraintes nouvelles en termes de productivit et de comptitivit.
Quand on matrise mieux ce qui se passe, on gaspille moins, on a moins de sinistres, on
connat mieux ses clients, on sait mieux dfinir ses prix etc.
Dans ce contexte plus scuris, l'auditeur peut donc s'attacher, non plus uniquement
tester des soldes ou des transactions ou valider des procdures courantes, mais de
plus en plus effectuer un diagnostic du dispositif de contrle et de pilotage sur lequel
s'appuie la direction de la banque pour matriser ses risques.
Paralllement, les sujets auxquels s'intresse l'auditeur voluent et sont de plus en plus
perus comme stratgiques par ses clients en l'occurrence le top management et les
risk managers.
Le contrle interne est le processus mis en uvre par le conseil dadministration, les
dirigeants et le personnel dune organisation, destin fournir lassurance raisonnable
92
93
Rappelons que : Laudit Interne est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de ses oprations, lui apporte
ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette
organisation atteindre ses objectifs en valuant, par une approche systmatique et
mthodique, ses processus de management des risques, de contrle, et de
gouvernement dentreprise, et en faisant des propositions pour renforcer leur
efficacit.
L'audit interne, charg de veiller la cohrence et lefficacit du contrle interne, est
au cur du systme de contrle interne bancaire. Pour garantir son efficacit, des
exigences doivent tre vrifies:
Caractre permanent;
Indpendance;
Charte daudit;
Objectivit;
Comptence professionnelle.
Empruntant la dmarche d'audit interne dcrite supra pour lexcution de ses travaux,
l'audit bancaire repose en plus sur quelques particularits :
Plan annuel daudit;
Programmes de missions;
Documents de travail;
Rapports de synthse et dtaill;
Suivi de missions.
Le plan annuel daudit est dtermin selon la mthodologie ANA (Audit Needs
Assessment) en dterminant les priorits daudit et la frquence des audits qui doit tre
en fonction du degr de risque.
Pour l'laborer, un plan daudit est dtermin en plusieurs tapes :
Analyse des flux et activits;
Hirarchiser selon limpact et la probabilit;
94
95
Exemple parmi d'autres : les risques de march, risques de systme d'information et les
moyens mis en uvre pour y faire face. Aujourd'hui, on demande aux banques de
matriser, de grer et de contrler ces risques. A partir du moment o elles entrent dans
la cartographie des risques de la banque, cela signifie qu'il faut avoir les comptences
ncessaires pour avoir un regard critique sur ces risques.
Ce sont des horizons nouveaux pour le mtier de l'audit bancaire, on doit donc avoir des
quipes comptentes formes et de spcialistes qui peuvent comprendre en dtail tout
ce qu'il y a derrire et parler d'gal gal avec les audits.
Pour ce type de risques, on recrute notamment des ingnieurs financiers ayant des
connaissances mathmatiques extrmement pousses, parfois compltes par une
exprience de trading ou de contrle des risques dans une banque.
rapide face lapparition de nouveaux risques. La finalit d'un tel systme serait de
prserver leur solidit financire, de continuer de crotre et dapporter la confiance au
march.
La fonction daudit interne est un instrument important pour vrifier le bon
fonctionnement, lefficacit et lefficience du contrle interne, en ce compris la fonction
de compliance.
Dans le cadre de ses travaux, laudit interne fournit au management de la banque des
analyses, valuations, recommandations, avis et informations sur les activits
examines et contribue ainsi une meilleure gestion de la banque.
Les autorits de tutelle, en l'occurrence BAM exige pour chaque banque lexistence
dune organisation interne adquate par rapport lactivit exerce et aux risques
encourus. Do la ncessit dun systme daudit et de gestion de risques performant.
Pour tenir compte de limportance de la gestion de risque dans une banque, un certain
nombre de principes ont t clairement dfinis, notamment le rle et les responsabilits
du management (conseil dadministration et direction gnrale), les activits de contrle
et la sparation des fonctions, la ncessit de disposer des informations actualises,
fiables, cohrentes et accessibles.
Le conseil dadministration doit veiller la mise en place et au maintien dun contrle
interne consquent, tablir des limites lintrieur desquelles les risques sont encourus
et garantir la mise en place des mesures didentification, dvaluation, de surveillance et
de contrle des risques. Il appartient, par la suite, la direction gnrale de mettre en
uvre ces principes et notamment de dvelopper des procdures de contrle y
relatives.
L'audit interne, cellule indpendante directement rattache au conseil dadministration, a
comme premier rle de vrifier le bon fonctionnement du contrle interne.
En parallle, on assiste un dveloppement des comits daudit, manation du conseil
dadministration, composs de plus en plus de spcialistes dans les diffrents domaines
concerns (comptabilit, rglementation, juridique, private banking, etc.).
Le comit daudit assure la communication rgulire avec laudit externe et laudit
interne, veille la qualit et lindpendance de leurs travaux et informe lensemble du
conseil dadministration, par des rapports synthtiss sur les constats et
recommandations majeurs relevs.
Cette premire tape permet didentifier les risques dcoulant des activits bancaires
(business risks), comme par exemple: sensibilit lvolution des indicateurs
conomiques (taux de change, taux dintrt, etc); concurrence; tendance et
dveloppement de lenvironnement (par exemple, de la taxation de lpargne, de la
nouvelle ordonnance sur le blanchiment dargent de BAM); technologie (e-business,
fournisseurs informatiques, disponibilit et scurit de linformation).
Apprciation de la culture de risque.
La deuxime tape consiste apprcier la culture de risque de la banque et le degr
dlaboration du systme de gestion de risque et du contrle interne. Son point de
dpart se situe au niveau de la politique de risque qui reflte la comprhension, la
mesure et le contrle de risque par ltablissement bancaire.
Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur doit
comprendre comment ceux-ci sont grs et contrls.
98
Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises par la
banque en vue de minimiser les risques encourus. Si donc limportance du risque se
dfinit par le risque inhrent, la capacit de grer ce risque se dfinit par le dispositif de
contrle interne mis en place.
La conjonction des niveaux estims du risque inhrent et du risque de contrle permet
ensuite lauditeur de dterminer ltendue, la priodicit et les mthodes de vrification
quil doit entreprendre, en accord avec les principes de la profession.
Le respect des conditions dautorisation.
Lanalyse des risques inhrents et les contrles internes mis en place permet de
sassurer que les risques sont bien identifis et correctement reflts dans les comptes
annuels. Ces travaux permettent galement de se prononcer sur le respect des
conditions dautorisation et des rgles de comportement.
La gestion de risque et le contrle interne doivent ainsi tre entendus en tant que
processus continu dont lapplication doit tre garantie en permanence. Ce processus
doit assurer lidentification des dficiences et la prise de mesures de correction
adquates.
Lanalyse de ce processus dynamique est au cur de lapproche et des travaux daudit
bancaire. Il ne sagit pas seulement dune apprciation fige des risques un instant
donn.
Lanalyse des risques et les approches daudit bancaire en dcoulant doivent tre
communiques et valides avec le conseil dadministration ou le comit daudit. La
communication et la comprhension des rles des diffrents acteurs dans la
surveillance des banques sen trouveront certainement facilites et amliores. Quant
la transparence des informations dterminantes sur la situation des risques, elle
contribuera renforcer la confiance et amliorer la bonne gouvernance bancaire.
99
Conclusion du chapitre 2.
Dans un environnement changeant, l'auditeur interne peut jouer un rle dpassant
largement celui de "contrleur" pour devenir un "catalyseur" encourageant les dirigeants
d'entreprise agir...
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volont affirme de la part de ses instances dirigeantes de se doter d'un outil en vue
de limiter les risques, de rendre l'organisation existante plus performante et plus
efficace.
Laudit interne peut jouer un rle non ngligeable en matire defficacit de la banque.
Ainsi, dans le cadre de lexercice de sa mission, lauditeur est bien plac pour identifier,
outre les problmes de contrle, les domaines dans lesquels les contrles sont inutiles,
inefficaces et coteux.
Lauditeur peut galement identifier les inefficacits des oprations et peut se voir
charger, au-del de sa mission habituelle, de mission de conseil.
Encore s'agit-il de s'assurer que l'outil mis en place est bien apte accomplir la mission
qu'on lui a assigne. Des conditions sont remplir pour que l'audit interne puisse tre
un vritable outil d'efficacit.
L'efficacit, et donc le rsultat pour la banque, seront d'autant plus grands, que chacun
de ses critres aura pu tre optimis, apportant ainsi une contribution significative
l'ensemble. Cette optimisation a toutefois ses limites, qui peuvent tre classes en
quatre grandes catgories, selon leur nature :
Une premire limite est lie aux hommes, aux auditeurs bien sr, compte tenu de
leurs aptitudes assumer la fonction, de leurs connaissances, de leur formation, de
leurs qualits intrinsques, mais aussi aux audits et leur comportement ou la
remise en cause ventuelle de leur faon de travailler et de leurs habitudes.
Enfin, l'attitude des dirigeants et le soutien qu'ils apportent leur structure d'audit
interne, est un gage majeur de russite.
Une deuxime limite est constitue par le rapport efficacit/cot. L'existence d'une
structure performante d'audit cote cher en termes de salaires, de frais de
dplacements, de frais de structure. Il faut donc que l'quipe se rentabilise et il n'est
pas toujours vident de mesurer concrtement sa productivit.
La troisime limite est lie au fait que la mise en place du contrle interne vient
souvent l'encontre de l'efficacit immdiate.
Par ailleurs, avec l'audit systmique qui sera prsent et dvelopp en dtail la
deuxime partie, nous verrons que des systmes rputs auparavant comme
inauditables pour l' auditeur bancaire, le seront dsormais avec la mthodologie
prsente.
100
101
Chapitre 3 :
Les systmes daudit interne
bancaire marocain et leur
efficience : enqute sur le terrain
102
103
104
Existe-t- il une cartographie des risques ? est-elle fiable et exhaustive? Est elle constamment mise jour ?
Inclut-elle les risques financiers (crdit, march, liquidit), les risques
oprationnels (Systme dInformation, Ressources Humaines, Comptable,
non conformit, fiscal, ..) et le risque de rputation (ou dimage) ?
Les missions ralises couvrent-elles l'ensemble de ces risques ?
Si oui, quelle est leur frquence dans le plan triennal d'audit ?
Dans quelle mesure les recommandations formules par les missions daudit
ont particip l'amlioration des processus de gestion et la prvention des
risques ?
L'audit interne dispose -t- il de comptences spcifiques aptes mener des
missions haute technicit (Direction des Systmes dInformation, Salle Des
Marchs, Direction des Ressources Humaines, Direction de la Comptabilit) ?
Y a -t- il un auditeur par ple de comptence ou bien des auditeurs
polyvalents ?
Y a -t- il des manuels de procdures ou des modes opratoires pour piloter
les missions daudit ralises?
Ces manuels de procdures intgrent-ils des missions daudit (Direction des
Systmes dInformation, Salle Des Marchs, Direction des Ressources
Humaines, Direction de la Comptabilit) ?
Si oui, sont-ils exhaustifs explicites et conformes la rglementation en
vigueur ?
2.3 - Compliance et Dontologie.
105
Dans une mission de la Salle Des Marchs, les 3 fonctions sont-elles couvertes :
Front Office,
Middle Office,
Back Office ?
Les risques qui en dcoulent sont ils galement couverts :
oprationnels,
de contrepartie,
juridique,
de scurit ?
Dans une mission de la Direction des Ressources Humaines, les cinq domaines
dactivit du mtier sont-ils couverts :
Administration,
Gestion des carrires,
Recrutement,
Formation,
Relations Sociales ?
Dans une mission de la Direction Comptable, les domaines relevant de l'activit
comptable et financire sont-ils couverts :
Structure et organisation gnrale,
Sparation des fonctions,
Contrles exerces par le service comptable,
Les outils de pilotage,
Connaissance et respect des rgles de dontologie,
Reportings rglementaires,
Risques fiscaux,
Consolidation ?
106
Cette enqute reflte limage dun audit interne indpendant au service tant de la
direction gnrale que du comit daudit mais non parfaitement mme de prvenir
correctement avec le risk management toutes les familles de risques.
En particulier, laudit interne apparat de plus en plus comme un outil puissant de
dtection des risques mais se limite toutefois aux risques classiques (de contrepartie, de
traitements oprationnels, ..) sans pour autant se focaliser sur dautres risques tels que
les risques march, les risques du systme dinformation, les risques lis aux
ressources humaines,...
Ce faisant, la non matrise de certains risques peut induire la destruction de valeur au
sein de lorganisation et de limiter le rle essentiel de laudit interne, savoir dapporter
une contribution dterminante la bonne gouvernance de ltablissement bancaire.
Principaux enseignements et rflexions.
107
et de prvention des risques oprationnels, except pour les filiales des banques
franaises, ne semblent pas tre encore lordre du jour.
En termes de prvention de ces risques, il ny a pas une claire rpartition des rles entre
les diffrentes structures savoir : le Risk management, lAudit interne et la
Compliance.
La supervision de la prvention des risques par le management se limite au suivi des
rapports daudit sans pour autant disposer dune cartographie des risques consolide
pour piloter lvolution de tous les risques par ligne mtier et par entit.
Seule une banque (filiale franaise) dispose dun progiciel dautovaluation du systme
de contrle interne sur une priodicit trimestrielle, renseign et valid par le
responsable de chaque entit. La remonte de linformation sur le dispositif du contrle
interne par mtier est centralise au niveau de la Direction de Contrle Interne.
2 - Positionnement et rle des dpartements de contrle.
2.1 - Risk Management.
Le systme de collecte et de reporting doit tre une partie intgrante des procdures
oprationnelles. Ces exigences ne peuvent que renforcer le rle indniable du "risk
manager" charg du suivi et de l'analyse de tous les vnements de pertes identifies
travers le systme interne d'information.
Mme si les banques utilisent des moyens prventifs contre lexposition aux risques, les
rsultats de lenqute mettent en vidence linsuffisance de ces moyens. En cela, la
prise de conscience des dirigeants apparat insuffisante ce jour. Au del de cette prise
de conscience, cest lvolution de la gestion des risques qui doit tre repense au sein
des banques. Par consquent, un pr -requis simpose : la fonction de laudit interne doit
contribuer la prvention des risques bancaires travers lidentification des risques et
lvaluation de lefficacit du dispositif de contrle interne mis en place.
2.2 - Audit interne.
110
Le primtre daudit nest pas trs exhaustif et ne couvre pas toujours toutes les entits
dune banque.
Laudit du rseau dagences occupe le premier rang (70% du budget temps allou au
plan annuel daudit) en se focalisant sur le risque des traitements oprationnels et le
risque de crdit.
Par ailleurs, laudit des filiales, des services centraux, des banques offshore reste peu
frquent voire absent pour certaines entits. Les mtiers les moins audits sont : la salle
des marchs, le systme dinformation, les ressources humaines, la gestion Actifs
Passifs (ALM), le contrle de gestion, le contrle interne, la compliance
Lexamen du plan annuel d'audit des 3 dernires annes de certaines banques listant
les missions menes ne couvre pas la totalit des risques des units oprationnelles et
fonctionnelles mme sil est approuv parfois par le comit daudit.
Ainsi peut-on conclure que les programmes annuels daudit sont inadquats ou
inefficaces. Trs souvent, les audits effectus ne sont pas suffisamment rigoureux pour
dceler et notifier les insuffisances du contrle dans les banques. Dans dautres cas,
mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme, except
celui de suivi des recommandations par laudit interne, nest prvu pour faire en sorte
que la direction remdie immdiatement aux dficiences releves.
Manuels de procdures daudit.
Pour piloter les missions daudit ralises, les directions daudit interne disposent en
gnral de manuels de procdures mais se limitant aux procdures internes de
traitement et du risque de contrepartie. La mise jour de ces manuels reste une
pratique non systmatique.
Les modes opratoires daudit (DSI, SDM, DRH, DC, ALM22, gestion dactifs,
Compliance, activits de bourse) savrent trs peu frquents.
Auditeurs internes.
Mme si laudit interne apparat comme une fonction plutt attractive, les responsables
daudit interne rencontrent des difficults recruter, pour des raisons de comptences
principalement. Lune des consquences probables de ces difficults est le recours
des ressources extrieures au service, quelles soient internes ou externes la banque,
pour rechercher certaines comptences et de lexpertise complmentaire en faisant
notamment appel des prestataires externes.
Les entretiens mens auprs des responsables daudit interne, confirment que sont
exclues de leur primtre dintervention certaines missions exigeant une expertise
pointue et une haute technicit telles que laudit des systmes dinformation ou laudit de
la salle des marchs et ce pour le manque de comptences en audit interne aptes
mener ce genre de missions.
22
DSI (Direction du Systme dInformation), SDM (Salle des Marchs), DRH (Direction des Ressources Humaines), DC ( Direction
Comptable), ALM (Asset Liability Management)
111
Dans ce cadre, les filiales des banques franaises font appel laudit interne de leurs
maisons mres ayant lexpertise et les outils adquats (modes opratoires spcifiques,
outils labors daudit) pour aborder ces missions.
Par ailleurs, les banques marocaines recourent aux prestations dexperts externes ou
de cabinets spcialiss daudit.
La pratique des ples de comptence en audit interne ne semble en gnral pas tre
pratique du fait de la nature des profils gnralistes pour les auditeurs. Une seule
distinction a toutefois t releve entre lquipe charge du volet inspection, celle de
laudit des oprations et des procdures et enfin celle charge dauditer le risque de
crdit.
Laudit interne dispose gnralement de moyens humains adquats ce qui est
rvlateur de la prise de conscience de limportance de cette fonction par le
management des banques.
Le niveau de qualification des auditeurs internes reste trs disparate dune banque
une autre avec une prdominance dquipes htrognes dont une partie est issue des
grandes coles de commerce avec une exprience professionnelle ne dpassant pas
les deux ans et un autre lot compos de profils ayant dj eu une exprience
oprationnelle dans la banque.
La volont de former des cadres haut potentiel ayant une vision sur lensemble des
processus pour lorganisation semble tre prioritaire par rapport la fidlisation des
auditeurs au sein du service.
La comptence professionnelle doit aussi tre apprcie au niveau du service daudit
interne dans son ensemble, qui doit avoir en son sein toute la gamme des comptences
techniques ncessaires pour pouvoir examiner lensemble des domaines dans lesquels
ltablissement opre.
Le service daudit interne doit maintenir jour les connaissances acquises et assurer
une formation continue et actualise chacun des auditeurs.
Lorsque dans des domaines spcifiques, le service daudit interne ne dispose pas dune
comptence suffisante pour procder un audit, il peut recourir aux services dun expert
externe, sous condition toutefois que lexpert soit plac sous la dpendance du chef du
service daudit interne qui conserve la supervision de lopration.
La comptence, et en particulier les connaissances et lexprience, de chaque auditeur
sont essentielles pour le bon fonctionnement du service daudit interne. Il est important
que le service daudit interne dispose de personnes ayant reu une formation de niveau
lev et disposant de comptences techniques adquates. Lors de la slection de ces
personnes il sera tenu compte galement de la nature et de la diversit des activits
conduites par ltablissement.
112
L'audit des Systmes dInformations dans son ensemble a fait lobjet dune mission au
sein de deux grandes banques de la place. Lune est une filiale franaise ayant
bnfici de lexpertise dune mission diligente par linspection gnrale de sa maison
mre ayant lexpertise et les outils adquats (modes opratoires spcifiques, rfrentiel
COBIT, progiciels labors daudit) pour aborder cette mission. Cette mission a en effet,
couvert tous les domaines de la fonction informatique : l'Organisation et le management,
la Scurit, les Etudes et dveloppements et l'Exploitation informatique.
Lautre banque, pour mener cette mission, a compt sur son propre audit interne mais
elle na pas couvert que deux domaines savoir la scurit et les dveloppements
informatiques.
Les autres banques affirment ne pas avoir les comptences ncessaires pour mener
une telle mission.
Dans ce cas, la mission daudit du Systme dInformation devrait apprcier comment
sont couverts les risques lis la fonction Systme d'information principalement les
risques d'efficacit, d'efficience, de confidentialit, d'intgrit, de disponibilit, de
conformit, Juridique et d'image.
Laudit du Systme dInformation devra mesurer le niveau des risques, leur volution, et
lavancement des plans dactions correcteurs.
113
De part limportance des risques inhrents lactivit de march, trois banques (dont 2
franaises et une marocaine) ont ralis une mission daudit de la Salle Des Marchs
mais sans pour autant en couvrir les 3 fonctions du Front Office, du Middle Office et du
Back Office ainsi que tous les risques qui en dcoulent oprationnels, de contrepartie,
juridique et de scurit.
Les missions ralises se limitent :
L'examen des principales procdures de traitement (Back office);
L'analyse du respect dispositif de contrle interne ;
Les missions nont pas procd au recoupement avec les travaux des autres missions
(systme dinformation, comptabilit, ..).
Elles nont pas analys :
La totalit des risques lis lactivit de march savoir les risques de gestion,
oprationnels, dontologiques, de fraude, dimage, de crdit, commerciaux et
juridiques.
Les risques, sur des sondages, transverses plusieurs fonctions, sur un ou
plusieurs chantillons doprations.
Le mode d'laboration des rsultats comptables et de gestion, ainsi que la procdure
de rapprochement de ces deux rsultats.
L'inventaire des diffrents tats de reporting et de leur mode d'laboration.
La qualit et la fiabilit des informations vhicules sur la nature des oprations
traites, des positions prises et de leur rentabilit tant en interne qu'en externe.
La qualit de la matrise des risques financiers et les techniques gnres par les
oprations.
L'ensemble des activits, stratgies et instruments traits par la salle audite.
L'inventaire des applications de gestion et de traitement de ces activits et
instruments.
3.3 - Mission de la Direction des Ressources Humaines.
114
Les objectifs dune mission daudit de la Direction Comptable sont les suivants :
Sassurer de la fiabilit de linformation financire et de sa conformit aux normes
dfinies par les autorits de tutelle. On entend par information financire la fois les
comptes sociaux, consolids et fiscaux ainsi que les tats rglementaires.
Identifier les dysfonctionnements ventuels du dispositif de contrle interne.
Apprcier la fiabilit du systme dinformation comptable.
Porter une apprciation sur les rsultats et la rentabilit de lentit audite.
Sassurer de la connaissance et du respect des rgles de dontologie.
Les deux premiers objectifs sus - viss sont atteints par les cinq banques sondes. Par
ailleurs, rares sont les missions comptables ayant abord les trois autres objectifs.
Diffrents de ceux des auditeurs externes ayant un caractre lgal, les objectifs de
cette mission sont tendus et ne peuvent tre atteints quavec une analyse approfondie
des zones les plus risques. Cest pourquoi une mission daudit de la fonction
comptable doit mettre laccent sur :
lidentification des risques et le recoupement avec les travaux des autres missions
(systme dinformation ; ressources humaines, ..) concernant les clignotants
comptables ;
lanalyse des risques transverses plusieurs fonctions, sur un ou plusieurs
chantillons doprations ;
lexamen des risques de non exhaustivit, de non qualit et de non fiabilit de
linformation comptable, de non fiabilit des comptes et des tats financiers, de non
fiabilit de linformation financire consolide, rglementaire et fiscale.
La mesure du niveau des risques, leur volution, et lavancement des plans dactions
correcteurs.
Cette mission doit couvrir quatre domaines : laudit systmique du service comptable
(apprciation du contrle interne), les reportings rglementaires, les risques fiscaux et la
consolidation.
115
Les missions comptables au sein des banques sondes sexercent en priorit autour de
lanalyse du contrle interne de tous les processus de traitements comptables et
financiers.
La part dvolue aux travaux conjoints avec les commissaires aux comptes et aux audits
systmiques comptables et financiers reste minoritaire, mme si plus de la moiti des
responsables daudit interne estime quils raliseront lavenir plus de missions de ce
type.
Lvaluation des processus de management des risques comptables est quasiment
absente mais tend prendre une part significative avec la prise en conscience
progressive du rle dterminant de cette fonction dans la gestion des risques.
116
Conclusion du chapitre 3.
Laudit interne tel que pratiqu actuellement dans de nombreuses grandes
banques marocaines, relve encore quelques insuffisances. En outre, cet audit doit
aller dans le sens de limportance accrue confre par les autorits de contrle
bancaire lexamen exhaustif et pertinent des processus de gestion du risque et de
contrle interne dans une organisation bancaire.
Il importe de souligner quil incombe au conseil dadministration et la direction
gnrale de sassurer de lexistence dun audit interne adquat et de promouvoir un
environnement dans lequel les individus comprennent et assument leurs
responsabilits dans ce domaine.
Nous avons relev des insuffisances dans la surveillance de certains risques et une
absence dune forte culture de contrle et/ou de risque particulirement au sein des
banques marocaines. Les cas de pertes importantes refltent tous, sans exception,
un manque dattention et de rigueur de la direction envers la culture de contrle
dans la banque, une orientation et une surveillance insuffisantes de la part du conseil
dadministration et de la direction gnrale ainsi que labsence dun exercice clair des
responsabilits de la direction dans lattribution des rles et des tches entre laudit
interne, le risk management et la conformit.
La supervision de la prvention des risques par le management se limite au suivi des
rapports daudit sans pour autant disposer dune cartographie des risques consolide
pour piloter lvolution de tous les risques par ligne mtier et par entit.
Ainsi peut-on conclure que les programmes annuels daudit sont inadquats ou
inefficaces. Trs souvent, les audits effectus ne sont pas suffisamment rigoureux
pour dceler et notifier les insuffisances du contrle dans les banques. Dans dautres
cas, mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme,
except celui de suivi des recommandations par laudit interne, nest prvu pour faire
en sorte que la direction remdie immdiatement aux dficiences releves.
Ces cas rvlent galement labsence dincitations appropries pour que laudit
interne exerce une surveillance hirarchique rigoureuse et maintienne un niveau
lev de conscience du contrle au sein du systme bancaire.
Laudit interne na pas achev sa mutation et continuera dvoluer pour apporter aux
banques toujours plus de valeur ajoute. Les rsultats de cette enqute permettent
dentrevoir les contours de laudit interne de demain et de dfinir les dfis et les
enjeux futurs de la profession :
affirmer son rle et ses responsabilits dans le gouvernement dentreprise la
faveur dun rattachement hirarchique la direction gnrale et de liens
fonctionnels avec le comit daudit, lorsquil existe ;
se positionner, plus encore que par le pass, comme un outil majeur de
dtection, de prvention et de matrise des risques, en coordination avec
toute autre fonction concerne (Risk management, compliance,..);
maintenir son indpendance, son objectivit et son impartialit ;
accrotre sa professionnalisation par :
117
118
Partie 2 :
L'audit systmique, un nouvel outil
au service du risk management
pour matriser davantage
les risques des mtiers.
119
Chapitre 1 :
Les particularits de l'approche
d'audit systmique.
120
121
L'audit, ou la revue du systme de contrle interne, d'une banque peut constituer une
mission spcifique mandate par la direction gnrale ou le conseil d'administration qui
prouve le besoin d'avoir un diagnostic sur la qualit du systme de contrle interne et
des recommandations pour en amliorer l'efficacit.
Pour l'auditeur bancaire, ce travail constitue un pralable sa mission gnrale car la
qualit du contrle interne conditionnera son programme de travail : tendue des
contrles, profondeur des contrles, budget temps. L'auditeur s'appuiera sur un systme
de contrle interne dont il aura vrifi l'efficacit. Un systme de contrle interne faible
conduira renforcer les tests, les sondages et les contrles pour pallier cette faiblesse.
Cette alternative demeure toutefois difficilement applicable pour le cas spcifique des
tablissements de crdit, ce pour la simple raison que le contrle interne est un lment
incontournable de la scurit des oprations financires. Un contrle interne dfaillant
ne saurait tre compens par des tests tendus, compte tenu du volume des
oprations, de la complexit et de la diversit des mtiers et de la taille des
tablissements financiers dots gnralement d'une organisation largement
dcentralise.
Ce travail exige en revanche un personnel hautement qualifi car il se fera
essentiellement base d'entretiens, d'analyse de l'organisation, d'examen des rapports
et documents importants et ventuellement de quelques tests destins vrifier la
ralit et l'efficacit des dispositifs et des procdures existantes.
Un questionnaire, un guide de contrle interne, ou un mode opratoire daudit par ligne
mtier peut constituer un outil prcieux pour mieux "encadrer" la mission. (Cf. 2me
Partie).
A l'issue de cette revue, l'auditeur pourra tablir son diagnostic soulignant les forces et
les faiblesses du systme de contrle interne et ses recommandations pour en
amliorer l'efficacit.
Plusieurs approches sont possibles pour raliser cette revue du systme de contrle
interne. Ainsi, on distingue, l'approche par les risques et l'approche par les systmes.
Actuellement, il y a une tendance privilgier davantage l'approche par les risques.
Par ailleurs, l'approche systmique permet d'avoir une vision plus globale et matrise
des risques et doptimiser ainsi lefficacit de laudit, quelle que soit la complexit des
organisations ou des processus auditer.
Lauditeur bancaire doit se poser les questions suivantes avant de dfinir sa dmarche
d'audit :
122
123
Les contrles sont plus efficaces quand ils sont intgrs aux activits
oprationnelles;
Chaque individu tous les niveaux de l'organisation a une responsabilit en
terme de contrle interne ;
Le contrle interne ne peut pas fournir une assurance absolue;
Le contrle interne est une composante essentielle d'une bonne gouvernance
d'entreprise.
Elments considrer pour chaque domaine :
Environnement de contrle
Informations et communication
124
Activit de contrle
Pilotage
Le systme de contrle interne ne doit pas tre confondu avec l'audit interne qui est
l'organe dont la mission est de s'assurer en permanence que le dispositif de contrle
interne est efficace. Dans le cas contraire, laudit interne doit dtecter rapidement les
faiblesses pour y porter remde. A ce titre, il fait partie intgrante du systme de
contrle interne. Un systme de contrle interne efficace est caractris par :
Des objectifs clairement exprims et des moyens appropris;
Une forte implication des organes dlibrant et excutifs;
Une organisation cohrente des organes de contrle;
Des systmes de mesure, de limites et de surveillance des risques rigoureux;
Une stricte sparation des fonctions et des tches;
Le contrle permanent des oprations et la supervision;
Des procdures qui mettent en application la politique de contrle interne;
Un systme comptable fiable pour traduire une image fidle;
125
Les grandes tapes de cette dmarche peuvent tre rsumes comme suit :
Phase I : Identification des principaux risques pouvant menacer le bon
fonctionnement de l'tablissement.
Les principales catgories de risques qui seront analyses sont les suivantes :
126
risque de crdit ;
risque de march ;
risque de taux d'intrt ;
risque de liquidit ;
risque de rglement;
risques oprationnels;
risques informatiques;
risque juridique;
risque humain;
risque commercial.
Pour ce qui concerne l'identification des principaux risques, ceux-ci devraient tre revus
avec les principaux responsables de services de chaque entit lors d'entretiens
individuels. Lors de ces entretiens, il est question de revoir avec eux la probabilit de
survenance et l'impact potentiel de ces risques sur les objectifs de lentit.
Cette phase dbouchera sur la rdaction d'un document d'identification des principaux
risques pouvant menacer les processus de la banque.
Phase II : Mise en vidence des principales faiblesses du systme de contrle
interne de la banque.
Cette phase s'appuie dans un premier temps sur une prise de connaissance de la
politique de gestion des risques au sein de la banque au travers des cinq composants
(reconnus par le COSO Report comme tant les cinq piliers du contrle interne)
suivants:
l'environnement de contrle interne ;
l'valuation des risques;
les activits de contrle ;
l'information et la communication;
le monitoring du systme de contrle.
Ensuite, il y a lieu d'tudier avec la direction de lentit et les principaux responsables
oprationnels quels sont les systmes de contrle existants au sein de la banque et qui
couvrent les principaux risques identifis lors de la phase prcdente. Cette phase fait
appel un cumul de connaissances assez important qui pourrait tre constitu travers
des bases de donnes internes comprenant les meilleures pratiques dans le domaine
des systmes de contrle.
Cette deuxime phase mettra en vidence les faiblesses les plus importantes dans le
dispositif du systme de contrle interne.
L'objectif tant de ressortir dune part, l'cart entre les risques les plus importants
auxquels s'expose la banque et les systmes de contrle existants et d'laborer dautre
part, un document prsentant les principales faiblesses du systme de contrle interne.
Phase III: Elaboration d'un plan d'actions ncessaire la banque pour
matriser ses principaux risques et tre en conformit avec la
rglementation.
Cette phase aura pour objectif de prioriser les actions qui devront tre inities et
d'valuer les moyens mettre en uvre pour atteindre un niveau de risque acceptable
par la Direction.
127
Un systme est un ensemble d'objets runis par la relation entre les objets et
leurs attributs (A. HALL et R. FAGEN).
Un ensemble d'lments en interaction dynamique, organiss en fonction d'un
but (J. ROSNAY).
Un ensemble des parties coordonnes en vue d'atteindre un ensemble de buts
(W. CHURCHMAN).
Il ressort de ces diffrents lments que :
un systme est constitu d'lments et de relations entre ces lments;
un systme est finalis;
un systme est un tout non rductible ces parties;
un systme est organis.
Les caractristiques principales d'un systme.
128
diffrentes
formes
129
Ce travail pourra tre ralis avec les membres de la direction gnrale. Des
entretiens avec les diffrentes units de la banque permettront d'apprcier dans
quelle mesure la direction gnrale donne les impulsions ncessaires pour imposer
ses objectifs de contrle.
Culture de contrle interne : la culture de contrle interne se constatera galement
tout au long de la mission par les entretiens avec les diffrents responsables
oprationnels et fonctionnels. Le degr avec lequel l'ensemble du personnel est
conscient des risques qu'il assume au quotidien et la manire de les grer peuvent
alors tre valus.
Audit systmique : audit multidisciplinaire du processus, de l'organisation, du
fonctionnement, des procdures,
130
Les risques bancaires sont lis aux processus de distribution des produits et services,
au traitement des oprations, aux systmes dinformation ou des modifications de
lenvironnement dans lequel opre la banque (juridique, fiscal, contractuel,
rglementaire ou autres). Tout tablissement bancaire est confront ces risques
susceptibles de porter atteinte la qualit des services apports ses clients, sa
performance commerciale et, partant, son dveloppement dans la rentabilit.
Dans ce contexte, une mthodologie dapproche globale des risques serait
indispensable pour en tudier les principales causes et consquences, ainsi que les
mcanismes de propagation. Une telle approche - appele audit systmique permettra de dterminer les indicateurs et mesures de gestion puis les plans dactions
les mieux adapts pour les matriser.
Laudit systmique est une approche descriptive, cognitive, prospective, experte et co
systmique des dispositifs complexes. Laudit systmique tente de rpondre aux
besoins de connaissance et de modlisation prparant la conception de systmes
complexes (projet et dispositif) ainsi qu leur pilotage par le commandement et la
gestion des dcisions (management).
Cette approche permet d'avoir une vision globale et matrise des risques et doptimiser
lefficacit de la mission daudit, quelle que soit la complexit des organisations ou des
processus auditer.
Il sagit dune approche globale du risque avec un ensemble de composants modulaires
complets permettant de vrifier l'efficacit du dispositif de contrle interne par ligne
mtier, mais qui peut aussi tre intgre individuellement pour complter un systme
existant.
L'audit systmique aboutit notamment mieux connatre le profil de risque des activits
exerces (cartographie des risques), dvelopper et alimenter les outils ncessaires au
pilotage de ces risques (rfrentiel de risques par activit, indicateurs de veille et de
suivi, incidents oprationnels et pertes conscutives leur survenance).
Il vise galement amliorer et coordonner les processus de gestion existants en
intgrant, en particulier, les problmatiques de contrle interne, de scurit des
systmes dinformation, de dontologie et de plans de continuit des activits dans le
cadre dun dispositif de matrise globale des risques.
Enfin, il permettra daccrotre la responsabilit, la vigilance et la ractivit des units
oprationnelles et ainsi des risk managers qui bnficieront notamment des retours
dexpriences et de rpondre aux exigences du march (actionnaires, analystes
financiers et agences de notation) et du rgulateur.
Une dmarche dtaille d'valuation du systme de contrle interne par l'audit
systmique est dveloppe pour quatre lignes mtiers (systme d'information, salle des
marches, comptabilit et ressources humaines) dans la deuxime partie.
Audit systmique : outil de matrise et de prvention des risques pour le Risk
manager.
Le Risk Manager dune unit coordonne et supervise les diffrents travaux constitutifs
dun dispositif de surveillance et de matrise des risques encourus par cette unit.
Le management des risques concerne toutes les fonctions support ou oprationnelles
existantes de la banque (contrle interne, ressources humaines, systme dinformation,
131
front office, middle office, back office, finance - comptabilit, conformit - dontologie,
scurit financire).
L'audit systmique permet au Risk Manager de mener bien sa mission en matire
d'identification et d'valuation des risques, de mesure et de suivi du cot de ces
risques, de prvention et de rduction de leurs impacts et enfin, de surveillance et de
matrise desdits risques.
1. Identification et valuation des risques.
La dmarche cartographique permet aux units de dtecter les risques dans les
activits ou processus de chaque domaine de leur primtre et de les hirarchiser.
Cette analyse passe par l'auto-valuation des risques et des contrles permanents de
chaque processus mtier ou support par les responsables d'activits (ex : responsables
d'un desk, d'un Back Office,).
Le Risk Manager fait tablir avec le concours des responsables concerns de son unit
la cartographie de risques de son primtre. Il maintient dans ce cadre les rfrentiels
du primtre de la banque / ligne mtier (processus, entits ).
Le Risk Manager met jour cette cartographie annuellement ou aprs chaque
changement significatif dans lorganisation de son primtre. Il est responsable de la
ralisation de la cartographie et la fait valider par le Comit de Contrle Interne ou de
risques de la banque.
2. Mesure et suivi du cot des risques (pertes et alertes).
Le Risk Manager fait recenser auprs des responsables des activits concernes les
incidents importants et les pertes lies la survenance d'un risque dans son entit.
3. Prvention et rduction des risques.
Le Risk Manager surveille lvolution des risques travers un tableau de bord trimestriel
rassemblant au minimum les lments suivants : faits marquants de la priode, risques
sensibles (processus surveiller), indicateurs cl mis en place, cot du risque et actions
majeures (prvues ou en cours).
132
Ce tableau de bord est revu par le Comit de Contrle Interne, puis communiqu la
Direction Gnrale. Il appartient lentit, le cas chant, de faire automatiser la
collecte et le traitement des donnes ncessaires son alimentation.
En relation avec laudit interne, le Risk manager tablit, suit et coordonne le plan
dactions global damlioration du Contrle Interne. Les actions damlioration de la
matrise des risques proviennent des rsultats de la cartographie, des recommandations
des auditeurs et des rgulateurs, et de lanalyse des dysfonctionnements significatifs.
Ce plan dactions global est suivi par le Comit de Contrle Interne.
Adhsion du top management : une condition sine qua none pour lefficacit
de lapproche daudit systemique.
133
Conclusion du chapitre 1.
L'audit systmique a modifi profondment les pratiques utilises jusque l par
l'auditeur bancaire. Instaure en globalit pour toutes les lignes mtiers ou intgre
individuellement pour complter un systme existant, une telle approche permet :
d'avoir une vision globale et matrise des risques, quelle que soit la complexit des
organisations ou des processus auditer;
de vrifier l'efficacit du dispositif de contrle interne par ligne mtier;
Enfin, daccrotre la responsabilit, la vigilance et la ractivit des units
oprationnelles et ainsi des risk managers dans la matrise, la gestion et la
prvention des risques.
Paralllement au dveloppent en interne d'outils et techniques de contrles et de
gestion des risques bancaires, l'auditeur interne apparat de plus en plus incontournable
dans le processus de supervision bancaire architectur par les organes de tutelles.
Au del de sa responsabilit de donner un avis indpendant sur la fiabilit des
dispositifs de contrle interne, l'auditeur bancaire devient ainsi un acteur incontournable
dans la prvention des risques bancaires.
Ainsi, une dmarche opratoire d'audit systmique est dveloppe pour quatre lignes
mtiers (systme d'information, salle des marches, ressources humaines et
comptabilit) dans la deuxime partie illustrant parfaitement l'originalit et la pertinence
de l'approche.
134
Chapitre 2 :
Mission d'audit de la Direction des
Systmes d'Information.
135
23
136
Pour la phase de synthse, une liste de sondages qui pourraient tre repris
dans le rapport.
Prparation.
Ds le dbut de la phase prparatoire de la mission, les auditeurs remettent la
Direction des Systmes dInformation (DSI) une liste de documents leur envoyer et/ou
tenir leur disposition :
Organigramme de la DSI ;
Liste des comits auxquels participe le responsable SI ;
Description des missions / rles / responsabilits des principaux dpartements
de la DSI ;
Liste des sites informatiques (dveloppement,
archivage,) et des principaux sites utilisateurs ;
production,
back-up,
(donnes
137
Investigation.
Rappel de larborescence de la dmarche daudit systmique :
Mission : nom de la mission objet de laudit.
Thme : libell du thme auditer.
Sous-thmes : libell du sous-thme appartenant au thme audit.
Objectifs/points de contrle : points de contrle vrifier via un questionnaire.
Risques : risques inhrents au thme/sous-thme audit.
Approches daudit et sondages : approches daudit et de sondages raliser.
Risques.
Efficacit, Efficience
138
Risques.
Efficacit, efficience, conformit.
Approches daudit & sondages.
Pour un certain nombre de postes de la Direction informatique, vrifier que la description
de poste comporte les lments suivants : objet du poste, missions, rles et
responsabilits, rattachements hirarchiques et fonctionnels, principales relations avec
dautres postes internes et externes la Direction informatique. De plus, interroger la
personne qui occupe le poste pour s'assurer qu'il connat sa description et qu'il
lapplique.
S'assurer notamment de la formalisation des autorisations pour les embauches, la
dfinition de l'organisation interne, le lancement des projets, les achats et le recours
des prestations externes.
Sparation des tches.
Objectifs/points de contrle.
L'organisation et le fonctionnement effectif de la fonction informatique respectent-ils
une correcte sparation des tches incompatibles?
Risques.
Efficacit, efficience.
Confidentialit, intgrit.
Approches daudit & sondages.
Consulter l'organigramme et dterminer la sparation des tches en vigueur.
139
Par analyse des travaux effectus par quelques personnes, vrifier qu'elles ne ralisent
pas dans la pratique des tches d'autres personnes, lencontre dune correcte
sparation des tches.
Stratgie informatique
Objectifs/points de contrle.
Une stratgie claire et cohrente a-t-elle t dfinie et formalise en matire de
systmes d'information, et est-elle respecte ?
Les dcisions cls en matire de systmes d'information sont-elles soumises un
Comit runissant la Direction Gnrale, les matrises d'ouvrage et les matrises
d'uvre de la banque ?
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Consulter les documents dcrivant cette stratgie.
S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas
dorientations importantes apparaissant comme incohrentes avec la stratgie.
S'assurer que ces orientations stratgiques sont respectes et que les matrises
douvrage sont consultes loccasion des orientations prises par la banque.
Se faire communiquer la note ou l'instruction de la Direction Gnrale de la banque
instituant le Comit dcisionnel en matire de stratgie informatique.
Examiner par rapport la structure gnrale de la banque la reprsentativit de ce
Comit.
Examiner les procs-verbaux ou les comptes rendus des runions les plus rcentes de
ce Comit et vrifier si les principales dcisions stratgiques en matire d'volution des
SI ont bien t prises dans le cadre de ce Comit.
Schma directeur / plan informatique :
Objectifs/points de contrle.
Les orientations stratgiques, en matire de systmes dinformation, approuves par
la Direction Gnrale de la banque, sont-elles dclines sous la forme d'un schma
directeur / plan informatique, priodiquement mis jour, reprenant ces orientations et
recensant les projets envisags court et moyen terme dans le cadre de leur mise
en uvre ?
Les prconisations du schma directeur des systmes d'information font-elles l'objet
d'un suivi (avec un reporting) de mise en oeuvre priodique et formalis l'intention de
la Direction Gnrale de la banque ?
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Rcuprer le schma directeur / plan informatique.
Analyser son processus d'laboration et de mise jour, et notamment le lien avec les
orientations stratgiques approuves par la Direction Gnrale de la banque.
Slectionner quelques projets et s'assurer quils sont en ligne avec ces orientations
stratgiques.
140
S'assurer que ce suivi est effectu, soit dans le cadre d'un Comit runissant les
principaux responsables de la banque, y compris la Direction Gnrale, soit par un
reporting formalis ces responsables.
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Se procurer le budget informatique.
Vrifier en particulier que l'laboration de ce budget fait l'objet d'une concertation
suffisante entre les Directions de l'entit afin de tenir compte des orientations des
Directions "utilisatrices" de l'informatique.
Se procurer les documents de suivi du budget informatique.
Vrifier en particulier ladquation de lanalyse des carts entre le budgt et le ralis,
et de la justification du prvisible.
Plans de travail.
Objectifs/points de contrle.
Le plan informatique long terme est-il rgulirement traduit en plans de travail
court terme qui prvoient laffectation des ressources humaines et matrielles ? Ces
plans sont-ils priodiquement rexamins et mis jour ?
Les plans de travail sont-ils cohrents par rapport aux budgets informatiques ?
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Demander la communication des versions successives des plans informatiques court
terme et vrifier leur cohrence avec le plan long terme. S'assurer que ces plans
incluent les dveloppements, la maintenance, et qu'une marge de manuvre est
conserve afin de raliser des travaux exceptionnels et urgents.
Sassurer que les travaux prvus aux plans de travail sont cohrents par rapport aux
lignes budgtaires approuves par la Direction Gnrale de la banque.
141
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Recenser les instances existantes et analyser leurs modalits de fonctionnement.
Rcuprer les traces formelles des runions de ces instances et vrifier que des
dcisions y sont prises et suivies d'effet.
Collecter les diffrents tableaux existants et analyser leur contenu. Vrifier qu'ils
contiennent des indicateurs relatifs aux diffrentes activits de la fonction informatique, y
compris les principales volutions de la structure (effectifs / organisation...), les
principaux dveloppements, la volumtrie en exploitation, les principaux incidents, et
des lments de suivi budgtaire. Dterminer si ces tableaux de bord sont utiliss pour
des dcisions de gestion.
Prendre connaissance de ce reporting et vrifier qu'il reprend fidlement les principaux
indicateurs relatifs l'activit de la fonction informatique.
Moyens techniques.
Objectifs/points de contrle.
Dispose-t-on d'un inventaire jour de tous les quipements24 avec leur emplacement
et leurs connexions ?
Des inventaires physiques priodiques sont-ils effectus et existe-t-il un
rapprochement priodique avec la comptabilit ?
Existe-t-il une gestion de la performance et de la capacit des quipements ?
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Apprcier l'exhaustivit, la lisibilit, et les procdures de mise jour de cet inventaire.
Obtenir les rsultats du dernier inventaire physique : apprcier les procdures mises en
oeuvre, y compris lanalyse des carts et le rapprochement avec la comptabilit.
Obtenir le reporting correspondant : apprcier la couverture des quipements
concerns, et dterminer si ce reporting permet danticiper correctement des
modifications de configuration pour amliorer les performances et la capacit de
traitement.
24
Equipements concerns: serveurs, postes de travail, imprimantes, quipements rseau (routeurs, multiplexeurs, concentrateurs, modems...)
142
Risques.
Efficacit, efficience.
Disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Recenser le personnel de la fonction informatique.
Analyser pour les diffrents responsables et catgories de personnel, leur formation
initiale et complmentaire, ainsi que leur exprience vis vis des postes occups.
S'assurer que la dure de formation est suffisante (suprieure 5 jours par an et par
personne), notamment dans les domaines volutifs (net, rseaux / telecom ...) et dans la
conduite de projets,...
S'assurer que la planification de la fonction informatique intgre la gestion des
ressources.
Vrifier que le personnel peut voluer en fonction de ses aptitudes au sein de la fonction
informatique.
Identifier les raisons d'un ventuel turnover important. S'assurer que des mesures ont
t prises pour le rduire : prime, formation, volution de carrire, ...
Identifier les personnes cls de la fonction sur lesquelles reposent des responsabilits
ou connaissances importantes (ex: chef de projet, responsable de l'exploitation, ...).
Vrifier l'existence d'une personne susceptible de les remplacer en cas d'absence
temporaire ou dfinitive.
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Se faire communiquer et apprcier la mthodologie de gestion de projet retenue par la
banque.
Slectionner un chantillon de projets en fonction de leur taille et de leur criticit.
Pour chacun des projets de lchantillon, tudier la cohrence et la pertinence de la
mthodologie effectivement applique.
Se faire communiquer les documents attestant de la participation de la MOA des
dpartements utilisateurs (note de cadrage, cahier des charges, avant-projet,...).
Vrifier sur lchantillon slectionn que les projets ont t formellement autoriss par la
Direction Gnrale de la banque et que la MOA approuve chaque lot et chaque phase
du cycle de dveloppement des projets.
Contrler les documents de suivi des projets (contrle de gestion).
Vrifier lexistence dune mthodologie et doutils de suivi de projet normaliss.
Vrifier sur lchantillon slectionn que les projets sont suivis par une instance
adapte, partir d'un reporting adquat des travaux effectus, et vrifier lutilisation
effective de la mthodologie et des outils de suivi.
Analyser les diffrences entre les plannings et cots initialement prvus et effectivement
constats en fin de projet.
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Prendre connaissance de la dfinition de fonction de la personne en charge de la
qualit.
Vrifier que ce poste dispose de moyens ncessaires la ralisation de ses objectifs.
Recenser les domaines dans lesquels existent des conventions de services.
Sassurer que les indicateurs sont pertinents et mesurables de manire objective, et quil
y a eu concertation entre la fonction informatique et ses clients pour leur dtermination.
144
Vrifier que des mesures rgulires des niveaux de services sont effectues laide de
ces indicateurs, et que des actions damliorations sont engages le cas chant
partir de ces mesures.
1.5 - Assurances.
Objectifs/points de contrle.
Le choix des garanties en matire informatique correspond-il une stratgie
rsultant d'une tude spcifique, valide par la Direction Gnrale de la banque ?
Le systme informatique est-il couvert par un contrat d'assurance couvrant les
dommages matriels ?
La banque a-t-elle souscrit un contrat couvrant les frais supplmentaires
dexploitation en cas de sinistre ?
La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de
mdias25?
La banque a-t-elle souscrit d'autres contrats lis aux prcdents (Globale
informatique, Responsabilit civile, Pertes d'exploitation, etc...) ?
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Vrifier que le montant et la nature des risques couverts ont t dtermins par une
tude prcise portant notamment sur le matriel (configuration centrale, rseaux...), les
risques de fraude ou de dtournement, les cots de reconstitution de supports, les
pertes d'exploitation ventuelles, etc ...
Vrifier que les risques suivants sont bien mentionns : la dtrioration d'origine externe
mais aussi interne, d'ordre lectrique ou mcanique, les phnomnes naturels, le vol ou
la tentative de vol de matriel (s'assurer que le contrat inclut une garantie de vol sans
effraction).
S'assurer que le contrat d'assurance prend bien en charge les frais supplmentaires
d'exploitation, c'est--dire ceux qui sont mis en uvre au moment du sinistre, la
couverture du back-up, les biens et services de remplacement, les frais supplmentaires
de transport et de main d'uvre.
S'assurer que le contrat couvrant les frais de reconstitution des mdias concerne les
programmes dvelopps pour les besoins spcifiques de l'entreprise et les adaptations
des progiciels aux besoins particuliers de l'entreprise.
Vrifier que les sauvegardes correspondantes existent et sont effectues rgulirement,
pour rendre possible la mise en jeu de la garantie.
Vrifier que les risques couverts par les diffrents contrats sont complmentaires, non
redondants, et cohrents par rapport la stratgie dassurance de la banque.
Il s'agit des moyens de stockage de type "unit disques" contenant programmes et donnes utiliss pour le fonctionnement des systmes informatiques
Il s'agit essentiellement de la protection contre le piratage informatique (copie, utilisation et diffusion illicites de logiciels).
145
Risques.
Conformit.
Approches daudit & sondages.
Vrifier notamment que les logiciels font lobjet dune licence.
Risques.
Conformit, disponibilit.
Intgrit, confidentialit.
Juridique, image.
Approches daudit & sondages.
S'assurer qu'il existe une dfinition claire et prcise des droits et devoirs auxquels sont
soumis les intervenants sur le systme d'information, et que ces lments sont dment
communiqus aux personnes concernes.
Vrifier qu'en cas de non respect, des sanctions sont prvues et appliques.
Se procurer ces documents (ex : moyens mis en oeuvre par lentreprise pour contrler
lutilisation des services Internet mis la disposition du personnel).
Si un document est sign par les nouveaux arrivants, s'assurer du caractre
systmatique de cette procdure sur un chantillon.
Objectifs/points de contrle.
Une fonction de veille technologique a-t-elle t dfinie ?
Quels sont ses objectifs et les moyens qui lui sont allous ?
Les travaux effectus font-il lobjet dune formalisation ?
La fonction informatique labore-t-elle et diffuse-t-elle des normes / standards pour
lensemble des domaines placs sous sa responsabilit ?
Risques.
Efficacit, efficience.
Approches daudit & sondages.
Si cette fonction existe, vrifier quelle dispose de suffisamment de moyens pour tre
rellement oprationnelle.
Se procurer et analyser les documents produits et diffuss.
Recenser ces standards en matire de scurit, darchitecture technique / fonctionnelle,
de conduite de projet, de dveloppement, dexploitation, de micro-informatique, et
vrifier que ces standards sont respects.
146
Objectifs/points de contrle.
Chaque prestation confie en externe est-elle contractualise et rgulirement suivie et
contrle par un responsable de la banque clairement identifi ?
Les contrats avec les prestataires de services informatiques font-ils l'objet d'une
validation par le dpartement juridique et/ou la Direction des Achats avant signature ?
Les contrats incluent-ils systmatiquement une clause d'auditabilit des prestations
fournies, prcisant les modalits daudit ?
Les contrats de sous-traitance incluent-ils systmatiquement une clause de rversibilit,
prcisant les modalits de reprise en interne des prestations ?
Risques.
Conformit, efficience, efficacit, conformit, juridique.
Approches daudit & sondages.
Identifier les principales prestations externes, et vrifier pour chacune delles l'existence
dun contrat, dun responsable du suivi de la prestation et de procdures de suivi et de
contrle effectives (en principe sur la base de conventions de service).
Interroger le dpartement juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont)
t consult(s) sur des contrats rcemment signs par la fonction informatique avec des
tiers. Vrifier sur un chantillon que les avis mis sont formaliss.
Recenser les contrats et vrifier l'existence d'une telle clause et sa porte effective.
Recenser les contrats de sous-traitance et vrifier l'existence d'une telle clause et son
applicabilit effective.
Risques.
Efficacit, efficience, conformit.
Disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Recenser ces audits et vrifier que les recommandations ont fait lobjet de plans
dactions correctrices.
Sassurer que le primtre de ces missions couvre lensemble de la fonction
informatique (absence de sanctuaire ).
Objectifs/points de contrle.
Existe-t-il une valuation rgulire des risques informatiques qui pourraient mettre en
pril la ralisation des objectifs de la banque ?
Cette valuation constitue-t-elle une base afin de dterminer comment grer les risques
pour les rduire un niveau acceptable ?
Existe-t-il un plan dactions visant mettre en uvre des contrles et des mesures de
147
Risques.
Efficacit, efficience, conformit.
Disponibilit, intgrit, confidentialit.
2. Scurit.
2.1 - Cadre de la scurit
Objectifs/points de contrle.
La scurit du systme d'information est-elle une proccupation effective au sein de la
banque ?
Cette proccupation s'est-elle traduite par la mise en place d'une organisation, de
procdures et d'outils adapts, permettant la matrise effective des risques auxquels se
trouve expose la banque en matire d'organisation informatique et de systmes
d'information ?
Les aspects de scurit informatique sont-ils intgrs dans les politiques et procdures
de la banque 27?
Risques.
Disponibilit, intgrit, confidentialit, efficacit, efficience.
Approches daudit & sondages.
Interroger des membres du personnel de la banque tout chelon hirarchique sur le
sujet.
Rechercher dans les politiques et procdures de scurit informatique de la banque des
lments accrditant le caractre effectif de cette proccupation.
27
148
Objectifs/points de contrle.
Une cartographie des risques de la banque lis la scurit des systmes
dinformation a-t-elle t ralise/mise jour depuis moins dun an ?
La banque a-t-elle dtermin le niveau de scurit informatique jug souhaitable par
rapport aux exigences de ses mtiers ?
La banque a-t-elle effectu une classification selon les critres de la sensibilit /
criticit des processus et des informations en fonction de limpact quun sinistre
touchant ces processus et ces informations aurait sur la banque ?
Des missions priodiques de contrle visant spcifiquement la mise en uvre de la
scurit des systmes dinformation sont-elles ralises ?
Existe-t-il au sein de la banque des tableaux de bord / indicateurs priodiques de
mesure et de pilotage des risques lis la scurit des systmes dinformation ?
28
29
30
31
Risques.
Disponibilit, intgrit, confidentialit, conformit.
Approches daudit & sondages.
Analyser la pertinence de cette tude qui doit comprendre un primtre, une
mthodologie, une valuation des diffrents types de risques lis la scurit
informatique, et le plan dactions pour traiter ces risques.
Prendre connaissance de la manire dont ce niveau a t dfini (par exemple, par une
tude de vulnrabilit et/ou lutilisation dune classification32 dtermine par les
propritaires des processus / des informations).
Sassurer de la couverture de lensemble des processus et des informations de la
banque, notamment dans les domaines transverses (gestion des clients, flux).
Vrifier que ce travail a t effectu par les propritaires ou par des responsables
utilisateurs reprsentatifs et ayant une bonne connaissance de leur activit.
Se procurer les rapports de ces missions.
Analyser lexhaustivit et la priodicit de ces missions sur le primtre de la scurit de
la banque et leur degr dapprofondissement et de pertinence.
Vrifier que leurs conclusions servent mettre jour la cartographie des risques au
travers de lapprciation du contrle interne.
Se procurer, quand ils existent les tableaux de bord / indicateurs existants, et vrifier le
niveau de couverture des diffrents types de risques au travers de ces outils.
28
149
Objectifs/points de contrle.
Existe-t-il au sein de la banque un plan scurit des systmes d'information remis jour
priodiquement et dont la mise en uvre est suivie rgulirement ?
Ce plan a-t-il t tabli partir d'lments objectifs ?
Ce plan couvre-t-il bien l'ensemble des systmes informatiques de la banque ?
Risques.
Disponibilit, Intgrit, Confidentialit, Efficacit, Efficience.
Objectifs/points de contrle.
Existe-t-il un Comit charg d'tudier tous les problmes lis la scurit, se runissant
priodiquement et dont les travaux sont formaliss ?
La scurit informatique dispose-t-elle au sein de la banque d'un poste spcifique
(Responsable de la Scurit des Systmes d'Information) sur l'organigramme, avec un
rattachement hirarchique lev assorti d'une dfinition de fonction et d'un budget
spcifique ?
Existe-t-il des administrateurs de scurit, distincts du responsable scurit , chargs
de la gestion quotidienne de la scurit et des accs ?
Existe-t-il des propritaires nommment dsigns des processus / traitements et des
informations / donnes, responsables des rgles, procdures et autorisations
d'utilisation des processus et des informations dont ils ont la charge ?
Existe-t-il au sein de la banque une sensibilisation et une information rgulire de
l'ensemble des utilisateurs concernant les problmes de scurit ?
Les rgles de scurit informatique respecter sont-elles intgres dans les contrats
/Conventions de services signs par les prestataires externes ?
L'utilisation des postes de travail (autonomes ou connects un rseau local) fait-elle
l'objet de procdures de scurit particulires dont la mise en uvre est contrle ?
35
33
Il doit comprendre une valuation quantitative des risques, une dfinition des risques intolrables (en liaison avec les utilisateurs), les moyens de scurit existants, ceux
mettre en place, le planning et les priorits, un budget annuel de la scurit, les principes et rgles de scurit mettre en place, ainsi que les responsabilits et dates prvues
de mise en oeuvre
34
Internet, Extranet, Intranet
35 Pour les entits de taille importante, il est recommand que le responsable scurit n'administre pas lui-mme la scurit.
150
Risques.
Disponibilit, intgrit, confidentialit, efficacit, efficience.
Approches daudit & sondages.
Se procurer le document dcrivant les objectifs et le fonctionnement du Comit.
Analyser sa composition, rcuprer les derniers comptes-rendus et valuer la ralit de
son rle dans le domaine de la scurit.
Prendre connaissance de la dfinition de fonction du responsable scurit.
Vrifier que le rattachement du poste se fait au moins au niveau du responsable
informatique et de prfrence directement la Direction Gnrale de la banque (pour
garantir son indpendance).
S'assurer qu'il dispose de vritables moyens pour assumer sa fonction (temps, budget,
comptences, ...).
Prendre connaissance de leur dfinition de fonction.
S'assurer que leurs travaux sont correctement tracs et contrls priodiquement par le
responsable scurit.
S'assurer de la couverture de l'ensemble des activits de l'entit notamment dans les
domaines transverses (gestion des fichiers clients, flux...) par ces propritaires.
Prendre connaissance des rles et responsabilits des propritaires et de la ralit de
leur action.
Interroger des membres du personnel de la banque tous les chelons hirarchiques et
valuer leur degr de sensibilisation et d'information.
S'assurer de l'existence de supports pour la sensibilisation / l'information36.
Vrifier, dans la manire de travailler du personnel, que la scurit est une
proccupation permanente.
Examiner quelques contrats / conventions. Vrifier notamment qu'ils prcisent que
toutes les rgles37 et procdures de la banque relatives la scurit doivent tre
respectes et qu'elles ont t portes au pralable la connaissance des prestataires.
Risques.
Intgrit, confidentialit.
Approches daudit & sondages.
Sassurer que les contrles mis en place a priori (identification / authentification,
habilitations, ) et a posteriori (revue priodique des habilitations, analyse des logs, )
sont complmentaires et permettent de prserver lintgrit et la confidentialit des
informations.
36
37
Par exemple: charte de scurit, formation / action de sensibilisation (journal interne, ...)
Clause de confidentialit, rgles d'accs aux matriels, logiciels, donnes et documentations en plus des procdures applicables l'ensemble du personnel
151
Objectifs/points de contrle.
La gestion des droits d'accs est-elle prise en charge par un logiciel spcifique et/ou un
composant du systme de base ?
L'accs aux fonctions de gestion / d'administration des habilitations et des paramtres
de scurit est-il strictement limit ?
Risques.
Disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Analyser l'architecture de la scurit d'accs et les systmes de scurit en place38 pour
accder aux traitements et donnes informatiques.
S'assurer qu'elle couvre tous les systmes : serveurs centraux (mainframe), serveurs
dcentraliss, micro-ordinateurs connects ou connectables, rseaux,...
Lister les utilisateurs ayant accs ces fonctions. S'assurer que cette liste est limite
aux personnes en charge de l'administration de la scurit.
Objectifs/points de contrle.
Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse,
cl ou carte personnelle, ) effectivement utilises et conditionnant laccs aux
systmes dinformation et leurs donnes ?
Risques.
Disponibilit, Intgrit, Confidentialit.
Approches daudit & sondages.
Sassurer, pour quelques systmes / donnes sensibles slectionns, que chaque
utilisateur dispose de son propre identifiant (le partage au travers didentifiants
gnriques tant proscrire) pour y accder.
Vrifier que les mcanismes didentification et dauthentification couvrent tous les points
daccs39 aux systmes informatiques.
Sassurer que des procdures sont en place afin de prserver lefficacit des
mcanismes dauthentification par mot de passe.
Objectifs/points de contrle.
Existe-t-il une procdure de gestion des profils et des habilitations des utilisateurs,
incluant une approbation formelle pour l'octroi des droits d'accs ?
Chaque utilisateur n'a-t-il accs qu'aux systmes et aux donnes qui lui sont
ncessaires la ralisation des tches propres sa fonction ?
Des prcautions sont-elles prises pour la protection de l'accs aux donnes
confidentielles conserves sur ordinateur personnel, rseau local ou messagerie.
38
39
152
Risques.
Disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Vrifier si la procdure traite l'ensemble des vnements de la gestion des habilitations
(cration, modification, suppression) incluant une demande crite et sa validation
formelle.
Pour quelques utilisateurs sur quelques systmes sensibles, vrifier l'existence des
demandes et leur validation formelle.
S'assurer galement que les ajouts d'accs font l'objet d'une demande et que la
suppression / modification des profils / habilitations est rapide aprs le dpart / la
mutation dun collaborateur. Pour cela, prendre la liste les derniers dparts et mutations
au sein de l'entit.
Sur quelques systmes sensibles, faire un sondage principalement pour quelques
utilisateurs ayant des accs privilgis (trs tendus). S'assurer que chaque utilisateur
n'a que les accs (en consultation, ajout, modification ou suppression) qui lui sont
ncessaires.
Objectifs/points de contrle.
Tous les systmes informatiques / serveurs de la banque accds depuis lextrieur
sont-ils correctement scuriss ?
Dans le cadre dchanges ou de transactions lectroniques entre la banque et
lextrieur, les procdures en place permettent-elles de vrifier lauthenticit de la
contrepartie extrieure, de garantir lauthenticit et la non-rpudiation et des changes
ou des transactions ?
Lintgrit des changes ou des transactions lectroniques entre la banque et lextrieur
est-elle garantie par des dispositifs adapts ?
Les procdures permettent-elles de garantir la protection des cls de chiffrement (cls
SWIFT notamment) ?
Face aux virus, des mesures adquates ont-elles t mises en uvre pour la
prvention, la dtection et la correction ?
Lutilisation des services Internet par le personnel de la banque est-elle effectue dans
des conditions scurises ?
Si la banque a mis en uvre des sites Internet, Intranet ou Extranet, des tudes de
scurisation de ces sites ont-elles t menes ?
Ces sites, comme les connexions des utilisateurs ceux-ci, ont-ils t correctement
scuriss par le biais de lutilisation de pare-feu (Firewall ) et de DMZ , et de
protocoles tels que SSL pour les connexions ?
A-t-on recours des socits de services informatiques pour simuler des attaques
externes (tests dintrusions) afin dvaluer et damliorer le cas chant le niveau de
scurit en place ?
Avant de rendre oprationnel un site, une tude est-elle soumise au service juridique
comptent afin de sassurer du correct traitement des aspects juridiques, fiscaux,
rglementaires et prudentiels ?
40
41
42
40
Pare-feu: Mcanisme employ pour protger le rseau interne dune entreprise des accs ou usages non autoriss tout en permettant aux utilisateurs locaux daccder
lInternet.
DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systmes informatiques (rseau interne) de l'entit et le rseau externe (Internet).
42
Secure Socket Layer (SSL): protocole de scurisation des transactions assurant la confidentialit, l'intgrit et en principe l'authentification des parties et la non-rpudiation
des transactions par l'usage de la cryptographie cls publiques, fond sur le contrle d'intgrit et le chiffrement des donnes
41
153
Risques.
Disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Obtenir linventaire des points daccs distance aux systmes informatiques de la
banque.
Sassurer quils sont scuriss par des procdures de call-back ou daccs dment
scuriss.
Vrifier que les accs / tentatives provenant de lextrieur sont enregistrs dans des
logs analyss rgulirement (les tentatives daccs infructueuses doivent en principe
tre analyses au jour le jour).
Recenser les changes ou transactions lectroniques effectus par la banque avec
lextrieur.
Pour chacun dentre eux, vrifier lexistence dun mcanisme dauthentification fiable
(mot de passe, cl de chiffrement, ...), de non-rpudiation (signatures lectroniques,
horodatage, certificats mis par des tiers de confiance,...).
Sassurer que des mcanismes de contrle dintgrit adapts (hash coding /
scellement43 par exemple) sont utiliss.
Apprcier les dispositifs de protection (scurit physique et logique, sparation de
fonctions,...) en place. Recenser les sites dploys par la banque, et les tudes de
scurisation existantes.
Vrifier que des rgles de scurisation ont t suivies.
Sassurer que le paramtrage des firewalls a t effectu par des spcialistes de la
scurit Internet et quune DMZ est utilise.
Se procurer les rapports de ces prestations et vrifier que les faiblesses releves ont t
corriges rapidement et/ou quun plan dactions a t tabli.
Vrifier auprs du service juridique de la banque la nature du travail effectu sur ce
point pour les sites mis en oeuvre, et que dventuelles consultations auprs de
spcialistes extrieurs la banque ont eu lieu si en interne les comptences ntaient
pas suffisantes.
Objectifs/points de contrle.
Une revue priodique des profils utilisateurs est-elle effectue par un responsable afin
de vrifier le respect des procdures et de confirmer les droits daccs existants ?
A-t-on instaur des rgles de journalisation45 d'vnements lis la scurit
informatique?
Existe-t-il un contrle systmatique, priodique et centralis des vnements
journaliss?
Certains types de violation d'accs sont-ils remonts en temps rel au responsable
scurit pour contrle ?
Les oprations effectues par les administrateurs de la scurit sur les systmes de
scurit sont-elles journalises sans possibilit d'altration ?
Ces traces sont-elles revues priodiquement par un responsable scurit distinct des
administrateurs de scurit ?
Risques.
43
Technique de reprsentation dun texte en clair en un quivalent symbolique ( hash code / sceau) indcodable, qui permet de dtecter toute altration du texte en clair.
Les contrles de niveau 1 sont contenus dans le traitement des oprations (contrles informatiques, contrles manuels) et ceux du niveau 2 sont effectus par la hirarchie qui
supervise le traitement des oprations.
45
Trace d'enregistrement
44
154
Objectifs/points de contrle.
Les moyens et procdures mis en uvre permettent-ils d'assurer la scurit physique
du systme d'information (contrle d'accs physique, protection environnementale,
incendie, dgts des eaux, humidit, chaleur, coupures lectriques,...)?
Les diffrents quipements de scurisation des locaux informatiques et de son
environnement sont-ils sous contrat de maintenance et vrifis / tests priodiquement?
Existe-t-il des consignes de scurit gnrale affiches, connues et testes?
Risques.
Disponibilit, intgrit.
46
46
Equipements de contrle daccs, dtection et extinction incendie, dtection humidit, climatisation, onduleurs, batteries, groupes lectrognes, ...
155
Objectifs/points de contrle.
Des tudes ont-elles t ralises sur les dangers prsents par des facteurs externes
sur les locaux informatiques renfermant des quipements informatiques sensibles et les
recommandations prescrites ont-elles t suivies d'effet ?
Le btiment a-t-il t spcialement construit pour l'informatique et/ou est-il l'usage
exclusif de l'informatique ?
Le site informatique est-il peu connu et peu reprable ?
Le transformateur alimentant les locaux informatiques est-il correctement scuris?
Existe-t-il une rgulation lectrique (contre les pannes lectriques et les variations de
extension) comportant au moins un onduleur complt de batteries garantissant une
autonomie suffisante ?
Ses caractristiques rpondent-elles aux prescriptions des constructeurs de matriels
informatiques ?
Est-elle teste rgulirement et dispose-t-elle d'un secours?
Existe-t-il un groupe lectrogne pouvant tre rapidement oprationnel en cas de
coupure de l'alimentation lectrique ?
Pour les salles ordinateurs, dispose-t-on de disjoncteurs spars par matriel
informatique important, d'un tableau lectrique d'accs facile et d'une coupure gnrale
"coup de poing"47 ?
La conformit des installations lectriques a-t-elle t vrifie par un organisme agr ?
Un systme de climatisation (temprature, hygromtrie, poussire) est-il install et
oprationnel ?
Ses caractristiques rpondent-elles aux prescriptions des constructeurs des matriels
informatiques utiliss ?
Est-il test rgulirement et dispose-t-il d'un secours?
Risques.
Disponibilit, intgrit.
47
Il s'agit d'un disjoncteur permettant d'arrter l'alimentation de l'ensemble des quipements en une seule opration d'un "coup de poing" d'o le nom de la commande.
48
Menaces lies l'environnement extrieur: phnomnes mto, inondation (cours d'eau, sources et nappes phratiques), coule de boue, orages/foudre (paratonnerre),
qualit/stabilit du terrain, zone sismique, etc mais galement le voisinage risques pollution, menaces chimiques, voisinage ou stockage de matires inflammables.
49
Allers et venues de personnes extrieures, stockage de matires inflammables, ...
156
Objectifs/points de contrle.
L'ensemble des btiments renfermant les locaux informatiques (y compris les salles de
marchs) et les locaux attenants sont-ils protgs par une installation de dtection et
d'extinction automatique ?
Des extincteurs mobiles sont-ils conservs dans les locaux informatiques et les locaux
attenants ?
Ces extincteurs sont-ils priodiquement vrifis ?
Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle
respecte?
Les salles informatiques sont-elles vierges de tout stock de papier ou matriaux
inflammables ?
A-t-on fait des tudes sur les dangers prsents par l'eau dans les locaux informatiques
et les locaux attenants ?
A-t-on vrifi qu'il n'existe pas de canalisations apparentes ou traversant les fauxplanchers ?
Les blocs de climatisation sont-ils l'extrieur des salles ordinateurs ?
Les faux-planchers sont-ils dots d'un systme de dtection d'eau ou d'humidit, et en
cas de besoin existe-t-il un dispositif garantissant l'vacuation de l'eau ?
Risques.
Disponibilit, intgrit.
50
Il ne suffit pas d'avoir les serveurs sur onduleurs mais galement les quipements de communication et les consoles de pilotage des systmes informatiques
157
Objectifs/points de contrle.
Existe-t-il un systme de contrle d'accs aux salles contenant des quipements
sensibles tels qu'units centrales et priphriques, serveurs, quipements de
communication, terminaux ddis aux transactions sensibles (SWIFT, tlex, salles des
marchs...) ?
Les visiteurs internes ou externes la banque sont-ils accompagns par une personne
habilite accder aux salles informatiques, et un registre des visiteurs est-il tenu et
revu priodiquement ?
Risques.
Disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Vrifier que l'accs aux salles contenant des quipements sensibles est limit par un
dispositif de type digicode, lecteur de badges ou commande d'ouverture distance.
S'assurer de la correcte gestion de ces systmes d'accs. Contrler la liste des
personnes auxquelles a t remis ou communiqu le code ou un badge. Dans le cas
d'un digicode, s'assurer que les codes sont priodiquement changs.
Interroger les personnes habilites accder aux salles informatiques sur la procdure
en place pour les visiteurs. Vrifier que ces derniers sont systmatiquement
accompagns pendant leur sjour dans les locaux, et quils ne disposent pas dun accs
permanent aux salles.
Consulter le registre des visiteurs, s'assurer qu'il est complet et revu priodiquement et
formellement par un responsable informatique et/ou logistique.
158
Objectifs/points de contrle.
La banque s'est-elle dote des moyens et de l'organisation lui permettant de maintenir
son activit mme aprs un incident majeur ou un sinistre gnrant une indisponibilit
prolonge (partielle ou totale) du systme d'information ?
Risques.
Disponibilit, efficacit, efficience, disponibilit, conformit.
Approches daudit & sondages.
Se procurer les plans de continuit / reprise d'activit et les plans de back-up (secours
informatique).
Examiner les contrats ventuels avec les fournisseurs de services de secours.
Examiner les comptes-rendus de tests ventuels.
Prendre connaissance des ventuels incidents majeurs ou sinistres dj survenus et
des dispositions prises ces occasions pour y remdier.
2.16 Sauvegardes.
Objectifs/points de contrle.
La banque sest-elle dote des moyens lui permettant de disposer de copies de ses
donnes aisment utilisables en cas de perte des donnes dexploitation dorigine ?
A-t-on pris en compte la ncessit dlaborer des sauvegardes de type production
dune part et de type recours dautre part ? Les cycles de sauvegarde et les dures
de rtention sont-ils compatibles avec les caractristiques des informations
sauvegardes ?
Existe-t-il une sauvegarde systmatique de lensemble des informations des serveurs
dcentraliss et Bureautiques ?
La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des
donnes rsidant sur les postes de travail connects ?
Contrle-t-on rgulirement quune reprise ou un redmarrage sont effectivement
possibles partir des sauvegardes ? Sait-on relire les supports ? Est-on assur de
lexhaustivit des donnes relues (restaures) ?
51
52
Risques.
Disponibilit, efficacit, efficience.
Approches daudit & sondages.
Prendre connaissance des procdures de sauvegarde.
Vrifier que les procdures sont correctement appliques.
Sassurer que ces deux types de sauvegardes existent et que leur exhaustivit est
garantie.
Vrifier lexistence dune procdure permettant dintgrer les fichiers et programmes des
nouveaux dveloppements et maintenances.
Sassurer que les sauvegardes de recours sont stockes dans un lieu distinct de la salle
informatique.
51
52
159
Objectifs/points de contrle.
Le plan de continuit est l'outil de contrle interne qui assure la gestion des ressources et des donnes informatiques sensibles, en cas d'interruption de traitement. Le plan de
continuit des activits comprend les lments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up
et le plan de reprise d'activits qui intgre les schmas fonctionnels et organisationnels compltant les moyens matriels.
160
Sassurer que des procdures ont t labores par les dpartements utilisateurs, en
collaboration avec le service informatique, pour organiser la reprise et la continuit des
activits partir du dclenchement du sinistre et jusquau retour la normale.
Sassurer que les sauvegardes sont stockes sans dlai dans un lieu scuris une fois
leur cration effectue.
Vrifier la cohrence des deux plans en termes de droulement, de priorits de
reprise,
Sassurer que les volutions de systmes et procdures la fois ct informatique et
ct utilisateurs font lobjet de mises jour des plans.
Recenser les nouvelles applications ou activits sensibles de la banque (ou des
modifications significatives rcentes), et vrifier que les plans les prennent bien en
compte.
Sassurer que cette tude est assez rcente pour tre pertinente.
Vrifier que ltude a t formalise et valide par les principaux responsables de la
banque. Analyser ce document et vrifier son exhaustivit ;
Sassurer que les processus / applications couvrent bien lensemble des activits de la
banque.
Vrifier que ltude est mise jour en cas de nouveau processus / application ou de
modification importante.
Sassurer que lon a pris en considration dans cette tude les interdpendances entre
processus / applications.
Analyser ce document. Sassurer quil a t labor avec des professionnels de la
communication et les parties prenantes dans le P.C.A.
Vrifier que les procdures de reprise couvrent les diffrentes tapes du droulement du
plan de secours informatique.
Vrifier que les cibles des actions de communication ont t identifies et les
messages adapts.
Analyser la composition de la cellule. Vrifier quelle regroupe les parties prenantes du
PCA (informatique, utilisateurs, communication), y compris les principaux responsables
de la banque ;
Sassurer que les modalits de la runion rapide de la cellule sont formalises et
communiques aux participants (coordonnes, y compris personnelles, lieu de
regroupement, ).
Prendre connaissance des conditions de tests.
Se procurer les comptes-rendus de tests et vrifier que les problmes rencontrs ont fait
lobjet dadaptations dans le PCA.
Objectifs/points de contrle.
Existe-t-il un plan de secours de lexploitation informatique (ventuellement en mode
dgrad54 et/ou clat sur plusieurs sites) ainsi que des documents permettant la mise
en uvre rapide des procdures de secours en cas de sinistre ?
Le plan de secours prend-il en compte les volutions prvues dans le plan informatique /
schma directeur ?
Une tude a-t-elle t mene pour dterminer le choix des moyens de secours / de
backup pour le systme dinformation de la banque ?
54
En mode dgrad, l'exploitation n'assure que partiellement les services habituels. En gnral, seules les fonctions indispensables la continuit des traitements sont
assures. Des procdures manuelles, ou des procdures automatises de contournement, peuvent se substituer des procdures automatises utilises en mode normal
dexploitation.
161
55
Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallle. La panne d'une ressource tant transparente pour le droulement
des traitement par le passage la ressource en miroir / cluster.
162
3. Etudes et dveloppements.
Ce domaine concerne les dveloppements dapplications (en interne ou en externe),
lacquisition de progiciels ou la modification de systmes (applications, progiciels)
existants. Il concerne non seulement les dveloppements effectus par le dpartement
informatique, mais aussi ceux directement raliss par les utilisateurs laide de
logiciels bureautique (Microsoft Access ou Excel, par exemple).
Lauditeur doit se faire communiquer la liste des dveloppements (applications,
progiciels) termins ou en cours par le dpartement informatique avec la charge de
travail des quipes informatiques, les dveloppements effectus par les services
utilisateurs laide de logiciels bureautique, les classer par ordre dimportance et de
criticit pour dterminer un chantillon reprsentatif de systmes sensibles.
Objectifs/points de contrle.
Les objectifs, la nature et le primtre couvert par un projet sont-ils formaliss dans un
document crit pralablement son lancement ?
Ce document dfinit-il clairement les besoins de la banque dj satisfaits, ceux auxquels
doit rpondre le nouveau systme (ou la modification du systme existant) pour les
besoins fonctionnels et oprationnels ?
La banque a-t-elle dfini une mthodologie lui permettant dassurer la prise en compte
des exigences de scurit et de contrle interne dans les projets de dveloppement ou
dacquisition de nouveaux logiciels ? Les exigences de scurit sont-elles prises en
compte lors de llaboration du cahier des charges ?
Risques.
Efficacit, efficience, disponibilit, intgrit, confidentialit.
Approches daudit & sondages.
Sur lchantillon slectionn, tudier la note de cadrage pour en vrifier le contenu.
La note de cadrage doit replacer le projet dans son contexte, en dfinir les grandes
lignes fonctionnelles et les avantages / gains attendus au travers dune tude
conomique (retour sur investissement).
Vrifier que le cahier des charges / la description fonctionnelle traite des aspects de
scurit et de contrle interne.
Sassurer de la prise en compte du systme dhabilitation lors de la conception dune
application.
Objectifs/points de contrle.
La mthodologie de dveloppement des systmes prvoit-elle une analyse des
solutions alternatives susceptibles de satisfaire les demandes des utilisateurs ?
La mthodologie de dveloppement prvoit-elle une tude de faisabilit technologique
et conomique de chacune des solutions envisages pour rpondre aux besoins de la
banque ?
Dans le cadre de lanalyse des solutions alternatives, la banque ralise-t-elle une
analyse des risques qui comprend : lidentification des menaces de scurit, des points
163
Objectifs/points de contrle.
Le plan de travail de dveloppement est-il labor et mis jour priodiquement et
couvre-t-il le dveloppement et la maintenance (volutive et corrective), avec une partie
rserve aux demandes inopines non prvues ?
Une mthodologie gnrale est-elle suivie et une tude particulire est-elle ralise, lors
de la conception des applications, sur le choix des contrles programms / automatiss
et des contrles utilisateurs en amont et en aval du traitement de linformation et, si cette
tude existe, prend-elle en compte le niveau de sensibilit des donnes ?
La banque a-t-elle dfini des normes concernant lutilisation doutils de dveloppement
(langage, Atelier de Gnie Logiciel, gnrateur de code, gnrateur de jeux dessai,
production de la documentation, ) ?
Existe-t-il une sparation effective entre les environnements de dveloppement et
dexploitation ?
Les droits daccs du personnel des quipes de dveloppement interdisent-ils laccs
permanent en criture (ajout, suppression, modification) aux chanes de traitement,
programmes et donnes de lenvironnement dexploitation ?
Des mesures spcifiques sont-elle prvues pour limiter laccs en lecture aux donnes
sensibles / confidentielles de lenvironnement de production ?
164
165
166
Objectifs/points de contrle.
La mthodologie de dveloppement prvoit-elle une procdure de recette (pralable la
mise en exploitation) par les dpartements utilisateurs, des nouvelles applications ou
des modifications aux applications existantes ?
Le dossier de recette des utilisateurs dfinit-il les rgles de gestion et les scnarios
tester qui en dcoulent ?
La recette finale est-elle prononce aprs une valuation et une approbation formalises
des rsultats des tests par les dpartements utilisateurs (ou la MOA) et les services
informatiques ?
Lorsque ncessaire, la mthode de dveloppement prvoit-elle la conversion / migration
/ reprise des donnes de lancien systme, conformment un plan prdfini ?
Existe-t-il une procdure formalise de mise en exploitation de toute nouvelle application
ou modification aux systmes existants ? Cette procdure spare-t-elle clairement les
fonctions de dveloppement et d'exploitation ?
Risques.
Efficacit, efficience, intgrit, disponibilit.
Approches daudit & sondages.
Un procs verbal de recette doit tre co-sign par le responsable du projet / de
lapplication informatique et les responsables des dpartements utilisateurs (ou la MOA).
Contrler que le dossier de recette identifie correctement les rgles de gestion et les
scnarios de tests correspondants.
Contrler lexistence des Procs Verbaux de recette, et vrifier que les demandes de
mise en exploitation sont formalises sur un document adquat et quelles intgrent
lapprobation des dpartements concerns (Etudes, Utilisateurs, Exploitation).
167
Vrifier lexistence dun plan de conversion / migration / reprise des donnes des
anciennes applications avec une estimation des ressources (humaines et matrielles)
ncessaires ces travaux.
Vrifier sur quelques applications ayant ncessit une reprise des donnes que la
mthodologie a t applique et que les procdures de reprise ont t correctement
formalises et planifies.
Contrler lexistence de cette procdure et vrifier la sparation des responsabilits
entre les secteurs Etudes et Exploitation.
Vrifier que la mise en exploitation des applications et des modifications aux
programmes nest jamais effectue directement par les quipes de dveloppement.
4. Exploitation informatique.
4.1 Suivi de lexploitation.
Objectifs/points de contrle.
Existe-t-il des procdures dexploitation du systme informatique ?
Ces procdures dcrivent-elles lexploitation des systmes centraux et des systmes
dcentraliss / distribus (par exemple : les systmes installs sur des serveurs du
rseau local) ?
LExploitation Informatique a-t-elle dfini des contrats de service avec les utilisateurs ?
Ces contrats ont-ils t formaliss et signs par les parties ?
Le secteur tient-il un tableau de bord reprenant les indicateurs de qualit / performance
prvus dans les contrats de service ?
Les travaux dexploitation sont-ils correctement planifis pour utiliser au mieux les
ressources et atteindre les objectifs cits dans les contrats de service ?
Les travaux non planifis (ou exceptionnels) sont-ils analyss et approuvs
pralablement leur inclusion dans le plan de travail ?
Existe-t-il des journaux (logs) dexploitation permettant de vrifier lexcution et la
bonne fin des traitements ?
La bonne fin des travaux est-elle contrle (rception des fichiers, excution correcte de
tous les programmes, transmissions de fichiers, impression, faonnage) ?
Risques.
Efficacit, efficience, conformit, intgrit, disponibilit.
Approches daudit & sondages.
Prendre connaissance des procdures existantes (documentation disponible).
Vrifier lexistence dune documentation qui recense les diverses tches dexploitation
(par exemple : manuel oprateur).
Vrifier que toutes les applications et plates-formes / systmes informatiques sont
effectivement couverts par ces procdures.
Vrifier lexistence de contrats de service entre le dpartement informatique et les
utilisateurs.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la
disponibilit, la fiabilit, la performance, le support aux utilisateurs, la rsolution des
incidents et la mise en place des changements.
Les niveaux de service doivent tre des donnes facilement quantifiables, par exemple :
le taux de disponibilit du systme pour les utilisateurs, les temps de rponse, le respect
des horaires de production, le nombre dincidents et leur dlai moyen de rsolution, les
mises en place des changements (nouveaux programmes, volutions ou corrections
dans les programmes existants).
168
Contrler que les quipes dexploitation disposent en permanence dun plan de travail
incluant les travaux journaliers, priodiques et exceptionnels.
Vrifier que les heures de mise disposition des applications ne perturbent pas les
activits des utilisateurs.
Se faire communiquer le relev de contrle et danalyse des journaux dexploitation.
Sassurer que les contrles des journaux (logs) dexploitation permettent de suivre
lexcution et la bonne fin des travaux informatiques.
Vrifier, partir de ces documents, quil est possible de retracer facilement les incidents
dexploitation.
Objectifs/points de contrle.
La capacit et la performance des diffrents composants du systme sont-elles
rgulirement mesures ?
Quelle utilisation est faite de ces mesures ?
Les achats dquipements dinformatique distribus (matriels et logiciels) sont-ils
effectus sur la base dun catalogue labor conjointement par le dpartement des
achats et le dpartement informatique ?
Les supports originaux et les licences des progiciels, des systmes dexploitation et des
outils bureautique sont-ils conservs dans un lieu scuris ?
Le dpartement informatique tient-il un inventaire des matriels et logiciels pour les
systmes informatiques centraux et pour linformatique distribue (serveurs de rseau
local et postes de travail) ?
Un inventaire physique des matriels et des logiciels est-il rgulirement effectu ? Les
anomalies releves lors dun inventaire sont-elles corriges dans les meilleurs dlais,
avec mise jour approprie (aprs analyse), de linventaire informatique et comptable ?
Linventaire des progiciels est-il galement confront au stock des licences pour
sassurer de ladquation du nombre de licences ?
Risques.
Efficacit, efficience, conformit, intgrit, disponibilit.
Approches daudit & sondages.
Contrler que les lments de charge et de performance sont rgulirement mesurs et
analyss. Par exemple : les volumes des donnes traites, les temps de traitement,
lespace disque utilis, lutilisation des imprimantes, la puissance machine utilise,
lutilisation de la mmoire, la charge du rseau et des lignes de tlcommunications, etc.
Vrifier que ce catalogue rsulte dune analyse technique et conomique des solutions
disponibles.
Vrifier que les licences de logiciel et les supports sont regroups et correctement
stocks dans un endroit accs restreint.
Vrifier que cet inventaire existe et quil est rgulirement mis a jour lors des transferts,
des nouvelles acquisitions ou des mises au rebut.
Contrler que linventaire est ralis sur une base priodique (au minimum annuelle) et
que les diffrences sont justifies.
Objectifs/points de contrle.
Existe-t-il une organisation et des outils / procdures adapts pour identifier et
169
journaliser les incidents dexploitation par nature et pour suivre les actions engages en
vue dy remdier ?
La direction du dpartement informatique a-t-elle dfini une procdure descalade
(remonte) des problmes afin de sassurer quils sont rsolus de la manire la plus
efficace ?
Les procdures de gestion des incidents prvoient-elles de rechercher les causes
originelles des incidents (par exemple : changement de systme dexploitation ou mise
en production dune nouvelle application) ?
Existe-t-il des procdures de reprise des traitements et de restauration des donnes
partir des sauvegardes et des procdures de mise en uvre dun fonctionnement en
mode dgrad en cas dincident ?
Existe-t-il, au sein de lexploitation, une fonction dassistance / support aux utilisateurs ?
Le personnel en charge de cette fonction travaille-t-il en troite collaboration avec le
personnel en charge de la gestion des incidents ?
Toutes les demandes dassistance / requtes des utilisateurs sont-elles correctement
enregistres par la cellule dassistance ?
Existe-t-il une procdure descalade au sein du dpartement informatique pour les
demandes des utilisateurs qui ne peuvent pas tre rsolues immdiatement par lquipe
de support de premier niveau ?
Le management du dpartement informatique exerce-t-il un suivi priodique pour
sassurer que le traitement des demandes des utilisateurs seffectue en temps voulu ?
Risques.
Efficacit, efficience, intgrit, disponibilit.
Approches daudit & sondages.
Vrifier lexistence de cette organisation et de ces outils / procdures, et se faire
communiquer le reporting relatif aux incidents afin den apprcier ladquation.
Vrifier que cette procdure prvoit les critres et modalits descalade aux niveaux
hirarchiques et dexpertise successifs pour la rsolution des problmes, en tenant
compte de la gravit des problmes et de leur priorit de rsolution.
Vrifier que les causes des incidents sont analyses au travers des documents de suivi /
reporting des incidents.
Vrifier lexistence, dans les dossiers dexploitation, de procdures de reprise /
restauration et de mise en uvre dun mode dgrad en cas dincident.
Vrifier dans lorganigramme que cette fonction est effectivement couverte et que les
ressources sont suffisantes par rapport la population des utilisateurs.
Sonder quelques utilisateurs cet gard pour valuer leur niveau de satisfaction.
Se faire communiquer le registre des demandes dassistance / requtes afin dvaluer
ladquation de leur enregistrement.
A partir du registre, contrler que les demandes sont rsolues dans les plus brefs dlais
et que les procdures descalade entre les diffrents niveaux de support sont
respectes.
Objectifs/points de contrle.
Des procdures de sauvegarde des donnes ont-elles t prvues pour les diffrentes
applications et les diffrents systmes, conformment la politique de sauvegarde de
la banque ?
Ces procdures dcrivent-elles les cycles de sauvegarde, les priodes de rtention
170
58
Risques.
Efficacit, efficience, intgrit, disponibilit.
Approches daudit & sondages.
Vrifier que ces procdures couvrent lintgralit des sauvegardes, savoir (pour les
systmes centraux et dcentraliss) : Systmes dexploitation et configurations systme
(y compris les SGBD ), Sources, excutables et donnes de production des
applications, environnements de dveloppement / de tests, environnements du rseau
local (y compris les serveurs de fichiers et de messagerie et les postes de travail des
utilisateurs.
Vrifier que la documentation fait galement lobjet de procdures de sauvegarde.
Vrifier que, pour chaque type de sauvegarde cit ci-dessus, ces lments ont t
dfinis et quils sont pertinents par rapport aux besoins exprims en terme dactivit
(notamment vis vis de la nature des donnes sauvegardes et de leur dure de
conservation).
Vrifier que les sauvegardes de recours sont transfres vers un site extrieur dans les
meilleurs dlais.
Se faire communiquer les documents de gestion de la mdiathque : mouvements en
entre et sortie, inventaire priodique, correction des anomalies. Si les documents de
suivi et dinventaire sont inadquats, procder un inventaire physique par sondage et
le rapprocher de linventaire informatique.
Se faire communiquer les comptes-rendus des tests et analyser les actions qui sont
prises suite la dtection danomalies.
En cas de doute sur la lisibilit des supports de sauvegarde, faire ventuellement
effectuer un test par sondage pour sassurer quils sont lisibles et quils contiennent
effectivement les donnes prvues par le plan de sauvegarde.
Vrifier que les procdures darchivage ont t labores en tenant compte des besoins
propres lactivit et des besoins lgaux et rglementaires.
59
57
58
Cette fonction ne doit pas tre confondue avec la sauvegarde, qui vise permettre une reprise des traitements aprs un incident . Larchivage reprsente le besoin de conservation
pour des buts fonctionnels lis lactivit de lentreprise (besoins internes, lgaux et rglementaires).
59
171
Objectifs/points de contrle.
Existe-t-il des procdures formalises pour la mise en production de modifications aux
systmes applicatifs existants ?
Risques.
Efficacit, efficience, intgrit, disponibilit.
Approches daudit & sondages.
Vrifier que ces procdures incluent la mise jour ventuelle des programmes
denchanement des applications, des tests dintgration, de non rgression et de prproduction ventuellement (en cas de modifications importantes ou complexes)
pralablement la mise en exploitation effective.
A partir des demandes de mises en exploitation, effectuer un sondage sur des
applications rcemment modifies.
Objectifs/points de contrle.
Existe-t-il une fonction d'administration des logiciels systme (systmes
dexploitation...), qui a la responsabilit de leur installation, de leur suivi et de la gestion
de leurs volutions?
Existe-t-il une fonction d'administration des rseaux / tlcommunications, qui a la
responsabilit de leur installation, de leur suivi et de la gestion de leurs volutions?
Risques.
Efficacit, efficience, intgrit, disponibilit.
Approches daudit & sondages.
Vrifier lexistence de cette fonction dans lorganigramme du dpartement informatique,
avec une description de fonction dtaille.
172
Chapitre 3 :
Mission d'audit de la Salle des
Marchs.
173
60
174
La mission aura pour objet dapprcier comment sont couverts les risques lis l'activit
de march. Parmi les familles de risques recenses, seront principalement concerns
les risques de gestion, oprationnels, dontologiques, de fraude, dimage, de crdit,
commerciaux et juridiques.
Laudit de la salle des marchs devra mesurer le niveau des risques, leur volution, et
lavancement des plans dactions correcteurs.
Rappel de larborescence de la dmarche daudit systmique :
Mission : nom de la mission objet de laudit.
Thme : libell du thme auditer.
Sous-thmes : libell du sous-thme appartenant au thme audit.
Objectifs/points de contrle : points de contrle vrifier via un questionnaire.
Risques : risques inhrents au thme/sous-thme audit.
Approches daudit et sondages : approches daudit et de sondages raliser.
Objectifs/points de contrle.
Une stratgie a-t-elle t dfinie?
Cette stratgie est-elle en phase avec celle de la banque?
La stratgie prend-elle en ligne de compte tous les risques inhrents lactivit ?
Un budget a-t-il t labor?
La direction de la banque est-elle implique dans la procdure budgtaire?
Risques.
Risque de gestion : une stratgie doit tre labore et doit tre en phase avec celle
de la banque.
Approches daudit & sondages.
Plan triennal, notes internes, Budget.
Ces documents permettront plus probablement de mieux comprendre les activits de la
banque que de trouver des anomalies ou dysfonctionnements.
Examiner la procdure budgtaire en lisant les courriers, les notes, les projets, etc.
Objectifs/points de contrle.
Lactivit a-t-elle t clairement dfinie et mise en place ?
Les tches des employs sont-elles clairement dfinies? ny a-t-il pas de
chevauchements ?
La hirarchie des teneurs de livres comptabiliss en mark-to-market est-elle diffrente
de ceux comptabiliss en couru ?
175
Sinon, les oprations internes entre des desks anims par la mme hirarchie sont-elles
interdites ?
La rpartition des traders concide telle avec celle des vendeurs ?
Tous les vendeurs peuvent-ils effectuer des oprations avec les clients ?
Sont-ils dment autoriss ?
Les vendeurs prennent-ils des positions non couvertes ?
Risques.
Risque de gestion.
Risque de fraude : les gains ou les pertes pourraient tre basculs dun livre lautre.
Risque oprationnel : les traders pourraient passer plus de temps coter des oprations
qu ngocier.
Risque commercial : des cotations trop longues pourraient entraner la perte de client.
Risque dontologique : les vendeurs pourraient conclure des oprations en dehors de
leur dlgation.
Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors
de leur dlgation en matire de risque de march.
Approches daudit & sondages.
Dfinition de poste, organigramme, notes internes.
Analyser laffectation des traders et des vendeurs aux clients, aux diffrents produits,
aux diffrentes devises au moyen des statistiques (nombre doprations, volumes) et en
fonction des rsultats.
Organigramme, liste des livres de trading avec le plan de comptes.
Analyser laffectation des traders par rapport aux besoins de la force de vente.
Vrifier la dlgation de chaque vendeur et la comparer avec les produits traits.
Point de contrle difficile vrifier. Analyser le courant doprations pour voir si les
vendeurs peuvent un moment quelconque prendre des positions ouvertes sans les
dclarer.
Le contrle le plus important est celui effectu lors de la rception par un secteur
indpendant des confirmations et des rclamations des clients.
Objectifs/points de contrle.
Une stratgie a-t-elle t dfinie pour les activits de trading ?
Risques.
Risque financier. La stratgie en matire de trading pourrait tre trop risque.
Approches daudit & sondages.
Examiner le livre des positions de trading et vrifier que son volution correspond
effectivement cette stratgie.
Examen des positions du book de trading. Analyser particulirement les positions des
jours qui ont enregistr les plus gros gains ou les plus grosses pertes et demander des
explications. Lexplication pourrait se trouver dans des risques non pris en ligne de
compte (effet smile ) plutt que dans la stratgie de trading.
176
Objectifs/points de contrle.
Les analyses envoyes au client sont-elles ralises par des membres du personnel
autoriss et qualifis ?
Risques.
Risque dimage. Risque dontologique.
Approches daudit & sondages.
Examen des analyses sur le march envoyes aux clients.
Objectifs/points de contrle.
Quels sont les diffrents comits auxquels le responsable du trading participe ?
Quelle est la nature des relations qui existent entre le front office et les autres secteurs :
back office, middle office, comptabilit, engagements ?
La contribution des vendeurs est-elle clairement identifie (marge, rmunration des
vendeurs, mid-market) et calcule par un secteur indpendant ?
Risques.
Risque de gestion : une mauvaise coordination entre les secteurs pourrait entraner
des pertes financires ou des occasions perdues.
Risque financier : un calcul erron de la contribution pourrait entraner le paiement
de primes injustifies.
Approches daudit & sondages.
Examiner les procs verbaux des runions. Quelques points peuvent y tre voqus et
servir aux investigations : problmes de partage des gains, mauvaise qualit des
traitements, etc
Vrifier par un examen ou par des interrogations dans le systme lexactitude de la
contribution des vendeurs
Objectifs/points de contrle.
Les avis dopr contiennent-ils toutes les informations ncessaires au traitement des
oprations ? 61
Les oprations sont-elles pr-affectes un secteur dtermin ?
Existe-t-il une piste daudit pour chaque ticket ?
Les tickets de transaction sont-ils horodats ? 62
Existe-t-il une piste daudit en cas dannulation ou de modification?
Dans le cas o le Front Office peut annuler ou modifier des oprations (et
particulirement les oprations chues) dans les systmes FO et BO, la validit de ces
annulations/modifications est-elle contrle de faon indpendante ?
Des heures limites de traitement des oprations ont-elles t fixes ? sont-elles
respectes ?
61
Principes de dontologie spcifiques aux activits de marchs financiers : Les ngociateurs sont responsables des informations renseignes sur les tickets doprs. Ils
doivent veiller ce quils soient correctement remplis et viss, et transmis dans les meilleurs dlais aux services de traitement.
Principes de dontologie spcifiques aux activits de marchs financiers : Les ordres de la clientle sont enregistrs chronologiquement ds leur rception (horodatage).
62
177
Risques.
Risque oprationnel et financier. Risque de mauvaise interprtation des ordres par le
back office.
Risque financier : une affectation a posteriori pourrait amener un transfert de gains
dun secteur un autre.
Risque oprationnel. En cas de contrle, la piste daudit de chaque ticket doit tre
taye.
Risque de fraude : le FO pourrait modifier les oprations sans que les secteurs
administratifs en soient informs. La modification dune opration chue peut
changer le rsultat.
Risque oprationnel : des oprations peuvent avoir t inities et non traites.
Risque financier : certaines oprations pourraient tre effectues linsu de la banque.
Approches daudit & sondages.
Procder par sondage sur les tickets dopr pour sassurer de leur exactitude.
Vrifier que la procdure assure ce contrle. Les traders chargs de plusieurs
desks/portefeuilles devraient faire lobjet dune attention toute particulire. Des
procdures particulires devraient sappliquer pour ces personnes.
Examiner les tickets de transaction.
Lorsque les oprations ne sont pas matrialises par un ticket mais saisies directement
dans un systme, examiner lheure de saisie des diffrentes oprations afin de mettre
en lumire dventuelles concentrations inhabituelles.
Examiner les annulations/modifications.
Dans le cas dun systme informatique intgr, examiner les fonctionnalits pour vrifier
quune piste daudit est conserve pour les oprations annules ou modifies.
Procdures internes.
Examen des tickets de la salle.
Vrifier les procdures relatives aux oprations hors site.
Sassurer que lautorisation a t donne par la direction et le dontologue.
Sassurer que ces oprations sont effectues dans les conditions de scurit voulues. :
sparation des fonctions, justificatif de lopration, et contrles par le Middle Office
respects.
Objectifs/points de contrle.
Chaque oprateur tient-il un tat rcapitulatif des oprations soit manuellement soit par
lintermdiaire dun systme FO?
Les oprations sont-elles enregistres dans lordre chronologique sur cet tat.64 ?
La position (position de change, solde, impasse en taux, sensibilit, delta, ) de chaque
trader est-elle toujours disponible et constamment mise jour ?
Le primtre de la position du trader couvre-t-il exactement ce quil est cens couvrir ?
63
Principes de dontologie spcifiques aux activits de marchs financiers : Les ngociateurs susceptibles de raliser une transaction sur un instrument financier en dehors des
horaires et de leur lieu de travail habituels doivent pralablement obtenir une habilitation spcifique de leur hirarchie, vise par le dontologue, de telle sorte que les modalits
dintervention assurent la scurit requise.
64
Les ngociateurs veillent aussi lenregistrement chronologique des ordres reus, transmis et excuts.
178
Les avis de positions provenant dautres secteurs sont-ils envoys en temps opportun et
en bonne et due forme ?
Toutes les positions du FO sont-elles rapproches avec celles du BO ?
Toutes les positions prises par les autres secteurs sont- elles bien prises en ligne de
compte dans le rapprochement?
Dans le cas dun systme FO automatis, une solution de secours de suivi des positions
est-elle en place et a -t- elle t teste ?
Dans le cas o le client a des positions ouvertes avec la banque (oprations de gr
gr), les vendeurs ont-ils accs en temps rel la position du client rvalue ?
Dispose-t-on dune lettre de dcharge, signe par le niveau N+1 de la hirarchie de
linterlocuteur habituel pour les reports de terme cours historiques ?
Risques.
Risque oprationnel : labsence dune piste daudit rend impossible tout contrle de
second niveau.
Risque financier. La position du trader doit pouvoir tre connue tout moment.
Autrement, en cas dvolution dfavorable du march et dabsence du trader, la
banque ne sera pas en mesure de rduire la position.
Risque oprationnel : le cambiste pourrait surveiller une position qui ne couvre pas le
primtre quelle devrait couvrir (notamment lorsque cette position est suivie laide
dun systme FO).
Risque financier : le trader peut ne pas tre inform des positions (trsorerie,
changes, ) prises par dautres secteurs.
Risque financier : les positions non communiques ou non rconcilies sont
responsables de positions inexactes qui peuvent gnrer des pertes.
Risque Financier : la position doit tre disponible en cas de panne du systme.
Autrement des pertes peuvent tre encourues.
Risque commercial et financier : en cas dvolution dfavorable du march, les
vendeurs doivent tre en mesure de conseiller le client, tout particulirement dans le
cas des produits volatils (drivs).
Risque de crdit : le client peut dissimuler des pertes ou des gains. La banque
pourrait faire lobjet de poursuites pour soutien illgal ou pour vasion fiscale.
Approches daudit & sondages.
Vrifier les tats rcapitulatifs du trader ou sassurer que le systme FO assure cette
fonction.
Examiner ltat pour sassurer que les oprations sont enregistres dans lordre
chronologique.
Sassurer que ltat rcapitulatif du trader est bien disponible.
Dans le cas dun systme FO, sassurer que les oprations sont saisies immdiatement
en vrifiant les heures de saisie des oprations pour mettre en vidence dventuelles
concentrations inhabituelles ou des oprations tardives.
Dans le cas dun systme FO, vrifier la codification du portefeuille/primtre de la
position.
Examiner les positions communiques aux traders par les autres secteurs (production,
commercial, ). Des positions non communiques temps pourraient tre mises en
vidence au cours du rapprochement des positions entre le FO et le BO.
Vrifier le type des rapprochements effectus sur les positions et sassurer de leur
efficacit. Sassurer que ces rapprochements sont effectus rgulirement.
Examiner les positions provenant des autres secteurs pour sassurer quelles sont
communiques en temps voulu.
179
Objectifs/points de contrle.
Le FO est-il en mesure de suivre ses risques de march ?
Le FO est mme de suivre ses risques de contrepartie ?
Risques.
Risque financier : le FO peut ne pas tre mme de suivre ses risques de march. Il
peut dpasser la limite (dans le cas dune variation brusque sur le march par
exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans
les limites.
Risque de crdit : le FO peut initier des oprations avec des clients sans que des lignes
de crdit soient disponibles ou dans le cadre de lignes de crdit non
autorises.
Approches daudit & sondages.
Sassurer que le FO dispose des moyens matriels pour suivre ses limites de risques de
march.
Examiner les utilisations afin didentifier tout dpassement de limites de ce fait.
Dans lventualit o le FO na pas de moyen pour suivre les limites et prtend que les
limites sont suivies au feeling, sassurer que lutilisation nest pas proche de la limite.
Sassurer que le FO a les moyens matriels pour suivre ses limites de risques de
contrepartie.
Passer en revue les utilisations pour identifier tout dpassement de limites de ce fait.
Objectifs/points de contrle.
Existe-t-il des contrles permettant de sassurer que toutes les oprations inities par le
FO sont matrialises ? 65
Existe-t-il une procdure denregistrement des conversations tlphoniques ?
Les enregistrements sont-ils conservs dans un endroit dont laccs est limit aux
personnes dment autorises et interdit aux membres du FO ?
Les enregistrements sont-ils conservs pendant une dure minimum de 6 mois
conformment aux rglementations locales ?
Les personnes habilites couter les conversations ontelles t approuves par le
dontologue ?
Lorsquune conversation tlphonique est coute, le personnel concern est-il autoris
entendre la conversation incrimine ? 66
65
les SDM ont lobligation de procder lenregistrement des conversations tlphoniques de tous les ngociateurs dinstruments financiers et des collaborateurs qui sans tre
ngociateurs participent la relation commerciale avec les donneurs d'ordres, en tenant compte de lapprciation du dontologue concern et des montants et risques en
cause. Ces enregistrements ont pour fin de faciliter les contrles de la rgularit des oprations , leur conformit aux instructions des donneurs dordres et la rsolution
dventuels litiges.
66
Ces enregistrements sont conservs dans un endroit dont laccs est strictement rserv aux personnes autorises. La dure de conservation obligatoire des enregistrements
est fixe 6 mois et ne peut en aucune faon excder cinq ans, sauf obligation nationale diffrente. Laudition des enregistrements des conversations tlphoniques, peut tre
effectue par le dontologue des fins de preuve en cas de litiges ou des fins de contrle. Si le dontologue ne procde pas lui mme laudition, celle ci ne peut intervenir
180
Risques.
Risque oprationnel : la contrepartie pourrait contester une opration qui ne serait
pas taye par un justificatif (communication tlphonique, communication par
Reuter ).
Risque oprationnel : la preuve doprations pourrait ne pas tre suffisamment
protge.
Approches daudit & sondages.
Sassurer que la salle dispose des moyens ncessaires pour enregistrer toutes les
conversations tlphoniques ou les communications par Reuter ou pour fournir tout
autre justificatif des oprations.
Sassurer que laccs au systme denregistrement de conversations tlphoniques est
protg.
Vrifier que les enregistrements sont conservs au moins six mois et conformment aux
rglementations locales.
Sassurer que le dontologue a bien donn son accord sur les personnes habilites
couter les conversations tlphoniques.
Est-il interdit aux traders et leurs assistants deffectuer les tches suivantes : 67
rdiger, valider et envoyer des confirmations ou des contrats de trading ?
enregistrer les oprations de trading, tenir les livres de positions et des chanciers,
prparer des rapports dactivit quotidiens et des tats de positions ( lexception
des notes pour informer les traders sur les positions prises) ?
rvaluer les positions rgulirement et dterminer les gains ou les pertes pour les
comptes officiels ?
dnouer les oprations ou effectuer dautres fonctions de paiement ou de rception
de fonds, telles que lmission ou la rception et le traitement doprations par cble
ou par courrier, des effets ou des lettres de change ?
recevoir les confirmations des contreparties et les marier avec les contrats ou les
avis de courtiers, suivre les confirmations en suspens et corriger les erreurs qui sy
rapportent et autres fonctions de traitement similaires ?
grer et rapprocher les comptes Nostri et autres comptes dbiteurs et crditeurs
concerns par les activits de trading ?
prparer, approuver et enregistrer toute autre criture comptable ?
Une unit indpendante de la salle est elle charge de revoir les rapports quotidiens
pour dtecter les dpassements de limites de trading autorises ?
quavec son accord ou laccord dune personne dsigne par lui. Le collaborateur dont les conversations sont enregistres dispose du droit dcouter lenregistrement en cause
en cas daudition.
67
Principes de dontologie spcifiques aux activits de marchs financiers La scurit des transactions est notamment assure par le respect du principe de sparation des
fonctions de ngociation ( front office ) et de traitement ( middle et back office ). Ces fonctions relvent dorganisation et de hirarchie diffrentes. Elles ne doivent en aucun
cas tre assumes par la mme personne.
181
Risques.
Risque de fraude. Les traders peuvent confirmer des transactions sans en informer le
BO. Des positions peuvent tre prises linsu de la banque.
Les traders peuvent manipuler les livres de manire gnrer des gains fictifs ou
dissimuler des pertes.
Les traders peuvent manipuler les rvaluations pour gonfler les gains artificiellement.
Les traders peuvent initier des paiements linsu de la banque.
Des positions, des gains ou des pertes peuvent tre cachs la banque.
Les traders peuvent dissimuler des irrgularits dans les Nostri occasionnes par
des oprations effectues linsu de la banque.
Les traders peuvent manipuler les critures comptables pour gnrer des gains fictifs.
Les traders peuvent ouvrir des comptes linsu de la Banque afin de dissimuler des
pertes ou des gains et de les virer sur dautres comptes.
Risque de fraude : les dpassements de limites peuvent ne pas tre signals et ainsi
gnrer des pertes suprieures aux stop-loss officiels.
Approches daudit & sondages.
Sassurer que les points de contrle suivants sont respects.
Examiner les contrats et les confirmations pour sassurer quaucun(e) nest sign(e) ni
envoy(e) par des traders ou par quiconque leur soit rattach.
Vrifier la liste des signatures autorises et des pouvoirs pour sassurer que tous les
traders et leurs assistants en sont exclues.
Sassurer quaucune criture comptable nest saisie directement par les traders et
quaucune position nest tenue par eux.
Sassurer que la comptabilit effectue ces tches indpendamment sans intervention du
FO.
Vrifier que le secteur comptabilit est indpendant du FO dans le cadre de ses
rvaluations et de ses calculs de pertes et profits.
Tous les chiffres utiliss par le secteur comptabilit doivent pralablement tre valids
par le BO (ou par un secteur administratif).
Sassurer que les traders nont pas accs aux systmes (Swift, telex ) ou aux moyens
de paiement (lettres de change).
Sassurer que ces fonctions sont physiquement spares.
Sassurer que les traders ne reoivent aucune confirmation. Il conviendrait dviter que
des tlcopies, telex, etc ne soient reus dans la salle. Si un telex ou un tlcopieur est
ncessaire dans la salle, il y a lieu de sassurer quaucune confirmation ne peut tre
reue exclusivement dans la salle.
Sassurer que les comptes Nostri et autres comptes dbiteurs et crditeurs sont
rapprochs par un secteur indpendant du FO.
Sassurer quaucune criture comptable nest saisie directement par les traders.
Sassurer que le secteur comptabilit saisit ces critures lui-mme sans aucune
intervention du FO.
Sassurer que toutes les personnes rattaches au FO sont exclues de la liste des
signatures autorises et des mandataires.
Sassurer que la fonction suivi de limites nest pas rattache au FO.
Objectifs/points de contrle.
Existe-t-il un programme de visites aux clients ?
182
2. Middle-Office.
2.1 - Sparation des tches.
Objectifs/points de contrle.
La ligne hirarchique du middle office est-elle diffrente de celle des traders et des
marketers ?
Risques.
Risque financier : la non-sparation des tches pourrait tre source de conflits
dintrts et occasionner des pertes financires.
Approches daudit & sondages.
Vrifier laide de lorganigramme que les lignes hirarchiques sont bien distinctes.
2.2 - Stocks.
Objectifs/points de contrle.
Le MO calcule-t-il les risques et les rsultats sur un stock valid chaque jour par un
secteur (BO) indpendant du FO ? 68
Sil existe deux systmes (FO et BO), le MO vrifie-t-il que le rapprochement des stocks
est correctement effectu (contrle de deuxime niveau) ?
Les oprations en suspens sont-elles prises en compte dans les calculs de risques du
MO ?
Lorsque la salle ne ngocie pas sur une amplitude de 24 heures, les risques sont-ils
68
Chaque jour, partir des positions arrtes le soir prcdent et valides par le back office, la tche du middle office est de : valider les paramtres de march utiliss dans les
calculs de risques et de rsultats en contre-vrifiant auprs de sources extrieures .
183
calculs sur toutes les oprations ralises pendant la journe, y compris celles
ralises aprs lheure limite du BO ?
Risques.
Risque financier et risque de fraude : les calculs des risques et des rsultats peuvent
ne pas tre indpendants du FO ce qui impliquerait des risques de positions
caches.
Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des
stocks ce qui peut affecter les calculs de risques et de rsultats.
Risque financier : il se peut que toutes les oprations ne soient pas prises en
compte, ce qui peut entraner une estimation errone des risques de march.
Approches daudit & sondages.
Dans le cas dun systme unique, vrifier que le MO calcule les risques et les rsultats
postrieurement la validation du stock par le BO.
Lorsquil existe deux systmes (FO et BO), vrifier que le BO ou un secteur indpendant
du FO effectue un rapprochement entre les deux stocks avant le calcul du MO.
Sassurer que le MO est toujours inform des diffrences entre les stocks du FO et du
BO.
Sassurer que le MO vrifie rgulirement les rapprochements des stocks.
Vrifier la procdure en matire doprations en suspens. Cette procdure devrait
assurer un calcul des risques sur toutes les oprations effectues au cours de la journe
coule.
Objectifs/points de contrle.
Existe-t-il une procdure de contrle et de validation des prix de march ? Cette
procdure prcise-t-elle :
la rfrence indpendante des prix de march (page Reuter, courtier, )?
lheure de saisie ?
Cette procdure a-t-elle t valide par toutes les parties concernes (MO, FO, contrle
interne, BO, ) ?
Cette procdure est-elle respecte ?
En cas de saisie manuelle des prix de march, la saisie est-elle vrifie ?
Risques.
Risque financier : en labsence de procdure les prix pourraient tre manipuls en
cas de dsaccord entre le MO et le FO.
Risque oprationnel : les prix de march pourraient ne pas tre saisis correctement.
Approches daudit & sondages.
Vrifier quune procdure existe, quelle prcise la source des donnes (source, courtier
.) et lheure de saisie. Vrifier que cette procdure a t valide par toutes les
personnes concernes.
Sassurer du respect de la procdure.
Vrifier que les prix de march saisis sont correctement contrls.
184
Objectifs/points de contrle.
En cas de chargement automatique, la codification des paramtres de march est-elle
vrifie ?
Les prix de march utiliss pour les r-valuations sont-ils soumis un contrle de
cohrence?
Un contrle est-il effectu pour dtecter des alimentations incompltes ?
Risques.
Risque oprationnel : la codification pourrait tre incorrecte et par consquent des
prix de march errons pourraient tre chargs.
Risque financier : des prix de march incohrents pourraient tre utiliss, ce qui
pourrait donner un rsultat incorrect.
Risque financier : des alimentations incompltes pourraient tre la cause de rsultats
incorrects.
Approches daudit & sondages.
Sassurer que la saisie de toute nouvelle source dun paramtre de march (page
Reuter .) est doublement vrifie.
Vrifier que les changements de source (fusion dactions, nouveaux marchs) sont
traits comme il se doit.
Sassurer quil existe un contrle et quil est efficace en consultant les prix de march
sur une certaine priode et dtecter ceux qui seraient incohrents.
Sassurer que les tats danomalies sont bien vrifis et que cette vrification est
documente.
Contrler que les donnes de march sont vrifies pour sassurer que les alimentations
incompltes sont dtectes avant toute valuation de stocks.
Modifications.
Objectifs/points de contrle.
Chaque modification dans la rfrence dun prix de march est-elle justifie et
documente ?
Les modifications des prix de march sont-elles documentes?
Les prix de march sont-ils modifis et valids par un secteur indpendant du FO?
Existe-t-il une piste daudit pour chaque paramtre de march ?
Risques.
Risque financier : les rfrences pourraient tre modifies afin de manipuler les prix
de march
Risque financier : les prix de march pourraient tre manipuls.
Risque financier : en labsence dune piste daudit approprie, aucun contrle de
second niveau ne peut tre assur. Il existe par consquent un risque de
manipulation des prix de march.
Approches daudit & sondages.
Sassurer que toutes les modifications des rfrences des prix de march sont
documentes.
185
Sassurer que toute modification ou intervention sur les prix de march est taye par
un document qui nmane pas du FO.
Examiner les prix de march. Pour chacun, la source (page Reuter par exemple) et
lheure de chargement ou de saisie devrait tre disponible.
Protection des accs.
Objectifs/points de contrle.
Laccs aux prix de march et aux rfrences des prix de march est-il protg ?
Le FO peut-il forcer les donnes de march ?
Les calculs de la courbe des taux, les mthodes dinterpolation, des coefficients
dactualisation et les autres paramtres utiliss sont-ils clairement documents ?
Laccs aux calculs est-il interdit au FO ?
Risques.
Risque financier : le FO pourrait dissimuler des pertes en manipulant les prix de
march.
Risque financier : les paramtres de march pourraient tre inexacts ou manipuls
ce qui pourrait entraner des rsultats inexacts.
Approches daudit & sondages.
Vrifier que laccs aux prix de march et aux rfrences est protg.
Vrifier que le FO ne peut pas forcer les prix de march et les rfrences que sil le fait,
un contrle appropri garantit quil ne peut pas y avoir de manipulation.
Vrifier que la documentation existe et quelle est jour.
Sassurer que les calculs sont bien conformes la documentation.
Sassurer que le FO ne peut avoir accs aux calculs et les modifier.
Limites.
Objectifs/points de contrle.
La direction de la banque (le directeur de la banque ou le conseil dadministration) et les
responsables de desks sont-ils impliqus dans la fixation des limites globales de la
banque ?
Les limites globales tiennent-elles compte des exigences en matire de fonds propres ?
Les limites globales sont-elles revues aussi souvent que ncessaire et au minimum une
fois par an ?
Le responsable de la salle a-t-il fix et dcompos des limites de risques de march
oprationnelles en phase avec les limites globales ?
Risques.
Risque financier : la limite peut ne pas tre oprationnelle (parce que trop basse) ou
inutilise parce que trop importante (dans ce cas du capital serait allou inutilement).
Risque financier : les limites de certaines units peuvent tre trop leves et exposer
la Banque un risque financier (faillite).
Risque financier : du fait des fluctuations sur le march, les limites peuvent tre
obsoltes (trop faibles ou trop leves).
Risque oprationnel : les traders peuvent ne pas avoir respecter une limite
individuelle les limites globales pourraient par consquent tre dpasses.
186
Objectifs/points de contrle.
La mthodologie labore par la SDM pour le suivi des risques de march est-elle
respecte ?
Les limites globales couvrent-elles lensemble des risques de march auxquels la
banque est expose ?
Risques.
Risque financier : les risques de march pourraient tre sous-valus.
Approches daudit & sondages.
Sassurer que la mthodologie est bien respecte
Sassurer quelle couvre lensemble des risques de march inhrents lactivit.
Vrifier que la mthodologie mise en uvre fixe des limites spcifiques pour : les
chances, les devises, les produits, le march.
Sattacher la validit des modles mathmatiques, les risques de liquidit, la position
dominante sur un march donn (importantes positions sur les instruments financiers
terme par exemple)
Sinformer sur des perturbations de march rcentes qui ont affect lactivit de trading
de la banque. Sassurer que les pertes ont t contenues dans les limites prvues.
Objectifs/points de contrle.
Toutes les limites fixes (produits, maturits, devises, marchs) au FO sont-elles suivies
par un secteur indpendant ?69
Les limites sont-elles suivies au jour le jour?
Les dpassements de limites sont-ils signals conformment la procdure ? 70
Les actions correctives sont-elles suivies de prs par le MO ?
Risques.
Risque financier : le FO pourrait prendre des positions non autorises.
69
Quotidiennement, sur la base des positions front office arrtes la veille au soir et valides par le back-office, la mission des suivis dactivit est de : mesurer les niveaux
dexposition en risques de marchs en appliquant la mthodologie en vigueur et contrler le respect des limites octroyes et des rgles spcifiques de gestion spcifies dans
les dlgations.
70
En cas de franchissement de limites, alerter immdiatement par crit les hirarchies front et middle offices concernes.
187
Risque financier : les dpassements de limites qui ne sont pas signals pourraient
entraner une exposition des risques excessifs et par consquent des pertes
potentielles suprieures aux prvisions.
Risque financier : dtecter les dpassements sans suivre les actions correctives peut
inciter le FO dpasser continuellement les limites.
Une action corrective inadapte ou trop laxiste pourrait affecter la crdibilit et
lefficacit des contrles.
Approches daudit & sondages.
Sassurer que le MO assure le suivi de toutes les limites fixes au FO (chances
maximum, restrictions relatives aux produits, etc )
Sassurer que le MO est dot doutils appropris pour assurer ce suivi.
Examiner par sondage les tats de risques afin de trouver tout dpassement de limite.
Demander voir tous les tats de risque et vrifier par sondage que tous les
dpassements de limites ont bien t signals.
Vrifier pour quelques dpassements quelles actions correctives ont t prises et de
quelle manire elles ont t suivies : courrier, notes, rapports, etc.
Vrifier que les actions correctives entreprises augmentent la crdibilit du contrle. De
trop nombreux dpassements pourraient indiquer un manque de crdibilit dans le
contrle des limites.
188
Objectifs/points de contrle.
Si les systmes ne permettent pas un suivi en temps rel des limites de march, existet-il un contrle a posteriori par sondage pour sassurer que les positions en cours de
journe ne dpassent pas les limites de march ?
Ces contrles sont-ils documents ?
Risques.
Risque financier : labsence de contrle sur les oprations en cours de journe
pourrait entraner un dpassement de limites par le FO, ce qui pourrait exposer la
Banque des pertes potentielles suprieures aux prvisions.
Approches daudit & sondages.
Vrifier que le MO effectue des contrles a posteriori par sondage.
Vrifier que ces vrifications sont documentes.
Objectifs/points de contrle.
La banque est-elle en mesure de procder une valuation au cours du jour de toutes
ses positions indpendamment du FO ?
La banque a-t-elle mis en place une procdure permettant de calculer quotidiennement
les gains ou les pertes comptables indpendamment du FO ?
Risques.
Risque financier : la banque doit tre en mesure dvaluer au cours du jour ses positions
pour dterminer son rsultat latent, mme si le rsultat est en couru.
Risque financier : les rsultats doivent tre calculs par un secteur indpendant afin
dviter toute dissimulation de perte et les risques de fraude.
Approches daudit & sondages.
Sassurer que le MO a les moyens de rvaluer toutes les positions au cours du jour.
189
Sassurer que le MO a ses propres outils pour procder ces r-valuations ainsi que
des donnes valides et quil est par consquent indpendant du FO.
Vrifier que les calculs sont effectus par un secteur indpendant.
Sassurer que ce secteur a les moyens dassurer lindpendance de la production : stock
valid par le BO, indpendance des paramtres de march.
Objectifs/points de contrle.
Les rsultats sur oprations de change (relatifs la banque) sont-ils couverts auprs de
la salle des marchs au moins une fois par mois ? 71
Risques.
Risque financier : le risque de change sur les rsultats pourrait ne pas tre couvert.
Approches daudit & sondages.
Vrifier que le rsultat sur oprations de change est couvert auprs de la salle au moins
une fois par mois.
Les calculs effectus par le systme ont-ils t valids par un secteur indpendant du
FO ?
Le primtre (desk, portefeuille) de ltat de rsultats est-il vrifi rgulirement pour
sassurer que toutes les oprations sont prises en compte ?
Laccs la codification du systme de calcul et ddition des tats de rsultats est-il
interdit au FO ?
190
Objectifs/points de contrle.
Le calcul des rsultats comptables est-il soumis la validation des traders par le biais
dun rapprochement formel avec les rsultats du FO ?
Les rsultats du MO sont-ils rapprochs rgulirement des rsultats comptables? 72
Risques.
Risque financier : le rapprochement est une garantie de la validit des rsultats. Il
permet de sassurer galement que les oprateurs FO sont daccord avec les
rsultats.
Approches daudit & sondages.
Vrifier le rapprochement et sassurer que tous les carts sont expliqus et documents.
3. Back Office.
3.1 - Structure et gestion de lactivit.
Objectifs/points de contrle.
Qui est charg de contrler la productivit ?
Avec quelle priodicit la qualit de la productivit est-elle value ?
La direction dispose-t-elle de processus et doutils spcifiques pour mesurer et amliorer
72
Quotidiennement, sur la base des positions front office arrtes la veille au soir et valides par le back-office, la mission des suivis dactivit est d'effectuer des
rapprochements priodiques avec la comptabilit gnrale de la banque.
191
Objectifs/points de contrle.
Des procdures formelles existent-elles au niveau de la banque ? Ces procdures sontelles mises jour rgulirement et communiques aux membres du personnel
concerns ?
Lapplication correcte des procdures au niveau de la banque fait-elle lobjet de
vrifications rgulires ?
Risques.
La remise de procdures prcises aux membres du personnel permet de rduire les
risques oprationnels par une intervention rapide et de garantir la poursuite de
lactivit dans le respect des procdures en cas de dpart ou dabsence dun
employ occupant un poste clef.
Des erreurs de traitement peuvent survenir dans le cas dun non respect des
procdures.
Approches daudit & sondages.
Demander consulter les procdures les plus rcentes et vrifier quelles correspondent
lactivit actuelle.
Sassurer que les membres du personnel connaissent parfaitement les procdures en
vigueur.
Objectifs/points de contrle.
Le BO est-il hirarchiquement indpendant du FO ?
Existe-t-il une vritable sparation des tches entre le FO / BO / le secteur rglement?73
Des contrles spcifiques sont-ils mis en uvre pour sassurer quil existe une
indpendance totale entre le FO (qui initie les oprations), le BO (qui saisit les
oprations dans les systmes de gestion), les personnes charges des rglements et le
73
La scurit des transactions est notamment assure par le respect du principe de sparation des fonctions de ngociation ( front office ) et de traitement ( middle et back
office ). Ces fonctions relvent dorganisation et de hirarchie diffrentes. Elles ne doivent en aucun cas tre assumes par la mme personne.
192
secteur comptabilit ?
Les fonctions de rapprochement et de confirmation sont-elles assures par des
personnes diffrentes au sein du BO ?
Risques.
Des oprations frauduleuses peuvent tre conclues et traites en labsence dun
contrle appropri et dune vritable sparation des tches.
Une mme personne pourrait tre charge de lensemble du processus, ce qui
empcherait le contrle de deuxime niveau.
Approches daudit & sondages.
Demander les organigrammes, les dfinitions de postes.
Sassurer par exemple que les systmes BO ne permettent pas de saisir des oprations
dans les positions tenues par le FO. Vrifier de mme que les systmes FO ne
permettent pas le traitement et le rglement des oprations.
Par le biais dentretiens, identifier les personnes charges de ces diffrentes fonctions.
Objectifs/points de contrle.
Les tickets dopr font-ils lobjet dun horodatage ? (vrification pour sassurer que les
tickets sont correctement et rgulirement transmis au BO : exhaustivit des oprations
enregistres) .
Les tickets dopr sont-ils pr-affects aux oprateurs ou aux desks ?
Les tickets dopr sont-ils diffrents selon le type dinstrument ?
Les horodateurs sont-ils jour ?
Les tickets dopr sont-ils correctement et compltement remplis ? (exactitude des
donnes).
Les tickets dopr contiennent-ils toutes les informations requises par les rgles de
march (cela vaut aussi pour les oprations internes) ?
Les tickets dopr sont-ils signs par les traders ?
Les oprations sont-elles saisies au fil de leau et correctement ?
Les fonctions de saisie et de validation des oprations sont-elles effectivement
spares ?
Si les traders utilisent Reuters, les conversations sont-elles imprimes au BO ?
Les impressions de conversations Reuters sont-elles rgulirement vrifies par le BO ?
Les oprations internes sont-elles formalises par un ticket dopr ?
Un rapprochement est-il effectu entre les tickets dopr et les saisies dans le
systme?
Risques.
Les oprations peuvent tre saisies avec un certain retard ou incorrectement. Il
pourrait en rsulter une mauvaise valuation du risque ou une dissimulation de
postions.
Une opration conclue par le FO pourrait ne pas tre enregistre par le BO.
Il pourrait y avoir un transfert de rsultat par une affectation a posteriori.
Les tickets dopr pourraient tre incorrectement saisis.
Lhorodatage permet de connatre prcisment lheure laquelle une opration a t
conclue, ce qui peut tre utile dans le cas dune rclamation clientle.
Les oprations peuvent tre saisies de manire incorrecte.
193
Lvaluation des positions pourrait tre inexacte si le stock de position est lui-mme
inexact.
Le contrle de deuxime niveau pourrait ne pas tre assur.
Certaines transactions pourraient tre dissimules par le FO et certaines oprations
pourraient tre omises.
Les oprations internes pourraient ne pas tre documentes et par consquent
difficiles identifier.
Tous les tickets dopr pourraient ne pas tre enregistrs dans les systmes de
gestion.
Approches daudit & sondages.
Vrifier que les tickets doprations sont bien horodats au moment ou lordre client est
reu et au moment ou lexcution est acheve.
Sassurer que les tickets dopr contiennent des informations relatives au desk.
Prendre un chantillon de tickets dopr par type dinstrument et vrifier quils sont
diffrents.
Vrifier que tous les tickets dopr prcisent lheure de conclusion de lopration.
Vrifier au FO que les horodateurs indiquent les bonnes date et heure.
Prendre un chantillon de tickets dopr et vrifier quils sont compltement remplis et
quils ne comportent pas de mots rays ou effacs.
Prendre de faon alatoire quelques oprations et comparer la date dopration avec la
date de saisie, la date de valeur, la date de paiement.
Dterminer le nombre doprations saisies de faon incorrecte, rechercher les causes et
analyser les consquences.
Vrifier les signatures apposes sur les tickets dopr, les droits daccs aux systmes
et les noms des utilisateurs utiliss pour la saisie.
Vrifier la cohrence entre les tickets / les telex / les impressions Reuters.
Vrifier que les contrles relatifs aux conversations Reuters sont documents et
formaliss.
Vrifier que les tickets dopr relatifs aux oprations internes sont correctement
remplis. Sassurer quils peuvent tre facilement identifis par le BO (numros
spcifiques, archivage ). Cette vrification peut tre mene de pair avec celle des
retards de saisie.
Objectifs/points de contrle.
Les dossiers sont-ils conservs dans un endroit sr ? laccs ce local est-il protg?
Les dossiers des oprations sont-ils correctement conservs ? sont-ils complets (ticket
dopr, confirmations, ordres de paiement, fiches de saisie, documentation lgale,
messages telex et description de produits complexes, sil y a lieu ) ?
Les diffrents types doprations peuvent-ils tre aisment individualiss ? oprations
en cours ? oprations chues ?
Risques.
La protection des dossiers pourrait ne pas tre suffisamment assure.
Le suivi des oprations peut tre difficile faute dune documentation correcte.
Une comptabilisation incorrecte des oprations pourrait cacher des pertes
financires ventuelles.
194
Objectifs/points de contrle.
Existe-t-il une procdure pour la modification ou lannulation dune opration ?
Existe-t-il une piste daudit en cas dannulation ou de modification dune opration
(registre spcifique, classement des tickets dopr correspondants .) ?
Toutes les modifications/annulations sont-elles expliques, autorises par la hirarchie
et documentes ?
Des tats danomalie spcifiques sont-ils dits en cas de modification des oprations ?
Risques.
Les oprations pourraient tre modifies ou annules par les membres du personnel
sans que ces annulations ou modifications soient documentes.
Approches daudit & sondages.
Prendre un chantillon doprations modifies et annules et analyser le processus.
Objectifs/points de contrle.
Un horaire butoir a-t-il t dfini en ce qui concerne lactivit de trading (lheure limite
denvoi des derniers tickets dopr et pour arrter la journe comptable) ?
Existe-t-il une procdure formalise en ce qui concerne le traitement des oprations
conclues en dehors des heures douverture ?
Risques.
La scurit des oprations pourrait ne pas tre assure.
Approches daudit & sondages.
Demander consulter la procdure relative aux ngociations en dehors des heures
douverture.
Identifier les oprations effectues en dehors des heures douverture et analyser de
quelle manire elles ont t traites.
Objectifs/points de contrle.
Existe-t-il une procdure spcifique pour les oprations hors site ?
Risques.
La scurit des oprations pourrait ne pas tre assure .
Approches daudit & sondages.
Demander consulter la procdure relative aux ngociations hors site.
195
Identifier des oprations effectues hors site et analyser de quelle manire elles ont t
traites.
Objectifs/points de contrle.
Les stocks enregistrs dans les applications BO sont-ils constamment rapprochs avec
les systmes FO ?
Risques.
Lexactitude de la position de la banque nest pas assure en labsence dun
rapprochement des stocks appropri.
Les carts dans les stocks pourraient signifier que certaines oprations nont pas t
enregistres dans les systmes FO ou BO, entranant des valuations incorrectes.
Approches daudit & sondages.
Vrifier que les stocks sont rgulirement rapprochs (selon quelle frquence ?) et que
ces rapprochements ne mettent pas en vidence des suspens. Analyser au moins trois
rapprochements de stocks : identifier le seuil de signification des carts constats, le
niveau de dtail,
Vrifier que des rapprochements sont rgulirement effectus entre le FO et le BO.
Demander consulter au moins trois rapprochements et identifier toute opration en
suspens. Les suspens doivent tre expliqus et documents.
Objectifs/points de contrle.
Le BO procde-t-il priodiquement (lidal tant une priodicit quotidienne) un
rapprochement entre les positions FO et BO ?
Sinon de quelle manire les positions vrifier sont-elles choisies ?
Les positions du BO et de la comptabilit sont-elles rapproches priodiquement (au
moins chaque date darrt comptable)?
Risques.
Les rsultats de la Banque pourraient tre inexacts en labsence dune position
exacte des stocks.
Approches daudit & sondages.
Choisir certaines oprations et rapprocher les saisies / la rcapitulation des saisies / les
tickets dopr ou demander voir des rapprochements effectus par le BO.
Si le rapprochement est automatis, analyser les tats danomalie.
Vrifier que ltat contient toutes les positions rapprocher.
Vrifier que toutes les positions du BO sont bien enregistres dans le systme
comptable.
En cas de dversement automatique en comptabilit, vrifier quil ny a pas de suspens
ou sil y en a, quils sont identifis et documents.
196
3.11 - Suspens.
Objectifs/points de contrle.
Existe-t-il une procdure spcifique pour liquider les suspens ?
Cette procdure est-elle correctement applique ?
Les anomalies sont-elles numrotes, enregistres dans un registre interne et signales
la direction ?
Les suspens sont-ils dtects et rgls ponctuellement ?
Une piste daudit est-elle assure lorsque le suspens implique la modification ou
lannulation dune opration ?
Une analyse des suspens est-elle faite lattention de la direction : origine,
consquences financires ? Cet impact financier est-il systmatiquement affect au
desk responsable du suspens ?
Quelles actions correctives sont entreprises ? Sont - elles approuves par la direction ?
Risques.
Les suspens peuvent suggrer des erreurs de traitement par le BO et peuvent
entraner des pertes financires.
Approches daudit & sondages.
Vrifier que le BO est au courant de tous les suspens et quil en assure le suivi : si les
suspens sont mis dans un fichier spcifique, demander le consulter et procder un
examen dtaill ; nombre des suspens, explications, temps ncessaire leur
rglement
Demander consulter la procdure interne relative au rglement des suspens ou toute
note dinformation.
Objectifs/points de contrle.
Le BO est-il le seul secteur charg de lenvoi et de la rception des confirmations?
La rception ou lenvoi de confirmations par le FO est-il strictement interdit(e) ?
Le processus de confirmation est-il automatis ? Dans laffirmative, est-il suffisamment
scuris (accs swift, au telex .) ?
Les confirmations sont-elles envoyes lextrieur en temps opportun (un jour ouvrable
au plus tard aprs la date dopration) ? (FED)
Les confirmations sont-elles vrifies avant dtre envoyes ?
Ces confirmations sont-elles signes par des signataires dment autoriss ?
Existe-t-il un suivi formalis des confirmations non reues ? ou non signes ?
Est-il procd un rapprochement formel entre les tickets dopr, les confirmations
envoyes et les confirmations reues de contreparties et les saisies dans le systme?
Ce rapprochement est-il fait manuellement ou automatiquement ?
Les signatures apposes sur les confirmations sont-elles vrifies ? (FED)75
74
Risques.
En labsence dune vritable sparation des tches, des oprations pourraient tre
dissimules par le FO.
Des oprations frauduleuses peuvent tre conclues dans un environnement non
74
75
197
scuris.
Des confirmations incorrectes peuvent tre la cause de rclamations des
contreparties.
Labsence de confirmation ou une mission tardive peut entraner des saisies
incompltes.
Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en
vidence.
Une opration pourrait tre mal enregistre.
La Banque pourrait ne pas tre labri en cas de diffrend avec la contrepartie.
Approches daudit & sondages.
Vrifier que toutes les confirmations sont directement envoyes par le BO et quelles
sont conserves par ce secteur.
Vrifier que le FO ne peut pas avoir accs au processus de gnration des
confirmations.
Vrifier que les confirmations ne peuvent tre effectues que par des personnes
autorises, et quil existe une piste de connexion.
Prendre quelques confirmations et sassurer quelles contiennent toutes les informations
utiles relatives lopration et quelles sont signes par des personnes autorises.
Examiner les tats rcapitulatifs des confirmations pour identifier les oprations dont les
confirmations sont en suspens depuis plus de 15 jours (FED)76.
Vrifier si toutes les diffrences entre les confirmations envoyes par les contreparties
et les tats de la Banque sont enregistres dans un registre des anomalies. Vrifier que
toutes les irrgularits sont envoyes pour rglement un cadre indpendant de la
fonction trading. (FED) 77
Vrifier que tous les suspens ncessitant une action corrective sont rapidement
identifis, examins et rgls en temps opportun. (FED)78
Analyser les tats danomalies ventuels.
Si ce rapprochement nest pas formalis, choisir certaines oprations et raliser le test.
Demander consulter le recueil des signatures autorises des contreparties conserv
par le BO et le comparer quelques confirmations.
Objectifs/points de contrle.
Les mouvements sont-ils cumuls et enregistrs par date de valeur ? par devise ? par
correspondant ?
La banque dispose-t-elle dun systme de gestion de trsorerie fiable ?
La banque dispose-t-elle dun outil fiable de gestion de prvisions des flux ?
La prvision de liquidit et les soldes comptables sont-ils rapprochs quotidiennement ?
Les oprateurs sont-ils informs des nouvelles prvisions de position? Comment?
Risques.
Des anomalies pourraient ne pas tre dtectes.
198
Objectifs/points de contrle.
Existe-t-il une procdure formalise pour traiter les rclamations des clients ?
Toutes les rclamations sont-elles consignes dans un registre ad hoc ? Ce registre estil jour ? est-il correctement tenu (indique-t-il la nature de la rclamation, la date de
rglement, la solution apporte ) ?
Ce registre est-il rgulirement soumis laudit interne ? Est-il vis par la direction de la
banque ?
Les rclamations non rgles sont-elles soumises la direction pour dcision ? dans
quel dlai ?
Chaque rclamation de client est-elle tudie dun point de vue financier ? lincidence
est-elle affecte en analytique au desk responsable ?
Des pnalits de retard sont-elles systmatiquement demandes et payes ?
La personne charge dtudier les rclamations est-elle diffrente de celle qui initie ou
traite les oprations ?
Est-ce que les conversations tlphoniques sont enregistres ?
Risques.
La banque peut avoir payer des pnalits pcuniaires.
La sparation des tches pourrait ne pas tre assure ce qui fait obstacle un
contrle appropri. Il existe un risque de fraude du fait que des rclamations peuvent
ne pas tre suivies.
En cas de litige la piste daudit peut ne pas tre assure.
Approches daudit & sondages.
Analyser de quelle manire les rclamations sont traites par le BO. Sil existe un
registre, lexaminer.
Vrifier que la fonction examen des rclamations est assure par des personnes
indpendantes (par des entretiens, lexamen de lorganigramme).
Vrifier que les conversations sont enregistres.
4. Risque de contrepartie.
4.1 - Octroi des lignes de Crdit.
Objectifs/points de contrle.
Est-ce que les lignes pour les oprations de march font partie de la demande globale
de lignes de risque pour la contrepartie ?
Est-ce que le dpartement des engagements dispose des master agreements
signs avec chacun des clients utilisant des produits drivs ?
Est-ce que les lignes de risque sont accordes par le Comit de Crdit ?
Est-ce que le dpartement commercial est inform des lignes de risque pour les
activits de march sur les clients accrdits ?
Risques.
Risque de crdit : La demande de lignes pour les oprations de march insuffisamment
documente et motive, peut conduire une sous-estimation du risque sur un client.
Risque de crdit : Labsence de la documentation affaiblit la position de la banque en
199
Risques.
Risque de crdit : labsence de systme de gestion peut conduire une sousvaluation du risque de contrepartie.
Approches daudit & sondages.
Vrifier que lensemble des produits traits sont pris en compte par le systme de
gestion des risques de contrepartie, notamment des produits comme les instruments
dpart dans le futur.
4.3 Rvaluation.
Objectifs/points de contrle.
Dans le cas o le systme nest pas intgr, est-ce que les rvaluations des positions
clients sont ralises par un service indpendant du Front Office ?
Si le systme nest pas intgr : Est-il matris (quil soit dvelopp en interne ou achet
un fournisseur) ? Est-il scuris en terme de droit daccs, de sauvegarde et de backup ?
Est-ce que les paramtres de march servant la rvaluation pour le calcul du risque
de contrepartie sont valids par un dpartement indpendant ?
Risques.
Sparation des tches : Le Front Office peut dissimuler des pertes si cest lui qui
procde aux rvaluations des positions
Risque de crdit : le systme peut ne pas tre assez scuris et pour diverses
raisons mal valuer le risque de contrepartie.
Risque de crdit : Le risque de contrepartie peut tre mal calcul.
200
Objectifs/points de contrle.
Est-ce que les risques de contrepartie sont suivis par un service indpendant du Front
Office ?
Est-ce que les positions sont suivies sur une base continue (temps rel) et contrles
par un service indpendant du Front Office ?
Est-ce que les dpassements de limites sont notifis au responsable du desk avec copie
au management ?
Est-ce que les notifications de dpassement sont suivies ?
Risques.
Risque de Crdit :Le Front Office ne doit pas tre impliqu dans le suivi du risque de
contrepartie. Lindpendance du contrle garantit que les dpassements seront
notifis.
Risque de crdit : Les franchissements de limites non signals peuvent conduire
augmenter le risque de crdit sur un client.
Risque de crdit : Les dpassements doivent tre signals et corrigs sinon le rle
du dpartement de contrle sera diminu.
Approches daudit & sondages.
Vrifier quun dpartement rellement indpendant contrle le risque de contrepartie.
Vrifier que pour chaque dpassement une notification est envoye au responsable du
desk avec copie sa hirarchie.
Vrifier que pour chaque dpassement, les actions correctrices ont t prises partir
des mails, des mmos etc
5. Risque Juridique.
5.1 - Capacit lgale des personnes.
Objectifs/points de contrle.
Est-ce que linterlocuteur possde la capacit engager son entreprise sur des
oprations de march?
Est-ce que linterlocuteur est habilit traiter pour tous types doprations (options,
swaps de taux etc) et de montants ?
Est-ce que les employs de la banque sont autoriss traiter avec les contreparties,
pour quels types de montants et de produits ?
Risques.
Risque Juridique : La banque peut se voir reprocher des oprations au motif que la
201
Objectifs/points de contrle.
Est-ce que les contrats cadres sont signs avec les contreparties traitant des produits
drivs ?
Avant de traiter le premier deal, sil manque des contrats signs, existe-t-il un suivi ?
Est-ce que la personne qui a sign avait le pouvoir de le faire ?
Est-ce que les contrats cadres sont signs avec les contreparties travaillant en repo et
prt/emprunt de titres avec la banque ?
Risques.
Risque Juridique : le contrat cadre doit tre juridiquement valable.
Risque Juridique : labsence des contrats cadres affaiblit la position de la banque en
cas daction en justice.
Approches daudit & sondages.
Demander la validation officielle du Dpartement Juridique.
Vrifier que le contrat cadre est sign avant de raliser la premire transaction et que la
signature a t authentifie.
5.3 - Confirmations.
Objectifs/points de contrle.
Est-ce que le contenu des confirmations a t valid par un dpartement juridique?
Risques.
Risque Juridique : la confirmation doit tre juridiquement valable pour les produits
sensibles.
Approches daudit & sondages.
Vrifier que les confirmations envoyes aux clients sur les produits drivs non
standards ont t valides par le dpartement Juridique.
5.4 - Conversation tlphonique.
Objectifs/points de contrle.
Est-ce que le systme denregistrement des conversations fonctionne correctement ?
Risques.
Risque Juridique et Commercial : Mme si un enregistrement nest pas une preuve
forte, ce systme aide en cas derreur sur une opration.
202
6. Scurit Physique.
6.1 - Accs.
Objectifs/points de contrle.
Est-ce que laccs la salle des marchs est rserv aux personnes autorises ?
Risques.
Fraude : Un accs rserv est la premire tape pour viter les oprations
frauduleuses.
Approches daudit & sondages.
Vrifier que les portes sont fermes et que laccs est rserv aux membres du FrontOffice.
6.2 - Systmes.
Objectifs/points de contrle.
Est-ce que les PC et autres systmes de dealing sont dconnects en dehors des
heures de travail ?
Est-ce que le systme denregistrement des conversations fonctionne correctement ?
Risques.
Risque de fraude : Ces systmes sont protgs par des user et des
password . Une utilisation frauduleuse de ces systmes est impossible lorsque ces
systmes sont dconnects.
Risque juridique et commercial : Mme si un enregistrement nest pas une preuve
forte, cet appareil aidera sur dventuels litiges.
Approches daudit & sondages.
Vrifier que les systmes informatiques sont bien dconnects en dehors des heures de
travail.
Vrifier le fonctionnement du systme, vrifier quil existe aussi une procdure pour la
conservation des enregistrements.
6.3 - Back-up.
Objectifs/points de contrle.
Est-ce que la solution de back-up de la salle est oprationnelle ?
Risques.
Risque de continuit dactivit.
Approches daudit & sondages.
Pour ce contrle il faudra sassocier avec lauditeur en charge de la fonction
informatique.
203
204
Chapitre 4 :
Mission d'audit de la Direction des
Ressources Humaines.
205
79
206
Prparation.
Documentation spcifique demander la banque.
Parmi la documentation spcifique demande la banque au cours de la phase de
prparation, les documents suivants concernent plus particulirement la fonction
Ressources Humaines :
Organigramme de la DRH,
Systme de salaires et de bonus, avantages annexes, liste des bonus ou primes des
trois dernires annes,
Liste des heures supplmentaires par dpartement au cours des trois dernires
annes,
Liste des absences hors congs annuels au cours des trois dernires annes,
Rglement intrieur,
207
Top management,
Responsable RH (DRH).
Investigations.
La fonction RH est une fonction support. Les investigations auront donc pour objet de
sefforcer de rpondre deux types de proccupations :
Celles relatives laudit de conformit : conformit avec les accords sociaux, avec
les aspects juridiques et fiscaux, avec les budgets et avec lorganisation.
Celles relatives aux audits stratgiques : quelles sont les pratiques de rtribution, les
freins la mobilit interne, quelle est la politique de gestion des comptences, la
formation est-elle efficace, comment peut-on apprcier la qualit du climat social
Rappel de larborescence de la dmarche daudit systmique :
Mission : nom de la mission objet de laudit.
Thme : libell du thme auditer.
Sous-thmes : libell du sous-thme appartenant au thme audit.
Objectifs/points de contrle : points de contrle vrifier via un questionnaire.
Risques : risques inhrents au thme/sous-thme audit.
Approches daudit et sondages : approches daudit et de sondages raliser.
208
Nombre de personnes ddies chaque fonction par rapport la taille de la banque (en
particulier pour ladministration de personnel : Formation du personnel RH (passe et
prvue).
Stratgie.
Objectifs/points de contrle.
Qualit.
Objectifs/points de contrle.
Y a-t-il une dmarche qualit au sein de la DRH ?
Risques.
Risque oprationnel.
Efficacit non mesure.
Approches daudit & sondages.
Etudes statistiques sur les dlais de traitement des demandes (de cong, de formation,
etc.), sur les couvertures de postes, sur le suivi de la formation, la satisfaction des
stagiaires,
209
Audit.
Objectifs/points de contrle.
Les recommandations de lAudit Interne et/ou de lInspection Gnrale sont-elles
prises en compte ?
Risques.
Risque li au management, risque oprationnel.
Approches daudit & sondages.
Rponses de la DRH aux rapports dAudit Interne, respect des dlais de mise en uvre,
notes internes.
Dontologie.
Objectifs/points de contrle.
La rglementation interne et la dontologie sont-elles respectes ?
Les rgles de confidentialit sont-elles respectes au sein de la DRH ?
Risques.
Risque juridique, risque li au management,
Risque oprationnel, risque de dontologie et de compliance.
Divulgation dinformations sensibles.
Approches daudit & sondages.
Vrifier que le rglement intrieur et le code de dontologie ont t remis chaque
collaborateur, et lus (sondage),
Vrifier la scurit et la confidentialit du systme de paie et de bonus, la distribution
des fiches de paie sous pli ferm, les dossiers personnels dans un local fermant cl.
Procdures.
Objectifs/points de contrle.
210
Existe-t-il des tableaux de bords pour la Direction Gnrale, avec indicateurs quantitatifs
et qualitatifs (turn-over, dmissions, ) ? Pour le responsable de la banque ? Pour la
DRH ?
Risques.
Risque li au management. Information incomplte ou insuffisante.
Approches daudit & sondages.
Copie des tableaux de bord remis la DG et la DRH.
Ressources.
Objectifs/points de contrle.
Objectifs/points de contrle.
Y a-t-il un pilotage centralis de la fonction RH ?
Risques.
Risque oprationnel.
Approches daudit & sondages.
Mode denregistrement et de suivi des absences, embauches, dparts, formation,
2. Administration.
Dossiers du personnel.
Objectifs/points de contrle.
Les dossiers sont-ils complets ? A jour ? Correctement classs ? Confidentiels ?
Qui assure le secrtariat du personnel et la gestion des dossiers ?
Existe-t-il un systme dhabilitation pour les personnes qui ont accs aux dossiers ?
Qui signe les augmentations de salaire, les embauches, les contrats de travail, les
211
Comment la paie est-elle traite (interne, externe) ? Par qui (en interne ? par un
sous-traitant externe ?) Y a-t-il des contrles ? Un back-up ? Une sparation des
tches ?
Le processus dtablissement de la paie permet-il de sassurer que les oprations et
donnes traites sont compltes, exactes, autorises et effectues dans les dlais ?
Risques.
Risque li au management, risque oprationnel.
Non confidentialit, fraude interne.
Approches daudit & sondages.
Sondage sur les tats dits par le systme traitant la paie et vrifier leur exhaustivit,
fiabilit et dlai de traitement.
Rglementation.
Objectifs/points de contrle.
Risques.
Risque juridique, risque li au management.
Non respect des rgles locales.
Approches daudit & sondages.
Possession et utilisation dun code du travail jour.
Abonnements aux sources dinformation de mise jour de la rglementation.
Statistiques.
Objectifs/points de contrle.
Existe-t-il des statistiques jour sur : les effectifs (rpartition, classes dge,
anciennet, qualification, rmunration, taux de rotation), le march du travail dans
le secteur bancaire ?
Risques.
Risque oprationnel.
Non adaptation au march, connaissance insuffisante des donnes de base pour
gestion moyen terme des effectifs.
Approches daudit & sondages.
Documents statistiques tablis par la DRH (et sondage sur fiabilit).
Informations gnrales sur le march du travail local.
Bilan social s'il existe.
Comptabilisation des critures.
Objectifs/points de contrle.
La saisie des critures est-elle faite par les personnes en charge dtablir la paie ?
Y a-t-il des contrles tablis par la Comptabilit ou un autre secteur (autre que
DRH) ? Y a-t-il des rapprochements entre les critures comptables et les tats de
gestion ?
Risques.
Risque oprationnel.
Risque de fraude.
Approches daudit & sondages.
Comparaison des listings comptables des critures de paie et du listing du personnel en
gestion.
Comparaison des listings comptables des critures (paie et rmunrations variables, y
compris heures supplmentaires) de rmunrations variables (y compris heures
supplmentaires) et des listings de gestion de ces lments variables.
3. Gestion des carrires.
Apprciations.
Objectifs/points de contrle.
Comment fonctionne le systme dapprciation ? Les diffrents dlais (apprciation
213
Objectifs/points de contrle.
Existe-t-il un recensement et un suivi spcifique des cadres fort potentiel ?
Risques.
Risque li au management.
Mcontentement de cadres potentiel.
Approches daudit & sondages.
Entretien avec le responsable de la banque. Si le recensement existe : critres ?
Consquences ?
214
Rmunrations.
Objectifs/points de contrle.
Quel est le systme de rmunration de la banque ? Mesures collectives et
individuelles, rmunration fixe et variable. La dtermination de la partie variable est-elle
objective ?
Ses critres sont-ils prdfinis et accepts formellement par lintress ?
Les objectifs individuels sont-ils fixs a priori et non a posteriori ?
Quelles sont les modalits de rmunration des cadres suprieurs ?
Existe-t-il des systmes dintressement aux rsultats ? Comment fonctionnent-ils ?
Le personnel du dpartement RH est-il sensibilis aux risques de fraude interne et
externe en matire de rmunrations ? Des dispositions sont-elles prises pour
prvenir la fraude ?
Risques.
Risque oprationnel, risque li au management.
Absence de matrise de la masse salariale, non respect du budget, de la politique de
rmunration.
Dmissions de cadres dirigeants.
Dmotivation du personnel.
Risques de fraude.
Salaires fictifs, avantages indus.
Approches daudit & sondages.
Procdure budgtaire, comptes-rendus de runions sur mesures individuelles, rgles de
rmunration variable communiques au personnel.
Par sondage, calcul de rmunrations variables partir des critres prdfinis.
Vrification de la date de fixation des objectifs individuels.
Voir avec le responsable de la banque et la DRH les modalits crites et pratiques de
rmunration.
Vrifier que les dcisions DRH sont appliques sans modifications dans la banque.
Rgles relatives lintressement. Accord dentreprise le cas chant. Existence dun
contrle interne sur lapplication des accords (modalits de calcul).
4. Recrutement.
Politique de recrutement.
Objectifs/points de contrle.
Comment sont dfinis les besoins ? Comment sont donnes les autorisations ? Qui a le
pouvoir de recruter ?
Risques.
Risque li au management.
Approches daudit & sondages.
Procdure budgtaire. Autorisations spcifiques crites pour recrutements hors budget.
215
Besoins.
Objectifs/points de contrle.
Existe-t-il une fiche de besoin prcise pour chaque poste ?
Risques.
Risque oprationnel.
Inadaptation des postes.
Approches daudit & sondages.
Fiches de besoins.
Slection.
Objectifs/points de contrle.
Comment sont slectionnes les candidatures ? Les modes sont-ils diffrents selon
les niveaux ?
Les rles respectifs du dpartement demandeur, de la DRH et du responsable de
la banque sont-ils clairement dfinis ?
Risques.
Risque de fraude.
Non utilisation du meilleur mode de recrutement.
Risque oprationnel.
Perte de temps, demandes de personnel mal formules.
Approches daudit & sondages.
Contrat avec prestataire extrieur. Appel doffres, copie des annonces doffre demploi.
Document contractuel gnral. Profil de poste, salaire propos dcrit par le dpartement
demandeur.
Embauche.
Objectifs/points de contrle.
Existe-t-il un contrat de travail ? Est-il standard, systmatique, revu par le service
juridique ?
A lembauche, la DRH distribue-t-elle un document sur le secret professionnel, sur
les rgles dontologiques, sur lutilisation de la micro-informatique ?
Risques.
Risque de dontologie et de compliance.
Risque juridique.
Mconnaissance des rgles de base de la banque.
Approches daudit & sondages.
Documents remis aux nouveaux embauchs. (Rgles spcifiques pour les mtiers
sensibles).
216
Suivi.
Objectifs/points de contrle.
Y a-t-il un suivi formalis et systmatique des jeunes embauchs ?
Y a-t-il des statistiques sur les dmissions ? Des entretiens avec les
dmissionnaires ?
Risques.
Risque oprationnel.
Dmotivation du personnel.
Approches daudit & sondages.
Objectifs/points de contrle.
Existe-t-il un plan de formation ? Est-il respect ?
Est-il cohrent avec les moyens, les besoins, le budget, les obligations lgales ?
Des besoins sont-ils exprims ? Sont-ils pris en compte ?
Risques.
Risque oprationnel.
Formation insuffisante ou coteuse.
Formation inadapte ou non coordonne.
Approches daudit & sondages.
Plan de formation, suivi par la DRH, mode dlaboration (entretiens de formation,
remonte formalise des besoins).
Mode de dtermination des besoins, entretiens annuels de formation.
Inscriptions aux actions de formation.
Cot de la formation.
Objectifs/points de contrle.
217
Objectifs/points de contrle.
Y a-t-il un systme de retraite propre la banque ? Est-il conforme la lgislation (code
du travail) ?
Les engagements pris lgard du personnel en matire dindemnits et de
gratifications (dparts, retraites, prvoyance, mdaille du travail etc) sont-ils couverts
par une provision adquate ?
Risques.
Risque oprationnel, risque juridique, risque fiscal.
Retraites insuffisamment provisionnes.
Approches daudit & sondages.
Objectifs/points de contrle.
Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids
respectifs ?
Risques.
Risque oprationnel.
Sous ou sur-reprsentation du personnel.
Approches daudit & sondages.
Tracts, entretiens avec les reprsentants.
institutionnelles, runions formelles.
Tableau de rsultats des lections.
Existence
de
relations
Mouvements sociaux.
Objectifs/points de contrle.
La banque a-t-elle connu des mouvements sociaux ? Ont-ils t suivis ?
Des activits ou des quipements pourraient-ils tre bloqus suite des
mouvements sociaux ?
218
sociales
Risques.
Risque oprationnel.
Mauvais climat social.
Rumeurs fondes ou infondes.
Approches daudit & sondages.
Taux dabsentisme pour grve.
Existence de plans de secours.
Instruments dvaluation du climat social.
Communication interne.
Objectifs/points de contrle.
Existe-t-il un ou des journaux dentreprise ? Qui les rdige ?
Risques.
Risque oprationnel.
Mauvais climat social.
Approches daudit & sondages.
Journaux internes, entretiens avec les rdacteurs.
Prts au personnel.
Objectifs/points de contrle.
Y a-t-il des prts au personnel la consommation, immobiliers ? Existe-t-il des
rgles crites ? Les taux sont-ils attractifs ? Y a-t-il des impays ? Les prts sont-ils
remboursables en cas de dmission ?
Risques.
Risque de crdit, risque oprationnel.
Cot si les taux sont trop bas, mauvais climat social sils sont trop levs.
Approches daudit & sondages.
Rgles crites pour prts au personnel. Mode de dcision. Contrle de la DRH sur les
prts taux bonifis. Limitations, impays. Rpartition des prts consentis en fonction
des niveaux hirarchiques.
Scurit du travail.
Objectifs/points de contrle.
Existe-t-il un suivi des accidents du travail ?
Risques.
Risque oprationnel.
Risque financier et juridique.
Approches daudit & sondages.
219
Synthse.
La phase de synthse, consacre la rdaction du rapport daudit, comprendra
llaboration des constats, mais galement ltablissement dune liste de sondages.
Pour mmoire, et pour information, on rappellera ci-dessous quels sont les sondages
qui peuvent tre effectus et lists dans le rapport, et, sagissant des constats, les
domaines les plus sensibles. Sur ces domaines sensibles, une apprciation claire sera
porte dans la synthse de la fonction RH, autant que possible.
Liste des sondages possibles
220
Chapitre 5 :
Mission d'audit de la Direction
Comptable.
221
222
Comme pour toutes les fonctions, une mission daudit de la fonction comptable
comprendra une phase de prparation (collecte de documents et entretiens
prparatoires), une phase dinvestigation (entretiens systmiques et sondages) et
une phase de rdaction. Il conviendra, en thorie, de couvrir chacun des quatre
domaines lors de chaque phase.
80
La mission aura pour objet dapprcier comment sont couverts les risques lis la
fonction comptable. Parmi les familles de risques recenses, seront principalement
concerns les risques de non exhaustivit, de non qualit et de non fiabilit de
linformation comptable, de non fiabilit des comptes et des tats financiers, de non
fiabilit de linformation financire consolide, rglementaire et fiscale.
Laudit comptable devra mesurer le niveau des risques, leur volution, et
lavancement des plans dactions correcteurs.
Prparation.
Documents collecter.
Documentation gnrale :
Documentation spcialise :
Comptabilit :
80
223
A titre indicatif, nous dressons une liste dentretiens prparatoires avec certaines
entits concernes par la mission daudit comptable :
Direction comptable et financire : sinformer sur les spcificits
comptables de la banque audite,
Direction du contrle interne : obtention des rapports des auditeurs
externes, connatre leur plan de travail sur les dernires annes et sur
lanne venir (thmes de revues de procdures),
Direction Juridique et Fiscale : identification des risques juridiques ou
fiscaux ventuels,
Auditeurs externes: dysfonctionnements et zones de risques dj
identifis lors des prcdentes missions.
Travaux prparatoires :
Analyse financire et apprciation des performances de la banque.
Informations chiffres :
Les rubriques suivantes doivent tre renseignes dans un tableau (liste indicative,
adapter en fonction de lactivit) :
224
Effectuer, tous secteurs confondus, une analyse dtaille de la variation des frais
gnraux sur les trois derniers exercices. Cette analyse pourra servir lors de
laudit des frais gnraux,
Lobjectif est de relever les zones considres comme risques par les auditeurs
externes, et les intgrer la dmarche didentification des risques (comprenant
notamment la cartographie).
Apprcier ltendue de leurs travaux et notamment les thmes dintrim (revues de
procdures).
Documents exploiter : Notes de synthse des auditeurs externes des trois
dernires annes, annuels et semestriels sil en existe, Lettres de recommandations
ou rapport sur le contrle interne, Rapports sur la situation fiscale, Rapports
spcifiques.
225
Investigation.
Rappel de larborescence de la dmarche daudit systmique :
Mission : nom de la mission objet de laudit.
Thme : libell du thme auditer.
Sous-thmes : libell du sous-thme appartenant au thme audit.
Objectifs/points de contrle : points de contrle vrifier via un questionnaire.
Risques : risques inhrents au thme/sous-thme audit.
Approches daudit et sondages : approches daudit et de sondages raliser.
Objectifs/points de contrle.
Lorganisation de la fonction comptable de la banque permet-elle de satisfaire les
contraintes ou besoins de la banque et dassurer la remonte des informations
ncessaires la production des comptes ?
Le rattachement hirarchique du service comptable est-il conforme son rle et
lindpendance ncessaire la fonction?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
Approches daudit & sondages.
Obtenir lorganigramme de la banque et analyser le positionnement hirarchique du
service comptable et le pouvoir dcisionnel du responsable. La norme prvoit que le
responsable comptable soit rattach au responsable de la banque ou au directeur
financier.
Missions.
Objectifs/points de contrle.
Existe-t-il une dfinition des missions et responsabilits du service comptable ainsi
que des rgles de fonctionnement qui lui sont applicables ?
Les missions du service comptable ont-elles t dclines au niveau de chaque
collaborateur par lintermdiaire dune dfinition de fonction signe par le
responsable hirarchique et le collaborateur ?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
226
Objectifs/points de contrle.
Le service comptable dispose-t-il des ressources humaines adaptes ses
missions ?
La formation des collaborateurs du service comptable est-elle suffisante et adapte
aux besoins du service comptable ?
Le service comptable at-il une documentation suffisante et mise jour ?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
Approches daudit & sondages.
Sassurer de ladquation qualitative et quantitative des ressources avec la charge
de travail : nombre de personnes, qualification et niveau de comptence du
personnel. Pour cela, vrifier : les dossiers du personnel, les valuations annuelles,
les plans de formation des trois dernires annes, les mouvements et la rotation du
personnel.
Systmes dinformation.
Objectifs/points de contrle.
Le service comptable dispose-t-il des outils adapts lexercice de ses missions ?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
Approches daudit & sondages.
Se faire dcrire par le responsable comptable le systme dinformation.
Reprer les zones de fragilit du systme : dlai et qualit des reportings, nature et
nombre dcritures comptables saisies manuellement par le service comptable,
mauvaise qualit (ou absence) de linterface entre les diffrents sous-systmes, non
blocage du systme informatique sur les mois et les exercices prcdents (attention
aux critures manuelles rtroactives).
227
Objectifs/points de contrle.
Existe-t-il des normes et procdures comptables adaptes au fonctionnement du
service comptable ? Sont-elles mises jour en fonction des volutions de la
rglementation ?
Sont-elles connues des membres du personnel et accessibles tous ?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
Approches daudit & sondages.
Vrifier que les procdures comptables de la banque sont produites et valides par
le service comptable et incluent principalement :
le plan de compte,
les modalits denregistrement, de traitement et de restitution des
informations,
lexhaustivit des schmas comptables utiliss,
la priodicit et la nature des contrles mis en uvre,
le calendrier darrt des comptes,
les principes comptables en vigueur et la rglementation.
Dfinition des responsabilits de saisie et de contrle des comptes
Objectifs/points de contrle.
Les responsabilits de saisie et de contrle des comptes ont elles t dfinies pour
lensemble du plan de compte ?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
Approches daudit & sondages.
En rgle gnrale, les saisies comptables sont dcentralises dans les diffrents
dpartements de la banque audite (Back Offices, Ressources Humaines, Moyens
Gnraux, etc). Il convient de vrifier que le service comptable a :
228
Objectifs/points de contrle.
Le service comptable a-t-il mis en place une procdure darchivage des documents
comptables selon les normes en vigueur?
Risques.
Risque fiscal.
Approches daudit & sondages.
Vrifier lexistence de cette procdure et sa conformit aux normes.
1.2 - Sparation des Fonctions.
1.2 - 1 Respect du principe de sparation des fonctions.
Objectifs/points de contrle.
La banque respecte-t-elle le principe de sparation des fonctions entre la production,
le contrle et lanalyse ?
Risques.
Risque de Fraude.
Approches daudit & sondages.
Sassurer du respect du principe de sparation des fonctions au sein
comptable (stricte sparation entre la saisie, la validation informatique,
des comptes).
Sassurer du respect de ce principe dans tous les services en charge
comptables (travail raliser par les auditeurs en charge des autres
production, engagements, marchs, gestion des moyens).
du service
le contrle
de saisies
fonctions :
Objectifs/points de contrle.
Laccs au systme comptable est-il contrl, cest dire :
seul un nombre restreint doprateurs a accs au systme comptable (le
personnel des back offices et de la comptabilit),
les habilitations accordes ces personnes sont elles mmes limites
aux besoins de leur poste.
Risques.
Risque de fraude.
Approches daudit & sondages.
Vrifier que les profils utilisateurs des collaborateurs correspondent aux besoins de
leur poste.
Sassurer que les accs aux guides de saisie ouverts (permettant de
mouvementer nimporte quel compte) sont strictement limits au service comptabilit
(travail raliser en liaison avec lauditeur informatique).
229
Objectifs/points de contrle.
Le service comptable effectue-t-il un rel contrle sur les comptabilits
dcentralises dans les B/O ?
Risques.
Risque de fraude et de non fiabilit de linformation comptable.
Approches daudit & sondages.
Sassurer que le contrle de second niveau effectu par la comptabilit comprend les
points de contrle suivants :
vrification mensuelle des justifications de compte,
contrle de la piste daudit par sondage en allant du solde de la balance
gnrale jusqu lcriture dorigine,
mise sous surveillance de certains comptes plus risqus (comptes de
passage, compte pivot, comptes nostri),
suivi et analyse de la rgularisation des suspens comptables.
Ces contrles doivent tre matrialiss, conservs dans un dossier (class
par nature de compte, par type dopration, par devise...) et disponibles
pour tout contrle des auditeurs internes et externes.
1.3.2 - Interfaces entre les systmes oprationnels et la comptabilit
gnrale.
Objectifs/points de contrle.
Le service comptable vrifie-t-il rgulirement le bon droulement des interfaces
entre les systmes oprationnels et la comptabilit gnrale ?
Risques.
Risque de fraude et de non fiabilit de linformation comptable.
Approches daudit & sondages.
Vrifier que le service comptable :
effectue priodiquement (par exemple tous les mois) un contrle des interfaces
entre les systmes oprationnels et la comptabilit gnrale,
identifie et analyse les carts ventuels, et sassure que les corrections
adquates on t apportes par les Back Offices.
1.3.3 - Oprations saisies par la comptabilit.
Objectifs/points de contrle.
Le responsable comptable a-t-il mis en place une procdure de suivi et de contrle
des oprations saisies par la comptabilit ?
Risques.
Risque de fraude.
Approches daudit & sondages.
Recenser les oprations saisies comptabilises.
230
Objectifs/points de contrle.
Le service comptable a-t-il la responsabilit de la gestion du plan de compte interne
(ouverture, fermeture et modification) ?
Risques.
Risque de fraude.
Approches daudit & sondages.
Vrifier que le service comptable fait un suivi rigoureux de son plan de compte. Il
doit :
tre lunique service avoir les habilitations pour procder louverture, la
fermeture et la modification des comptes internes,
tablir une procdure propre au service comptable pour procder
louverture, la fermeture et la modification de comptes,
diter rgulirement le plan de compte et vrifier formellement toutes les
modifications intervenues,
identifier les comptes dormants et en faire un suivi rgulier, les fermer sils
sont non utiliss depuis un certain dlai fixer dans la procdure.
1.3.5 - Rapprochement comptabilit / gestion.
Objectifs/points de contrle.
Le service comptable sassure-t-il en liaison avec le contrle de gestion de la
correspondance entre les tats financiers et les tats de gestion ?
Risques.
Risque de non fiabilit des comptes et des tats financiers.
Approches daudit & sondages.
Vrifier la frquence des rapprochements entre les informations comptables et de
gestion (au minimum mensuelle) ?
Obtenir les derniers tats de rapprochement. Les carts sont-ils identifis et
analyss ?
1.4 - Les outils de pilotage.
1.4.1 - Contrle des comptes.
Objectifs/points de contrle.
Le Responsable Comptable dispose-t-il dindicateurs ou de tableaux de bord
permettant de recenser et de quantifier les suspens sur une liste dtermine de
comptes sensibles (nostri, dbiteurs et crditeurs divers, etc) ?
Le Responsable Comptable utilise-t-il ces tableaux de bord ? En particulier, analyse
231
Objectifs/points de contrle.
Les indicateurs du Responsable Comptable permettent-ils de sassurer du respect
des dlais de production et denvoi des travaux de reporting rglementaire ?
Risques.
Risque rglementaire.
Approches daudit & sondages.
Examiner le planning de production des tats et situations comptables.
1.4.3 - Productivit.
Objectifs/points de contrle.
Dispose-t-il dautres indicateurs de productivit (temps passs, en jours / homme,
pour la production des diffrents tats de reporting rglementaires) ?
Risques.
Risque d'efficience.
Approches daudit & sondages.
Discuter de ce point avec le Responsable Comptable. Par ailleurs, on pourra tablir
des comparaisons dans le temps entre le nombre dUnits Temps Plein et le nombre
dcritures.
1.4.4 - Supervision hirarchique.
Objectifs/points de contrle.
Ces informations (contrle des comptes, reporting rglementaire, productivit) sontelles galement communiques au Directeur Financier (ou autre hirarchie de
232
Risques.
Risque de fraude, risque de non fiabilit des comptes, risque rglementaire.
Approches daudit & sondages.
Consulter les tableaux de bord mis la disposition du Directeur Financier par le
service comptable.
1.5 - Connaissance et respect des rgles de dontologie.
Objectifs/points de contrle.
Les membres du service comptable ont-ils connaissance des rgles de dontologie
de la banque?
Ont-ils dj eu appliquer ces rgles ?
Risques.
Risques associs : mise en cause de la banque pour non respect de la
rglementation, divulgation dinformations confidentielles.
Approches daudit & sondages.
Vrifier la diffusion et la prise de connaissance du code de dontologie de la
banque.
Les deux points suivants doivent plus particulirement tre souligns dans le cas
dun personnel comptable :
Objectifs/points de contrle.
La liasse de consolidation est-elle alimente correctement ?
Les informations qui y figurent sont-elles rapproches de la comptabilit gnrale ?
Les normes comptables appliques sont-elles conformes aux normes
rglementaires ?
Risques.
Non fiabilit de linformation financire servant de base la production des comptes
consolids.
Approches daudit & sondages.
Audit systmique : Quel est le mode de production de la liasse : alimentation
automatique ou saisie manuelle ? Quels sont les contrles exercs au sein du
service comptable : rapprochement systmatique de la liasse avec la comptabilit
gnrale, validation par le Responsable Comptable ?
A partir de la liasse de consolidation du dernier arrt trimestriel :
233
2.2 - Intra-groupes.
Objectifs/points de contrle.
La banque identifie-t-elle ses oprations intra-groupes ?
Existe-t-il une procdure de rconciliation avec les contreparties internes
(circularisation et rapprochement) ?
Risques.
Non fiabilit de linformation financire servant de base la production des comptes
consolids.
Approches daudit & sondages.
Auditer la procdure de rconciliation des oprations intra-groupes : Le service
comptable change-t-il des confirmations avec ses contreparties sur les oprations
intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec
lensemble des contreparties) ? Les carts sont-ils analyss et expliqus ?
2.3 - Reporting engagements pondrs.
Objectifs/points de contrle.
Le reporting engagements pondrs est-il aliment correctement :
Existe-t-il un systme ddi la production des engagements pondrs ? Estil interfac avec le systme comptable ? Des ajustements manuels sont-ils
ncessaires ? Pour quel type doprations ?
Objectifs/points de contrle.
Le reporting sur le ratio de liquidit est-il correctement rempli par la banque audite ?
Risques.
Non fiabilit de linformation financire.
Approches daudit & sondages.
Auditer le processus de production de ce reporting,
Qui produit ce reporting ? Quelle est la source de linformation ? Quels sont les
contrles effectus ?
2.5 - Reporting statutaire.
Objectifs/points de contrle.
La banque audite respecte-t-elle les rgles prudentielles ? Remplit-elle les
obligations de reporting imposes par les autorits rglementaires ?
Le processus dlaboration du reporting statutaire garantit-il lexactitude,
lexhaustivit et le respect des dlais ?
Risques.
Non respect de la rglementation BAM.
Risque de sanctions BAM.
Approches daudit & sondages.
Afin de valider ces points, il conviendra :
de sinformer des contraintes rglementaires en matire de rgles prudentielles (par
entretien avec le Directeur Financier et consultation des textes officiels),
dobtenir et de contrler les tats de reporting rcents envoys aux autorits
rglementaires (Banque Centrale, Ministre des Finances principalement) : sassurer
que tous les tats de reporting requis sont envoys dans les dlais requis et que les
ratios prudentiels locaux (solvabilit, liquidit,) sont respects.
NB : on trouvera des informations galement dans les rapports des Commissaires aux Comptes
(qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque
Centrale.
3. Risques fiscaux.
3.1 - Dclarations fiscales.
Objectifs/points de contrle.
Le reporting fiscal est-il ralis dans les dlais et valid par les personnes
habilites ?
La banque a-t-elle effectu les dmarches ncessaires pour se documenter et
appliquer les rgles fiscales en vigueur ?
235
Risques.
Risque rglementaire.
Approches daudit & sondages.
Consulter les liasses fiscales des derniers exercices et les tats de reporting du
responsable comptable.
Passer en revue la documentation fiscale du responsable financier.
Sassurer que les liasses sont revues par le responsable fiscal (sil en existe un) et
par le management.
3.2 - Identification des Risques Fiscaux.
Objectifs/points de contrle.
Les risques fiscaux ont-ils t identifis par la banque et, si oui, sont-ils correctement
provisionns ?
Risques.
Risque rglementaire.
Approches daudit & sondages.
Sassurer, en cas de pertes fiscales, quelles sont justifies et non rptitives et ne
correspondent pas un habillage fiscal.
Vrifier sil y a eu des redressements fiscaux ou sil y a des contrles fiscaux en
cours et si oui, quune provision passive a t constitue pour le montant du risque.
Vrifier que les frais de sige refacturs aux filiales sont justifis fiscalement quant
leur ralit et leur montant.
Vrifier que les impts diffrs sont fiscalement justifis (plus-values long terme...).
4. Consolidation.
4.1 Primtre.
Objectifs/points de contrle.
Le primtre retenu par la banque est-il comptablement justifi?
Risques.
Risque de non fiabilit de linformation financire,
Risque rglementaire.
Approches daudit & sondages.
Obtenir et valider la liste des socits du primtre ainsi que les mthodes de
consolidation retenues.
Pour ce faire, on vrifiera lexactitude des pourcentages dintrt et pourcentages
dintgration calculs pour chaque socit.
4.2 - Elimination des oprations intra groupes.
Objectifs/points de contrle.
La banque a-t-elle mis en place une procdure didentification des intra-groupes ?
Ces intra-groupes ont-ils t limins pour la production des comptes consolids ?
236
Risques.
Risque de non fiabilit de linformation financire, risque rglementaire.
Approches daudit & sondages.
Vrifier que la procdure mise en place par la banque pour rapprocher les montants
intra-groupes socit par socit permet didentifier la rciprocit et lexhaustivit des
liminations (confirmations rciproques des intra-groupes par fiches navettes avec
les autres units du primtre de consolidation).
Sassurer que les montants limins enregistrs en consolidation ont bien t
dclars sur les liasses de consolidation de chaque filiale concerne et inversement
que lensemble des intra-groupes recenss ont effectivement t limins en
consolidation.
4.3 Retraitements.
Objectifs/points de contrle.
Le passage du rsultat social au rsultat consolid de la banque est-il expliqu et les
retraitements effectus sont-ils justifis ?
Risques.
Risque de non fiabilit de linformation financire consolide, risque rglementaire.
Approches daudit & sondages.
Obtenir le tableau de passage du rsultat social au rsultat consolid de la banque.
Vrifier la justification des principaux retraitements effectus et leur conformit avec
les normes comptables, notamment :
la prise en compte des retraitements obligatoires avec llimination des
critures purement fiscales (provisions rglementes),
les retraitements dhomognisation (amortissement des immobilisations
selon une dure homogne par exemple).
237
238
Conclusion gnrale
239
240
Conclusion gnrale.
Le pilotage des risques bancaires via le risk management et l'audit interne est une
problmatique largement d'actualit.
Le paysage bancaire marocain fait actuellement face un environnement
socioconomique mouvant et de plus en plus complexe.
Avec la croissance des volumes doprations, le dveloppement des produits
diversifis et sophistiqus, la rapidit de renouvellement des process,
l'automatisation acclre des traitements, les risques auxquels les banques sont
actuellement confrontes sont devenus plus nombreux, plus significatifs et plus
complexes surtout dans un contexte de baisse des marges.
Ces mutations posent d'une part des problmes de difficults daudit et de
management des risques et dautre part, elles accroissent le risque daudit inadapt
voir dfaillant.
Des systmes dficients en matire de gestion et d'audit des risques dans le secteur
bancaire peuvent rapidement provoquer des pertes financires considrables
lesquelles, si elles ne sont pas contenues adquatement par des tampons solides
aptes endiguer le risque systmique, sont susceptibles d'engendrer un effet de
domino auprs d'autres oprateurs sur les marchs avec des consquences
difficilement calculables pour le systme financier.
S'il est vrai que l'audit bancaire comporte des cots levs, il s'est avr qu'un audit
dficient ou insuffisant cote encore plus cher.
L'audit bancaire prsente quelques spcificits de part les particularits de
lenvironnement analys. En effet, en sappliquant au systme de gestion et de
contrle des risques bancaires, il en dcoule une pluridisciplinarit des champs
observs : ressources humaines, systme d'information, comptabilit, activits de
march .
De plus, les risques bancaires sont des phnomnes complexes et difficiles cerner.
Ce qui entrane des particularits pour lauditeur concernant la manire dobserver,
linterprtation des rsultats et les difficults dlaboration du systme de rfrence.
Encore s'agit-il de s'assurer que l'audit mis en place est bien apte accomplir la
mission qu'on lui a assigne.
Lenqute mene auprs du systme bancaire marocain a mis en vidence certaines
insuffisances dans la gestion et l'audit des risques au sein des tablissements
bancaires. Cette gestion longuement assimile une simple conformit aux
procdures internes et des rgles prudentielles s'est rvle inadquate dans la
mesure o les banques se sont limites pour la plupart au respect d'un ensemble
d'indicateurs plutt gnraux et ont pass sous silence un aspect fondamental de la
gestion des risques bancaires : l'implication du management et du conseil
d'administration dans le contrle des organisations bancaires ce qui a induit
241
242
243
244
245
Annexes
246
247
Annexe N1
Tableau synthtique des principales catastrophes financires.
Socit
Type de
catastrophe
Causes
Erreur
Impact
rsultats
Anne
Barings
Faillite
financire
Orange
County
Cessation de
paiements
1993 1995
MGRM 81
Cessation de
paiements
Stratgie de vente de
produits ptroliers
hasardeuse
Perte de 8,2
milliards de francs
1992
Morgan
Grennfell
Perte de
confiance des
investisseurs
93 millions de
dommages et
intrts
1994 1996
Daiwa
Fermeture
d'une
succursale et
dmission de
la direction
gnrale
Manque de sgrgation
des tches
Pertes de 1,1
milliard de dollars
1995
Lloyds
Pertes
financires
Stratgie d'indemnisation
de sinistre illimite
l'poque de la dcouverte
de l'amiante et autres
polluants
1. Mauvaise matrise des risques 509 millions de livres 1991 moyen et long terme
sterling
1995
Investissements massifs
dans le seul march
immobilier, suivi d'une
chute des prix.
1. Aucune stratgie de
diversification prvue
2. Management trop confiant
Confederation Pertes
Life
financires
Source : PricewaterhouseCoopers.2002
81
248
Pertes de 1,3
milliards de dollars
1980 1993
Annexe N2
Contenu type du dossier administratif du personnel
1. Renseignements, embauches, rintgration, rgime (temps plein, partiel)
2. Apprciation
3. Formation
4. Appointements, mutations, titularisation, promotions
5. Absences
6. Etat - civil, Situation de famille, adresse
7. Prts et avances
8. Intressement, primes, participation
9. Contrat spcifique (dtachement, CDD, ANAPEC ). Pour le personnel dtach,
avantages particuliers (logement, voyages, scolarit, etc)
10. Incidents
11. Mdailles du travail
12. Service national
13. Pices diverses
14. Sortie (dmission, retraite, plan social)
249
Annexe 3
Etat des Absences
Sur base de leffectif pay mensuel moyen de lanne (en nombre de personnes),
avec les jours ouvrs par an.
Maladie
Accidents du travail
Congs de maternit
Congs autoriss (vnements familiaux,)
Autres causes
Total
n
%
%
%
%
%
%
n-1
%
%
%
%
%
%
n-2
%
%
%
%
%
%
Annexe 4
Typologie des risques informatiques
OBJECTIF
Efficacit
Juridique
Image
Disponibilit
Conformit
Traabilit
250
Annexe 5
Compte de rsultats
Anne 1 Anne 2 Anne 3
Intrts et produits assimils
- Intrts et charges assimiles
+ Produits sur oprations de crdit-bail
- Charges sur oprations de crdit-bail et assimiles
+ Produits sur oprations de location simple
- Charges sur oprations de location simple
+ Revenus des titres revenu variable
+ Commissions (produits)
- Commissions (charges)
+/- Gains ou pertes sur oprations des portefeuilles de
ngociation
+/- Gains ou pertes sur oprations des portefeuilles de
placement et assimils
+ Autres produits dexploitation bancaire
- Autres charges dexploitation bancaire
= PRODUIT NET BANCAIRE
- Charges gnrales dexploitation
- Dotations aux amortissements et provisions /
immobilisations corporelles et incorporelles
= RESULTAT BRUT DEXPLOITATION
- Cot du risque
= RESULTAT DEXPLOITATION
+/- Gains ou pertes sur actifs immobiliss
= RESULTAT COURANT AVANT IMPOT
+/- Rsultat exceptionnel
- Impt sur les bnfices
+/- Dotations / reprises de FRBG et provisions
rglementes
= RESULTAT NET
251
Annexe 6
Bilan
Anne 1 Anne 2 Anne 3
Actif
Oprations de trsorerie et interbancaires
Oprations avec la clientle
Dont crances douteuses
Dont provisions pour crances douteuses
Oprations sur titres
Comptes de rgularisation et divers
Valeurs immobilises
252
Anne
2
Anne
3
Annexe N7
Circulaire BAM N6/G/2001
BANK AL-MAGHRIB
LE GOUVERNEUR
Circulaire N 6/G/2001
Rabat, le 25 Kaada 1421
19 Fvrier 2001
253
ARTICLE 6
Lorgane de direction est tenu de veiller la mise en place du systme de contrle interne, une fois
adopt par lorgane dlibrant.
Il doit, cet effet, dsigner un responsable qui relve directement de son autorit et qui a pour tche
dassurer un suivi exhaustif du systme de contrle interne et de veiller sa cohrence.
ARTICLE 7
Les tablissements de crdit constitus en groupe, dot d'un organe central, choisissent le responsable
vis au 2me alina de larticle prcdent en concertation avec ledit organe.
ARTICLE 8
Les fonctions du responsable vis au 2me alina de larticle 6 ci-dessus peuvent tre assures par
l'organe de direction lorsque la taille de l'tablissement ne justifie pas de confier ces tches une
personne spcialement dsigne cet effet.
Elles peuvent galement, dans le cas des tablissements contrls de manire exclusive par un autre
tablissement de crdit, tre assumes par le responsable du contrle interne de ce dernier.
ARTICLE 9
Le responsable du contrle interne rend compte de l'exercice de sa mission l'organe de direction ainsi
qu'au comit vis l'article 15 ci-dessous.
ARTICLE 10
Lorgane de direction doit veiller au suivi du systme de contrle interne.
Il est tenu, dans ce cadre de :
- sassurer, en permanence, de la bonne excution de la mission confie au responsable vis au
2me alina de larticle 6 susvis et du bon fonctionnement global du systme de contrle interne,
- prendre les mesures ncessaires pour remdier, en temps opportun, toute carence ou
insuffisance releve dans les dispositifs de contrle.
ARTICLE 11
Lorgane de direction est tenu dlaborer un manuel de contrle interne qui prcise notamment :
- les lments constitutifs de chaque dispositif et les moyens de leur mise en uvre,
- les rgles qui assurent l'indpendance des dispositifs de contrle vis- - vis des units
oprationnelles,
- les diffrents niveaux de responsabilit du contrle.
ARTICLE 12
Le manuel de contrle interne doit tre rexamin priodiquement en vue dadapter ses dispositions
particulirement aux prescriptions lgales et rglementaires ainsi qu l'volution de l'activit, de
l'environnement conomique et financier et des techniques d'analyse.
ARTICLE 13
Lorgane de direction doit tablir, au moins une fois par an, un rapport sur les activits du contrle
interne qu'il adresse lorgane dadministration.
Ce rapport dcrit les actions de contrle effectues et les insuffisances releves, notamment au niveau
des domaines que couvre le dispositif de gestion des risques prvu par le Plan Comptable des
Etablissements de Crdit, ainsi que les mesures correctrices y affrentes.
Il doit, dans le cas des tablissements qui dtiennent le contrle exclusif dautres entits caractre
financier, retracer les activits du contrle interne au niveau de l'ensemble des entits du groupe.
ARTICLE 14
Lorgane dadministration est tenu de sassurer de la mise en place et du suivi, par lorgane de
direction, du systme de contrle interne.
A cet effet, il procde, au moins une fois par an, lexamen de lactivit et des rsultats du contrle
interne sur la base des informations qui lui sont adresses par lorgane de direction conformment aux
dispositions de larticle 13 ci-dessus ainsi que par le comit prvu larticle 15 ci-dessous.
ARTICLE 15
Lorgane dadministration est tenu de constituer un comit charg de lassister en matire de contrle
interne.
Ce comit procde notamment lvaluation de la cohrence et de ladquation des dispositifs de
contrle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposes pour
combler les lacunes ou insuffisances dceles dans le systme de contrle interne.
254
ARTICLE 16
Le comit vis larticle 15 ci-dessus doit tre compos, en partie, dadministrateurs non dirigeants
ayant les comptences requises.
Il relve directement de lorgane dadministration qui en dtermine les modalits de fonctionnement et
auquel il rend compte.
ARTICLE 17
Lorgane dadministration doit veiller ce que lauditeur externe de ltablissement soit rgulirement
invit assister aux runions du comit prvu larticle 15 ci-dessus.
ARTICLE 18
Les tablissements de crdit qui contrlent de manire exclusive dautres entits caractre financier
doivent sassurer que les systmes de contrle interne mis en place au sein de ces dernires soient
cohrents et compatibles entre eux de manire permettre notamment une surveillance et une matrise
des risques au niveau du groupe.
Ils sassurent galement que les systmes de contrle interne susviss sont adapts lorganisation du
groupe ainsi qu la nature des entits contrles.
ARTICLE 19
Lorgane dadministration de tout tablissement de crdit habilit recevoir des fonds du public doit
veiller ce que les auditeurs externes formulent, dans le cadre de leur mission de rvision et de
contrle annuels des comptes, un avis sur l'organisation et le fonctionnement du systme de contrle
interne.
ARTICLE 20
Lorgane de direction doit adresser, la Direction du Contrle des Etablissements de Crdit de Bank
Al-Maghrib, une copie du rapport annuel vis larticle 13 ci-dessus et ce, au plus tard le 31 mars de
l'exercice suivant.
Les rapports et les comptes rendus portant sur le contrle interne doivent galement tre mis la
disposition des commissaires aux comptes, des auditeurs externes et des contrleurs de Bank AlMaghrib.
ARTICLE 21
Les membres de lorgane dadministration et de lorgane de direction veillent promouvoir, au sein de
leur tablissement, une culture de contrle forte qui met l'accent particulirement sur la ncessit, pour
chaque agent, d'assumer ses tches dans le respect des dispositions lgales et rglementaires en
vigueur et des directives internes tablies par les organes comptents.
Ils adoptent, cet effet, une politique de formation et d'information qui met en avant les objectifs de
l'tablissement et explicite les moyens de leur ralisation.
II- DISPOSITIF DE VERIFICATION DES OPERATIONS ET DES PROCEDURES
INTERNES
ARTICLE 22
Le dispositif de vrification des oprations et des procdures internes doit permettre aux
tablissements de crdit de sassurer notamment :
- de la conformit des oprations effectues et des procdures internes avec les prescriptions lgales
et rglementaires en vigueur ainsi quavec les normes et usages professionnels et dontologiques,
- du respect des normes de gestion et des procdures internes fixes par les organes comptents.
La mise en place de ce dispositif doit refaire dans le respect notamment des articles 23 25 ci-aprs,
ARTICLE 23
Les modalits dexcution des oprations quotidiennement effectues par les entits oprationnelles
doivent comporter, comme partie intgrante, les procdures de contrle appropries pour s'assurer de
la rgularit, de la fiabilit et de la scurit de ces oprations ainsi que du respect des autres diligences
lies la surveillance des risques qui leur sont associs.
Des vrifications priodiques doivent tre galement effectues en vue de sassurer du respect des
procdures de contrle interne.
ARTICLE 24
Les niveaux d'autorit et de responsabilit ainsi que les domaines d'intervention des diffrentes units
oprationnelles doivent tre clairement prciss et dlimits.
255
De mme, une sparation stricte doit tre tablie entre les units charges, chacune en ce qui la
concerne, de l'initiation, de l'excution et du contrle des oprations.
Les domaines qui prsentent des conflits d'intrts potentiels ou des risques de chevauchement de
comptences ou de responsabilits doivent tre identifis, soumis une surveillance continue et faire
l'objet d'une valuation rgulire en vue de leur suppression.
ARTICLE 25
Chaque service ou unit oprationnelle doit tre dot dun manuel dans lequel sont consignes les
procdures dexcution des oprations quil est charg deffectuer.
Ces consignes fixent notamment les modalits d'engagement, d'enregistrement et de traitement des
oprations ainsi que les schmas comptables correspondants.
III- DISPOSITIF DE MESURE, DE MAITRISE ET DE SUREVEILLANCE DES RISQUES
ARTICLE 26
Les dispositifs de mesure, de matrise et de surveillance des risques doivent permettre de sassurer que
les risques encourus par ltablissement de crdit, particulirement les risques de crdit, de march, de
taux dintrt global, de liquidit et de rglement ainsi que les risques informatique et juridique, sont
correctement valus et matriss.
ARTICLE 27
Les risques de crdit, de march, de taux d'intrt global, de liquidit et de rglement doivent tre
maintenus dans le cadre des limites globales arrtes par la rglementation en vigueur ou fixes par
lorgane de direction et approuves par l'organe dadministration.
Ces limites doivent tre revues, autant que ncessaire et au moins une fois par an, en tenant compte,
notamment, du niveau des fonds propres de l'tablissement.
ARTICLE 28
Le contrle du respect des limites vises larticle prcdent doit tre effectu de faon rgulire et
inopine et donner lieu ltablissement dun compte rendu lattention des organes comptents.
Ce compte rendu doit comporter une analyse des raisons ayant motiv les ventuels dpassements
ainsi que, s'il y a lieu, les propositions et/ou recommandations y affrentes.
ARTICLE 29
Les dispositifs de mesure, de matrise et de surveillance des risques doivent tre adapts la nature, au
volume et au degr de complexit des activits de ltablissement.
ARTICLE 30
Les tablissements de crdit constituent, si le volume et la diversit de leurs activits le justifient, des
comits chargs dassurer le suivi de certaines catgories de risques spcifiques (comit de risque
crdit, comit de liquidit, ).
1- RISQUES DE CREDIT
ARTICLE 31
On entend par risque de crdit, le risque quun client ne soit pas en mesure dhonorer ses
engagements lgard de ltablissement de crdit.
ARTICLE 32
Le dispositif de contrle du risque de crdit doit permettre de sassurer que les risques auxquels peut
sexposer ltablissement de crdit, du fait de la dfaillance de la clientle, sont correctement valus
et rgulirement suivis.
La mise en place dun tel dispositif doit se faire dans le respect des dispositions minimales prvues
aux articles 33 42 ci-aprs.
ARTICLE 33
Les critres dapprciation du risque de crdit ainsi que les attributions des personnes et des organes
habilits engager ltablissement doivent tre dfinis et consigns par crit.
Ces consignes doivent tre adaptes aux caractristiques de ltablissement, en particulier, sa taille,
la nature et au volume de ses activits.
ARTICLE 34
Les demandes de crdit doivent donner lieu la constitution de dossiers comportant toutes les
informations quantitatives et qualitatives relatives au demandeur notamment les documents
256
comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de
revenu ou tout autre document en tenant lieu.
Les informations portent tant sur le demandeur de crdit lui-mme que sur les entits avec lesquelles
il constitue un groupe dintrt, compte tenu des liens juridiques et financiers qui existent entre eux.
Les dossiers de crdit doivent tre rgulirement mis jour.
ARTICLE 35
L'valuation du risque de crdit prend en considration, notamment, la nature des activits exerces
par le demandeur, sa situation financire, la surface patrimoniale des principaux actionnaires ou
associs, sa capacit de remboursement et, le cas chant, les garanties proposes.
Elle prend galement en compte toutes autres informations permettant une apprciation plus complte
du risque tels que la comptence des dirigeants et l'environnement conomique dans lequel le
demandeur de crdit exerce son activit.
ARTICLE 36
Les dcisions d'octroi des crdits prennent en considration la rentabilit globale des oprations
effectues avec le client et ce, travers lanalyse prvisionnelle des charges et produits y affrents
(cots oprationnels et de financement, charge correspondant au risque de dfaillance ventuelle de la
contrepartie et rmunration des fonds propres).
ARTICLE 37
Lvaluation du risque de crdit donne lieu lattribution, chaque client, dune note par rfrence
une chelle de notation interne.
ARTICLE 38
Les risques de crdit encourus sur une mme contrepartie (client individuel ou groupe de personnes
physiques ou morales lies entre elles et prsentant un risque unique pour ltablissement de crdit)
doivent tre recenss et centraliss quotidiennement. Ceux encourus par secteur, pays ou zone
gographique doivent ltre au moins une fois par mois.
ARTICLE 39
Les risques de crdit encourus sur des clients bnficiant de concours relativement importants doivent
faire l'objet d'une surveillance particulire, tant sur une base individuelle qu'au niveau du groupe.
ARTICLE 40
Les concours consentis aux personnes physiques ou morales apparentes ltablissement de crdit
ainsi que lvolution de leurs encours doivent tre rgulirement ports la connaissance de lorgane
dadministration.
Lorgane dadministration doit tre galement inform de toute opration susceptible dengendrer un
conflit entre les intrts de ltablissement et ceux des personnes prcites.
ARTICLE 41
Les concours qui, au regard de la rglementation en vigueur, sont considrs comme crances en
souffrance doivent tre enregistrs dans les comptes appropris du plan comptable des tablissements
de crdit et donner lieu la constitution des provisions requises.
ARTICLE 42
Les encours des crances en souffrance ainsi que les rsultats des dmarches, amiables ou judiciaires,
entreprises pour leur recouvrement doivent tre rgulirement, et tout le moins deux fois par an,
ports la connaissance de lorgane dadministration. Celui-ci doit galement tre tenu inform des
encours des crances restructures et de lvolution de leur remboursement.
2- RISQUES DE MARCHE
ARTICLE 43
On entend par risques de march, les risques de pertes qui peuvent rsulter des fluctuations des prix
des instruments financiers qui composent le portefeuille de ngociation ou des positions susceptibles
dengendrer un risque de change, notamment les oprations de change terme et au comptant.
Le portefeuille de ngociation susvis comprend :
- les titres acquis, ds lorigine, avec lintention de les revendre brve chance en vue de tirer
bnfice des carts entre les prix dachat et de vente, et ce dans le cadre dune activit de march,
y compris les titres livrer ou recevoir,
- les titres recevoir et livrer dans le cadre de transactions sur le march primaire ou le march
gris,
257
les produits drivs destins maintenir des positions ouvertes isoles pour tirer avantage de
lvolution des prix ou couvrir les risques de march encourus sur les instruments viss aux
tirets prcdents.
ARTICLE 44
Le dispositif de contrle des risques de march doit permettre de sassurer que les risques auxquels
peut sexposer ltablissement de crdit, du fait des fluctuations qui pourraient affecter les prix des
instruments financiers viss larticle 43, font lobjet dune valuation approprie et dune
surveillance rgulire.
La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des
articles 45 47 ci-dessous.
ARTICLE 45
Les transactions sur les instruments financiers viss larticle 43 doivent faire lobjet dun suivi
quotidien de manire :
- apprhender les positions dtenues en chaque instrument et en calculer les rsultats,
- mesurer le risque de taux dintrt, le risque de change et le risque sur titres de proprit lis ces
positions,
- sassurer du respect des limites et des procdures internes mises en place pour la matrise de ces
risques.
ARTICLE 46
La mesure des risques de march doit tre effectue de faon en cerner les diverses composantes et
ce, par le recours des procds qui permettent une agrgation, aussi bien sur une base individuelle
que consolide, de lensemble des positions relatives des instruments financiers ou des marchs
diffrents.
ARTICLE 47
Des valuations rgulires, notamment en cas de fortes variations affectant un march ou l'un de ses
segments, doivent tre effectues pour suivre lvolution des risques susviss.
Les modles d'analyse retenus pour ces valuations doivent, eux aussi, rgulirement faire lobjet de
rvisions, leffet den apprcier la validit et la pertinence au regard de lvolution de lactivit, de
lenvironnement des marchs et des techniques danalyse.
ARTICLE 48
Le dispositif vis larticle 44 ci-dessus doit galement permettre de sassurer du respect des
dispositions rglementaires prvues en la matire, des normes et usages professionnels et
dontologiques ainsi que des limites fixes par les instances comptentes.
3- RISQUE GLOBAL DE TAUX D'INTERET
ARTICLE 49
Le risque global de taux dintrt se dfinit comme limpact ngatif que pourrait avoir une volution
dfavorable des taux dintrt sur la situation financire de ltablissement de crdit.
ARTICLE 50
Le dispositif de contrle du risque global de taux dintrt doit permettre de sassurer que les risques
susceptibles daffecter ngativement les lments de lactif, du passif et du hors bilan de
ltablissement de crdit, du fait dune volution dfavorable des taux dintrt, sont correctement
mesurs et font lobjet dune surveillance rgulire et adquate.
Le dispositif susvis doit tre mis en place dans le respect notamment des prescriptions des articles 51
53 ci-aprs.
ARTICLE 51
Les positions et les flux certains et prvisibles rsultant de lensemble des oprations de bilan et de
hors bilan doivent tre correctement mesurs et faire lobjet dune surveillance rgulire.
De mme, lensemble des facteurs de risque global de taux dintrt ainsi que leur impact sur les
rsultats et les fonds propres doivent tre identifis et valus.
ARTICLE 52
Les paramtres et les hypothses retenus pour lvaluation du risque global de taux dintrt doivent
tre choisis en tenant compte notamment du niveau dactivit de ltablissement de crdit sur les
diffrents marchs.
258
ARTICLE 53
Les paramtres et les hypothses viss larticle prcdent doivent faire lobjet de rexamens
priodiques pour sassurer de leur cohrence et de leur validit au regard de lvolution de la structure
des activits exerces et des conditions du march.
4- RISQUE DE LIQUIDITE
ARTICLE 54
Le risque de liquidit sentend comme le risque pour ltablissement de crdit de ne pas pouvoir
sacquitter, dans des conditions normales, de ses engagements leur chance.
ARTICLE 55
Le dispositif de contrle du risque de liquidit doit permettre de sassurer que ltablissement de
crdit est en mesure de faire face, tout moment, ses exigibilits et dhonorer ses engagements de
financement envers la clientle.
La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des
articles 56 et 57 ci-dessous.
ARTICLE 56
La trsorerie immdiate ainsi que les entres et sorties de trsorerie prvisionnelles des chances
dtermines doivent tre values de manire correcte, en tenant compte notamment de l'incidence
des fluctuations des marchs de capitaux.
ARTICLE 57
Les possibilits daccs aux marchs des capitaux dont bnficie ltablissement, en particulier les
lignes de crdit ouvertes par les correspondants, doivent tre revues priodiquement afin de tenir
compte des ventuels changements qui pourraient affecter la situation ou la renomme de
ltablissement lui-mme ou la situation financire ou juridique de ces correspondants.
5- RISQUE DE REGLEMENT
ARTICLE 58
Le risque de rglement sentend comme le risque de survenance, au cours du dlai ncessaire pour le
dnouement de lopration de rglement, dune dfaillance ou de difficults qui empchent la
contrepartie dun tablissement de crdit de lui livrer les instruments financiers ou les fonds
convenus, alors que ledit tablissement a dj honor ses engagements lgard de ladite contrepartie.
ARTICLE 59
Le dispositif de contrle du risque de rglement doit permettre de sassurer que les risques auxquels
peut sexposer ltablissement de crdit sont correctement valus et font lobjet dun suivi rigoureux
et rgulier.
ARTICLE 60
Le dispositif de contrle du risque de rglement doit permettre de sassurer que les diffrentes phases
du processus de rglement sont identifies et font lobjet dune attention particulire, notamment
l'heure limite pour l'annulation unilatrale de l'instruction de paiement, l'chance de la rception
effective des fonds relatifs l'instrument achet et le moment o la rception de ces fonds ou
instruments est confirme.
6- RISQUE INFORMATIQUE
ARTICLE 61
Le risque informatique sentend comme le risque de survenance de dysfonctionnements ou de rupture
dans le fonctionnement du systme de traitement de linformation, imputables des dfaillances dans
le matriel ou des erreurs, des manipulations ou autres motifs (virus) affectant les programmes
dexcution.
ARTICLE 62
Le dispositif de contrle des risques informatiques doit assurer un niveau de scurit jug satisfaisant
par rapport aux normes technologiques et aux exigences du mtier.
La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des
articles 63 65 ci-dessous.
ARTICLE 63
259
260
261
Annexe N8
Circulaire BAM devoir de vigilance
BANK AL-MAGHRIB
-------------------LE GOUVERNEUR
Circulaire n 36/G/2003
Rabat, le 29 Chaoual 1424
24 Dcembre 2003
262
Les compte rendus de ces entretiens doivent tre verss aux dossiers des clients, prvus aux articles 5
et 6 ci-aprs.
Article 5
Une fiche douverture de compte doit tre tablie au nom de chaque client personne physique, au vu
des nonciations portes sur tout document didentit officiel. Ce document doit tre en cours de
validit, dlivr par une autorit marocaine habilite ou une autorit trangre reconnue et porter la
photographie du client.
Sont consigns dans cette fiche les lments suivants :
- Le(s) prnom(s) et le nom ;
- Le numro de la carte didentit nationale, pour les nationaux ainsi que sa dure de
validit ;
- Le numro de la carte dimmatriculation, pour les trangers rsidents ainsi que sa
dure de validit ;
- Le numro du passeport ou de toute autre pice didentit en tenant lieu, pour les
trangers non rsidents et sa dure de validit ;
- Ladresse exacte ;
- La profession ;
- Le numro dimmatriculation au registre de commerce, pour les personnes physiques
ayant la qualit de commerant ainsi que le centre dimmatriculation.
Les lments didentification ci-dessus doivent galement tre recueillis des personnes qui
pourraient tre amenes faire fonctionner le compte dun client en vertu dune procuration.
La fiche douverture de compte ainsi que les copies des documents didentit prsents doivent tre
classes dans un dossier ouvert au nom du client.
Article 6
Une fiche douverture de compte doit tre tablie au nom de chaque client personne morale dans
laquelle doivent tre consigns, selon la nature juridique de ces personnes, lensemble ou certains des
lments didentification ci-aprs :
- La dnomination ;
- La forme juridique ;
- Lactivit ;
- Ladresse du sige social ;
- Le numro de lidentifiant fiscal ;
- Le numro dimmatriculation au registre du commerce ainsi que le centre
dimmatriculation.
Cette fiche doit tre conserve dans le dossier ouvert au nom de la personne morale concerne ainsi
que les documents complmentaires, ci-aprs prciss, correspondant sa forme juridique.
Les documents complmentaires devant tre fournis par les socits commerciales incluent
notamment :
- Les statuts mis jour ;
- La publicit lgale relative la cration de la socit et aux ventuelles modifications
affectant ses statuts ;
- Les procs-verbaux des dlibrations des assembles gnrales ou des associs ayant
nomm les administrateurs ou les membres du conseil de surveillance ou les grants ;
- Les noms des dirigeants et les personnes mandates pour faire fonctionner le compte
bancaire.
Dans le cas de socits en cours de constitution, ltablissement de crdit doit exiger la
remise du certificat ngatif, le projet des statuts et recueillir tous les lments didentification des
fondateurs et des souscripteurs du capital.
Les documents complmentaires devant tre fournis par les associations incluent :
- Les statuts mis jour ;
- Le certificat ou rcpiss de dpt lgal du dossier juridique de lassociation auprs
des autorits administratives comptentes ;
263
Article 7
Les tablissements de crdit recueillent des personnes qui ne disposent pas de comptes ouverts sur
leurs livres et souhaitent louer un coffre fort ou effectuer des oprations ponctuelles auprs de leurs
guichets les lments ncessaires leur identification et celle des personnes qui en sont les
bnficiaires.
Article 8
Sont soumises aux mmes exigences vises aux articles 4, 5 et 6 ci-dessus, les demandes douverture
de comptes distance (par voie dInternet, par exemple).
Article 9
A dfaut des originaux, les photocopies des documents didentit viss larticle 5 et celles des
statuts, des procs verbaux et des documents dlivrs par une autorit administrative prvus larticle
6 ci-dessus doivent tre dment certifies conformes par les autorits comptentes.
Dans le cas des personnes morales ayant leur sige social ltranger, ces documents doivent, sauf
dispositions particulires prvues par une convention internationale, tre certifis conformes auprs
des services consulaires marocains installs dans leur pays ou auprs des reprsentations consulaires
de leur pays au Maroc.
Les documents rdigs dans une langue autre que lArabe ou le Franais doivent tre traduits dans
lune de ces deux langues par un traducteur asserment.
Article 10
Les documents viss aux articles 5 et 6 ci-dessus doivent faire lobjet dun examen minutieux pour
sassurer de leur rgularit apparente et, le cas chant, tre rejets si des anomalies sont dtectes.
Lorsque les informations fournies par le client ne concordent pas avec celles figurant sur les
documents prsents, des justificatifs complmentaires doivent tre exigs.
Article 11
En vue de sassurer de lexactitude de ladresse donne par tout nouveau client, une lettre de
bienvenue lui est adresse. En cas dadresse errone, ltablissement de crdit doit sassurer par tous
moyens de ladresse exacte. A dfaut, il peut dcliner lentre en relation et procder la clture du
compte.
Article 12
Les tablissements de crdit doivent tre en mesure de connatre, lors de louverture dun compte, si le
postulant, dispose dj dautres comptes ouverts sur leurs livres et si cest la cas, lhistorique de ces
comptes.
Ils se renseignent sur les raisons pour lesquelles la demande douverture dun nouveau compte est
formule.
264
265
Article 22
L'organisation de la conservation des documents doit notamment permettre de reconstituer les
transactions individuelles (montant et nature de l'opration) et de communiquer dans les dlais requis,
les informations demandes par toute autorit habilite.
Article 23
Les tablissements de crdit veillent la mise jour rgulire des informations relatives leurs clients.
Article 24
Les tablissements de crdit doivent veiller, autant que possible et progressivement, mettre jour les
dossiers relatifs lidentification de leurs clients avec lesquels ils sont en relation avant lentre en
vigueur des dispositions de la prsente circulaire.
IV - FORMATION DU PERSONNEL
Article 25
Les tablissements de crdit doivent veiller ce que leur personnel, directement ou indirectement
concern par la mise en uvre des dispositions de la prsente circulaire, bnficie dune formation
approprie.
Ils doivent sensibiliser le personnel aux risques auxquels pourraient tre confronts leurs
tablissements sils viendraient tre utiliss des fins illicites.
V - AUTRES DISPOSITIONS
Article 25
Les tablissements de crdit ayant des filiales ou des succursales, installes dans des zones offshore ou
dans des pays ne disposant pas de rglementation en matire de vigilance, au moins quivalente
celle applicable au Maroc, doivent veiller ce que ces entits soient dotes dun dispositif de
vigilance similaire celui prvu par la prsente circulaire.
Article 26
Les tablissements de crdit incluent, dans le cadre du rapport sur le contrle interne quils sont tenus
dadresser la Direction du Contrle des Etablissements de Crdit conformment larticle 20 de la
circulaire n 6/G/2001 prcite, un chapitre consacr la description des dispositifs de vigilance mis
en place et des activits de contrle effectues en la matire.
Article 27
Les dispositions de la prsente circulaire entrent en vigueur compter du 1er janvier 2004.
Sign : A.JOUAHRI
266
Annexe N9
Circulaire Relative A L 'Audit Externe
Des Etablissements De Crdit
BANK AL-MAGHRIB
LE GOUVERNEUR
C N 9/G/2002
Rabat, 05 Joumada I 1423
16 Juillet 2002
267
Les demandes dagrment relatives aux auditeurs externes exerant titre indpendant doivent tre
accompagnes de dossiers comportant les documents suivants :
1) un document attestant de linscription de lauditeur externe sur le tableau de lordre des expertscomptables et de lexercice effectif de la fonction dexpert-comptable ;
2) le curriculum vitae, dment dat et sign, de lauditeur externe et de chacun de ses collaborateurs
susceptibles de prendre part aux travaux daudit des tablissements de crdit ;
3) une dclaration sur lhonneur, conforme au modle joint en annexeI, date et signe par chacune
des personnes vises au point 2 ci-dessus, par laquelle le signataire atteste, notamment, quil ne tombe
pas sous le coup de lune des incompatibilits prvues par :
- la loi n 15-89 rglementant la profession dexpert-comptable et instituant un ordre des expertscomptables, promulgue par le dahir n 1-92-139 du 14 rajeb 1413 (8 janvier 1993),
- le dahir portant loi n 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif lexercice de
lactivit des tablissements de crdit et de leur contrle
- et la loi n 17-95 relative aux socits anonymes, promulgue par le dahir n 1-96-124 du 14 rabii
II 1417 (30 aot 1996) ;
4) une note faisant ressortir lexprience professionnelle de lauditeur externe, les moyens techniques
et humains dont il dispose et, le cas chant, lappui dont il pourrait bnficier de la part dautres
partenaires qualifis, nationaux ou trangers, ainsi que les rfrences des missions daudit antrieures
ralises auprs des tablissements de crdit et les services de consultation et de conseil, rendus par
lauditeur, y compris par le biais de filiales spcialises.
Article 4
Les demandes dagrment concernant les auditeurs externes exerant en qualit de socits dexpertscomptables doivent comprendre, outre les informations vises larticle 3, les documents ci-aprs :
- une fiche de renseignements, conforme au modle joint en annexeII, dment date et signe par le
reprsentant statutaire de la socit ;
- une copie certifie conforme des statuts de la socit mis jour ;
- le curriculum vitae de chacun des associs appels participer aux missions daudit des
tablissements de crdit.
Article 5
Toute demande dagrment doit tre accompagne dune attestation, conforme au modle joint en
annexeIII, dment date et signe par un responsable habilit le faire, par laquelle ltablissement de
crdit certifie que le choix de lauditeur externe a t effectu dans le respect des dispositions prvues
par la prsente circulaire.
Article 6
Dans le cas o lauditeur externe fait appel, dans le cadre de sa mission, des experts ne faisant pas
partie de son effectif pour effectuer des travaux ponctuels, il est tenu de sassurer que ces personnes
nenfreignent pas les dispositions lgales relatives aux incompatibilits vises au point 3 de larticle 3
ci-dessus.
Article 7
La DCEC peut demander communication de tous autres renseignements quelle estime ncessaires
pour linstruction des demandes dagrment.
Article 8
Les auditeurs externes sont agrs pour un mandat de 3 ans renouvelable.
Les demandes de renouvellement des agrments doivent tre adresses la DCEC selon les modalits
prvues aux articles 2 5 ci-dessus.
Article 9
Le renouvellement de lagrment des auditeurs externes ayant exerc leur mission, auprs dun mme
tablissement, durant deux mandats conscutifs ne peut intervenir :
- qu lexpiration dun dlai de trois ans, dans le cas des auditeurs externes exerant titre
indpendant,
- que sous rserve du remplacement de lassoci responsable de la mission daudit, en ce qui
concerne les auditeurs externes exerant en qualit de socits dexperts-comptables.
Article 10
268
La dcision doctroi de lagrment ou, sil y a lieu, de refus de lagrment dment motive, est notifie
ltablissement de crdit concern, 30 jours maximum compter de la date de rception dfinitive du
dossier de demande dagrment.
Article 11
Bank Al-Maghrib peut adresser un avertissement tout auditeur externe qui ne sacquitte pas de sa
mission avec la comptence et la diligence requises ou faillit ses engagements.
Article 12
Bank Al-Maghrib peut suspendre ou, le cas chant, retirer lagrment un auditeur externe,
lorsque celui-ci :
- se trouve, en infraction au regard des dispositions lgislatives relatives aux incompatibilits
prvues par la loi 15-89, le dahir portant loi n 1-93-147 ou la loi 17-95 prcits,
- fait lobjet de mesures disciplinaires de la part de lordre des experts-comptables ou de sanctions
pnales en application des dispositions de la loi n 15-89 susvise,
- ne tient pas compte de lavertissement qui lui a t adress par Bank Al-Maghrib, en application
des dispositions de larticle 11 ci-dessus.
Article 13
La dcision de suspension ou de retrait de lagrment est notifie ltablissement de crdit concern
qui doit soumettre la DCEC une demande dagrment dun nouvel auditeur externe, selon les
modalits prvues aux articles 2 5 ci-dessus.
Article 14
La dcision de rvocation du mandat dun auditeur externe, par ltablissement de crdit lui-mme,
doit tre pralablement notifie Bank Al-Maghrib et dment motive.
Lauditeur externe peut, sa demande, tre entendu par Bank Al-Maghrib.
Article 15
Les tablissements de crdit communiquent, chaque anne, la DCEC, copie de la lettre de mission
prcisant notamment ltendue des travaux devant tre entrepris par lauditeur externe ainsi que les
moyens humains quil prvoit cet effet.
TITRE II : MISSION DES AUDITEURS EXTERNES
Article 16
La mission de lauditeur externe consiste tablir :
- un rapport dans lequel il formule une opinion sur la rgularit et la sincrit de la comptabilit et
atteste que celle-ci donne une image fidle du patrimoine, de la situation financire et des rsultats
de ltablissement de crdit,
- un rapport dtaill dans lequel sont consignes :
* ses apprciations sur ladquation et lefficience du systme de contrle interne de ltablissement de
crdit, eu gard sa taille, la nature des activits exerces et aux risques encourus,
* les observations et anomalies releves au cours de ses investigations dans les diffrents domaines
prvus par a prsente circulaire.
Article 17
Les travaux ncessaires laccomplissement de la mission daudit doivent tre planifis et excuts
sur la base dun programme qui tient compte de la qualit du systme de contrle interne de
ltablissement de crdit et des normes professionnelles prvues en la matire.
CHAPITRE I : EVALUATION DU SYSTEME DE CONTROLE INTERNE
Article 18
Lauditeur externe procde lvaluation de la qualit du systme du contrle interne de
ltablissement de crdit eu gard aux dispositions de la circulaire de Bank Al-Maghrib n
6/G/2001 relative au mme objet.
Article 19
Lauditeur externe procde lapprciation de lorganisation gnrale et des moyens mis en uvre
pour assurer le bon fonctionnement du contrle interne, compte tenu de la taille de ltablissement de
crdit, de la nature des activits exerces et des risques encourus.
269
Lvaluation de lorganisation gnrale et des moyens du contrle interne est faite loccasion du
premier rapport tabli dans le cadre de la prsente circulaire. Les rapports ultrieurs peuvent ne
comporter que les changements qui affectent les domaines susviss.
Article 20
Lauditeur externe value la qualit et ladquation du dispositif mis en place pour la mesure, la
matrise et la surveillance du risque de crdit en procdant notamment lanalyse :
- des modalits de dcision, dexcution et de gestion des crdits ;
- des procdures de recouvrement des crances et des modalits de classification des crances en
souffrance et de leur provisionnement ;
- des procdures de centralisation des risques, de reporting interne et de surveillance du respect des
limites rglementaires et de celles fixes par les organes comptents de ltablissement de crdit.
Article 21
Lauditeur externe apprcie la qualit et lefficience du dispositif de mesure, de matrise et de
surveillance des risques de march, en procdant notamment lexamen :
- des modalits de dcision, dexcution et denregistrement des oprations de march ;
- des procdures de mesure de lexposition aux risques inhrents ces oprations ;
- de la mthode de calcul des rsultats oprationnels et de leur rapprochement avec les soldes
comptables ;
- des procdures dapprhension du risque de rglement ;
- des mcanismes de reporting interne et des mthodes de surveillance du respect des limites
rglementaires et de celles fixes par les organes comptents de ltablissement.
Article 22
Lauditeur externe apprcie la qualit et ladquation du dispositif de mesure, de matrise et de
surveillance du risque global de taux dintrt et de liquidit, en procdant, en particulier,
lvaluation :
- des procdures dapprhension de lexposition globale au risque de taux dintrt ;
- des procdures de mesure et de suivi des principaux dterminants de la liquidit ;
- des mcanismes de reporting interne et des modalits de surveillance du respect des limites
rglementaires et de celles fixes par les organes comptents de ltablissement.
Article 23
Lauditeur externe apprcie ladquation des dispositifs mis en place pour :
- prvenir les fraudes, manipulations et erreurs susceptibles dengager la responsabilit de
ltablissement de crdit ou de porter atteinte lintgrit de ses actifs ou de ceux de la clientle ;
- empcher que ltablissement ne soit impliqu, son insu, dans des oprations financires lies
des activits illicites ou de nature entacher sa rputation ou de porter atteinte au renom de la
profession ;
- garantir la scurit des personnes et des biens.
Article 24
Lauditeur externe apprcie la fiabilit et lintgrit du systme de traitement de linformation
comptable et de gestion en procdant notamment lvaluation :
- du dispositif de scurit du systme dinformation
- de la fiabilit de la piste daudit ;
- des procdures comptables et de contrle de linformation.
Article 25
Les lacunes significatives releves dans les diffrents dispositifs du contrle interne doivent tre
portes, ds leur constatation, la connaissance de lorgane de direction et du Comit daudit de
ltablissement de crdit.
Article 26
Lauditeur externe fait tat dans son rapport dtaill des insuffisances significatives constates au
niveau :
- de lorganisation gnrale du contrle interne ;
- des dispositifs de contrle viss aux articles 20 23 ci-dessus, tout en prcisant le nombre et les
montants des dpassements des limites rglementaires et/ou internes ;
- du systme de traitement de linformation.
270
Il signale si ces anomalies sont portes de manire rgulire la connaissance des organes
dadministration et de direction de ltablissement et si elles donnent lieu aux mesures de redressement
appropries.
Il fait, galement, tat des recommandations susceptibles de pallier les faiblesses et insuffisances
releves.
Article 27
Lauditeur externe est tenu de signaler Bank Al-Maghrib, dans les meilleurs dlais, tout fait ou
dcision dont il a eu connaissance au cours de lexercice de sa mission et qui est de nature constituer
une violation des dispositions lgislatives ou rglementaires applicables aux tablissements de crdit,
affecter la situation financire de ltablissement audit ou porter atteinte la renomme de la
profession.
CHAPITRE II : REVISION DE LA COMPTABILITE
Article 28
Lauditeur externe vrifie que les comptes annuels de ltablissement de crdit sont labors dans le
respect des principes comptables et des mthodes dvaluation prescrites par le plan comptable des
tablissements de crdit (PCEC) et quils sont prsents conformment aux rgles prvues par ce plan.
Article 29
Lauditeur externe vrifie par sondage, sur la base dun chantillon reprsentatif, la rgularit et la
correcte comptabilisation des oprations ainsi que la conformit et la cohrence des soldes comptables.
il procde galement, lexamen des mouvements des comptes et lanalyse des pices justificatives.
Article 30
Lauditeur externe procde lexamen des principes comptables et mthodes dvaluation adoptes
par ltablissement de crdit et ayant trait notamment :
- la classification des crances en souffrance et leur couverture par les provisions ainsi qu la
comptabilisation des agios y affrents ;
- lvaluation des garanties prises en considration pour le calcul des provisions ;
- la comptabilisation et au traitement des crances restructures et des provisions et agios y
affrents ;
- limputation des crances irrcouvrables au compte de produits et charges ;
- la comptabilisation et lvaluation lentre et en correction de valeur des diffrents portefeuilles
de titres ;
- lvaluation des lments libells en devises et la comptabilisation des carts de conversion ;
- la constitution des provisions pour risques et charges ;
- la prise en compte des intrts et des commissions dans le compte de produits et charges ;
- lvaluation et lamortissement des immobilisations corporelles et incorporelles ;
- la rvaluation des immobilisations corporelles et financires.
Article 31
Lauditeur externe apprcie la qualit des actifs et des engagements par signature de ltablissement de
crdit leffet notamment didentifier les moins-values et les dprciations, relles ou potentielles, et
de dterminer le montant des provisions ncessaires leur couverture, compte tenu des dispositions
rglementaires en vigueur.
Article 32
Lvaluation de la qualit du portefeuille de crdits se fait sur la base dun chantillon reprsentatif
tenant compte de la nature de lactivit, de la taille et de la qualit du systme de contrle interne de
ltablissement de crdit ainsi que des dispositions prcises ci-aprs.
Lexamen des risques est effectu en donnant la priorit :
- aux crdits dont lencours, par bnficiaire tel que dfini par la circulaire n 3/G/2001 relative au
coefficient maximum de division des risques, est gal ou suprieur 5 % des fonds propres de
ltablissement de crdit ;
- aux concours consentis aux personnes physiques et morales apparentes ltablissement, telles
que dfinies par le PCEC ;
- aux autres dossiers de crdit prsentant un risque anormal (crances ayant enregistr des impays
ou fait lobjet de consolidation, crdits consentis des clients oprant dans des secteurs
connaissant des difficults, etc).
271
Les critres au vu desquels est dtermin lchantillon susvis doivent tre prciss et justifis dans le
rapport dtaill, en indiquant la part examine dans lencours total des crdits.
Article 33
Les anomalies et insuffisances significatives releves dans la comptabilit ou dans les tats financiers
ainsi que les omissions dinformations essentielles pour la bonne apprciation du patrimoine, de la
situation financire et des rsultats de ltablissement, doivent tre portes la connaissance de
lorgane de direction en vue de leur redressement.
Article 34
Lauditeur externe fait tat dans ses rapports des ajustements, considrs comme significatifs au regard
des normes de la profession en vigueur, qui doivent tre apports aux tats de synthse en prcisant en
particulier :
- le montant des crances en souffrance non classes ;
- le montant de linsuffisance des provisions ncessaires pour la couverture des crances en
souffrance ;
- le montant de linsuffisance des provisions ncessaires pour la couverture des dprciations du
portefeuille titres ;
- le montant de linsuffisance des provisions pour dprciations des autres actifs ;
- le montant de linsuffisance des provisions pour risques et charges ;
- le montant des soldes injustifis ;
- tout autre cart matriel constat par rapport aux normes comptables et mthodes dvaluation
prescrites par le PCEC.
Il mentionne galement les autres ajustements qui, son avis, doivent tre apports aux dclarations
adresses Bank Al-Maghrib, en particulier, celles ayant trait la rglementation prudentielle et aux
emplois obligatoires.
TITRE III : DISPOSITIONS DIVERSES ET TRANSITOIRES
Article 35
Les rapports viss larticle 16 ci-dessus, dment dats et signs par lauditeur externe, doivent tre
adresss, par celui-ci, la DCEC au plus tard :
- 15 jours, avant la date de la runion de lassemble gnrale ordinaire des actionnaires de
ltablissement de crdit concern ou de lorgane social en tenant lieu, en ce qui concerne le
rapport dopinion ;
- le15 juin de lexercice suivant celui au titre duquel laudit est effectu, pour ce qui est du rapport
dtaill.
Article 36
La DCEC peut saisir les auditeurs externes pour leur demander tous claircissements et explications
propos des conclusions et opinions exprimes dans leurs rapports et, le cas chant, de mettre sa
disposition les documents de travail sur la base desquels ils ont formul ces conclusions et opinions.
Elle peut galement, cette fin, tenir des runions de travail avec les auditeurs externes.
Article 37
Les tablissements de crdit sont tenus de mettre la disposition des auditeurs externes tous les
documents et renseignements que ceux-ci estiment ncessaires pour laccomplissement de leur
mission.
Article 38
Les tablissements de crdit organisent des runions priodiques entre leurs auditeurs externes et leurs
auditeurs internes, leffet dexaminer les questions ayant trait au systme de contrle interne et aux
autres questions dintrt mutuel.
Article 39
Les tablissements de crdit communiquent la DCEC, sa demande et dans les dlais fixs par elle,
les mesures prises et celles quils envisagent de mettre en uvre pour remdier aux lacunes, erreurs et
insuffisances releves par lauditeur externe.
Article 40
Les demandes dagrment relatives aux auditeurs externes qui, la date de publication de la prsente
circulaire assurent la mission daudit auprs des tablissements de crdit, doivent tre adresses la
272
DCEC dans un dlai de 60 jours maximum compter de cette date, accompagnes de la lettre de
mission vise larticle 15 ci-dessus.
Article 41
Les dispositions de la prsente circulaire entrent en vigueur compter de la date de sa publication.
273
Bibliographie
274
275
BIBLIOGRAPHIE
Ouvrages.
Antoinne Sardi, Audit et inspection bancaires - l'audit interne- Editions Afges, Septembre
2002.
Antoinne Sardi, Pratiques de la comptabilit bancaire, Editions Afges, 1999.
Coopers & Lyberland, IFACI, La nouvelle pratique du contrle interne - Editions des
organisations, Octobre 1994.
Michel Rouach, Grard Nauleau, Le contrle de gestion bancaire et financier - Edition
Economica, Septembre 1999.
Jean-Michel Errera, Christian Jimenez, Pilotage bancaire et contrle interne - Edition les
Eska, Juillet 1999.
Amine Tarazi, Risques bancaires, drglementation financire et rglementation
prudentielle : Une analyse en terme d'esprance-variance.
Siruwet, Jean Luc, Roessler, Lydia, Le contrle comptable bancaire, un dispositif de
maitrise des risques : normes, techniques et mise en uvre.
Azedine Berrada, Techniques de banques et de crdit. Edition 2000.
COBIT (Gouvernance, Contrle et Audit de lInformation et des Technologies Associes)
Brokers and dealers in securities : Guide daudit publi par lAmerican Institute of
Certified Public Accountant.
R.VATIER, "L'audit : Qu'est-ce que c'est?", Personnel, n362, juillet 1995.
R.VATIER, "L'audit social", Personnel, n365, dcembre 1995.
A.AUBERT, "L'audit : Des reprsentations clates", Education Permanente,
n132/1997-3, 1997.
"Audit social au service du management des ressources humaines : professionnalisme
des consultants", ISEOR, Economica, Paris, 1994.
276
Publications rglementaires.
Rapport annuel sur le contrle, lactivit et les rsultats des tablissements de crdit,
exercice 2004.
Circulaires de Bank Al Maghrib N6,N9,N19.
Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke, ratio de
division des risques, ratio de liquidit, rserve montaire"
Rglement Franais N97-02 sur le contrle interne bancaire.
Loi bancaire marocaine de 1993.
Livre blanc de la commission bancaire franaise relatif la scurit des systmes
d'information 1995.
Circulaire D1/EB/2002/6 : sur le contrle interne ainsi que sur la fonction daudit interne
et la fonction de Compliance des entreprises dinvestissement. Commission bancaire et
financire Bruxelles, le 14 novembre 2002.
Publications spcialises.
277
Risque oprationnel : l'apport des outils automatiss de gestion des risques, Marie
Agns Nicolet (Deloitte Touche Tohmatsu) - Banque magazine - (N654) - 01/01/2004.
Mthodologie : le suivi du risque oprationnel, Sylvie Lpicier (LGB Finance) - Yann Le
Tallec (LGB Finance) - Banque magazine - (N652) - 01/11/2003.
Mtiers de la banque - IAS/Bale II : quels nouveaux profils ? , Anne Drif (Revue Banque)
- Banque magazine - (N652) - 01/11/2003.
Dbat : Bale II et la stabilit financire, Michel Dietsh (Institut d'tudes politiques de
Strasbourg) - Dominique Garabiol (Groupe Caisse d'Epargne) - Pierre-Yves Thoraval
(Commission Bancaire) - Alain Duchteau (Secrtariat gnral commission bancaire) Banque magazine - (N651) - 01/10/2003.
Bale II- Asset managers et risque oprationnel : les nouveaux paradoxes, Didier Bentre
(PricewaterhouseCoopers)- Isaak Look (PricewaterhouseCoopers) - Banque magazine(N651) - 01/10/2003.
Audit Committee and Governance Survey Results. Deloitte and Touche , Avril 2003
Global Internal Audit : The New Reality , Deloitte Touche Tohmatsu 2003.
Global Banking Industry Outlook : Top 10 Issues , Deloitte Touche Tohmatsu 2004.
Doyon, M. (1996) Tuned in Management, Internal Auditor, december.
Hopkins, D. (1996) The Auditing Business, Internal Auditor, october.
Audit Committee Newsletter KPMGs Audit Committee Institute Edition 1, avril 2003
Laudit et le contrle internes - Mise niveau en Audit - Mounim Zaghloul, Consultant CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Rseau BKR
International, 12 au 14 Septembre 2002.
Bale II : Gense et enjeux Confrence-dbat association d'conomie financire Commission Bancaire, Banque de France et Eurosysteme
jeudi 27 mai 2004.
Lapproche risque au centre de laudit bancaire par Barbara Lambert Partner, Ernst &
Young SA/Switzerland et Antonio Mira Senior Manager, Ernst & Young SA/Switzerland Revue LAGEFI Haute Finance Novembre 2003.
Analyse, mesure et contrle des risques dans le monde bancaire Pierre-Yves Thoraval
(Secrtariat gnral de la Commission bancaire), Directeur de la Surveillance gnrale
du Systme bancaire 1res Rencontres Internationales Institut Europlace de Finance - 4
juillet 2003
Evaluation du risque de crise bancaire - Rapport trimestriel BRI (Banque des Rglements
Internationaux) , dcembre 2002.
Basel Committee on Banking Supervision Internal audit in banks and the supervisors
relationship with auditors - A survey August 2002 Bank For International Settlements
(BRI).
Le systme bancaire dans la tourmente - Par Ibrahim Warde Chercheur au Center for
International Studies, Massachusetts Institute of Technology (Cambridge), auteur de The
Financial War on Terror (IB Tauris, Londres, paratre) - Le Monde Diplomatique
novembre 1998.
L'analyse des risques oprationnels : un enjeu qui dpasse le secteur bancaire - Par
Jean-Franois Pirus PDG de la socit de conseil Internet Business Services, et
responsable du site BPMS.info, deux entits spcialises dans le management des
processus. (19/03/2004).
Le nouveau mtier de "Responsability Manager" par Yves Medina, dontologue de
PricewaterhouseCoopers, conseiller-matre la Cour des comptes et vice-prsident de
l'Observatoire sur la responsabilit socitale des entreprises (ORSE). Les Echos, L'Art
de la gestion des risques 13 dcembre 2000.
Vers une nouvelle approche de risque par Dominique Chesneau, associ chez
PricewaterhouseCoopers, Les Echos, L'Art de la gestion des risques 13 dcembre 2000.
278
Sites Internet.
http://www.federalreserve.gov/boardocs/supmanual :
http//pwc.com
http//bpms.info
http://www.iviq.org
http://www.nbb.be
http://www.monde-diplomatique.fr
279