Audit Bancaire

INSTITUT SUPERIEUR DE COMMERCE ET
D'ADMINISTRATION DES ENTREPRISES

CYCLE SUPERIEUR DE GESTION (C.S.G)
MEMOIRE PRESENT EN VUE DE L'OBTENTION DU

DIPLOME DU CYCLE SUPERIEUR DE GESTION
L'audit systmique, un outil defficacit

du risk management
Application aux systmes d'information, aux
activits de march, aux ressources
humaines et la comptabilit.
Cas du systme bancaire marocain.
Par
: M. Badr FIGUIGUI
Membres du Jury
M. Mostafa MELSA
: Professeur lISCAE, Prsident du jury;
M. Abdellatif MAZOUZ : Directeur de recherche, suffragant ;
M. Mohammed HDID : Expert comptable Associ Saaidi-consultants,
M. Hassan BOUBRIK
M. Omar BOUNJOU
suffragant ;
: Secrtaire Gnral de la Caisse de Dpt et
de Gestion (CDG), suffragant ;
: Directeur Gnral dAttijari Wafa Bank, suffragant.
- Septembre 2007 -
Sommaire simplifi
SOMMAIRE SIMPLIFIE
Partie introductive
Introduction
...6
Problmatique gnrale...9
Intrt du sujet..12
Hypothse centrale....13
Propos mthodologiques .......16
Chapitre prliminaire : Le systme bancaire marocain : vue densemble..19
Premire partie : L'audit interne dans le systme bancaire

marocain : des pratiques limites aux fonctions classiques.
Chapitre 1 : Typologie et valuation des risques bancaires
Section 1 : Typologie des risques bancaires.......39
Section 2 : Critres d'valuation et dispositifs de contrle.56
Chapitre 2 : Spcificits de l'audit bancaire

Section1 : Principes d'audit en gnral.....77
Section2 : Particularits de l'audit bancaire......89
Chapitre 3 : Les systmes daudit interne bancaire marocain

et leur efficience : enqute sur le terrain
Section 1 : Le guide dentretien.....103
Section 2 : les conclusions de lenqute.......106
Partie II : L'audit systmique, un nouvel outil au service du

risk management pour matriser davantage les risques des
mtiers.
Chapitre 1 : Les particularits de l'approche d'audit systmique.
Section 1 : L'audit du systme de contrle interne global...122
Section 2 : L'approche par les risques....126
Section 3 : Lapproche systmique........128
Chapitre 2 : Mission d'audit de la Direction des Systmes d'Information.

Section 1 : Organisation et management....138
Section 2 : Scurit.......148
Section 3 : Etudes et dveloppements......163
Section 4 : Exploitation informatique....168
Chapitre 3 : Mission d'audit de la Salle des Marchs.

Section 1 : Front-Office Trading & ventes...175
Section 2 : Middle-Office......183
Section 3 : Back Office.......191
Section 4 : Risque de contrepartie..199
Section 5 : Risque Juridique..201
Section 6 : Scurit Physique......203
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.

Section 1 : Organisation gnrale de la fonction RH.......208
Section 2 : Administration....211
Section 3 : Gestion des carrires.....213
Section 4 : Recrutement....215
Section 5 : Formation.......217
Section 6 : Relations et activits sociales....218
Chapitre 5 : Mission d'audit de la Direction Comptable.

Section1 : Audit systmique du service comptable....226
Section 2 : Les reportings rglementaires..........233
Section 3 : Risques fiscaux........235
Section 4 : Consolidation......236
Conclusion gnrale.......239
Annexes .....246
Bibliographie.......276
Laudit systmique bancaire, un outil defficacit du risk management.

__________________________________________________________________________________________
Partie introductive

__________________________________________________________________________________________
Partie introductive
Introduction
Problmatique gnrale
Intrt du sujet
Hypothse centrale
Propos mthodologiques
Chapitre prliminaire : Le systme bancaire
marocain : vue densemble

__________________________________________________________________________________________
'audit systmique, un outil defficacit du risk management.

Application aux systmes d'information, aux activits de march, aux ressources
humaines et la comptabilit.
Cas du systme bancaire marocain
Introduction.
Le secteur bancaire est en mutation : drglementation, dsintermdiation, risques
accrus, pour nen citer que les lments les plus courants.
Les banques font face un environnement socioconomique mouvant et de plus en
plus complexe.
En effet, les banques marocaines comme les banques trangres ont vcu de profonds
bouleversements dans les annes quatre vingt se traduisant par la dcentralisation et
l'internationalisation des activits, la croissance des volumes doprations, le
dveloppement des produits sophistiqus et la prise de risques dans un contexte de
baisse des marges.
Depuis le dbut du troisime millnaire, en Europe, on constate une acclration des
fusions et des acquisitions dans le secteur bancaire. Phnomne qui semble se
propager pour toucher ainsi le paysage bancaire marocain.
Si, historiquement, la restructuration du secteur bancaire n'est pas un phnomne
nouveau, comment expliquer lacclration actuelle ? Quelles en sont les consquences
sur les fonctions exerces par les banques et les risques qui en dcoulent ? Le paysage
bancaire mondial y compris celui marocain sera-t-il domin par quelques mga banques
dans quelques annes ?
Ainsi, avec les volutions qui marquent le secteur bancaire et qui se caractrisent
notamment par la rapidit de renouvellement des process, l'automatisation acclre
des traitements ainsi que par la technicit et la diversit croissantes des produits, les
risques auxquels les banques sont confrontes sont devenus plus nombreux, plus
significatifs et plus complexes.
Ces mutations posent d'une part des problmes de difficults danalyse et de contrle
des risques, de protection des investisseurs et de transparence des marchs et d'autre
part, des exigences toujours plus leves la gestion des risques et lorganisation des
tablissements bancaires. De mme, elles accroissent le risque de contrles inadapts
voir dfaillants.
Les tablissements bancaires sont aujourdhui conduits s'investir davantage pour tirer
les conclusions de ces volutions.
Laxe de progrs le plus vident est la mise en place dun systme interne de
connaissance de leur exposition aux risques, quelle que soit lorigine du risque (crdit,
march, systme d'information...).
Le pilotage des risques bancaires via le risk management et l'audit interne est une
problmatique largement d'actualit, depuis dj quelques annes dans beaucoup de
pays occidentaux (Etats Unis, Japan, Grande Bretagne, France,). Ceci n'est pas le

__________________________________________________________________________________________
fruit du hasard, mais une consquence des problmes conomiques importants que
soulve la question, ayant abouti dans certains cas des situations dramatiques.
Les pertes importantes qu'ont subies plusieurs banques et tablissements financiers
sur leur activit de trading illustrent par ailleurs, de manire assez pragmatique, les
consquences de "break-down " dans le processus de matrise des risques. De
nombreuses affaires sur plusieurs grands marchs tels que Barings, Fleming et Morgan
Grenfell, Dawa et Sumitomo, Orange country et Metallgesellschaft, ne sont que des
exemples de cette liste noire (Cf. Annexe 1) et ont montr que lexistence de
procdures adaptes tait ncessaire mais pas suffisante.
A la suite de ces affaires et des menaces que fait peser une faillite bancaire sur le
systme financier tout entier, et sur la confiance quil doit inspirer tous, les exigences
des instances de rgulation vont en croissant, les contrles se renforcent et les
sanctions deviennent plus dissuasives.
Ces instances ont, leur tour, labor des doctrines dont lobjet principal est de
soumettre les banques des rgles permettant de minimiser le risque de les voir
manquer leurs obligations vis--vis de leurs dposants.
Le dveloppement de ces rgles dites prudentielles est en train de converger vers
une approche de plus en plus similaire celle rsultant des analyses de la thorie
financire : le projet du nouveau ratio de solvabilit dit Mc Donough a pour principal
objectif de mieux prendre en compte la ralit des risques pour la dfinition des
exigences de fonds propres auxquelles sont soumises les banques.
Il y a quelques annes, le Maroc a lui aussi failli tomber sous le coup d'une instabilit
financire cause par les difficults financires de deux grandes banques publiques de
la place. Sans l'intervention des pouvoirs publics, cette crise aurait pris un tournant
dangereux.
S'il est vrai que ces accidents n'ont pas mis le systme financier en danger, ils n'en
sont pas moins porteurs d'un avertissement pour tous : des systmes dficients en
matire de gestion et d'audit des risques dans le secteur financier peuvent rapidement
provoquer des pertes financires considrables lesquelles, si elles ne sont pas
contenues adquatement par des tampons solides aptes endiguer le risque
systmique, sont susceptibles d'engendrer un effet de domino auprs d'autres
oprateurs sur les marchs avec des consquences difficilement calculables pour le
systme financier.
Cette proccupation est relle, comme en tmoigne l'actualit internationale : les crises
rcentes de l'Argentine, la Turquie et la crise asiatique d'il y a quelques annes n'en
sont que des exemples.
Ces turbulences financires qui ont secou les marchs financiers internationaux en
gnral et celui marocain en particulier, ont mis en vidence certaines faiblesses dans la
gestion et l'audit des risques au sein des tablissements bancaires. Cette gestion
longuement assimile une simple conformit des rgles prudentielles s'est rvle
inefficace dans la mesure o celle-ci sest limite pour la plupart au respect d'un

__________________________________________________________________________________________
ensemble d'indicateurs plutt gnraux et a pass sous silence un aspect fondamental

de la gestion des risques bancaires : l'implication du top management et du conseil
d'administration dans le contrle des organisations bancaires.
Il est vident que dans ces conditions, les banques ne peuvent plus se contenter pour
leur gestion de s'appuyer sur une approche limite de gestion des risques bancaires, un
pilotage plus fin devient alors vital. En effet, la solidit et la sant de tout tablissement
bancaire est une responsabilit qui incombe en premier lieu au management de celui-ci:
il n' y a aucun systme spcifique de surveillance bancaire qui puisse remplacer une
gestion saine et efficace d'une banque. Celle-ci passe dsormais par une implication
plus importante du management dans le choix d'outils pertinents les mieux adapts au
profil de risque de l'tablissement bancaire.
S'il est vrai que l'audit bancaire comporte des cots levs, il s'est avr qu'un
audit dficient ou insuffisant cote encore plus cher.
Dans ce rpertoire, Il n'existe pas encore de thorie d'audit bancaire standard et
globalement accepte. Nous n'avons l'heure actuelle, qu'un ensemble de pratiques de
l'audit, qui ont volu au cours des annes, avec les besoins et les mtiers de la
banque.
L'audit bancaire prsente quelques spcificits de part les particularits de
lenvironnement analys. En effet, en sappliquant au systme de gestion et de contrle
des risques bancaires, il en dcoule une pluridisciplinarit des champs observs :
ressources humaines, systme d'information, comptabilit, activits de march ..
De plus, les risques bancaires sont des phnomnes complexes et difficiles cerner.
Ce qui entrane des particularits pour lauditeur concernant la manire dobserver,
linterprtation des rsultats et les difficults dlaboration dun systme de rfrence.
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volont affirme de la part de ses instances dirigeantes de se doter d'un outil mme
de limiter les risques inhrents ses activits, de rendre l'organisation existante plus
performante et plus gnralement, d'accrotre l'efficacit de celle-ci.
En effet, laudit interne peut jouer un rle non ngligeable en matire defficacit du
management dune banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien
apte accomplir la mission qui lui est assigne.
Des conditions sont remplir pour que l'audit interne puisse tre un vritable outil
d'efficacit. A l'vidence, quelle que soit la nature des missions confies l'audit interne,
le niveau d'efficacit sera fonction d'un certain nombre de paramtres tels que la
pertinence de l'approche emprunte, l'exhaustivit du primtre audit, le savoir-faire
technique et qualits intrinsques de l'auditeur, etc.
Ainsi, face aux volutions des mtiers bancaires, qui ont gnr de nouvelles variantes
de risques et modifi les facteurs de fragilit financire, il devient de plus en plus
impratif de dvelopper des outils d'audit spcifiques dans le but de dtecter et de
couvrir tous les risques inhrents l'activit bancaire.

__________________________________________________________________________________________
Si les normes prudentielles et rglementaires demeurent un point d'ancrage essentiel, il

est de plus en plus pressant que les tablissements bancaires puissent s'investir dans le
dveloppement d'instruments complmentaires d'analyse fonds sur des mthodes la
fois quantitatives et qualitatives voir systmiques.
Le Comit de Ble II impose la mise en uvre de mthodes plus strictes pour
lvaluation et la gestion du risque de crdit, du risque de march et du risque
oprationnel.
Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences
rglementaires serait possible avec l'approche de l'audit systmique. Celle-ci a modifi
profondment les pratiques utilises jusque l par l'auditeur bancaire. Instaure en
globalit pour toutes les lignes mtiers ou intgre individuellement pour complter un
systme existant, une telle approche permet aux tablissements bancaires de disposer
d'un outil prcieux pour mieux grer et contrler leurs risques.
Problmatique gnrale.
Contexte international
La problmatique de gestion et d'audit des risques apparat donc comme une donne
omniprsente et essentielle dans l'apprciation de la qualit des tablissements de
crdit. Une rtrospective sur l'volution des normes et des pratiques en la matire
souligne toutefois le caractre rcent de cette proccupation avec les premires
rflexions d'ensemble qui remontent seulement une vingtaine d'annes.
C'est en effet en 1988 que le premier texte international visant rguler l'exposition aux
risques des banques a vu le jour, avec la publication par le Comit de Ble de l'accord
sur l'adquation des fonds propres qui, rappelons-le , ne traitait l'poque que les
risques de crdit ( cette norme est la base de la dcision rglementaire de Bank AlMaghrib (BAM) N96 du 25 dcembre 1992 relative l'instauration du ratio de solvabilit
impos l'ensemble des oprateurs dans le secteur bancaire).
L'volution spectaculaire des rfrentiels de gestion des risques dcoule de deux
phnomnes qui sont venus se cumuler.
-
L'impulsion du march avec la monte en puissance des thmatiques de

gouvernement d'entreprise et de transparence, phnomne qui n'est d'ailleurs
pas spcifique au secteur bancaire mais concerne l'ensemble des socits et, en
particulier celles cotes;
La pression forte et continue des rgulateurs bancaires, en premier lieu le Comit

de Ble, pour amliorer les dispositifs de gestion et de contrle des risques dans
l'objectif de garantir la stabilit conomique au niveau mondial et dviter la
survenance de risques systmiques.

__________________________________________________________________________________________
L'analyse des textes qui manent des autorits prudentielles bancaires, au niveau
international, montre une attention croissante porte depuis quelques annes par ces
autorits ces thmes, avec en particulier :
-
La dclinaison au niveau du secteur bancaire du principe de responsabilit finale

des administrateurs dans le fonctionnement du contrle interne et de la mise en
place de comits d'audit ;
La dfinition dun cadre complet et prcis sur le mode d'organisation, de gestion

et d'encadrement des diffrents risques avec le dveloppement du concept de
"Risk Management" notamment travers des textes rglementaires sur le
contrle interne;
L'affirmation constante de la ncessit de transparence vis--vis du march.

Celle-ci passe notamment par une communication adapte sur l'organisation
interne de la gestion des risques, les expositions et les incidences passes et
futures, ainsi que sur la rentabilit des activits autour de diffrents indicateurs de
cration de valeur.
Une autre tendance de fond observe depuis 1998 rside dans l'largissement des
rfrentiels de gestion et de matrise des risques, vers une conception tendue
l'ensemble des risques banacires, alors qu'ils taient concentrs initialement sur les
risques financiers (crdit, march,..). En particulier, des travaux approfondis ont t
entrepris par le Comit de Ble sur le thme du risque oprationnel.
Dans ce contexte de foisonnement et de progression continue des textes sur la gestion
des risques des banques, les rapports annuels des grandes banques internationales
comportent actuellement des prsentations de plus en plus importantes sur les
dispositifs globaux de "risk management", et une communication dsormais spcifique
sur la gestion du risque oprationnel.
La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un
"going concern".
Cette problmatique gnrale tant prcise, Qu'en est-il de la question au Maroc?
Contexte marocain
Le paysage bancaire marocain se caractrise par un cadre prudentiel qui a fait l'objet
d'une refonte profonde ds 1993 concidant avec la promulgation de la nouvelle loi
bancaire. Dans le prolongement de cette nouvelle loi bancaire, plusieurs rglements se
sont succds, dont le plus important est la circulaire N6 relative au contrle interne
des tablissements de crdit diffuse par Bank Al Maghrib (BAM) en fvrier 2001.
Avant la diffusion de cette nouvelle circulaire, un dbat fragment a t soulev depuis
quelques annes avec pour toile de fond les dysfonctionnements vcus ces derniers
temps par certains tablissements de crdit ; jusque-l considrs comme pionniers
dans le pilotage bancaire et le contrle interne.
10

__________________________________________________________________________________________
Le cadre rglementaire du secteur bancaire a connu rcemment de nouvelles volutions

et a ainsi subi plusieurs amnagements notamment travers la refonte de deux textes
fondateurs savoir : les nouveaux statuts de Bank Al-Maghrib, adopts par le
Parlement le 13 janvier 2005, confrant cette institution lautonomie en matire
dlaboration et de conduite de la politique montaire et la nouvelle loi bancaire du 14
fvrier 2006 ayant renforc les prrogatives de Bank Al-Maghrib dans le domaine de la
supervision bancaire.
Actuellement, au-del des causes des mutations que connat le paysage bancaire
marocain (les mouvements de fusion absorption, la disparition des petites banques, la
rude course concurrentielle, la recrudescence des fraudes .), ce sont leurs
consquences notamment la fragilit financire accrue qui attirent lattention.
Comment peut-on expliquer que certains tablissements bancaires aient connu autant
de difficults financires ? Est-ce seulement d un management irresponsable
ou sagit-il dun problme defficience de leur systme d'audit interne?
La circulaire N6 de BAM arrive donc point nomm pour rappeler aux tablissements
de crdit leurs responsabilits et la ncessit de matriser leurs risques majeurs pour
protger leurs clients, leurs actionnaires et l'ensemble de leurs partenaires. Afin d'inciter
les tablissements de crdit se conformer la rglementation en vigueur, des
sanctions pcuniaires applicables aux diffrentes infractions ont, en outre, t dictes.
Ce renforcement du dispositif prudentiel et son alignement sur les normes
internationales visent prvenir les diffrents risques lis l'exercice de l'activit des
tablissements de crdit.
Ces actions entreprises par les autorits montaires traduisent une volont ferme des
organes de tutelle en vue d'radiquer toutes les sources potentielles pouvant entraver
un fonctionnement normal de l'ensemble du systme financier.
La gestion des risques bancaires revt encore plus d'importance auprs des autorits
montaires qui se sont dmarques ces derniers temps par la diffusion d'un ensemble
de rgles et de recommandations visant mettre en place une nouvelle approche de
surveillance de risque base sur un renforcement des systmes de contrle interne.
Toujours est-il qu'une question demeure pose ce sujet, celle-ci porte non seulement
sur l'efficacit des mesures rglementaires institues par les autorits montaires, mais
aussi sur la capacit des tablissements de crdit intgrer efficacement les nouvelles
rgles de contrle interne, dcoulant la fois des pratiques internationales et des
nouvelles approches fondes sur une gestion interne des risques.
Ds lors, des interrogations majeures s'imposent sur l'efficacit des dispositifs d'audit
interne, actuellement pratiqus par le systme bancaire marocain :
Le management bancaire est-il sensible tous les risques : oprationnels,

financiers, stratgique et de rputation ?
11

__________________________________________________________________________________________
Comment a-t-il rparti les rles entre les divers acteurs de son entit (Risk
management, Audit interne et Compliance en termes de gestion, de contrle et de
prvention de ces risques ?
Laudit interne au sein du systme bancaire marocain, jouit-il de l'indpendance, du

pouvoir et de l'efficacit ncessaires pour mener bien sa mission ?
Le systme d'audit bancaire marocain est-il efficient ?

La cartographie des risques des tablissements bancaires est-elle fiable et
exhaustive ?
La cartographie des risques permet-elle d'identifier les risques (par

mtiers, domaines, ou processus), de qualifier ces risques (frquence,
niveau de criticit,) et de les rattacher aux lments concerns (tche,
acteur, systme,...) ?
Permet-elle au management de la banque de dcider des actions mener

pour grer ces risques : assumer, viter, prvenir (rduire la frquence ou
la probabilit de survenance), attnuer (rduire limpact financier ou
dimage) ou transfrer (assurance)?
Fournit-elle au management une synthse dgageant les risques majeurs

et/ou les processus les plus sensibles, lesquels seront surveiller laide
dindicateurs des risques cls "Key Risk Indicators" ?
Le champ daudit des tablissements bancaires est-il exhaustif ?
Son primtre couvre-t-il tous les risques (marchs, systme d'information,

comptables, ressources humaines, ..) et les entits de la banque (Rseau,
Directions centrales, filiales et succursales) ?
Les directions d'audit interne disposent-elles de ples de comptence

aptes mener des missions d'audit dans des mtiers spcifiques (salle
des marchs, systmes d'information, ressources humaines, finance et
comptabilit, gestion actifs-passifs, logistique.) ?
Disposent-elles de manuels de procdures ou de modes opratoires pour

piloter les missions daudit ralises dans tous les mtiers ?
Enfin, peut on amliorer lefficience du systme daudit interne bancaire marocain

par une nouvelle Approches daudit systmique ?
Intrt du sujet.
Plus pratiquement, lintrt du sujet dcoule de trois considrations principales :
Le contexte en forte volution, caractris par diverses mutations conomiques

et rglementaires importantes ( forte tendance concurrentielle , pression
rglementaire) qui souligne l'importance de laudit bancaire pour la stabilit
12

__________________________________________________________________________________________
financire et explicite dornavant le rle majeur du top management dans ce

processus de pilotage et de contrle.
L'objectif de cerner et de prvenir tout risque de perte de valeur qui ncessite des
outils adquats en termes de dveloppement, de reporting et de matrise des
risques qui passent incontournablement par un renforcement du dispositif de
contrle interne et par consquent de l'approche d'audit.
Eu gard cette volont aussi bien publique que prive, et dans le cadre mme
du processus naissant d'alignement sur les standards internationaux la fois
comptables et financiers, les tablissements de crdit marocains offrent-ils un
environnement propice pour une mise en uvre dans les dlais souhaits par les
autorits montaires des nouvelles recommandations formules dans les
nouvelles dispositions rglementaires ?
L'intrt du travail que je me propose de dvelopper dans le cadre du prsent thme de

recherche se veut tout d'abord pragmatique compte tenu la fois des ralits
conomiques et organisationnelles des tablissements de crdit marocains, mais aussi
critique et prcurseur d'une nouvelle approche d'audit bancaire.
L'objectif primordial de cette tude est donc de fournir une esquisse des pratiques
d'audit dans le systme bancaire et de dmontrer l'incapacit des systmes classiques
d'audit de couvrir seuls l'ensemble des mtiers bancaires et particulirement ceux
rputs comme "inauditables" de part leur complexit et/ou de leur technicit, tels que :
le systme dinformation, les activits de march, les ressources humaines et la
comptabilit.
Ble II impose la mise en uvre de mthodes plus strictes pour lvaluation et la gestion
des risques. Disposer d'une visibilit globale sur les risques, tout en rpondant aux
exigences rglementaires, demande beaucoup dimplication, de temps, defforts et de
ressources de la part des banques.
Devant les difficults majeures de mise en place d'un dispositif efficace de contrle
interne au regard des tendances internationales et des nouvelles exigences
rglementaires, laudit systmique, dvelopp dans le prsent thme de recherche, a
pour objectif ultime de proposer aux tablissements bancaires un outil prcieux pour
mieux grer et auditer leurs risques.
Ainsi, sera dveloppe une dmarche mthodologique d'audit systmique illustre via
quatre lignes mtiers (systme d'information, activits de march, comptabilit et
ressources humaines) et qui pourrait ainsi tre tendue d'autres mtiers.
Hypothse centrale.
Face un environnement socioconomique de plus en plus difficile marqu par la
multiplicit et la complexit des risques et l'accroissement du risque daudits inadapts
ou dfaillants, les banques doivent plus que jamais disposer dun systme de gestion et
13

__________________________________________________________________________________________
daudit de risques performant, efficace et susceptible de mieux matriser et de prvenir

lapparition de nouveaux risques.
Depuis plusieurs annes, les autorits de rglementation et de contrle bancaire ont pris
de nombreuses initiatives en vue de dvelopper et de renforcer le contrle interne dans
les tablissements de crdit.
Cet environnement de plus en plus complexe et mouvant dans lequel voluent les
tablissements de crdit, a donc ncessit lexistence des systmes danalyse, de
mesure, de matrise des risques performants qui compltent ainsi le dispositif prudentiel.
Lobjectif est de sassurer dune part que les risques de toute nature sont analyss et
surveills et de contribuer dautre part la prvention ou la dtection prcoce de ces
risques. Ces exigences ont entran pour certains tablissements de crdit des
rflexions sur leur organisation, leur systme dinformation ainsi quune rvision de leur
dispositif d'audit interne.
La fonction daudit interne est un instrument incontournable pour vrifier le bon
fonctionnement, lefficacit et lefficience du systme de contrle interne. Dans le cadre
de ses travaux, laudit interne fournit au top management des analyses, des valuations,
des recommandations, des avis sur les activits examines et contribue ainsi un
meilleur pilotage de la banque.
Un systme de contrle interne adquat requiert un ensemble efficace de mesures
intgres, adaptes lorganisation et au fonctionnement de ltablissement bancaire
et conformes aux principes dune gestion prudente et saine.
Or, le monde bancaire doit faire face de nouveaux enjeux : disposer dinformations
prcises, provenant de sources internes parses et de divers partenaires externes,
grer et consolider diffrents types de risques provenant de plusieurs localisations
gographiques ou domaines fonctionnels, ou bien adopter une politique globale de
gestion du risque en conformit avec la nouvelle rglementation Ble II.
De nombreux tablissements financiers ont encore un mode de fonctionnement
compartiment, avec des silos dinformations, danalyses et dhypothses parfois
incohrents entre les entits de la banque. Il leur est donc difficile dobtenir une vision
densemble fiable des multiples risques rencontrs et den mesurer le niveau global.
Sur le plan rglementaire, Ble II impose la mise en uvre de mthodes plus strictes
pour lvaluation et la gestion du risque de crdit, du risque de march et du risque
oprationnel.
Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences de
Ble II, demande beaucoup dimplication, de temps, defforts et de ressources de la part
des banques.
Dans ce contexte, une mthodologie daudit des risques appele "audit systmique "
est primordiale pour en tudier les principales causes et consquences, ainsi que les
mcanismes de propagation. Elle permettra de dterminer les indicateurs et mesures de
gestion puis les plans dactions les mieux adapts pour les matriser.
14

__________________________________________________________________________________________
Elle aboutira notamment mieux connatre le profil de risque des activits exerces
(cartographie des risques), dvelopper et alimenter les outils ncessaires au pilotage
de ces risques (rfrentiel de risques par activit, indicateurs de veille et de suivi).
Elle vise galement amliorer et coordonner les processus de gestion existant en
intgrant, en particulier, les problmatiques de contrle interne, de scurit des
systmes dinformation, de dontologie, dans le cadre dun dispositif dvaluation
globale des risques.
Enfin, elle permettra daccrotre la responsabilit, la vigilance et la ractivit des units
fonctionnelles et de rpondre aux exigences du risk-management.
En instaurant une nouvelle approche d'audit systmique, les tablissements bancaires
seraient aptes mieux valuer et grer leur risque.
Laudit systmique prsente une approche intgre capable didentifier les facteurs de
risque et qui inclut toutes les analyses appropries la mesure de tous les types de
risques : crdit, march et oprationnel.
Une telle approche permet d'avoir une vision globale et matrise des risques, quelle
que soit la complexit des organisations ou des processus auditer, de vrifier
l'efficacit du dispositif de contrle interne par ligne mtier, et enfin, daccrotre la
responsabilit, la vigilance et la ractivit des units oprationnelles et ainsi des risk
managers dans la matrise, la gestion et la prvention des risques.
Instaur en globalit pour tous les mtiers ou intgr individuellement pour complter un
systme existant, l'audit systmique contribuerait invitablement amliorer l'efficience
du systme d'audit interne bancaire marocain en mettant en uvre une politique globale
de gestion des risques.
Ainsi, une dmarche mthodologique d'audit systmique est dveloppe, titre
illustratif, dans le prsent travail pour quatre lignes mtiers (systmes d'information,
salle des marchs, ressources humaines et comptabilit), et qui pourrait d'ailleurs tre
tendue d'autres mtiers, illustre parfaitement l'originalit et la pertinence de
l'approche.
Un audit systmique devient aujourdhui un instrument efficace la conduite raisonne
du mtier de banquier.
Il ne sagit donc pas simplement dun audit classique, mais dune tape dans un
processus permanent danalyse et dvaluation des risques bancaires, sur la base
duquel le management pilote les diffrentes activits.
Cest dailleurs lobjectif principal recherch par le Comit de Ble : le fait de pousser les
banques moderniser leurs systmes internes de pilotage des risques devrait en effet
conduire une scurisation accrue et donc une amlioration globale de la qualit du
systme de contrle interne et de la bonne gouvernance bancaires.
15

__________________________________________________________________________________________
Propos mthodologiques.
La mthodologie du traitement du prsent sujet s'inscrit en trois tapes:
D'abord, au travers d'un travail d'enqute approfondie sur le terrain auprs d'un
chantillon reprsentatif des banques marocaines, dresser un constat de la
problmatique et des enjeux de la question et les difficults pragmatiques de sa
mise en uvre. L'orientation de mon travail dcoulera en grande partie des
rsultats de cette analyse qualitative, qui se veut tout d'abord un outil permettant
de mettre en exergue les difficults la fois techniques et mthodologiques dans
l'audit interne des risques bancaires.
Si les concepts et les mthodes font l'objet d'un large consensus, l'organisation
des systmes et des structures grant les modles internes est
incontournablement diffrente d'un tablissement l'autre. Mon propos ce sujet
est d'tudier les difficults de mise en place de dispositifs internes efficaces
d'audit en s'appuyant sur une analyse approfondie de la stratgie et de
l'organisation des diffrentes activits des tablissement de crdit marocains.
Tout en s'alignant sur les nouvelles dispositions dcoulant du comit de Ble sur
le contrle bancaire ainsi que les nouvelles rgles institues par la circulaire N6
relative au contrle interne des tablissements de crdit au Maroc, ce travail se
veut aussi un diagnostic de la ralit des tablissements de crdit marocains eu
gard cette nouvelle tendance rglementaire et leur capacit pouvoir s'y
conformer dans les dlais souhaits. On ne manquera pas cet effet, de rappeler
quelques expriences trangres sur les meilleures pratiques "Best practices" de
la profession d'audit.
Enfin, par une mise en perspective de la fonction daudit interne auprs du top
management, travers un benchmarking et un raccordement de synergie entre
d'une part les enseignements tirs de mon exprience personnelle en audit
bancaire, et d'autre part par les nouvelles approches d'audit interne pratiques,
lchelon mondiale, par plusieurs banques de renom. Ces dernires constitueront
via leur Approches daudit systmique, un repre incontournable de la conduite
de ce travail.
Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle
approche d'audit systmique dans le dispositif de matrise globale des risques.
Pour tudier tous ces aspects, mon travail s'articule en deux parties:
La premire partie traite des pratiques d'audit interne dans le systme bancaire
marocain. Elle prsente d'abord, un examen typologique des risques bancaires et
leurs critres d'valuation comme tant l'tape la plus importante et surtout la
plus difficile apprivoiser dans le processus de management des risques et un
aperu sur ce qu' en sont les pratiques pour le systme bancaire marocain.
16

__________________________________________________________________________________________
Ensuite, elle souligne les principes fondamentaux relatifs l'audit interne en

gnral et les particularits de l'audit bancaire de part la pluridisciplinarit des
champs observs (ressources humaines, systme d'information, activits de
march) et la multiplicit et la complexit des risques qui en dcoulent.
Enfin, une prsentation des rsultats de l'enqute sur l'efficience du systme
d'audit bancaire marocain, travers un chantillon de cinq banques prives
marocaines, choisies parmi les tablissements les plus reprsentatifs de l'activit
bancaire l'chelon national.
Trois thmes ont t mis en vidence, la sensibilit du management l'audit, le
positionnement et le rle des acteurs du systme de contrle interne et le
dispositif d'audit pratiqu pour quatre mtiers htrognes choisis de part leur
haute technicit.
La seconde partie est consacre l'approche mthodologique de l'audit

systmique bancaire en exposant d'abord sa particularit en la situant dans le
contexte d'audit du systme de contrle interne global. Ensuite, sera dvelopp
lapport d'une telle dmarche dans la matrise, la gestion et la prvention des
risques et sa contribution dans lamlioration de l'efficience du systme d'audit
interne bancaire marocain.
Enfin, sera dveloppe en dtail une dmarche mthodologique d'audit
systmique pour quatre lignes mtiers savoir les systmes d'information, la
salle des marchs, la comptabilit et ressources humaines) pour illustrer
concrtement l'approche.
Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle
approche d'audit systmique dans le dispositif de matrise globale des risques.
Pour tudier tous ces aspects, mon travail s'articule en deux parties:
La premire partie traite des pratiques d'audit interne dans le systme bancaire
marocain. Elle prsente d'abord, un examen typologique des risques bancaires et
leurs critres d'valuation comme tant l'tape la plus importante et surtout la
plus difficile apprivoiser dans le processus de management des risques et un
aperu sur ce qu' en sont les pratiques pour le systme bancaire marocain.
Ensuite, elle souligne les principes fondamentaux relatifs l'audit interne en
gnral et les particularits de l'audit bancaire de part la pluridisciplinarit des
champs observs (ressources humaines, systme d'information, activits de
march) et la multiplicit et la complexit des risques qui en dcoulent.
Enfin, une prsentation des rsultats de l'enqute sur l'efficience du systme
d'audit bancaire marocain, travers un chantillon de cinq banques prives
marocaines, choisies parmi les tablissements les plus reprsentatifs de l'activit
bancaire l'chelon national.
17

__________________________________________________________________________________________
Trois thmes ont t mis en vidence, la sensibilit du management l'audit, le

positionnement et le rle des acteurs du systme de contrle interne et le
dispositif d'audit pratiqu pour quatre mtiers htrognes choisis de part leur
haute technicit.
La seconde partie est consacre l'approche mthodologique de l'audit

systmique bancaire en exposant d'abord sa particularit en la situant dans le
contexte d'audit du systme de contrle interne global. Ensuite, sera dvelopp
lapport d'une telle dmarche dans la matrise, la gestion et la prvention des
risques et sa contribution dans lamlioration de l'efficience du systme d'audit
interne bancaire marocain.
Enfin, sera dveloppe en dtail une dmarche mthodologique d'audit
systmique pour quatre lignes mtiers savoir les systmes d'information, la
salle des marchs, la comptabilit et ressources humaines) pour illustrer
concrtement l'approche.
18

__________________________________________________________________________________________
Chapitre prliminaire :
Le systme bancaire marocain,
vue d'ensemble.
19

__________________________________________________________________________________________
Chapitre prliminaire : Le systme bancaire marocain : vue

d'ensemble.
Rformes et volutions du systme bancaire marocain et sa position
macro conomique.
Depuis le dbut des annes 90, le secteur financier au Maroc a connu une priode de
libralisation marque par des rformes appuyes par une srie dinitiatives de la
Banque Mondiale. Ces rformes portaient sur le secteur bancaire (1991-1995), le
dveloppement du march des capitaux et la poursuite de la libralisation du secteur
financier (1996).
Parmi les principales reformes mises en uvre pendant cette priode, il faut souligner
l'limination de l'encadrement du crdit, la libralisation des taux dintrt, la refonte du
cadre lgislatif de l'activit des tablissements de crdit par l'adoption en 1993 d'une
nouvelle Loi Bancaire, la suppression progressive des emplois obligatoires (Plancher
dEffets Publics) et le renforcement de la rglementation prudentielle des banques en
sinspirant des normes internationales.
Plus rcemment, la refonte des nouveaux statuts de Bank Al-Maghrib en janvier 2005
et la nouvelle loi bancaire en fvrier 2006 ont renforc les prrogatives de la Banque
Centrale dans le domaine de la supervision bancaire et de la politique montaire.
Lintermdiation financire des banques marocaines sest dveloppe par rapport la
taille de lconomie, mais un rythme qui ne menace pas de dstabiliser lquilibre
financier des principales banques commerciales.
Avec la rduction de la prsence de lEtat dans le systme bancaire, une part nettement
plus importante des crdits est destine au financement du secteur priv. Nanmoins, la
croissance relative des crdits moyen et long terme et de lpargne bancaire terme
ne sest pas sensiblement amliore. Le financement du Trsor continue de reprsenter
une partie non ngligeable des emplois du secteur bancaire.
Rglementation et supervision bancaires.
La revue de la rglementation et de la supervision bancaires au Maroc a t fonde sur
les vingt-cinq principes formuls par le Comit de Ble. Ces principes ont t proposs
la fin de lanne 1997 en vue de rehausser la qualit de la rglementation et de la
supervision bancaires.
Ainsi, on peut schmatiser le positionnement du systme bancaire dans le systme
financier marocain comme suit :
20

__________________________________________________________________________________________
SYSTEME FINANCIER MAROCAIN - CADRE INSTITUTIONNEL

AUTORITES DE
REGLEMENTATION
ET DE SUPERVISION
OPERATEURS
BANQUES
Banque Centrale
BANK AL MAGHRIB
SOCIETES DE FINANCEMENT
Banques commerciales
- Crdits la consommation
Banques spcialises
- Crdits bail
Filiales de banques trangres - Autres
Succursale de banque trangre
ASSOCIATIONS PROFESSIONNELLES
GPBM, APSF, APSB, ASFIM
Ministre des
Finances
Conseil
Dontologique des
Valeurs Mobilires
(CDVM)
Rseau Trsor (collecte de la petite pargne)

Rseau comptes chques postaux (CCP)
Caisse d'Epargne Nationale (CEN)
Epargne Institutionnelle
Caisse de Dpts et Gestion (CDG)
Compagnies d'assurances, caisse de retraite et de prvoyance
Banques offshores
March des Capitaux
Bourse de Casablanca
Socits de bourse
Organismes de Placement Collectif des Valeurs Mobilires (OPCVM)
Le Ministre des Finances nest pas impliqu dans le contrle des oprations courantes
des tablissements de crdit, mission dvolue exclusivement aux services de Bank AlMaghrib qui trouve ses prrogatives renforces par la nouvelle loi bancaire du 14 fvrier
2006 en particulier dans le domaine de la supervision bancaire.
Le Groupement Professionnel des Banques du Maroc (GPBM) est linstance
professionnelle des banques. Il communique notamment les dcisions et positions
communes de la profession en matire denvironnement oprationnel des banques et
publie rgulirement des recommandations sur les taux de base bancaire. Les autres
associations professionnelles incluent lAssociation Professionnelle des Socits de
Financement (APSF) et lAssociation Professionnelle des Socits de Bourse (APSB) et
des OPCVM (ASFIM).
21

__________________________________________________________________________________________
1. Le paysage bancaire marocain

Prsentation du systme bancaire marocain
Le secteur des tablissements de crdit se composait au terme de l'anne 2004 de 17
banques1, au lieu de 18, conscutivement une opration de fusion-absorption, et de
40 socits de financement contre 44 en 2003. Quant l'implantation bancaire, elle
s'est largie avec l'ouverture de 94 guichets permanents, ce qui a port leur nombre,
fin 2004, 2043 units, soit un guichet pour prs de 15.000 habitants (1 pour 2 500 en
France) ce qui reprsente encore un rel potentiel de dveloppement.
S'agissant des six banques off-shore, installes Tanger, cinq taient en activit fin
dcembre 2004, avec un total bilan de 834,4 millions de dollars, en progression de 53%,
au lieu de 40% en 2003.
Une prsence marque des banques trangres : les grandes banques prives du
Royaume comptent dans leur actionnariat des banques trangres plus ou moins
impliques dans leur gestion. La part du capital tranger dans les banques marocaines
atteint 20,7% des actifs des banques commerciales fin 2004. Sur les trois dernires
annes, plusieurs banques internationales ont augment leur participation dans le
capital des grandes banques marocaines. On recense:
Des filiales franaises :
BNP Paribas contrle 63,12% de la Banque Marocaine pour le Commerce et
lIndustrie (BMCI),
La Socit Gnrale contrle 51,9% de la Socit Gnrale Marocaine de
Banque (SGMB),
Le Crdit Agricole contrle 51% du Crdit Du Maroc (CDM).
Des participations trangres minoritaires mais significatives et saccompagnant
daccords commerciaux :
Le CIC, depuis juin 2004, avec 10% dans le capital de la Banque Marocaine du
Commerce Extrieur (BMCE),
Santusa Holding (Espagne) avec 14,48% du capital de AttijariWafa Bank,
Le Crdit Agricole avec1,44% du capital de AttijariWafa Bank, mais prsent
hauteur de 34% dans les filiales stratgiques que sont Wafasalaf (2me socit
de crdit la consommation de la place, aprs EQDOM, la filiale du groupe
Socit Gnrale) et Wafagestion.
Le secteur bancaire marocain se partage en quatre catgories dtablissements :
Les banques de dpts classiques, aujourdhui au nombre de sept : parmi elles,

on trouve les cinq grandes banques prives qui ralisent prs des deux
tiers de la collecte des dpts bancaires, savoir : AttijariWafa Bank, la Banque
Marocaine du Commerce Extrieur (BMCE) et les trois filiales franaises, en
loccurrence la SGMB, la BMCI et le CDM.
Dix-sept, compter de 2004, suite au rachat fin 2003 de Wafabank par la Banque Commerciale du Maroc, devenue cette occasion Attijariwafa Bank.
22

__________________________________________________________________________________________
Le Crdit Populaire du Maroc, constitu de la Banque Centrale Populaire

(BCP) et son rseau des Banques Populaires Rgionales (BPR), qui est un
organisme public caractre mutualiste, concern en particulier par la
collecte de la petite pargne.
Les anciens organismes financiers spcialiss (OFS) dans le financement de

secteurs dactivits particuliers : il sagit du Crdit Immobilier et Htelier (CIH),
de la Caisse Nationale de Crdit Agricole (CNCA) et de la ex Banque
Nationale pour le Dveloppement Economique (BNDE), qui ont vcu un
processus de restructuration qui sest traduit par un plan de redressement
pour les deux premires et par un dmembrement en mars 2003 de la BNDE
entre la Caisse de Dpts et de Gestion qui rcupre lagrment bancaire et
la CNCA qui rcupre le rseau dagences. LEtat a particip la
recapitalisation ncessaire (325 millions deuros depuis 1998) sans qu ce
jour la situation soit pleinement assainie.
Diverses autres banques dont la cration rpond des besoins spcifiques et

dont lobjectif initial nest pas de remplir la fonction de banque de dpt. On
recense dans cette catgorie Bank Al Amal2, Mdiafinance3, Casablanca
Finance Markets3, et le Fonds dEquipement Communal (FEC)4.
Chiffres-cls du systme bancaire Structure du systme bancaire au

31/12/2004.
Nombre dtablissements de crdit : 57.
Nombre de banques : 17.
Socits de financement : 40 dont 22 socits de crdit la
consommation et 8 socits de crdit-bail.
Nombre de banques offshore : 6.
Implantation des banques : 2.043 guichets au Maroc, 4 filiales, 13
succursales et agences bancaires ainsi que 64 bureaux de reprsentation
ltranger.
Implantation de Barid Al-Maghrib : 1.653 guichets au Maroc.
Effectif des tablissements de crdit : 26.251 dont 24.000 environ pour les
banques.
BANK AL AMAL , cre en 1989, a pour mission le financement de projets dinvestissement visant la rinsertion dans leur pays dorigine des Marocains rsidant ltranger.
MEDIAFINANCE (cre en 1996) et CASABLANCA FINANCE MARKETS (cre en 1998) interviennent sur le march des titres ngociables de la dette.
Le FEC est un tablissement public cr en 1959, devenu banque en DECEMBRE 1996. Le FEC a pour mission de concourir au dveloppement des collectivits locales, en
leur accordant des concours techniques et financiers.
23

__________________________________________________________________________________________
LISTE DES ETABLISSEMENTS DE CREDIT

ET DES BANQUES OFFSHORE
Raison sociale
Sigle
ARAB BANK PLC

ATTIJARIWAFA BANK
BANK AL-AMAL
BANQUE CENTRALE POPULAIRE
BANQUE MAROCAINE DU COMMERCE EXTERIEUR
BANQUE MAROCAINE POUR L'AFRIQUE ET L'ORIENT
BANQUE MAROCAINE POUR LE COMMERCE ET L'INDUSTRIE
BANQUE NATIONALE POUR LE DEVELOPPEMENT
ECONOMIQUE
BANQUE POPULAIRE D'EL JADIDA - SAFI
BANQUE POPULAIRE D'OUJDA
BANQUE POPULAIRE DE CASABLANCA
BANQUE POPULAIRE DE FES-TAZA
BANQUE POPULAIRE DE LAAYOUNE
BANQUE POPULAIRE DE MARRAKECH - BENI MELLAL
BANQUE POPULAIRE DE MEKNES
BANQUE POPULAIRE DE NADOR - AL HOCEIMA
BANQUE POPULAIRE DE RABAT
BANQUE POPULAIRE DE TANGER-TETOUAN
BANQUE POPULAIRE DU CENTRE SUD
CASABLANCA FINANCE MARKETS
CITIBANK MAGHREB
CREDIT AGRICOLE DU MAROC
CREDIT DU MAROC
CREDIT IMMOBILIER ET HOTELIER
FONDS D'EQUIPEMENT COMMUNAL
MEDIAFINANCE
SOCIETE GENERALE MAROCAINE DE BANQUES
UNION MAROCAINE DE BANQUES
(ARAB BANK PLC)

(ATTIJARI WAFA BANK)
(BANK AL-AMAL)
(B.C.P)
(BMCE BANK)
(BMAO)
(BMCI)
(BNDE)
(CFM)
(CITI BANK)
(CAM)
(CDM)
(CIH)
(FEC)
(MDF)
(SGMB)
(UMB)
Source : BAM
2. Environnement institutionnel et rglementaire en pleine mutation

Les tablissements de crdit sont rgis par la loi N1-93-147 du 6 juillet 1993, relative
lexercice de lactivit des tablissements de crdit et de leur contrle. Ce texte dfinit
les oprations bancaires, les conditions de leur exercice et les contrles auxquels sont
assujettis les tablissements de crdit.
En 2004, le cadre lgal et rglementaire rgissant le secteur financier a connu plusieurs
volutions qui visent la modernisation de ce secteur et le renforcement de sa stabilit.
24

__________________________________________________________________________________________
Elles ont concern aussi bien le systme bancaire que les autres compartiments du
secteur financier.
2.1 - Dispositif de contrle interne
Les tablissements de crdit ont t appels renforcer leur dispositif de contrle
interne suite linstitution de rgles minimales par la circulaire n6/G/2001 du 19 fvrier
2001.
Aux termes de ce texte, ils sont tenus de se doter dun systme de contrle interne leur
permettant de sassurer que les oprations ralises sont conformes aux dispositions
lgales et rglementaires en vigueur ainsi quaux orientations des organes de gestion et
que les limites fixes par ces organes pour la prise de risques sont strictement
respectes.
Ce dispositif doit galement garantir la fiabilit des conditions de collecte, de traitement,
de diffusion et de conservation des donnes comptables et financires.
Les instances dirigeantes doivent tre directement impliques dans la conception, la
mise en uvre (organe de direction) et lapprobation du systme de contrle interne
(conseil dadministration ou de surveillance).
Lorgane dadministration doit se faire assister par un Comit daudit constitu, en partie,
dadministrateurs non dirigeants, charg notamment dvaluer la cohrence et
ladquation des dispositifs de contrle mis en place ainsi que la pertinence des
mesures prventives, dtectives ou correctrices adoptes pour matriser les risques
constates.
De plus, les tablissements de crdit, dune certaine taille, sont tenus de dsigner un
responsable du contrle interne, indpendant des entits oprationnelles, charg du
suivi de lefficacit du dispositif de contrle interne.
2.2 - Nouvel Accord sur les fonds propres (Ble II)
2.2.1- Rle du Comit de Ble
Le Comit de Ble sur le contrle bancaire sert de forum pour la coopration entre les
pays membres et non membres en matire de supervision bancaire. Il a pour vocation,
notamment :
de renforcer, lchelle mondiale, la solidit et la stabilit du secteur bancaire et de
rduire les disparits entre les rglementations nationales ;
de faciliter les changes dinformations sur les activits des banques vocation
internationale ;
damliorer les techniques de contrle bancaire.
Dans le prolongement de ses efforts de consolidation de la stabilit du systme
bancaire international, le Comit de Ble avait publi, en 1988, un cadre dadquation
des fonds propres des banques, dit ratio Cooke, reposant sur une couverture minimale
de 8% des risques de contrepartie par les fonds propres.
25

__________________________________________________________________________________________
Ce ratio, conu au dpart pour les banques denvergure internationale, a t adopt par
lensemble des autorits bancaires. En 1996, le Comit de Ble a amend ce ratio en
largissant lassiette des risques ceux associs aux activits de march.
Sagissant du Maroc, les autorits montaires ont transpos le dispositif de 1988 dans
la rglementation nationale ds 1993, ce qui sest traduit par un accroissement
significatif des fonds propres des banques.
Le ratio Cooke a montr ses limites sous leffet, notamment, de la globalisation
financire qui sest accompagne de lapparition de nouveaux risques et qui a entran
de nombreuses crises financires.
En outre, la sophistication des pratiques, dveloppes par les banques pour lvaluation
et la matrise de leurs risques, a rendu ncessaire la mise en place dun nouveau
dispositif plus adapt au contexte des marchs internationaux.
Ainsi, en juin 1999, le Comit de Ble a propos un amendement laccord de 1988
cens introduire une plus grande sensibilit aux risques et permettre dapprhender de
manire plus exhaustive lensemble des risques encourus.
Aprs de larges consultations auprs des instances de supervision, des banques et
dautres parties intresses, le Comit de Ble a publi, en juin 2004, la version
dfinitive du nouvel Accord sur les fonds propres sous lappellation convergence
internationale de la mesure et des normes de fonds propres .
Le nouvel Accord repose sur les trois piliers suivants :
des exigences minimales de fonds propres qui sont une extension des rgles dfinies
dans laccord de 1988 ;
un processus de gestion des risques et de surveillance prudentielle renforc ;
une discipline de march moyennant la publication, par les banques, dinformations
priodiques sur la nature et le volume des risques ainsi que sur les mthodes de leur
gestion.
2.2.2- Travaux mens pour la transposition de Ble II au Maroc
La dmarche adopte par Bank Al-Maghrib, pour la transposition du nouvel Accord, tient
compte de la ralit et de la structure du systme bancaire marocain. Cest une
dmarche structurante et incitative, en vue dadopter les meilleures pratiques en matire
de gestion des risques, et ouverte sur les diffrentes approches de calcul des fonds
propres rglementaires prvues par le Comit de Ble.
Elle sinscrit dans un cadre de concertation continue avec la profession bancaire qui a
montr sa disposition adopter le nouvel Accord.
En vue dune bonne transition vers ce nouveau dispositif, Bank Al-Maghrib sest fixe
comme priorits de mettre le systme de supervision en conformit avec lensemble des
principes du Comit de Ble, de renforcer le cadre rglementaire et la transparence
financire.
26

__________________________________________________________________________________________
Mise en conformit du systme de supervision bancaire avec les 25 principes

du Comit de Ble
La mise en conformit du systme de supervision bancaire avec les principes
fondamentaux dicts par le Comit de Ble constitue une condition pralable pour
russir la transition vers Ble II. Daprs les rsultats du rapport dvaluation du secteur
financier (FSAP) ralis conjointement par le FMI et la Banque Mondiale au cours de
lanne 2002, le Maroc satisfaisait plus de la moiti de ces principes.
Mise niveau du cadre lgal et rglementaire

De nouvelles dispositions ont t introduites dans la nouvelle loi bancaire pour
permettre au systme de supervision dtre en conformit avec les 25 principes
fondamentaux du Comit de Ble, en particulier, lapplication des ratios prudentiels en
fonction du profil de risque de chaque tablissement, la mise en place dune
commission de coordination des organes de supervision du secteur financier et la
conclusion daccords de coopration et de coordination avec les autorits de
supervision des autres pays.
Renforcement de la transparence financire

La mise en place de Ble II repose sur un environnement de communication financire
sain et la disponibilit dinformations fiables qui revtent une importance capitale,
notamment dans le cadre de la notation des contreparties. A cet gard, plusieurs
actions ont t inities par Bank Al-Maghrib pour le renforcement et lassainissement
des pratiques de communication financire la charge des entreprises marocaines.
Par ailleurs, Bank Al-Maghrib a engag, au cours de 2004, des travaux avec diffrents
partenaires pour dfinir les lments dinformation minimums devant tre requis par les
tablissements de crdit dans le cadre de linstruction des dossiers de crdit, qui ont
abouti la publication dune directive le 1er avril 2005.
De son ct, le GPBM mne un projet de cration dune Centrale dInformation Client
(CIC) qui a pour objet dassurer la collecte et la diffusion dinformations auprs des
banques adhrentes afin damliorer la slection et lacceptation des risques et
dacclrer la prise de dcision doctroi de crdits.
3. Activit et rsultats du systme bancaire.

La structure des bilans des banques a connu des changements significatifs avec le
processus de libralisation du secteur financier men depuis la fin des annes 80.
Pour les banques commerciales, ces changements ont concern davantage leurs actifs.
Ainsi, la suppression des emplois obligatoires a permis ces banques dune part,
daccrotre la proportion des crdits dans le bilan, tout en dveloppant leur fond de
commerce li des segments de la population jusque-l non bancariss et dautre part,
de diversifier leurs portefeuilles titres tout en augmentant le volume des oprations de
march et en investissant de nouveaux crneaux des autres compartiments du secteur
financier en pleine volution.
De leur ct, les banques publiques spcialises ont modifi la composition de leurs
passifs en recourant davantage la collecte des dpts et au march de la dette prive
27

__________________________________________________________________________________________
pour financer leur activit de crdit qui a t tendue, de manire plus significative, la
distribution de concours court terme.
3.1.- Les emplois des banques ont connu une hausse couvrant des volutions
diffrencies de leurs diffrentes composantes
Apprhend travers lactivit sur base sociale, qui intgre celle exerce par les
succursales et les agences installes ltranger, le total cumul des bilans5 des
banques a atteint en 2004, 417 milliards de dirhams en progression de 8,6% par rapport
2003. Le volume de leur activit ralis au Maroc sest lev 411,5 milliards de
dirhams, en hausse de 8,4%, reprsentant 98,7% de lactivit sur base sociale.
2 : Les rubriques des lactif sont prsentes nets des provisions

3 : Cette rubrique regroupe les oprations effectues notamment avec les banques, les socits de financement, les tablissements de crdit
trangers, Bank Al-Maghrib, le Trsor public, la Caisse de Dpt et de Gestion, la Caisse Centrale de Garantie, les services financiers de
Barid Al-Maghrib, les banques offshore et les associations de micro-crdit.
4 : Y compris les intrts courus
3.2 - Lvolution des ressources des banques reflte un renforcement des

ressources en provenance de la clientle
Lvolution des ressources des banques, durant 2004, a induit un lger changement au
niveau de leur structure. Ainsi, par rapport au total du passif, la part des dettes envers
les tablissements de crdit et assimils et celle des titres de crance mis a baiss
respectivement de 1,7 et 0,6 point. Celles des dpts de la clientle et les fonds propres
ont augment de 0,6 point et 0,5 point.
Etablis depuis lexercice 2000 nets de provisions pour dprciation dactifs.
28

__________________________________________________________________________________________
3.3 - Les rsultats des banques se sont inscrits en nette amlioration

A fin 2004, le rsultat net de lensemble des banques sest inscrit en sensible
augmentation pour dpasser le niveau de lanne 2000, rompant ainsi avec le faible
rsultat de lanne 2002 et le rsultat ngatif de lanne 2003.
29

__________________________________________________________________________________________
4. Evaluation du systme bancaire marocain.

Une rcente tude6 de l'agence de notation internationale Standard & Poor's (S&P) a
class les banques marocaines dans une gamme troite d'valuations variant
gnralement entre 'B' et 'BB'. Ces valuations caractre spculatif refltent
principalement l'environnement conomique relativement risqu dans lequel ces
banques oprent.
Dans son analyse du secteur, lagence de notation opre une diffrenciation claire entre
la performance des banques prives et celle publiques. Ce gap est d aux difficults
rencontres par le pass par les ex-OFS. S&P cite la mauvaise gestion et la politique
dfaillante doctroi des crdits. Mais le gouvernement avec laide de divers partenaires,
et au travers dune approche au cas par cas, est en train de rectifier le tir de faon
quilibre, prudente mais lente.
Les banques marocaines sont orientes presque uniquement sur le march intrieur et
souffrent en consquence de la faible sophistication de leurs marchs respectifs. Elles
disposent d'une gamme de produits troite avec des opportunits toutes aussi rduites
pour l'octroi de crdit des contreparties de bonne qualit.
Dans l'ensemble, les crdits aux particuliers servent comme relais aux crdits aux
entreprises considrs plus risqus et moins profitables. Cela dit, ce changement de
stratgie vers la banque de dtail n'a pas encore men l'amlioration des profits
financiers des banques. De plus, le dveloppement rapide des activits dtail n'a pas
encore t valu par un cycle conomique prolong.
Dans l'ensemble, les banques du secteur public font face des problmes de qualit
d'actifs nuisibles, tandis que les banques privs ont affich des performances plus ou
moins quilibres sur plusieurs fronts, grce notamment des pratiques gestionnaires
plus professionnelles s'inspirant pour certaines de leur maison mre dotes de
systmes de contrle plus sophistiqus.
Des quatre institutions publiques, le Crdit Populaire du Maroc reprsente, selon
lagence, la seule institution avoir un profil comparable celui des banques prives.
Selon ltude, lune des faiblesses du secteur qui polarise 339 milliards de DH de dpts
dont 25% provenant des MRE, est la qualit des actifs qui na pas arrt de se
dtriorer pendant sept ans.
Ce nest quen 2005 quils ont commenc samliorer, avec un taux de crance en
souffrance estim 16,2% cette anne-l. En excluant celles des ex-OFS, ce taux
ressort 10,3% fin 2005. S&P prvoit une baisse de ce taux lavenir. Dans le pire
des cas, il devrait se stabiliser si les crances en souffrance des PME croissent
moyen terme du faite dune augmentation des crdits qui leur sont accords.
Si les crdits sont gnralement couverts par des garanties suffisantes, S&P estime que
le code de commerce place les banques dans une position relativement faible dans la
ngociation avec les mauvais payeurs.
Rapport de lagence de notation internationale Standard and Poors du 20 avril 2006.
30

__________________________________________________________________________________________
Ce texte limite le pouvoir des banquiers rcuprer les actifs des socits dfaillantes.
Le rapport souligne toutefois que ladossement de plusieurs tablissements des
banques trangres leur permet de bnficier dun transfert de technologie et dun
savoir-faire. En outre, le niveau de rentabilit du secteur rsiste, malgr une forte
pression sur les marges dintrt. Cette rentabilit est prserve grce une
consolidation dans le secteur et ladoption dune politique de niche. Lune des ambitionscls des banques est de devenir universelles. Pour ce faire, elles largissent leur palette
de services, notamment dans le crdit la consommation.
Contraintes d'environnements bancaires et structurels.
Les banques du secteur priv dominent le secteur bancaire marocain. Des 17 banques
dans le systme, 10 sont des tablissements financiers privs. Les oprations des
banques marocaines sont orientes vers l'conomie domestique, avec la prsence trs
limite d'oprations avec l'tranger, elles-mmes s'expliquant en grande partie par la
dpendance significative aux dpts de marocains rsidents l'tranger.
L'exprience des banques du secteur public dans la sphre des banques commerciales
est relativement limite (situation succdant celle d'organisme financier spcialis o
les tablissements publics bnficiaient d'un statut juridique privilgi les plaant l'abri
de toute concurrence prive ou trangre et bnficiant en outre d'une dispense de
l'application intgrale des dispositions prudentielles).
La mise en uvre du processus de libralisation a mis en vidence des dfaillances de
fond qui se sont rvls principalement travers la qualit dgradante de leur actif
d'engagement fortement pnalis par le poids des crances en souffrance. Ces
dsquilibres ont eu un impact significatif non seulement sur la rentabilit de ces
tablissements, mais mme sur leur existence fortement compromise par le poids des
pertes importantes occasionnes par une mauvaise gestion du risque de crdit.
A l'oppos, les tablissements du secteur priv semblent plus rsistants la volatilit et
la lenteur de croissance de l'conomie marocaine. Mais ils ne sont pas tout aussi moins
vulnrables que les tablissements publics, juger par le poids des crances en
souffrance qui dpassent de loin les normes observes chez d'autres pays.
Le systme bancaire marocain semble ouvert une concurrence dmesure par
rapport aux opportunits de financement d'activits conomiques prometteuses,
s'accompagnant par une pression agressive sur les marges et l'engagement dans les
relations crdites d'un niveau de risque lev.
Demande et offre peu sophistiques.
Dans l'ensemble, les banques marocaines manquent de modles de dveloppement
conomique cohsifs, s'expliquant en grande partie par le faible niveau de bancarisation
de la population et l'existence d'une conomie parallle traitant gnralement en dehors
du systme bancaire. L'activit bancaire n'est ni grande dans sa taille, ni sophistique
en terme d'offre de produits. Quelques banques du secteur priv de renomme
suprieure ont nanmoins la capacit technique pour fournir des produits bancaires plus
avancs, toutefois, le march demeure tir par une demande cantonne dans les
31

__________________________________________________________________________________________
services de base. C'est vrai mme dans segment des entreprises, o prter consiste
typiquement en des oprations de financement de trsorerie court terme et taux fixe.
Par consquent, les banques dans leur ensemble accusent un retard relativement
considrable dans la mise niveau des activits de support en particulier les fonctions
de risk management et de management des systmes d'information.
Dans ce contexte, le dveloppement de la distribution de crdit au Maroc a t
troitement corrl au rythme de la croissance de l'activit macro-conomique pendant
les cinq derniers exercices et est rest modeste compte tenu des besoins de
financement modrs de l'conomie. Ainsi :
La diversification limite de l'activit conomique reflte le faible niveau de

sophistication de la demande domestique ;
La croissance de banque de dtail semble des plus prometteuses, condition que les
outils de gestion du risque et des procdures soient mis en place.
Faible niveau de rentabilit.
La rentabilit globale du secteur bancaire marocain demeure relativement faible
compare d'autres pays; elle affiche une ROE stabilise autour de 7%. Le niveau bas
de cette performance est beaucoup plus inhrent aux banques spcialises en phase
de redressement et affichant par la mme occasion une rentabilit ngative tirant vers le
bas la performance globale du secteur bancaire. Hormis les banques spcialiss, le
niveau de la ROE se situerait entre 10% et 11% en retrait par rapport aux performances
atteintes au cours des annes prcdentes (une moyenne de 14% - 15% durant ma
priode 1996-2000).
L'ensemble du secteur semble par ailleurs de plus en plus orient vers le financement
d'engagements de qualit au dtriment du volume, dans un contexte sectoriel de plus
en plus concurrentiel caractris notamment par un double phnomne d'effritement
des marges et d'accroissement des impays.
Si ces banques continuent par ailleurs tendre et diversifier leurs revenus pour
surmonter la pression sur les marges d'intrt, leur performance financire future devrait
rester relativement stable. Les banques marocaines semblent profiter cet effet d'un
niveau relativement lev des marges d'intrt et d'un cot rduit de leurs ressources
(comme plus de 50% de leurs dpts sont des dpts vue non rmunrs).
Sur les annes venir, le taux d'intermdiation moyen ne devrait que lgrement
dcliner pour atteindre un niveau moyen allant de 4% 6%. A l'inverse de la marge
d'intermdiation, les marges sur trsorerie et commissions devraient voir leurs
contributions dans le PNB7 augmenter dans les annes venir et compenser ainsi la
baisse prvisible des revenus tirs de l'activit de crdit.
PNB : Produit Net Bancaire.
32

__________________________________________________________________________________________
Situation financire faible pour certains tablissements.

Conscientes du caractre risqu de leur activit dans un environnement conomique
volatil, les banques marocaines ont globalement russi btir, travers plusieurs
annes, un niveau adquat de capitalisation. Le rapport des capitaux propres sur le total
bilan est rest relativement stable autour d'une moyenne de 10% pendant les cinq
dernires annes, grce notamment une politique modre de paiement de dividende
et une rentabilit relativement stable.
Cela dit, le niveau de liquidit satisfaisant dans le systme bancaire marocain reflte le
manque d'opportunits d'engagements faible risque, en particulier dans le segment
fortement concurrentiel des entreprises.
La capitalisation de certaines banques publiques reste faible eu gard leur structure

financire ncessitant des appels de fonds importants pour les recapitaliser;
La rentabilit reste en-dessous des standards des marchs mergeants, affecte en

grande part le niveau lev de provisionnement des crances en souffrance.
Crances en souffrance des banques commerciales
Le montant des crances en souffrance des banques commerciales a enregistr, entre

2002 et 2004, un accroissement annuel moyen de 15,7%, 23,7 milliards de dirhams. Il
a reprsent 12,4% de lencours des crdits quelles ont distribus.
Paralllement, les provisions constitues en couverture de ces crances ont enregistr
un accroissement annuel moyen de 16%, 17,1 milliards de dirhams, permettant un
taux de couverture de 72,2 % en 2004 contre 71,5% en 2003 et en 2002.
Le rapport entre les crances en souffrance nettes des provisions et lencours net des
crdits des banques commerciales sest tabli 3,8 %, au lieu de 3,9% en 2003 et 3,5%
33

__________________________________________________________________________________________
en 2002. Rapportes aux fonds propres, ces crances ont reprsent 20,5% en 2004,
contre 22,4% en 2003 et 18,7% en 2002.
Les ramnagements des rgles de classification et de provisionnement des crances
en souffrance, intervenus la fin des annes 2002 et 2004, ont eu un impact diffrent
sur les banques commerciales, certaines dentre elles ayant vu leurs crances en
souffrance saccrotre plus rapidement, notamment en 2003, pour se mettre en
conformit avec ces dispositions.
En gnral, les plus grandes banques disposent d'avantages comptitifs plus
troits. Ces tablissements ont dvelopp une solide notorit sur le march et
affichent une bonne sant financire susceptible d'endiguer, mieux que les banques
dominante publique, toute aggravation du risque de contrepartie comme tant la
principale cause d'insolvabilit. Leurs comptes de prts aux entreprises affichent
toutefois des concentrations leves sur diffrents secteurs.
En outre, ces concentrations ont augment davantage lorsque les banques se sont
dsengages des secteurs considrs comme risqus (l'agriculture, le tourisme, le
textile et les importateurs de crale). Etant donn le manque d'opportunits de prt aux
grandes entreprises, les banques tendent tre largement exposes des petites et
moyennes entreprises.
Le problme de qualit des actifs a empir au cours des deux prcdentes annes
s'expliquant en grande partie par le ralentissement et le caractre volatile de la
croissance conomique ainsi qu'une exposition de risque moins diversifie.
Les banques du secteur public accusent des dficiences importantes en matire de
gestion du risque et de contrle de crdit, aboutissant ainsi des problmes de
qualit d'actif devenant de plus en plus svres.
Trs peu de banques ont mis de ct les niveaux adquats de capitaux propres
contre les mauvaises crances.
Faible niveau de gouvernement d'entreprise.
Les banques marocaines affichent des rsultats mitigs quand il s'agit de parler du
gouvernement d'entreprise. D'un cot positif, les pratiques bancaires au Maroc sont
relativement conservatrices, en particulier dans le secteur priv. De plus, les banques
marocaines peuvent se prvaloir d'un antcdent satisfaisant en matire de stabilit du
systme bancaire marocain. Pendant les deux dernires dcennies, aucune crise de
banque principale ne s'est produite au Maroc.
Nanmoins, la communication financire accuse toujours un retard au regard des
meilleures pratiques internationales et se compare dfavorablement avec les standards
observs dans d'autres pays mergeants. Ce n'est pas directement li aux mthodes
comptables, qui s'alignent dans leur ensemble sur le modle europen - un modle
bas sur des rgles qui accordent une place importante au cot historique au dtriment
de la valeur conomique.
34

__________________________________________________________________________________________
Un hritage si historique n'est pas un facteur de contrainte en soi, mais limite des
comparaisons avec d'autres banques mergeantes, qui appliquent de plus en plus des
Standards Internationaux de Comptabilit.
Le principe de gouvernement d'entreprise tait quasiment absent dans la plupart des
tablissements de crdit dominante publique :
La communication financire ainsi que les pratiques comptables ont besoin d'tre
adapts dans le sens d'une meilleure information sur la situation financire des
tablissements de crdit. Le faible niveau de gouvernement d'entreprise est une
question rcurrente.
Les participations de l'Etat dans le secteur bancaire ont approuv son inefficacit,
notamment travers les multiples cas de mauvaise gestion et de fraude.
La rglementation ainsi que la surveillance samliorent, mais une allure lente, qui
place les tablissements de crdit la trane des standards internationaux.
35

__________________________________________________________________________________________
Premire partie :
L'audit interne dans le systme
bancaire marocain : des pratiques
limites aux fonctions classiques.
36

__________________________________________________________________________________________
Chapitre 1 :
Typologique et valuation des
risques bancaires.
37

__________________________________________________________________________________________
Chapitre 1 : Typologie et valuation des risques bancaires.

Introduction.
Il est dusage de dire que le mtier de banquier est le mtier du risque. Les risques sont
inhrents l'activit bancaire. L'absence ou l'insuffisance de leur matrise provoque
invitablement des pertes qui affectent la rentabilit et les fonds propres.
L'identification des risques est sans doute l'tape la plus importante et surtout la plus
difficile apprivoiser dans le processus de management des risques.
Le risque peut se dfinir comme tout vnement ou toute situation, interne ou
externe, pouvant compromettre la ralisation dun objectif de la Banque .
Il sagit dun incident ventuel plus ou moins prvisible. La caractristique propre du
risque est donc lincertitude temporelle dun vnement ayant une certaine probabilit
de survenir et de mettre en difficult la banque. Le risque inhrent au secteur bancaire
se distingue par sa multiplicit et par son caractre multidimensionnel ne pouvant tre
mesur par un seul indicateur.
Les risques eux mmes sont multiples par leur nombre et leur probabilit. Ils sont
parfois difficiles cerner aussi bien en terme d'intensit que de frquence, mais on
s'accorde souvent de les rpertorier sous des catgories communment admises afin
de faciliter la dfinition de modles ou scnarii unifis de gestion et de management des
risques.
En dpit de la diversit et du degr de complexit des risques auxquels les
tablissements de crdit peuvent tre amens faire face, leur solidit et leur bonne
sant financire est avant tout une responsabilit qui incombe en premier lieu au
management de la banque.
Position partage galement par les organes de rgulation qui s'accordent dsormais
d'une faon unanime attribuer plus de responsabilits au management et aux organes
dlibrants des banques dans la gestion et la prvention des risques.
Ces divers aspects seront dvelopps par rfrence aux trois questions clefs suivantes :
Quels risques doivent tre couverts par le risk management ?
Quels critres peuvent tre affects leur identification et leur valuation ?
Quelles en sont les pratiques pour le systme bancaire marocain ?
38

__________________________________________________________________________________________
Section 1 : Typologie des risques bancaires.

Le mtier de la banque comme toute activit but lucratif implique la prise de positions
risques. L'inventaire des risques associs l'activit bancaire fait tat d'une varit de
risques considrable.
Des divergences existent nanmoins sur leur nature et leur tendue. Toutefois, au del
des diversits d'apprciation, du primtre restreint ou tendu que l'on entend donner
chaque type de risque, une tendance se dgage .
La premire phase de toutes les dmarches actuelles de gestion et de suivi des risques
bancaires consiste dans la dlimitation prcise de ces derniers et dans une dfinition
claire de ces risques, commune et applicable l'ensemble d'un tablissement bancaire.
Toute activit bancaire expose l'tablissement des risques stratgiques, des risques
rputationnels, des risques financiers et des risques oprationnels.
Afin d'apprcier et d'analyser chaque risque, le risk manager et/ou lauditeur bancaire
procde une estimation des risques inhrents (voir graphique ci-dessous) chaque
domaine dactivit. Ces risques peuvent tre classs en trois catgories :
Les risques financiers dcoulant du march (impact de la variation des prix), du

dfaut des contreparties (crdit) et de la liquidit (difficult de la banque dhonorer
ses engagements);
Les risques oprationnels qui ont leur source dans les risques que lorganisation,
ses acteurs et lenvironnement externe font courir la banque. Ils intgrent les
risques lis aux systmes dinformation, aux procdures, aux personnes et
lenvironnement externe.
Le risque de rputation dcoulant de tout vnement susceptible d'entacher la

rputation de la Banque ou de porter atteinte la confiance quelle doit inspirer au
public. Il se manifeste suite une publicit ou un vnement ngatif ou des erreurs
de communication externe.
39

__________________________________________________________________________________________
Risques stratgiques
Risques inhrents l'activit
Bancaire
Risques financiers
Risques oprationnels
Liquidit
Compliance
Crdit
Juridique
March
Scurit & SI
Comptabilit
Fiscalit
RH & Fraudes
Excution des
transactions
Risques de rputation
1. Les risques financiers.

1.1- Le risque de crdit
Le risque de crdit est dfini comme tant "la perte potentielle conscutive l'incapacit
par un dbiteur d'honorer ses engagements. Cet engagement peut tre de rembourser
des fonds emprunts, cas le plus classique et le plus courant, risque enregistr dans le
bilan. Cet engagement peut tre aussi de livrer des fonds ou des titres l'occasion
d'une opration terme ou d'une caution ou garantie donne; risque enregistr dans le
hors bilan " 8.
La notion de risque de crdit est immdiatement associe au risque de contrepartie,
pour un dossier donn, il est en effet clair que le risque premier rside dans la volont,
mais aussi dans la capacit de lemprunteur de faire face ses engagements. Les
8
Antoine SARDI : "Audit et Contrle Interne bancaires " Ed Afges septembre 2002 .
40

__________________________________________________________________________________________
risques que lon pourrait qualifier dadditionnels ou de connexes au risque de

contrepartie doivent galement tre matriss et donc pralablement valus. Au
nombre de huit, ils prennent naissance lors de linitiation des transactions et le plus
souvent perdurent jusqu lchance finale. On distingue alors :
Le risque de garantie : la banque peut devoir supporter une perte si elle ne peut
exercer la garantie attache un prt en dfaut ou si le produit de cette action
savre insuffisant pour couvrir les engagements accumuls par le dbiteur.
Le risque de concentration : une diversification insuffisante du portefeuille de
concours en termes de secteurs conomiques, de rgions gographiques, ou de
taille demprunteur peut provoquer des pertes importantes.
Le risque pays : bien connu des grands tablissements, il se manifeste lorsquun
pays tranger ne dispose plus de rserves suffisantes pour faire face aux
engagements en monnaie trangre de ses ressortissants.
Le risque de change : il nat chaque fois que ltablissement accorde un crdit dans
une monnaie qui nest pas celle de lexpression de ses capitaux propres; si les
ressources utilises pour financer cet emploi sont libelles dans la mme devise, le
risque ne porte que sur la marge de lopration; dans le cas contraire, le montant en
principal est galement expos.
Le risque de fraudes : multiforme, il peut sagir par exemple de concours consentis
de faux clients, donc, bien videmment irrcouvrables.
Le risque dinitis : il sagit de concours accords des conditions hors march, ou
selon des procdures exceptionnelles des dirigeants de la banque, des
entreprises dans lesquelles ils ont des intrts ou des socits lies des
actionnaires importants de ltablissement.
Le risque lgal et rglementaire : lactivit de crdit est troitement rglemente et
le non-respect de nombreuses dispositions peut conduire ltablissement supporter
des pertes soit directement, soit en raison de limpossibilit de mettre en uvre une
garantie.
Le risque oprationnel : cette notion recouvre toutes les erreurs de traitement qui
peuvent survenir au cours de la vie dun dossier tels que dblocage des fonds avant
que toute la documentation requise nait t runie, saisie errone des conditions de
crdit dans les systmes de gestion, mauvaise identification des concours
compromis
Le risque de crdit classique reste toujours la cause principale des problmes

bancaires. Les pertes conscutives aux dfaillances des clients sont malheureusement
invitables et inhrentes au mtier de banquier.
Les problmes de risque de crdit sont souvent lis des imperfections dans l'audit
interne et le risque management. Il y a un peu plus de cinq ans, le sous-comit Bancaire
de Surveillance de l'Institut Montaire Europen a men une enqute sur les causes
41

__________________________________________________________________________________________
principales des pertes supportes par des banques en difficult dans l'Union
Europenne.
La premire analyse des 68 tablissements de crdit confronts des problmes
financiers a clairement mis en vidence que le risque de crdit tait dans 75% des cas
la principale cause des situations graves vcues par le secteur bancaire.
Par consquent, ce facteur tait prpondrant compar aux autres sources de risques,
comme par exemple les pertes sur les oprations de march, les problmes de liquidit
et la mauvaise gestion.
L'vidence de ce constat a t par ailleurs parfaitement illustre au Maroc travers les
dboires de certains tablissements financiers publics, sur lesquels le gouvernement
avait pourtant beaucoup mis pour appuyer plusieurs secteurs conomiquement et
socialement trs sensibles.
En effet, le poids des crances en souffrance sest hiss 19,4% en 2004, contre
18,7% en 2003 et 17,7% en 2002. (Compte non tenu des banques spcialises, ce taux
est respectivement de 12,4% en 2004, contre 12,3% en 2003 et 11,2% en 2002) du
portefeuille global des engagements des banques. Cette situation est inhrente
principalement l'aggravation des crances malsaines dans les secteurs agricoles et
immobiliers fortement reprsentatifs de l'encours global des engagements bancaires
tous secteurs confondus.
L'on observe galement depuis quelques annes un accroissement sans prcdent des
crdits individuels, en particuliers ceux assortis de gages hypothcaires au dtriment
des crdits aux entreprises ou aux professionnels.
Ces changements traduisent de temps en temps un renouveau de ngligences sur des
standards lmentaires de prudence. Cela a t parfaitement illustr par la baisse
progressive des taux d'intrt sur certaines oprations de crdit en comparaison avec
ce qui tait pratiqu il y a deux quatre ans. De plus, nul ne peut ignorer les facilits qui
ont accompagnes l'octroi des crdits et la constitution de garanties.
Dans ce contexte, BAM n'a pas hsit exprimer publiquement son souci et a rappel
toute la profession bancaire la raison suite des baisses successives de taux d'intrt
sur des crdits hypothqus pratiqus par certaines grandes banques de la place.
En dfinitive, le risque de crdit demeure la premire cause des difficults et des faillites
des banques. Les cas douloureux des situations difficiles vcues par certains
tablissements bancaires spcialiss du secteur bancaire marocain en sont une parfaite
illustration.
1.2 - Les risques de march
On entend par risques de march, les risques pouvant rsulter, pour un tablissement
de crdit, dune volution dfavorable des donnes de march ou de leur volatilit. Ce
sont les risques de pertes qui peuvent rsulter des fluctuations des prix des instruments
financiers qui composent le portefeuille de ngociation ou des positions susceptibles
dengendrer un risque de change, notamment les oprations de change terme et au
comptant.
42

__________________________________________________________________________________________
Le portefeuille de ngociation susvis comprend :
les titres acquis, ds lorigine, avec lintention de les revendre brve chance
en vue de tirer bnfice des carts entre les prix dachat et de vente, et ce dans
le cadre dune activit de march, y compris les titres livrer ou recevoir,
les titres recevoir et livrer dans le cadre de transactions sur le march

primaire ou le march gris,
les produits drivs destins maintenir des positions ouvertes isoles pour
tirer avantage de lvolution des prix ou couvrir les risques de march encourus
sur les instruments viss aux tirets prcdents.
Mme si sur le plan local, les activits de march ont t relativement moins ouvertes
sur les innovations caractrisant les nouveaux marchs avec notamment la cration de
nouveaux instruments financiers, elles demeurent toutefois un enjeu qui prserve toute
son importance pour les tablissements de crdit marocains, et ceci pour au moins deux
raisons :
les marges sur les oprations de placement et de trsorerie devraient voir leur
contribution dans le PNB augmenter dans les annes venir et compenser ainsi
la baisse prvisible des revenus tirs de l'activit de crdit;
les imbrications de plus en plus fortes entre les activits de march et celles de
crdit et de liquidit.
Dans ce contexte, de nouvelles entits appeles " salle des marchs " ont ainsi t
cres pour rpondre justement cette contrainte croissante des risques de march.
Les activits traditionnelles et les activits nouvelles ont t runies dans cette nouvelle
entit qui regroupe dsormais l'ensemble des activits financires ;
March des changes;

March montaire;
March des titres et fonds;
March obligataire.
Un aspect spcial de gestion de risque est le contrle des activits de march. Les
vnements fortement mdiatiss impliquant Bankers Trust, Barings et Daiwa Banks
ainsi que les pratiques douteuses sont venues pour rappeler cet gard l'enjeu
grandissant sur les questions du professionnalisme et d'intgrit.
En ralit, ces vnements constituent une parfaite illustration des pertes importantes
qui pourraient rsulter de ngligences dans la gestion et la couverture des risques au
sein de la banque.
Les causes de ces accidents convergent gnralement vers les mmes faiblesses : la
confusion du front office et du back office, des marges de manuvre excessives et non
contrles entre les mains de certains commerciaux combine une approche bnigne
du management n'ayant aucune vue sur les positions risques engages par les
43

__________________________________________________________________________________________
commerciaux et leur adquation par rapport la politique de risque retenue par

l'tablissement de crdit.
Cela dit, qu'en est-il au Maroc ?
Nous pouvons considrer ce stade que le risque de march demeure relativement

limit, aussi bien pour l'activit de placement que pour l'activit de change.
Activit de change
L'exposition au risque de change des banques marocaines est limite, moins de 1 pour
cent des crdits et dpts bancaires tant libells en devises. Les banques ont des
positions en devises qui se situent nettement en dessous des limites prudentielles sur
les positions globales en devise et les positions par devise. 9
Cependant, une part importante des oprations en devises est traite par les filiales des
banques marocaines l'tranger qui ne sont pas soumises aux limites fixes par BAM
mais celles du pays hte. Nanmoins, les banques transmettent rgulirement BAM
les tats financiers de leurs filiales l'tranger.
L'introduction du march des changes depuis mai 1996, a fortement diminu le volume
des ventes directes de dirhams par la Banque Centrale aux banques trangres
s'ajoutant la baisse des dpts en devises des banques auprs de Bank Al Maghrib
de plus de moiti et leur rorientation vers les correspondants trangers, la suite de
l'autorisation donne aux banques d'effectuer des placements en devises l'extrieur.
Cependant, les positions de change sont restes un niveau nettement en de des
ratios rglementaires. Le march des changes terme affiche toutefois, un
dveloppement important10.
Activit de placement
L'impact de la baisse des taux d'intrt sur les marges nettes d'intrt a t plus que
compens par des revenus croissants gnrs par l'activit de placement, elle-mme
tirant profit d'un niveau exceptionnel de liquidit que la majorit des banques a d placer
en bons de trsor qui reprsente fin 2004 dj 18% des actifs totaux du systme.
Ceci reprsente une exposition significative au risque de crdit souverain domestique,

et cr aussi une source de sensibilit leve des banques la variation des taux
d'intrt alors que les taux d'intrt poursuivent leur tendance la baisse.
Au niveau oprationnel, l'exercice des activits de march par les banques marocaines
fait courir celles-ci, comme partout ailleurs, un risque de contrepartie ou de livraison.
Ce risque est associ la dfaillance temporaire ou permanente de la contrepartie qui
pourrait rsulter soit d'un diffrent entre les parties sur l'excution de la transaction, soit
d'une simple dfaillance de la partie adverse, ce qui est d'ailleurs le cas le plus frquent
9
Bank Al Maghrib a autoris les banques conserver les positions la fois longues et courtes en prvoyant toutefois des limitations et des mesures mme de prvenir des
drapages spculatifs .Ainsi une banque ne peut dpasser :
Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets ;
Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets ;
Les tablissements bancaires doivent, par ailleurs, dclarer BAM les pertes de change de plus de 3% enregistres sur toute position dans une devise donne et ce ,
immdiatement aprs le constat de la perte , BAM peut alors , s'il le juge utile , demander l'tablissement bancaire concern de procder la liquidation de la position en
question .
10
L'encours mensuel moyen des contrats de couverture terme est pass de 7,1 milliards en 2001 7,9 milliard de dirhams en 2002, dont 6,5 milliards pour la couverture des
risques de change lis aux importations et 1,4 milliards au titre des exportations.
44

__________________________________________________________________________________________
et aux consquences les plus dommageables pour les tablissements bancaires

marocains.
Toutefois, au stade de dveloppement actuel des salles de march au niveau du
secteur bancaire marocain, l'exercice des activits de march est beaucoup plus
gnrateur de risques oprationnels lis en particulier au dysfonctionnement aussi bien
technique qu'humain (cf. risques oprationnels ci-dessous).
1.3 - Le risque de liquidit
Le risque de liquidit sentend comme le risque pour ltablissement de crdit de ne pas

pouvoir sacquitter, dans des conditions normales, de ses engagements leur
chance. Il rsulte de lincapacit dune banque de faire face une rduction de son
passif ou de financer un accroissement de son actif.
Lorsquun tablissement ne dispose pas dune liquidit adquate, il ne peut obtenir des
fonds suffisants un cot raisonnable, soit en augmentant son passif, soit en
convertissant rapidement des actifs, ce qui affecte sa rentabilit. Dans des cas
extrmes, une liquidit insuffisante peut conduire une situation dinsolvabilit.
L'exposition actuelle des banques marocaines au risque de liquidit est relativement
limite (exclusion faite bien videmment des ex-OFS). Elles bnficient cet effet d'un
financement quasiment gratuit constitu dans une large mesure de dpts vue ( trs
faible taux de rmunration).
Les statistiques sur le comportement des dpts et des crdits montrent effectivement
que les ressources varient la hausse selon une cadence plus forte que celle des
emplois, d'o un excdent de liquidit que les banques jugent structurel compte tenu de:
-
la distribution de crdits de plus en plus verrouille, ce qui limiterait l'octroi de

crdits des clients nots d'un niveau de risque lev;
le comportement positif des dpts dont une partie considrable provient des
marocains rsidents l'tranger.
La majeure partie des dpts bancaires est d'une dure infrieure un an. Les banques
bnficient toutefois de la stabilit de leurs dpts vue et ont une faible dpendance
vis-- vis de gros dpts terme institutionnels ou commerciaux.
En plus de la forte proportion des dpts vue, l'autre particularit importante des
dpts des banques commerciales marocaines est que prs du quart de ces dpts
provient des MRE. Le risque de liquidit associ ces dpts a t faible au cours des
dernires annes, la part des dpts MRE dans lensemble des dpts des banques est
reste relativement stable au tour de 25 28%.
Nanmoins, vu que ces dpts sont mobiles, ils reprsentent la source la plus
importante du risque de liquidit du systme bancaire marocain. " Cette dpendance par
rapport cette manne d'argent est dangereuse, soulignent les analystes de S&P dans
un rcent rapport sur la solvabilit des banques nord-africaines. N'importe quelle
45

__________________________________________________________________________________________
variation radicale dans les tendances d'outre mer de dpt de liquidits reprsenterait
une menace importante pour le secteur bancaire".
1.4 - Le risque de taux
Le risque global de taux dintrt se dfinit comme limpact ngatif que pourrait avoir
une volution dfavorable des taux dintrt sur la situation financire de ltablissement
de crdit. Le risque de taux dintrt concerne la fois les positions de taux prises en
salles de marchs ainsi que lexposition au risque de transformation qui est inhrent
lactivit bancaire par dfinition.
Ce risque affecte la fois les bnfices dun tablissement et la valeur conomique de
ses crances, dettes et instruments du hors-bilan.
Les principales formes du risque de taux dintrt auxquelles les banques sont
gnralement exposes sont les suivantes :
-
risque de rvision de taux, qui rsulte de diffrences dans lchance (pour les taux
fixes) et le renouvellement des conditions (pour les taux variables) des positions de
lactif, du passif et du hors-bilan;
risque de dformation de la courbe des taux, qui provient de modifications de la

pente et de la configuration de la courbe;
risque de base, qui est d une corrlation imparfaite dans lajustement des taux
reus et verss sur des produits diffrents, dots par ailleurs de caractristiques
de rvision de taux analogues;
risque de clauses optionnelles, qui est li aux options explicites ou implicites dont
sont assortis nombre de crances, dettes et positions du hors-bilan des banques.
Les activits bancaires de dpt et de crdit impliquent un risque significatif en cas de

variation importante des taux d'intrt. Ses effets peuvent se rvler prjudiciables
l'avenir d'un tablissement de crdit.
Dans l'ensemble, les banques commerciales ont une faible vulnrabilit immdiate aux
fluctuations court terme des taux d'intrt. Il est vident en contrepartie que, vue
l'importance des dpts vue dont le rendement implicite augmente avec la hausse des
taux, la marge nette des banques rsultant des produits et des charges d'intrt
diminuera sensiblement dans un contexte de baisse continue des taux d'intrt alors
qu'elle augmentera dans la situation inverse.
Il faut toutefois souligner que la source principale du risque de taux d'intrt est la
consquence du non-adossement des ressources aux emplois ou le dcalage, des
emplois et des ressources quant aux chances de rvision des taux.
46

__________________________________________________________________________________________
2. Les risques oprationnels.

Prsentation du concept.
La masse et la diversit des oprations traites quotidiennement par une banque sont
toujours considrables. Des erreurs, ngligences, retards et fraudes se produisent
invitablement. Ils engagent, non seulement la responsabilit pcuniaire de
l'tablissement, mais galement contribuent dtriorer son image de marque.
L'inefficacit est aussi un risque important, qui se traduit par un cot excessif des
services qui obrent la rentabilit. A cette inefficacit, s'ajoute en gnral une mauvaise
qualit des services, qui l encore est un facteur de dtrioration de l'image de marque
de l'tablissement.
Or, autant les pertes conscutives des risques mesurs, et consciemment assums et
contrls, sont normales car inhrentes au mtier de banquier, autant les pertes par
ngligence, par inadvertance, par inconscience ou par l'insuffisance d'organisation sont
intolrables. Elles sont toujours la consquence d'une carence dans le systme de
contrle interne.
Ce sont l quelques aspects du risque oprationnel sans que cette liste soit exhaustive
ou limitative. En effet, le concept du risque oprationnel n'est pas bien dfini et ne fait
pas l'objet d'un consensus. Il correspond galement une srie de pertes occasionnes
par la gestion des oprations qui ne sont pas relies aux risques parfaitement
identifiables, appels parfois risques financiers, tels que le risque de march, de crdit,
de liquidit, de taux d'intrt. Certains d'ailleurs dfinissent le risque oprationnel
comme tout risque autre que les risques financiers.
La circulaire BAM N6 donnait un sens plutt restrictif au risque oprationnel, dfini,
l'article 8, comme '' tous les risques qui pourraient tre engendrs par des procdures
inefficientes, des contrle inadquats, des erreurs humaines ou techniques , des
fraudes ou par toutes autres dfaillances".
Le risque oprationnel n'est pas un sujet nouveau. Durant les dix dernires annes, les
faillites bancaires, les pertes lies des erreurs de valorisation ou un mauvais suivi
des risques ont dfray la chronique : parmi les incidents les plus rcents, Barings,
Daiwa ou Sumitomo et la liste n'est pas exhaustive. Les pertes y affrents sont estimes
12 milliard de dollars sur les dix dernires annes.
La gestion des risques oprationnels commence proccuper de plus en plus les
tablissements, de mme que les actionnaires et les rgulateurs. Les propositions
rcentes du comit de Ble en sont la preuve.
En juin 1999, le comit de Ble dans son projet de rforme du ratio Cooke intgre
explicitement l'importance des risques autres que les risques de crdit et de marchs et
insiste sur la ncessit d'un environnement de contrle interne rigoureux, essentiel pour
la gestion des risques oprationnels.
Il faut toutefois souligner que les problmes financiers vcus par certains
tablissements financiers sont souvent la combinaison de la survenance d'un risque de
47

__________________________________________________________________________________________
crdit ou de march et d'un risque oprationnel. Ainsi la cause de la faillite de la Barings

tait due un risque de march qui tait la cause directe. La cause indirecte tait
l'absence de supervision et de sparation des tches et des fonctions.
Le comit de Ble remarque, par ailleurs que la globalisation, la drgulation, la
sophistication des nouvelles technologies, les fusions rendent l'activit bancaire, et le
profil de leurs risques, plus complexes et plus diversifis. Les tendances actuellement
observes sont les suivantes :
Le dveloppement des systmes automatiss transforme le risque d'erreurs

manuelles en risque de dfaillance de systme;
Les fusions large chelle posent le problme de l'intgration de nouveaux

systmes;
Le dveloppement de rducteurs de risques tels que les garanties, drivs de

crdits, titrisation rduisent le risque de crdit et de march mais font natre de
nouveaux risques oprationnels.
Les quatre composantes du risque oprationnel.
Le Comit de Ble dfinit le risque oprationnel comme tant le risque de perte

rsultant dune inadquation ou dune dfaillance attribuable des procdures
internes, des personnes, des systmes internes ou rsultant dvnements
extrieurs .
Par risques oprationnels, il faut entendre les risques que lorganisation, ses acteurs et
lenvironnement externe font courir la banque. Ils se dcomposent en 4 sousensembles :
Le risque li au systme dinformation : dfaillance matrielle, bug logiciel,

obsolescence des technologies (matriel, langages de programmation,) ;
Le risque li aux processus (saisies errones, non respect des procdures,) ;
Le risque li aux personnes (absentisme, fraude, mouvements sociaux, mais

aussi capacit de l'entreprise assurer la relve sur les postes cls) ;
Le risque li aux vnements extrieurs (terrorisme, catastrophe naturelle,

environnement rglementaire,).
Une notion prcise par le comit Ble II :
Les travaux de normalisation mens dans le secteur bancaire ont remis au got du jour
la notion de risque oprationnel. Si ce risque en soi nest pas nouveau, lvolution de la
rglementation bancaire le replace au premier rang des proccupations au travers de
normes que lon dsigne communment sous le terme de Ble II .
Lapprciation de la solvabilit bancaire, jusquici mesure au travers du ratio Cooke, va
devoir prendre en compte les risques oprationnels, en sus des risques de crdit et des
48

__________________________________________________________________________________________
risques de march. Ceci se fera au travers dun nouveau ratio, baptis Mc Donough
du nom de lancien prsident du Comit de Ble.
Le Comit Ble II a men une analyse quantitative de ces risques sur prs dune
centaine dtablissements. Les rsultats dmontrent la frquence et le cot global
levs des incidents oprationnels : ils gnrent en moyenne prs de 90 millions
deuros de perte. Une analyse plus fine dmontre que si les sinistres les plus levs
sont aussi les mieux couverts (incendie, dgts des eaux), cest finalement la diversit
des risques non couverts qui explique limportance du cot final.
Le nouvel accord sur les fonds propres a pour but de mieux aligner lvaluation de
ladquation des fonds propres sur les principales composantes des risques bancaires
et dencourager les banques renforcer leurs procdures de mesure et de gestion du
risque.
Les trois piliers du ratio McDonough :
Pilier I : exigences minimales en fonds propres pour couvrir les actifs
pondrs en fonction du risque.
des normes renouveles pour mieux tenir compte des risques mais
sans modification du niveau global des fonds propres (8% en
moyenne);
une meilleure prise en compte des techniques de rduction des
risques;
une prise en compte des risques oprationnels.
Pilier II : contrle accru par le rgulateur, avec possibilit dun

examen individualis des tablissements.
lanalyse du profil global de risque des tablissements par les

rgulateurs ;
le contrle des procdures et de la mthode interne daffectation des
fonds propres ;
la possibilit de fixer des exigences individuelles suprieures au
minimal rglementaire.
Pilier III : plus grande discipline de march avec une exigence accrue
de transparence sur la structure des fonds propres et les risques
encourus.
Les fonds propres doivent couvrir les risques de crdit et de march et les
risques oprationnels.
Ratio McDonough = Fonds propres/Risques crdit + march + oprationnels 8%
49

__________________________________________________________________________________________
Les innovations de la rforme McDonough :
En 1988, le Comit de Ble I a propos la mise en place du ratio Cooke, qui impose aux
banques de disposer dun montant de fonds propres proportionnel leur encours de
crdit. Aprs avoir intgr les risques de march au ratio Cooke en 1996, le comit de
Ble prsid par W.McDonough en a dcid la refonte en 1999.
La logique de cette rforme est simple : elle suggre le passage dune mthode
purement quantitative et forfaitaire une mthode ajoutant le qualitatif au quantitatif et
partant plus sensible la qualit intrinsque des risques. Plus prcisment, elle vise
rconcilier le capital conomique et le capital rglementaire.
Les consultations soumises la profession bancaire par le comit de Ble, en vue de la
mise en place dun nouveau ratio de solvabilit Mcdonough insiste sur les points
suivants :
Une plus grande diffrenciation dans le traitement des risques de crdits : lincitation
adopter un nouveau systme de notation interne concernant le risque de crdit
permettant aux banques destimer par elles-mmes, aux moyens de leurs
informations internes, la charge en capital, cest dire le montant des fonds propres
ncessaires pour couvrir ce risque de crdit.
Cette note drivera du calcul de la perte attendue dfinie comme tant le produit de
la probabilit de dfaut (qui sera estime par la banque), la perte en cas de dfaut et
de lexposition au moment du dfaut.
EL = PD x LGD x EAD
EL : Expected Loss ou perte attendue.
PD : Default Probability ou probabilit que le dbiteur ne veuille pas ou ne puisse pas
remplir ses engagements contractuels. La probabilit de dfaut mesure le risque dfaut du
dbiteur.
LGD : Loss Given Default ou perte occasionne en cas de dfaut du dbiteur : il sagit du
pourcentage de perte que la banque subirait par rapport au montant du crdit ouvert au
moment du dfaut.
EAD : Exposure At Default ou montant du crdit qui est expos au moment du dfaut.
Dans le cadre de lapproche IRB (Internal Rated Basing) de base, la banque estimera
uniquement la probabilit de dfaut et utilisera les donnes, concernant la perte en cas
de dfaut et lexposition au moment du dfaut, fournies par lautorit de tutelle.
Dans lapproche IRB avance, la banque estimera elle-mme tous ces facteurs de
risque, auxquels on peut ajouter le facteur M ou Maturity cest dire la dure restante
du crdit dont lampleur influence le risque de non-remboursement.
Le futur rgime donnera aussi un rle plus important aux autorits de surveillance.
Conformment aux dispositions prvues par le pilier 2, et pour tenir compte du
profil risque de chaque tablissement, ces autorits seront habilites imposer
des exigences de fonds propres suprieures celles rsultant de la seule application
des formules rglementaires.
50

__________________________________________________________________________________________
Limportance de la discipline de march reposant sur la communication rgulire

dinformations par les banques au march, ce qui accentue le pouvoir des autorits
de contrle de ces banques. La diffusion dinformations significatives par les
banques apporte des lments aux intervenants et facilite lexercice dune discipline
de march efficace.
2.1 - Le risque de systme d'information.
Le risque de systme dinformation sentend comme le risque de survenance de

dysfonctionnements ou de ruptures dans le systme de traitement de linformation,
imputables des dfaillances dans le matriel ou des erreurs, des manipulations ou
autres motifs (virus) affectant les programmes dexcution.
Lutilisation de linformatique fait courir des risques supplmentaires aux tablissements
de crdit :
perte de donnes et de programmes en cas de dispositifs de scurit inadquats, de

dfaillances de lquipement ou des systmes et des procdures de sauvegarde et
de rcupration des donnes;
informations de gestion errones rsultant de procdures imparfaites de

dveloppement de systmes;
absence dinstallations de remplacement compatibles dans le cas dinterruptions

prolonges de fonctionnement des quipements.
De telles pertes et interruptions peuvent entraner de graves difficults pour un

tablissement et risquent, dans des circonstances extrmes, de compromettre sa
capacit de continuer poursuivre ses activits.
Le danger que des dcisions soient fondes sur des informations non fiables ou
trompeuses produites par des systmes dinformation mal conus ou insuffisamment
contrls est vraisemblablement plus grave.
Pour toutes ces raisons, les tablissements de crdit devraient disposer du savoir faire,
des contrles organisationnels et internes ncessaires pour dtenir et traiter
linformation sous forme lectronique.
2.2 - Le risque juridique.
Le risque juridique sentend comme le risque de survenance de litiges susceptibles

dengager la responsabilit de ltablissement de crdit du fait dimprcisions, de
lacunes ou dinsuffisances dans les contrats et autres actes de nature juridique le liant
des tiers.
Les banques sont soumises des formes diverses du risque juridique. Cest le cas, par
exemple, si, cause de conseils ou documents juridiques inadquats ou incorrects, il
savre que la valeur de lactif est infrieure, ou la hauteur du passif est suprieure, aux
prvisions.
51

__________________________________________________________________________________________
En outre, les lois existantes peuvent tre impuissantes rsoudre des problmes
juridiques rencontrs par une banque. Une action en justice impliquant un tablissement
donn peut avoir des consquences plus vastes pour lactivit bancaire et entraner des
cots, non seulement pour lui-mme mais pour de nombreuses autres banques ou pour
lensemble du systme bancaire; par ailleurs, les lois concernant les banques et autres
entreprises commerciales peuvent changer.
2.3 - Le risque comptable.
Le risque comptable sentend comme le risque de non fiabilit, de non exhaustivit des
donnes comptables et financires et/ou de non disponibilit de linformation au moment
opportun conformment aux prescriptions du plan comptable des tablissements de
crdit (PCEC). Il sagit, pour la Banque, des risques rsultant :
dinsuffisances de conception, dorganisation et de mise en uvre des procdures

denregistrement dans le systme comptable,
d'absence de procdures comptables et de pistes d'audit ayant pour objet la

reconstitution chronologique des oprations, la justification de linformation par une
pice dorigine, lexplication des volutions de soldes et le respect des rgles
dvaluation applicables aux oprations de marchs,
de dfaillance du systme d'information comptable au regard des objectifs gnraux

de prudence, de scurit et de conformit aux normes comptables en vigueur,
de dysfonctionnements du systme de contrle comptable garantissant ladquation

des mthodes et des paramtres retenus pour lvaluation des oprations dans les
systmes de gestion ainsi que la pertinence des schmas comptables et leur
conformit aux rgles de comptabilisation en vigueur.
2.4 - Le risque des ressources humaines.
Les risques lis aux ressources humaines concernent principalement les risques de
management, juridiques, de dontologie, de compliance, oprationnels et fiscaux. Ces
risques peuvent tre synthtiss en :
Risque de non respect des textes rglementaires;

Risque dinadaptation des politiques sociales aux attentes du personnel;
Risque dinadquation des besoins aux ressources humaines;
Risque denvahissement des proccupations sociales.
Concrtement, il sagit, pour la Banque, des risques rsultant :
dinsuffisances de couverture des fonctions Ressources Humaines (RH) :

administration, gestion, recrutement, formation et relations sociales;
de non rponse aux besoins, en ne fournissant les ressources humaines adaptes

(le recrutement, lorientation, la formation, la motivation);
52

__________________________________________________________________________________________
de la non adaptation au march, connaissance insuffisante des donnes de base

pour la gestion moyen terme des effectifs;
du non respect des rgles de confidentialit (paie, dossiers personnels) et de

scurit (back up) et de divulgation dinformations sensibles;
d'absence d'une gestion optimise des cots des RH (les rmunrations, le contrle
de gestion);
d'absence d'un systme de rmunration objectif, connu et dont la rvision est

formalise;
d'une mauvaise gestion des avantages sociaux;
d'une non sensibilisation du personnel aux risques de fraude interne et externe;
du non respect des rgles de prise de congs;
de l'absence, de l'inadquation ou du non respect du plan de formation;
d'une dfaillance de gestion des mouvements sociaux garantissant la continuit du

fonctionnement de la banque (le dialogue social, lenvironnement du travail);
de la multiplication des absences injustifies, retards, heures supplmentaires

systmatiques,
d'une dmotivation du personnel crant un mauvais climat social.

2.5 - Les autres risques.
Ces risques englobent tous les risques qui ne peuvent tre rpertoris dans la liste des
risques dvelopps plus haut. A la diffrence de la circulaire N6 qui a qualifi les
risques oprationnels d'autres risques, nous avons regroup ci-dessous dautres
catgories de risques :
2.5.1 - Le risque de rglement.
Le risque de rglement s'entend comme le risque de survenance, au cours du dlai

ncessaire pour le dnouement de l'opration de rglement, d'une dfaillance ou de
difficults qui empchent la contrepartie d'un tablissement de crdit de lui livrer les
instruments financiers ou les fonds convenus, alors que ledit tablissement dj
honor ses engagements l'gard de ladite contrepartie.
2.5.2 - Le risque stratgique.
La stratgie adopte par un tablissement de crdit dans diffrents domaines engage

toujours des ressources significatives. A titre d'exemples ces stratgies peuvent tre : la
pntration d'un march, le lancement de nouveaux produits ou de nouvelles activits,
la refonte du systme d'information, une croissance externe par fusion ou
acquisitionetc. Un chec stratgique peut s'avrer lourd de consquences car les
53

__________________________________________________________________________________________
ressources engages deviennent sans valeur et la perte cause sera dune substance
significative.
2.5.3 - Le risque systmique.
C'est le risque de contagion gnr par les liens interbancaires nationaux et

transfrontaliers des banques. Les tablissements de crdit sont interdpendants les uns
par rapport aux autres. Les pertes conscutives la dfaillance d'un tablissement sont
supportes, par effet de contagion, essentiellement par le systme bancaire, sous trois
formes :
Les oprations interbancaires, conclues avec l'tablissement dfaillant, se
traduiront par une perte pour l'tablissement prteur;
La solidarit de la place oblige frquemment tous les tablissements participer
l'apurement du passif de l'tablissement dfaillant;
Les actionnaires d'un tablissement de crdit sont frquemment ceux d'autres
tablissements qui devront, conformment leur rle, participer au sauvetage
de l'tablissement dfaillant.
La dfaillance d'un tablissement de crdit, comme un jeu de dominos, peut donc
dclencher les difficults dans d'autres tablissements et risquer de mettre en pril tout
le systme bancaire.
Il s'agit d'valuer si une raction en chane travers le march interbancaire - c'est-dire une situation dans laquelle le dfaut d'une banque entranerait la dfaillance d'un
ou de plusieurs de ses cranciers interbancaires - pourrait crer un risque systmique
plus tendu.
2.5.4- Le risque Pays.
C'est une composante du risque de contrepartie ou du risque metteur. Pour avoir une
vision plus claire du risque pays, il faut tudier ses composantes, savoir le risque de
dfaillance du souverain, le risque de change, le risque de non-transfert et le risque
systmique deffondrement dune conomie.
Avec les premires crises des pays alors dits en voie de dveloppement , puis la
fin des annes 90, crises dans lAsie du sud-est, de la Russie, du Brsil, de lArgentine
qui est un cumul de lensemble de ces risques, constitue un exemple extrme du risque
pays au sens moderne du terme. Il ne sagit plus du risque de non-transfert mais
bien de leffondrement gnral du systme montaire et financier dun pays.
Le risque-pays peut surtout apparatre lorsquil sagit de prts des gouvernements
trangers ou des organismes qui en dpendent, de tels crdits ntant gnralement
pas assortis de garanties, mais il est important de le prendre en compte lors dun prt ou
dun investissement ltranger, que lemprunteur soit public ou priv.
Il existe aussi une composante du risque pays appele risque de transfert, qui
survient lorsque lobligation dun emprunteur nest pas libelle dans la monnaie locale. Il
54

__________________________________________________________________________________________
peut arriver que lemprunteur, quelle que soit sa situation financire, ne puisse disposer
de la devise dans laquelle lobligation est libelle.
2.5.5 - Le risque de non-conformit Compliance Risk
Le risque de non-conformit Compliance Risk peut tre dfini comme un risque de

non respect des dispositions rglementaires applicables aux activits bancaires et
financires, y compris celles relatives la prvention du blanchiment et du financement
du terrorisme, des normes et usages professionnels et dontologiques et de protection
des intrts des investisseurs et des clients.
Par ce risque, on entend galement le risque de prjudices qu'un tablissement peut
subir suite au fait que les activits ne sont pas exerces conformment aux normes en
vigueur. Il peut comporter une varit de risques tels que le risque de rputation, le
risque lgal, le risque de contentieux, le risque de sanctions ainsi que certains aspects
du risque oprationnel, ceci en relation avec lintgralit des activits de ltablissement.
Par normes en vigueur, il faut entendre dans ce contexte toutes les rgles auxquelles
l'tablissement bancaire est soumis dans l'exercice de ses activits dans les diffrents
marchs, notamment :
les lois, rglements et circulaires rgissant l'accs au secteur financier et l'exercice

des activits bancaires;
les lois et circulaires traitant des obligations professionnelles, c'est--dire les rgles
de lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que
les rgles de conduite du secteur financier et de protection des investisseurs.
Pour les besoins de lvaluation du risque de Compliance et afin de dterminer le

primtre de la fonction Compliance, les codes de conduite ou de dontologie internes
ainsi que les codes dassociations professionnelles et de marchs financiers sont
considrer galement. Il appartient ltablissement de dcider si, compte tenu des
particularits des activits exerces, sa fonction Compliance couvre le contrle du
respect des rgles n'ayant pas directement trait aux activits bancaires et financires
proprement parler, telles que les rgles relevant du droit de travail, du droit social, du
droit des socits ou du droit de l'environnement.
La fonction Compliance a pour objet de :
organiser, de coordonner et de structurer les contrles en matire des diverses
rglementations diffrents niveaux de l'organisation bancaire,
protger ltablissement de tout prjudice qui pourrait rsulter du non-respect des
normes en vigueur,
assister la direction dans la gestion efficace des risques de non-conformit.
La Compliance nest pas du ressort exclusif de la fonction qui lui est ddie. Elle
concerne galement le conseil dadministration, la direction ainsi que tous les membres
du personnel. Elle est ds lors considrer comme un lment important de la culture
vhicule dun tablissement laquelle doit tre promue tous les niveaux de la banque.
55

__________________________________________________________________________________________
Dans ce contexte, une rflexion a t engage au niveau international, notamment au

sein du Comit de Ble11, afin, dune part, de mieux apprhender, dans le calcul des
exigences de fonds propres, les risques autres que les risques de crdit et de march
et, dautre part, de formuler des propositions spcifiques quant aux modalits de
contrle du risque de non-conformit.
En France, le principe du respect de la conformit a t inscrit, ds 1997, dans le
rglement n 97-02 du Comit de la rglementation bancaire et financire relatif au
contrle interne. Du fait de limportance et de la spcificit du risque de non-conformit
aux lois et rglements, celui-ci parat devoir tre pris en charge par une fonction ddie
et, comme lensemble des risques encourus par les tablissements de crdit, tre
pleinement intgr dans le champ dexercice du contrle interne.
Au Maroc, la notion de conformit na pas t inscrite dans la circulaire N 6/G/2001 sur
le contrle interne des tablissements de crdit et ne fait ce jour lobjet daucune
rglementation particulire.
3. Le risque de rputation.
Le risque de rputation est l'atteinte de la confiance qu'une banque doit inspirer sa
clientle et au march la suite d'une publicit ou dun vnement. Cette perte de
confiance peut alors avoir des effets dsastreux : retraits massifs des dposants, perte
de clientle, mfiance des marchs qui est suivie gnralement par une crise de
liquidit.
Le risque de rputation rsulte galement de dysfonctionnements oprationnels et de
lincapacit de satisfaire aux lois et rglementations en vigueur. Ce risque est
particulirement prjudiciable aux banques, tant donn que la nature de leur activit
ncessite le maintien de la confiance des dposants, des cranciers et du march en
gnral.
Lorgane dadministration et lorgane de direction doivent prendre les prcautions et les
mesures adquates pour empcher que leur tablissement bancaires ne soit impliqu,
leur insu, dans des oprations financires lies des activits non autorises par la loi
et plus gnralement pour viter la survenance de tout vnement susceptible
d'entacher la rputation de cet tablissement ou de porter atteinte au renom de la
profession.
Section 2 : Critres d'valuation et dispositifs de contrle des risques.

L'organisation, les processus et les outils de mesure et de quantification constituent les
critres fondamentaux d'apprciation et de suivi des risques bancaires. Nous ne
pouvons que constater ce sujet l'enrichissement progressif des mthodes de mesure
et d'valuation des risques, dveloppes par la majeure partie des banques
commerciales marocaines, bien que des marges de progrs existent encore sur
11 Le document consultatif du Comit de Ble du 27 octobre 2003 sur la fonction de conformit dans les banques - Consultative Document on the Compliance Function in Banks -
56

__________________________________________________________________________________________
plusieurs aspects pour se conformer aux standards aussi bien

qu'internationaux. Plusieurs facteurs clairent cette volution positive :
nationaux
Une prise en compte accrue de ces risques par les dirigeants des banques. Cette
prise de conscience peut s'expliquer par la relative maturit acquise dans la gestion
des risques qui a mobilis l'attention au cours des cinq dernires annes,
La mise en vidence accrue des risques financiers et rcemment oprationnels qui a

entrane une rflexion accrue sur leur matrise et leurs mthodes de prvention,
La pression des rgulateurs pour une meilleure information sur les risques
bancaires.
Dans ce contexte, plusieurs tablissements bancaires marocains se sont lancs, avec

des degrs d'avancement diffrents, dans la mise en place d'outils permettant d'assurer
une surveillance permanente devant aboutir in fine une couverture optimale contre les
risques jugs significatifs et prioritaires.
1. Au niveau de la gestion du risque de crdit.

Cest le risque encouru en cas de dfaillance dune contrepartie.
Les systmes et procdures mis en place pour en assurer la matrise devront permettre,
entre autres, de :
sassurer que les risques auxquels peut sexposer ltablissement de crdit, du fait
de la dfaillance de la clientle, sont correctement valus et rgulirement suivis ;
veiller ce que les dossiers de crdit comportent toutes les informations

quantitatives et qualitatives relatives au demandeur et veillant ce que ces
informations soient rgulirement mises jour;
prendre en considration, notamment, la nature des activits exerces par le

demandeur, sa situation financire, la surface patrimoniale des principaux
actionnaires ou associs, sa capacit de remboursement et, le cas chant, les
garanties proposes;
prendre galement en compte toutes autres informations permettant une

apprciation plus complte du risque tels que la comptence des dirigeants et
l'environnement conomique dans lequel le demandeur de crdit exerce son activit;
pouvoir identifier de manire centralise tous les risques bilan et hors bilan lgard
dune mme contrepartie ou dun groupe de contreparties, dun mme secteur
conomique, dun pays ou dune zone gographique;
apprhender diffrentes catgories internes dapprciation du niveau de risque de

crdit partir dinformations qualitatives et quantitatives rating ;
disposer dun systme de dlgations clairement formalis. A lintrieur de ce cadre,

les dcisions dengagements concernant des oprations importantes, devront tre
57

__________________________________________________________________________________________
prises par au moins deux personnes et ce, aprs analyse dune unit spcialise
indpendante dtude de risques;
mesurer et encadrer le risque de livraison (risque de rglement) cest--dire le risque

que la contrepartie ne rgle ou ne livre pas les titres loccasion dune opration de
march;
dterminer les conditions financires des oprations partir dune analyse

prvisionnelle aussi exhaustive que possible des produits (marges dintrt,
commissions, variation de la valeur de march des oprations) ainsi que des cots
(cot oprationnel, cot de refinancement, cot de rmunration des fonds propres,
cot li au risque de dfaillance);
effectuer une revue trimestrielle des oprations suprieures un certain seuil en

procdant, si ncessaire, au reclassement des engagements au sein des catgories
internes de rating et, en tant que de besoin, aux affectations dans les rubriques
comptables de crances douteuses, le niveau de provisionnement adopt devant
tenir compte dune valuation rcente des garanties dtenues.
Les critres retenus pour l'apprciation du risque de crdit se basent pour l'ensemble
des tablissements bancaires marocains sur une analyse systmatique de la situation
conomique et financire de la contrepartie. Cette analyse se traduit, dans certains cas,
par l'affectation d'une note de signature qui concerne dans un premier temps les
grandes entreprises puis les PME/PMI.
Les clients particuliers ne font toutefois pas l'objet de notation, ils sont nanmoins
segments selon les critres commerciaux pouvant servir dfinir l'offre de crdit
notamment. L'valuation du risque pour cette catgorie de clientle est base sur le
revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes
entourant son caractre la fois vridique et permanent.
De manire gnrale, la surveillance des risques repose sur un contrle deux
niveaux:
contrle priori;
contrle posteriori.
Contrle priori.
Ce contrle repose sur le principe selon lequel les principales oprations des clients
doivent faire l'objet de l'accord d'un dlgataire ds lors que celles-ci mettent la position
de la contrepartie en anomalie (notamment les dpassements) ou concourent la mise
en place d'un nouveau crdit.
Ce traitement est centralis gnralement au niveau de la Direction des Crdits qui
prend en charge toute la fonction d'octroi de crdits relative aux clients d'une certaine
taille.
Un tel contrle suppose la ncessit de disposer d'outils permettant de connatre
individuellement et en temps rel les autorisations et les utilisations de chaque client
la demande et au cas par cas.
58

__________________________________________________________________________________________
Nanmoins, les outils disponibles actuellement pour analyser finement les risques de
contrepartie par nature et par secteur, sont encore insuffisants. Les banques se sont
engages dans un programme d'investissement considrable en systme d'information
en vue de contribuer l'laboration d'une cartographie des risques fiable notamment
pour ce qui concerne la nature des risques ainsi que les risques lis aux dpassements
par rapport aux limites dmarquant les clients sains de ceux douteux.
Contrle posteriori.
Le principe de contrle posteriori repose principalement sur la surveillance des
dpassements et des impays, qui s'exerce nanmoins selon des priodicits variant
entre un mois, un trimestre voire un semestre.
Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques, ce
qui diminue de la qualit des contrles en terme d'exhaustivit et de ractivit.
La pertinence de ce systme repose par ailleurs sur une vigilance accrue des
oprationnels qui sont le plus mme d'attirer l'attention sur des risques sensibles ou
naissants. C'est justement la raison pour laquelle ce systme peut se rvler inefficace
tant donn le contexte la fois manuel et non formalis qui entoure tout le processus
d'identification.
Rating.
Lvaluation du risque de crdit donne lieu lattribution, chaque client, dune note
(appele aussi "cotation", "rating") par rfrence un chelle de notation interne.
Certaines banques, surtout celles dpendant de groupes trangers, sont parvenues

nanmoins mettre en place un systme de rating.
La cotation des dossiers est revue gnralement une fois tous les ans l'occasion du
renouvellement des dossiers.
Rentabilit
Les dcisions d'octroi des crdits prennent en considration la rentabilit globale des
oprations effectues avec le client et ce, travers lanalyse prvisionnelle des charges
et produits y affrents.
En l'tat actuel, la rentabilit des oprations n'est le plus souvent obtenue qu'au travers
un PNB agrg. Elle ne prend pas en compte tous les cots et notamment le cot du
risque.
Certaines banques sont parvenues depuis peu tablir un RBE par client et par
opration. Cependant, ce calcul reste approximatif dans la mesure o les charges
affectes chaque relation sont attribues sur la base de cls de rpartition qui restent
empreintes d'arbitraire en l'absence d'un systme de comptabilit analytique permettant
de dcliner finement les cots par client.
Suivi des provisions
Les concours qui, au regard de la rglementation en vigueur, sont considrs comme
crances en souffrance doivent tre enregistrs dans les comptes appropris du plan
comptable des tablissements de crdit et donner lieu la constitution des provisions
requises.
59

__________________________________________________________________________________________
Les encours des crances en souffrance ainsi que les rsultats des dmarches,
amiables ou judiciaires, entreprises pour leur recouvrement doivent tre rgulirement
ports la connaissance de lorgane dadministration.
Les banques possdent intervalles de temps rguliers, pour certaines
trimestriellement pour d'autres semestriellement, l'identification des crances ligibles
aux critres de classification de BAM.
2. Au niveau de la gestion du risque de march.

Le contrle interne nest justifi le plus que dans les salles de marchs de par
limportance des volumes traits, la sophistication des techniques de transaction, le
caractre souvent instantan des prises de dcision, lvolution quasi permanente des
instruments et des stratgies....
Or, si la rglementation prvoit une parfaite intgration du contrle interne dans
lorganisation, les mthodes et les procdures de chaque activit, il semble que lunivers
de la salle de marchs soit peu propice une telle dmarche en raison :
du recours frquent des instruments tlmatiques;
de la ncessit de ragir rapidement en toutes circonstances;
des dlais souvent trs courts impartis pour dboucler une position.
Le dispositif de contrle des risques de march doit permettre de sassurer que les
risques auxquels peut sexposer ltablissement de crdit, du fait des fluctuations qui
pourraient affecter les prix des instruments financiers, font lobjet dune valuation
approprie et dune surveillance rgulire.
La mesure des risques de march doit tre effectue de faon en cerner les diverses
composantes et ce, par le recours des procds qui permettent une agrgation, aussi
bien sur une base individuelle que consolide, de lensemble des positions relatives
des instruments financiers ou des marchs diffrents.
Des valuations rgulires, notamment en cas de fortes variations affectant un march
ou l'un de ses segments, doivent tre effectues pour suivre lvolution des risques
susviss.
Les modles d'analyse retenus pour ces valuations doivent, eux aussi, rgulirement
faire lobjet de rvisions, leffet den apprcier la validit et la pertinence au regard de
lvolution de lactivit, de lenvironnement des marchs et des techniques danalyse.
Le systme de mesure des risques de march.
La mesure des risques de march reprsente un aspect sensible de lensemble du
dispositif. Les oprations qui gnrent ces risques correspondent, en effet, une part
importante de lactivit des banques.
Il sagit, pour une opration donne, du risque de taux dintrt pris dans toutes ses
composantes ainsi que du risque de change.
Les systmes et procdures mis en place pour en assurer la matrise devront
permettre, entre autres, de:
60

__________________________________________________________________________________________
apprhender quotidiennement les positions dtenues en chaque instrument et en

calculer les rsultats;
mesurer le risque de taux dintrt, le risque de change et le risque sur titres de

proprit lis ces positions;
raliser un suivi quotidien et une valuation au prix du march de toutes les

oprations de change ou de taux et mesurer ladquation des fonds propres de la
Banque aux risques rsultant des oprations portant sur le portefeuille de
ngociation (calcul dune Value At Risk fonde sur la notion de perte potentielle
maximale worst case );
agrger sur une base homogne toutes les positions, quels que soient les produits et
les marchs, cette mesure globale tant fonde elle aussi sur la notion de perte
potentielle maximale worst case ;
laborer rgulirement des scnarios catastrophes ou de crise ( stress case )

mesurant les consquences des situations exceptionnelles. Les rsultats en sont
communiqus au Directoire qui en informera le Conseil de Surveillance;
procder au moins une fois par mois au rapprochement des rsultats comptables et
des rsultats de gestion et analyser les carts constats.
sassurer du respect des limites et des procdures internes mises en place pour la
matrise de ces risques.
Le systme de surveillance et de matrise des risques.

Ce systme exige la mise en place de limites internes pour lensemble des risques
mesurables. Ces limites permettent dencadrer a priori les expositions et de vrifier a
posteriori leur bonne utilisation. Elles doivent faire lobjet dune revue au minimum
annuelle et doivent tre compltes par un systme de dclaration de franchissement
de seuil.
Une distinction s'opre entre deux types de limites qui doivent, en tout tat de cause,
couvrir toutes les natures de risques et permettre leur agrgation :
Les limites globales : accordes au niveau de la direction gnrale, elles sont

gnralement exprimes, en ce qui concerne les activits de march, en termes
dexigences de fonds propres ou de Value At Risk.
Les limites oprationnelles : qui peuvent tre exprimes en nominal, en terme de

stop-loss, de sensibilit.
Il faut que ces deux systmes de limites soient cohrents.

Le suivi des expositions doit tre permanent; chaque chelon de surveillance doit
disposer dun systme de reporting, clair et efficace, dans le respect des formats dfinis
par crit, afin dinformer lensemble des niveaux hirarchiques.
Tout manquement constat aux rgles doit tre identifi et analys. Ces travaux doivent
dboucher sur la prise de mesures correctrices qui devront tre effectivement mises en
uvre; elles devront avant tout faire lobjet de tests.
61

__________________________________________________________________________________________
Les mesures correctrices pourront comporter soit loctroi de limites supplmentaires

accordes selon une procdure prdfinie par la hirarchie, soit le dbouclement des
positions permettant le retour lintrieur des limites notifies.
3. Au niveau de la gestion du risque global de taux d'intrt.

Le risque de taux dintrt global pour une banque se dfinit comme le risque encouru
en cas de variation des taux dintrt du fait de lensemble de ses oprations bilan et
hors bilan ainsi que celles de ses filiales.
entre autres de :
sassurer que les risques susceptibles daffecter ngativement les lments de lactif,
du passif et du hors bilan de ltablissement de crdit, du fait dune volution
dfavorable des taux dintrt, sont correctement mesurs et font lobjet dune
surveillance rgulire et adquate,
disposer dune gestion actif/passif (ALM: Asset Liability Management) permettant
dapprhender les positions et les flux certains et prvisibles rsultant de ces
oprations ainsi que les diffrents facteurs de risques de taux dintrt global en
dcoulant et dvaluer limpact des facteurs significatifs sur les rsultats et les fonds
propres de la Banque,
choisir des paramtres et des hypothses pour lvaluation du risque global de taux
dintrt en tenant compte du niveau dactivit de ltablissement de crdit sur les
diffrents marchs,
rexaminer priodiquement ces hypothses pour sassurer de leur cohrence et de
leur validit au regard de lvolution de la structure des activits exerces et des
conditions du march,
valuer, partir de scnarios catastrophes stress case revus priodiquement, les
consquences des situations exceptionnelles sur les rsultats et les fonds propres
de la banque. Les rsultats en sont communiqus au Directoire qui en informera le
Conseil de Surveillance.
Les indicateurs de mesure du risque de taux regroupent :
L'assiette du risque est constitue des actifs et passifs taux fixes et des actifs
et passifs taux variables, de la duration et sensibilit ainsi que des carts
correspondants;
Les calculs de marges bass sur les encours prcdents, notamment les marges
acquises sur les encours taux fixe et variable ainsi que la marge totale en
fonction du taux moyen de l'actif et du passif;
Les analyses de sensibilit de la marge d'intrt en fonction des scnarii
d'volution des taux.
Ces indicateurs ncessitent toutefois de connatre l'chance de toutes les oprations.
Chose qui se rvle nanmoins inaccessible pour les banques marocaines vu que les
outils mis en place pour apprhender le risque de taux, pour celles qui en disposent
62

__________________________________________________________________________________________
dj, sont tenus sur des supports manuels et se rvlent impuissantes oprer des
modlisations de sries statistiques complexes, volumineuses et multicritres.
Le risque de taux est voqu gnralement en tant que risque de march. Ce ci pourrait
tre partiellement vrai, mais, il serait tentant d'englober dans le mme cadre le risque de
taux global ou structurel et le risque de march.
Les modles de risque de march sont fonds gnralement sur trois principes : le
portefeuille peut tre valoris tout moment de faon incontestable (valeur de march,
market-to-market). Les positions peuvent tre rapidement soldes. Un historique de
quelques annes dcrit suffisamment des variations de march pour se faire une bonne
ide des risques futurs.
Or aucun, des trois principes de march n'est transposable au "portefeuille bancaire"
des dpts et crdits de la clientle : la valeur du portefeuille bancaire est celle
laquelle on trouve un acqureur. Rien n'implique qu'elle corresponde la juste valeur
actuarielle qui fait si souvent foi sur les marchs. Aucun lien simple et objectif n'existe
entre cette valeur du portefeuille bancaire et le niveau prsent ou anticip des taux
d'intrt.
Si une forte baisse des taux advenait, aucun rseau bancaire ne pourrait
raisonnablement, ni en dix jours, ni mme en dix mois, se dfaire de ses dpts. Le stop
Loss (variable statistique permettant de dterminer le montant maximum de perte
tolre) n'est pas un concept applicable aux rseaux bancaires.
C'est pourquoi, la circulaire N6 spare le risque de taux des activits de march du
risque de taux global.
La position structurelle de taux recle des risques majeurs surtout en cas de trs forte et
trs durable variation des taux d'intrt. Pour une banque de dpt, par exemple, le
scnario fcheux serait une forte baisse des taux suivie d'une longue priode de taux
bas. Quel historique indique aujourd'hui ce que pourrait tre l'ampleur statistique d'un tel
phnomne, et quelle serait sur plusieurs annes l'attitude de ses clients ?
Une bonne partie des difficults apprhender concernant le risque de taux structurel
rside dans les innombrables options caches vendues (implicitement ou non) aux
clients : dpts ou retrait des fonds sur les comptes vue, remboursement par
anticipation des crdits, modification des taux rglements, options diverses de
l'pargne logement.
Mmes parfaitement modlises, ces options ne pourraient pas tre parfaitement
couvertes. En effet, toutes les couvertures d'option partent du principe que le client
auquel on a vendu ces options aura un comportement financirement rationnel.
Par exemple, le jour o ses droits prt d'pargne-logement seront moins chers que les
taux de crdit normaux, il devrait immdiatement emprunter le maximum via ses droits.
Il apparat ds lors que la modlisation des options caches passe par une modlisation
comportementale des clients, ce qui est loin d'tre un indicateur efficace d'une
couverture parfaite contre le risque de taux global.
Compte tenu de ces difficults, un risque de taux global persiste, mme aprs
couverture ventuelle, et il est lgitime d'envisager une exigence en fonds propres pour
63

__________________________________________________________________________________________
couvrir ce risque rsiduel. L'objectif d'une exigence en fonds propres est de couvrir un
risque de perte extrme.
Les banques qui se sont dotes d'une gestion actif-passif ont eu fixer les modalits de
leur couverture (montants, dures, instruments utiliss). Si les montants ont vocation
ressembler ceux des postes couverts, et si les instruments disponibles ne sont pas
innombrables, les choix d'horizon de temps pour les couvertures sont moins vidents
tablir; Ils peuvent tre tays par des tudes statistiques (lois d'coulement du passif
vue), des hypothses de dformation venir du bilan (nouvelle production) ou autres
considrations financires ou commerciales.
4. Au niveau de la gestion du risque de liquidit.

Le risque de liquidit se dfinit comme le risque de ne pas pouvoir faire face ses
engagements ou de ne pas pouvoir dnouer ou compenser une position en raison de la
situation du march.
Le dispositif de contrle du risque de liquidit doit permettre de sassurer que
ltablissement de crdit est en mesure de faire face, tout moment, ses exigibilits et
dhonorer ses engagements de financement envers la clientle.
La trsorerie immdiate ainsi que les entres et sorties de trsorerie prvisionnelles
des chances dtermines doivent tre values de manire correcte, en tenant
compte notamment de l'incidence des fluctuations des marchs de capitaux.
Les possibilits daccs aux marchs des capitaux dont bnficie ltablissement, en
particulier les lignes de crdit ouvertes par les correspondants, doivent tre revues
priodiquement afin de tenir compte des ventuels changements qui pourraient affecter
la situation ou la renomme de ltablissement lui-mme ou la situation financire ou
juridique de ces correspondants.
A l'instar du calcul des indicateurs de risque de taux, le suivi du risque de liquidit
repose sur des analyses simplifies menes pour certains tablissements sur des
prototypes ALM permettant le calcul des indicateurs de risque de liquidit, notamment
l'impasse de liquidit.
De manire gnrale, les banques contrlent leur aptitude faire face leurs exigibilits
et leurs engagements de financements envers la clientle travers le calcul et
l'analyse du coefficient de liquidit.
Le principe de mesure de la liquidit est bas sur un flux recevoir et payer sur le
court terme pour identifier tout problme potentiel. La mthodologie est proche de celle
de la mesure du risque de taux d'intrt par la construction d'un chancier faisant
ressortir les impasses.
Mais lchancier doit tre construit en tenant compte des chances de
remboursement et non des chances de renouvellement de taux. Les bandes doivent
tre beaucoup plus troites pour les prvisions trs court terme.
64

__________________________________________________________________________________________
La construction de cet chancier va poser des difficults lies la date de

remboursement de certaines crances et dettes : dpts vue de la clientle,
dcouverts, comptes d'pargnes etc. La problmatique des options caches va s'ajouter
au remboursement anticip des crdits et dpts terme.
Les actifs ngociables sur un march liquide, tels les bons du Trsor et les actions
faisant partie d'un indice boursier, peuvent tre considrs comme des rserves de
liquidits. Leur degr de liquidit doit tre soigneusement valu, de mme que le prix
probable de vente sachant qu'une vente "force" ou "catastrophe", pour faire face une
crise de liquidit, risque fort de se traduire par une perte. Il est d'usage, pour tenir
compte de cette perte probable, d'appliquer une dcote la valeur de march des titres.
5. Au niveau de la gestion du risque de rglement.

Le dispositif de contrle du risque de rglement doit permettre de sassurer que les
diffrentes phases du processus de rglement sont identifies et font lobjet dune
attention particulire, notamment l'heure limite pour l'annulation unilatrale de
l'instruction de paiement, l'chance de la rception effective des fonds relatifs
l'instrument achet et le moment o la rception de ces fonds ou instruments est
confirme.
6. Au niveau de la gestion du risque du systme dinformation.

Le dispositif de contrle des risques lis au systme dinformation doit assurer un
niveau de scurit jug satisfaisant par rapport aux normes technologiques et aux
exigences du mtier.
Le niveau de scurit des systmes d'information est valu en fonction de :
la disponibilit, c'est--dire la continuit du service et la mise en place de
procdures d'urgence ainsi que du matriel et des logiciels de secours
informatiques en cas de difficults graves ou de dysfonctionnement du systme
d'information ou la survenance d'vnements pouvant le rendre inoprant.
l'intgrit, c'est--dire la fiabilit des informations et des traitements;
la confidentialit des informations;
la piste daudit ou la possibilit de contrle et de preuve qui sapplique la
conservation des informations dans des conditions prsentant le maximum de
scurit contre les risques de dtrioration, de manipulation ou de vol et la
documentation relative aux analyses, la programmation et l'excution des
traitements.
La conformit aux exigences rglementaires.
65

__________________________________________________________________________________________
7. Au niveau de la gestion du risque juridique.

Il sagit, pour la banque, du risque de tout litige avec une contrepartie rsultant de toute
imprcision, lacune ou insuffisance de nature quelconque susceptible dtre imputable
la banque au titre de ses oprations.
Le dispositif de contrle du risque juridique doit permettre de sassurer que les contrats
et les autres actes de nature juridique liant ltablissement de crdit toute contrepartie
sont rdigs et conclus dans le respect des dispositions lgales et rglementaires en
vigueur et sont soumis un contrle strict en vue de parer toutes insuffisances,
imprcisions ou lacunes.
8. Au niveau de la gestion du risque comptable.

Le dispositif de contrle de la comptabilit doit permettre aux tablissements de crdit
de s'assurer de la fiabilit et de l'exhaustivit de leurs donnes comptables et
financires et de veiller la disponibilit de linformation au moment opportun.
La mise en place de ce dispositif doit se faire dans le respect notamment des
prescriptions du plan comptable des tablissements de crdit.
Les modalits denregistrement comptable des oprations doivent prvoir un ensemble
de procdures, appel piste d'audit, qui permet :
de reconstituer les oprations selon un ordre chronologique;
de justifier toute information par une pice d'origine partir de laquelle il doit tre
possible de remonter par un cheminement ininterrompu au document de synthse et
rciproquement;
d'expliquer l'volution des soldes d'un arrt l'autre par conservation des
mouvements ayant affect les postes comptables.
Les oprations qui comportent des risques de march doivent donner lieu, tout le
moins la date d'arrt de fin de mois, un rapprochement entre les rsultats calculs
par les units oprationnelles et les rsultats comptables obtenus sur la base des rgles
d'valuation en vigueur.
Les carts significatifs constats doivent tre justifis et ports la connaissance de
lorgane de direction.
Des valuations rgulires du systme d'information comptable et de traitement de
linformation doivent tre effectues en vue de sassurer de sa pertinence au regard des
objectifs gnraux de prudence et de scurit et de la conformit aux normes
comptables en vigueur.
9. Au niveau de la gestion du risque pays.

Cest le risque quun emprunteur public ou priv dun pays donn ne soit plus en mesure
de remplir ses obligations en devises trangres ou lgard de ses cranciers
66

__________________________________________________________________________________________
trangers ou que la valeur des actifs dtenus par ces mmes cranciers trangers
diminue soudainement et substantiellement.
entre autres, de:
mesurer le niveau du risque par pays en fonction de la nature des oprations, de leur
dure et de la classification des pays,
encadrer ces risques par un jeu de limites,
suivre lvolution de lutilisation de ces limites.
10. Au niveau de la gestion des autres risques oprationnels.

Il sagit, pour la banque, des risques rsultant dinsuffisances de conception,
dorganisation et de mise en uvre des procdures denregistrement dans le systme
comptable ou dinformation, de lensemble des vnements relatifs aux oprations des
tablissements bancaires.
Par dfinition, ces risques se distinguent des risques gnrs normalement par lactivit
(marchs, contreparties, pays ...) ou caractre spcifique (juridique, informatique,...).
Les systmes et procdures mis en place pour en assurer la matrise devront permettre
de sassurer que les risques qui pourraient dcouler de dfaillances ou dinsuffisances,
de quelque ordre que ce soit, sont identifis et font lobjet de mesures de nature en
limiter la survenance et limpact sur le fonctionnement global de ltablissement.
A travers plusieurs situations catastrophes dont on a cit quelques exemples, les
risques oprationnels se sont rvls plus dangereux que prvus. L'organe dlibrant
doit de ce fait, tre conscient que le risque oprationnel est une catgorie de risque
part entire, surtout que les fonds propres de la banque peuvent ne pas permettre de
couvrir des pertes dmesures dues une dficience en matire de contrle.
La gestion des risques oprationnels aussi bien en interne que conformment aux
exigences prudentielles, en est encore ses dbuts. Des efforts ont t nanmoins
entrepris par certaines banques marocaines en vue de se doter d'outils pertinents
capables de renseigner sur la survenance de tout risque de nature oprationnelle, et ce
quelle que soit son origine ou sa localisation. Ce nouveau systme est en cours de mise
en place et sa fiabilit ne pourrait toutefois tre suffisamment apprcie qu'au cours des
annes ultrieures.
Le systme d'information parat dans ce sens jouer un rle cl pour communiquer les
objectifs de la banque en matire de risque. Il est vident que l'efficacit d'un bon
contrle interne dans ce domaine repose sur la fiabilit du systme d'information pour
maintenir une culture de contrle et pour s'assurer que l'ensemble du personnel adhre
ces objectifs.
Certaines banques ont eu l'ide de constituer une base de donnes interne incluant tous
les vnements de pertes occasionnes dans le cadre de l'exercice des activits de la
banque. Ces vnements doivent nanmoins tre identifis de manire exhaustive et
67

__________________________________________________________________________________________
intgre. D'o le rle dterminant qu'aura jouer aussi bien l'inspection gnrale et
l'audit interne que les reporting en interne.
Le systme de collecte et de reporting doit tre une partie intgrante des procdures
oprationnelles. A cet effet, la notion de contrle de deuxime niveau devrait tre bien
dveloppe et communique tous les responsables oprationnels, tant donn qu'une
bonne matrise de ce risque passe par la qualit de contrle opr ce niveau.
Ces exigences ne peuvent que renforcer le rle indniable du "risk manager" charg du
suivi et de l'analyse de tous les vnements de pertes identifis travers le systme
interne d'information.
Lintgration du risque oprationnel dans la cartographie des risques.
Le risque oprationnel est intimement li lorganisation au sens large de lentreprise.

Dans la mesure o les outils de modlisation des processus intgrent dj les tches,
les acteurs (internes comme externes), les moyens informatiques. Un rfrentiel ou une
cartographie de processus fournit une structure daccueil naturelle la cartographie des
risques oprationnels.
Il tait donc logique d'intgrer cette approche risque. Ce ci revient dfinir dans un
premier temps des modles de cartographie des risques (de type famille, sous-famille
de risque), de qualifier ces risques (frquence, niveau de criticit,) et de les rattacher
aux lments concerns du rfrentiel (tche, acteur, systme, processus...).
Cette photographie permet ensuite de s'attaquer la rduction de l'exposition : on
pourra par exemple croiser la cartographie des risques avec les polices dassurance en
vue doptimiser la couverture ou encore y intgrer les actions prventives afin de mettre
en vidence leur incidence sur le niveau de risque.
Cartographie des risques oprationnels.
Conformment aux pratiques issues des travaux du Comit de Ble, les banques sont
tenues de cartographier leurs units mtier, fonctions organisationnelles ou processus
par catgorie de risque.
Le systme interne de mesure du risque oprationnel doit tre troitement associ la
gestion quotidienne des risques de l'tablissement. Les donnes produites doivent faire
partie intgrante de ses processus de surveillance et de contrle de son profil de risque
oprationnel.
L'exposition au risque oprationnel et les pertes subies doivent tre rgulirement
notifies la direction de la banque concerne, la direction gnrale et au conseil
d'administration.
Principes directeurs :
Obligations des directions : chaque direction de la banque est tenue de produire

et de tenir jour la cartographie des risques oprationnels attachs la mise en
uvre de ses activits ou processus.
Le Risk Manager est responsable de la ralisation et des rsultats de sa
68

__________________________________________________________________________________________
cartographie, quil fait valider par le Comit des Risques Oprationnels ou le

Comit de Contrle Interne.
Cartographie des risques oprationnels : laborer une cartographie des risques
oprationnels consiste, par une approche essentiellement qualitative, valuer
lexposition dune entit ses risques, dans lensemble des mtiers et fonctions
(oprationnelles et support) exercs, afin de focaliser les dispositifs de
prvention et de surveillance sur les processus / fonctions les plus sensibles de
lentit.
Elle est une composante du Tableau de Bord Risques de la banque, destin au
management. Elle lui permet de dcider des actions mener pour grer ces
risques : assumer, viter, prvenir (rduire la frquence), attnuer (rduire
limpact) ou transfrer (assurance).
Finalits :
La cartographie des risques oprationnels a pour objectifs de :
Identifier les risques oprationnels par mtiers, domaines, ou processus, selon

deux natures :
Les risques frquence importante et faible impact (risques
rcurrents ou attendus Expected Losses).
Les risques rares fort impact (risques exceptionnels Unexpected
Losses).
Evaluer priodiquement et hirarchiser les risques oprationnels ports par les
processus au sein des mtiers, selon une approche structure et formalise,
sappuyant sur une mthodologie et des nomenclatures communes lensemble
de la banque;
Etablir une synthse dgageant les risques majeurs et/ou les processus les plus
sensibles, lesquels seront surveiller laide dindicateurs des risques cls "Key
Risk Indicators" ( dfinir par les Directions);
Orienter les dcisions sur le plan dactions damlioration de la matrise des
risques;
Satisfaire aux critres qualitatifs dligibilit dicts par Ble II, pour tre autoris
appliquer les mthodes avances de calcul des fonds propres conomiques.
Dmarche
Les rsultats attendus : la cartographie fournit, processus par processus,

lexposition aux risques oprationnels pour chaque catgorie de risque de la
typologie Ble II, et permet ainsi au management de lentit de connatre ses
principales zones de vulnrabilit et dappliquer une gestion diffrencie par
nature de risque.
69

__________________________________________________________________________________________
Composants de lvaluation.
Cette exposition est value par une cotation prospective des risques, en frquence et
en impact, base sur le niveau de perte potentielle. Elle est dcrite par trois
composants:
le risque rcurrent, ou attendu (frquence leve, faible impact unitaire): est

valu, en tenant compte du niveau des contrles permanents, par le montant
des pertes rcurrentes attendues horizon dun an et / ou par le niveau de
nuisance des impacts non financiers (risque dimage, risque rglementaire,
sanctions pnales). Exemples : risque derreurs de bourse, risque de fraude la
carte bancaire, intrts de retard pour paiements tardifs.12
le risque exceptionnel (frquence faible, impact lev) : est valu, en cas de
dfaillance grave des contrles permanents ou dvnement(s) externe(s)
exceptionnel(s), par le montant de la perte potentielle maximale et / ou par
limportance de limpact non financier, dont la frquence varie de moins dune
fois par an une fois tous les dix ans. Exemples : dissimulations de position,
dpart de personne cl, pannes informatiques srieuses, amendes
rglementaires majeures
12
Sound practices for the management and supervision of operational Risk (fvrier 2003) - Risk Management :
Identification, Assessment, Monitoring and Mitigation/ Control
70

__________________________________________________________________________________________
analyse de scnario : pour tre complet, un troisime type de risque

oprationnel est prendre en compte. Il sagit dun risque particulirement rare
ou svre, mais plausible, ou transverse un ensemble de mtiers et de
processus. Destin notamment prciser le profil de la queue de distribution de
pertes, il est valu par des professionnels expriments ou des groupes
dexperts du risque partir de mthode danalyse de scnario 13 Exemple :
terrorisme, dfaillance complte des systmes de place,
le niveau de matrise des risques 14 : est valu par une apprciation de
lensemble des dispositifs de contrles permanents (1er et 2me degr
uniquement) que les tablissements de crdit sont tenus de mettre en uvre
pour assurer la matrise de leurs risques.
11. Au niveau de la gestion du risque de non-conformit.

11.1 - Les tablissements de crdit ont dores et dj pris des dispositions
pour rduire le risque de non-conformit.
Les banques, ont amlior depuis plusieurs annes leurs dispositifs de veille
rglementaire afin dapprofondir la connaissance de la rglementation par leurs salaris
et de formaliser davantage les procdures de contrle de la conformit de leurs
dcisions la rglementation ou aux lois.
Comme le relve le Comit de Ble, le risque de non-conformit fait dsormais lobjet
dune gestion plus formalise et identifie de la part des tablissements15.
Ce constat rejoint lapprciation qui peut tre porte sur la situation des banques
lchelon international en la matire.
En effet, il ressort que ces banques ont toutes engag, des degrs divers, une
rflexion quant aux modalits dorganisation dun dispositif permettant de sassurer de la
conformit de leurs activits la rglementation, la loi, aux normes ou aux usages
professionnels. La quasi-totalit des grands tablissements se sont dj dots dun
responsable de la conformit (le titre tant variable selon les tablissements :
responsable de la conformit ou compliance officer , dontologue).
Les tablissements de crdit apparaissent cependant avoir des dfinitions htrognes
de la conformit. Chez un certain nombre dentre eux, le champ dintervention du
responsable dsign de la compliance se limite la supervision du dispositif de
prvention du blanchiment et la dontologie.
Plusieurs de ces tablissements ont labor des procdures prcisant les modalits du
suivi de ce risque, voire une charte de la conformit.
13 Ble II International Convergence of Capital Measurement and Capital Standards June 04 : 675 Scenario analysis
14 Ble II International Convergence of Capital Measurement and Capital Standards June 04 : 676 Business environment and internal control factor
15 1 Dans le document consultatif du Comit de Ble du 27 octobre 2003 sur la fonction de conformit dans les banques Consultative Document on the Compliance Function
in Banks . Sound Practices for the Management and Supervision of Operational Risk Saines pratiques de gestion et de contrle du risque oprationnel (fvrier 2003)
point 2.
71

__________________________________________________________________________________________
Enfin, quelques tablissements, plus avancs encore, ont dores et dj construit un

tat spcifique pour le suivi du risque de non-conformit. Ceci permet dinformer
rgulirement les niveaux les plus levs de ltablissement du niveau de matrise de ce
risque ainsi que de tout vnement significatif relevant de cette problmatique.
11.2 - Un contexte international et rglementaire en volution.
Si lon reprend la dfinition du risque oprationnel risque de pertes rsultant de

carences ou de dfaillances attribuables des procdures, personnels et systmes
internes ou des vnements extrieurs, y compris le risque juridique mais lexclusion
des risques stratgiques et datteinte la rputation 16, on peut considrer que le
risque de non-conformit en relve, tout le moins en partie.
Le Comit de Ble a entrepris des travaux spcifiques sur la conformit. En effet, un
groupe de travail consacr la fonction de conformit dans les banques a t constitu
et a publi en octobre 2003 un document consultatif. Ce texte, qui a pour objet
didentifier les meilleures pratiques dans ce domaine et den favoriser la diffusion,
nonce onze principes concernant la conformit.
Lobjectif du Comit de Ble, en publiant pour consultation un tel document, est de
favoriser la diffusion, au sein des tablissements de crdit, dune culture de
conformit afin quelle se traduise, formellement (charte de conformit), par une
attention accrue porte ce risque.
Lintention du Comit de Ble est de veiller ce que cette fonction soit bien assure.
Lattention des tablissements est attire sur le fait quil sagit - par nature - dune
fonction indpendante des activits oprationnelles, dont le rattachement hirarchique
doit tre trs lev, mais dont le fonctionnement est inclus dans le champ dinvestigation
de laudit interne.
11.3 - Pistes possibles pour limiter le risque de non-conformit.
partir des travaux engags par le Comit de Ble et de la pratique de nombreux

tablissements bancaires en la matire, il est possible de dfinir des pistes de rflexion
sur les caractristiques que pourrait prsenter une fonction en charge de la mesure, de
la matrise et du contrle du risque de non-conformit.
La supervision bancaire contribue fortement la mise en uvre dune fonction

interne de contrle de la conformit dans le cadre du dispositif gnral du contrle
interne permanent des oprations.
Un champ exhaustif dexercice de la fonction couvrant tous les secteurs, toutes

les zones gographiques et tous les contextes rglementaires du groupe.
Une contribution gnrale au renforcement dune culture de la conformit.
Une activit de conseil et de contrle ex ante.
16
formule dans le texte du troisime document consultatif du Comit de Ble davril 2003
72

__________________________________________________________________________________________
La mise en uvre dune information interne fiable et synthtique afin de

hirarchiser les risques et de sassurer que la politique de conformit mise en oeuvre
permet de dtecter les ventuelles anomalies et surtout de les prvenir.
Une indpendance assurer.
Une fonction qui devra tre adapte la nature de chaque tablissement.
Une implication des plus hautes instances de ltablissement.
La fonction de conformit doit disposer de moyens suffisants.
Une fonction auditable .
73

__________________________________________________________________________________________
Conclusion du chapitre 1.
Depuis quelques annes, les risques bancaires sont devenus plus nombreux et leur
nature a volu : les produits bancaires sont de plus en plus diversifis, les
contreparties voluent et la volumtrie des oprations sest considrablement accrue.
Ce constat suggre en outre, trois volutions majeures :
Il y a quelques annes, seul le risque de crdit faisait lobjet dun vritable suivi par
les autorits de contrle. En 1995, la rglementation internationale a impos un suivi
spcifique des risques de march. Le Comit de Ble demande aujourdhui aux
banques une dmarche identique pour les risques oprationnels.
Lapparition de ce quon a appel la nouvelle conomie , la mondialisation de la

sphre financire et la rapidit croissante des modes de diffusion des informations
ont eu comme consquence une sensible augmentation de la volatilit des marchs,
et par contagion, de lconomie relle.
La gestion des risques n'est videmment pas nouvelle : son existence concide avec
celle de l'activit bancaire mme. L'lment nouveau est la complexit croissante qui
la caractrise, rendant ainsi le secteur plus vulnrable. Les instruments classiques
de couverture ne semblent par ailleurs plus adapts face aux nouvelles donnes de
l'environnement financier.
Dans l'ensemble, le secteur bancaire souffre encore de quelques lacunes qui pourraient
tmoigner d'une certaine fragilit de leur structure de contrle et d'audit interne. Certes,
les efforts consentis jusqu'ici tmoignent d'une volont commune et sans quivoque
visant mieux cerner les risques bancaires.
En mme temps, cet effort ne sera vraisemblablement salutaire que s'il dpasse le
stade de l'analyse statique des risques en portefeuille pour accder une vision plutt
dynamique et volutive de la gestion des risques bancaires.
Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur en
collaboration avec le risk manager doit comprendre comment ceux-ci sont grs et
contrls. Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises
par la banque en vue de minimiser les risques encourus.
Si donc limportance du risque se dfinit par le risque inhrent, la capacit de grer ce
risque se dfinit par le risque de contrle. La conjonction des niveaux estims du risque
inhrent et du risque de contrle permet ensuite lauditeur de dterminer ltendue, la
priodicit et les mthodes de vrification quil doit entreprendre, en accord avec les
principes de la profession.
Ainsi, la mise en place dun audit systmique des multi risques bancaires est
tout point de vue reconnu comme un pralable, entre autres, au dveloppement sain
des activits bancaires.
74

__________________________________________________________________________________________
75

__________________________________________________________________________________________
Chapitre 2 :
Spcificits de l'audit bancaire.
76

__________________________________________________________________________________________
Chapitre 2 : Spcificits de l'audit bancaire.

Introduction.
La complexit de la gestion moderne, les exigences requises pour le maintien de la
bonne organisation et le dsir des dirigeants de s'assurer des vertus des systmes de
contrle interne, ont favoris l'panouissement des activits de l'audit.
Le vocable d'audit, d'origine anglaise, dcrivant la perception par le sens de louie, est
une activit dont la signification recouvre, la fois, celles de vrification, d'examen, de
contrle, de conseil, d'inspection et de rvision et les dpasse mme.
On peut ainsi dfinir laudit comme une dmarche spcifique dinvestigation et
dvaluation partir dun rfrentiel, incluant un diagnostic et conduisant ventuellement
des recommandations. Ce dernier aspect est en quelque sorte une extension de la
notion puisque laudit consiste en un clairage sur une situation risque, un instrument
daide la dcision.
La notion daudit est large, dune part parce que la mthode est dfinie par lauditeur lui
mme (la qualit repose sur le savoir-faire), et dautre part parce que la nature et le type
de laudit sont diverses.
Selon la nature de la situation, correspondra un type daudit (comptable, financier).
Nous nous attacherons, dans ce chapitre la prsentation de laudit bancaire qui
prsente quelques spcificits de part les particularits de lenvironnement analys. Il
en dcoule une pluridisciplinarit des champs observs : ressources humaines, systme
d'information, comptabilit, activits de march .
Ceci entrane des particularits pour lauditeur concernant la manire dobserver,
linterprtation des rsultats et les difficults dlaboration dun systme de rfrence.
Nous allons tenter de cerner le contenu du concept d'audit en gnral, et celui d'audit
bancaire en particulier. L'audit systmique quant lui, sera prsent au chapitre suivant.
Section1 : Principes d'audit en gnral.

1. Dfinitions de laudit interne.
Le mot audit nous vient du latin par l'anglais ! En latin : audio - audire signifie : couter
entendre, et, par extension : donner audience.
Dans l'utilisation anglaise du mot, au XIX sicle et dans le domaine de la comptabilit et
de la gestion financire, c'est le sens de vrification et contrle par une observation
attentive et minutieuse qui domine. L'auditeur est, dans ce cas, un "commissaire aux
comptes" qui, par des procdures adquates, "s'assure du caractre complet, sincre et
77

__________________________________________________________________________________________
rgulier des comptes d'une entreprise, s'en porte garant auprs des divers partenaires
intresss de la firme et, plus gnralement, porte un jugement sur la qualit et la
rigueur de sa gestion" (dictionnaire La rousse en cinq volumes).
Ds cet emploi, on a trois caractristiques de ce qu'est un audit quels que soient le
domaine o il s'applique et l'volution des pratiques :
une activit spcialise et comportant une certaine distance, une marge d'extriorit
par rapport la chose examine,
Cest lactivit qui applique, en toute indpendance des procdures cohrentes et
des normes dexamen en vue dvaluer ladquation et le fonctionnement de toute ou
partie des actions menes dans une organisation par rfrence des normes (M.
Gervais).
Laudit interne est un dispositif interne lentreprise qui vise :
Apprcier lexactitude et la sincrit des informations notamment comptables,
Assurer la sincrit physique et comptable des oprations,
Garantir lintgrit du patrimoine,
Juger de lefficacit des systmes dinformations
Ralis par un service de lentreprise, laudit interne consiste vrifier si les rgles
dictes par lentreprise elle-mme sont respectes .
Laudit interne est le dpartement dune entreprise charg dexaminer et dvaluer
le contrle interne dans tous les domaines et tous les niveaux. Au del de ce rle
traditionnel, il peut aussi assumer une fonction de conseil.
Laudit interne est une fonction dexpertise indpendante au sein de lentreprise,
assistant la direction de celle-ci pour le contrle gnral de ses activits
(LIFACI)17.
Laudit interne est lintrieur dune organisation une fonction indpendante
dvaluation priodique des oprations pour le compte de lorganisation.
Audit ne signifie pas inspection : inspecter cest observer, examiner et rendre
Compte;
Audit ne signifie pas contrle : contrler cest inspecter par rapport une
norme impose ou une rgle non remise en cause.
Auditer cest :
contrler par rapport une norme (re)btir et justifier,
identifier les cause de lcart,
et proposer ce quil faut faire .

Laudit interne est une activit indpendante et impartiale mene pour produire de la
valeur ajoute pour une organisation en lui apportant assurance sur son fonctionnement
et conseils pour lamliorer. Il aide cette organisation atteindre ses objectifs par une
approche systmatique et mthodique dvaluation et damlioration des processus de
matrise des risques, de contrle et de gouvernement dentreprise, et en faisant des
17
IFACI : Institut Franais de lAudit et du Contrle Interne.
78

__________________________________________________________________________________________
propositions pour renforcer leur efficacit. ( Version franaise de la dfinition internationale,

approuve le 21 mars 2000 par le Conseil dAdministration de lInstitut de lAudit Interne).
Analyse de la dfinition de laudit interne lIIA.18
Chaque responsable doit mettre en place une organisation qui doit permettre en
permanence:
la pertinence des objectifs,

ladquation moyens-objectifs,
la bonne mise en uvre des moyens,
la qualit et fiabilit des moyens,
le respect des principes, politiques et rgles,
la protection et sauvegarde du patrimoine.
La dclaration des responsables de l'audit interne de l'I.I.A indique que :
L'audit interne est l'intrieur d'une entreprise, une activit indpendante d'apprciation
du contrle des oprations. C'est, dans ce domaine, un contrle qui a pour fonction
d'estimer et d'valuer l'efficacit des autres contrles.
Son objectif est d'assister les membres de l'entreprise dans l'exercice efficace de leurs
responsabilits. Dans ce but, l'audit interne fournit des analyses, des apprciations, des
recommandations, des avis et des informations concernant les activits examines.
Ceci inclut la promotion du contrle efficace un cot raisonnable.
2. Principes Fondamentaux.
Il est attendu des auditeurs internes quils respectent et appliquent les principes
fondamentaux suivants:
Intgrit.
Lintgrit des auditeurs internes est la base de la confiance et de la crdibilit

accordes leur jugement. Les auditeurs internes :
doivent accomplir leur mission avec honntet, diligence et responsabilit,

doivent respecter la loi et les rgles de la profession,
ne doivent pas prendre part des activits illgales ou dshonorant la profession
daudit interne ou leur organisation,
doivent respecter et contribuer aux objectifs thiques de leur organisation.
Objectivit.
Les auditeurs internes doivent montrer le plus haut degr dobjectivit professionnelle
en collectant, valuant et communiquant les informations relatives lactivit ou au
processus examin. Les auditeurs internes doivent valuer de manire quitable tous
les lments pertinents et ne se laissent pas influencer dans leur jugement par leurs
propres intrts ou par autrui.
18
IIA : The Institute of Internal Auditors.
79

__________________________________________________________________________________________
Confidentialit.
Les auditeurs internes doivent respecter la valeur et la proprit des informations quils
reoivent. Ils ne divulguent ces informations quavec les autorisations requises, moins
quune obligation lgale ou professionnelle ne les oblige le faire. Les auditeurs
internes :
doivent utiliser avec prudence et protger les informations recueillies dans le
cadre de leurs activits ;
ne doivent pas utiliser ces informations pour en retirer un bnfice personnel, ou
dune manire qui contreviendrait aux dispositions lgales ou porterait prjudice
aux objectifs thiques et lgitimes de leur organisation.
Comptence.
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les
expriences requis pour la ralisation de leurs travaux :
ils ne doivent sengager que dans des travaux pour lesquels ils ont les
connaissances, le savoir faire et lexprience ncessaires ;
doivent raliser leurs travaux daudit interne dans le respect des normes pour la
pratique professionnelle de laudit Interne19 ;
doivent toujours sefforcer damliorer leur comptence, lefficacit et la qualit de
leurs travaux.
Indpendance et impartialit.
Lauditeur na pas dautorit et de responsabilit lgard des activits audites. Il est

indpendant mais autocratique et doit tre rattach une personne ou une instance
dont lautorit lui assure la libert de ses opinions, la libert daction et dinvestigation et
la prise en compte de ses recommandations.
3. Positionnement de laudit interne au sein de lorganisation.
19
Standards for the Professional Practice of Internal Auditing
80

__________________________________________________________________________________________
La structure dorganisation des normes pour la pratique professionnelle de laudit interne

est compose des lments suivants :
La dclaration des responsabilits de laudit interne,

Le code de dontologie,
Les normes pour la pratique professionnelle de laudit interne,
4. Rle de l'audit interne et son interaction avec les acteurs du

systme de contrle interne.
Afin de scuriser les actifs, de fiabiliser les informations, d'assurer lefficacit des
oprations et lefficience de lorganisation, laudit interne doit :
valuer le contrle interne et proposer des amliorations,

tablir un diagnostic sur le fonctionnement de lentreprise,
dresser un pronostic pour la direction et prconiser une thrapeutique.
L'audit interne joue un double rle aussi bien pour le comit de direction que pour les
Risk managers :
Pour la direction, l'audit interne joue un rle d'assurance sur lapplication des
directives et politiques et sur la qualit du contrle interne ;
Pour les Risk managers, l'audit interne joue un rle de conseil pour se contrler
et contrler leurs entits et pour amliorer le fonctionnement de leurs entits.
Ainsi, Il en dcoule des attentes deux niveaux :
Laudit attend de laudit interne une valuation, quil remonte ses problmes et
ses contraintes et quil fasse preuve de pdagogie son gard ;
La Direction, quant elle, attend de laudit interne lassurance que le contrle
interne fonctionne correctement, une apprciation sur la qualit du systme
dinformation et de pilotage et un jugement sur la rigueur de gestion.
4.1 - Lever la confusion : audit interne et inspection.
Audit interne
Contrle le respect des rgles
Rgularit/ efficacit et leur pertinence, caractre
suffisant,
Remonte aux causes pour
Mthode et objectifs laborer des
recommandations pour viter
la rapparition du problme.
Considre que le responsable
Evaluation
est toujours responsable et
donc critique les systmes et
non les hommes : value le
Caractristiques
81
Inspection
Contrle le respect des
rgles sans les interprter ni
les remettre en cause.
Sen tient aux faits et
identifie les actions
ncessaires pour les rparer
et remettre en ordre.
Dtermine les
responsabilits : value le
comportement des hommes,
parfois leurs comptences et

__________________________________________________________________________________________
fonctionnement des systmes. qualits.

Privilgie le conseil et donc la Privilgie le contrle et donc
Service - police
coopration avec les audits. lindpendance des
contrleurs.
Investigations approfondies
Slection - slectivit Rpond aux proccupations
du manager soucieux de
et contrles trs exhaustifs,
renforcer sa matrise, sur
ventuellement sous sa
mandat de la D.G.
propre initiative.
4.2 - Lever la confusion : audit interne et risk management.
Caractristiques
Risques viss
Audit interne
Risques de dysfonctionne -ment : transgression des
rgles, dsordres inefficacits.
Risques portant sur lensemble
des ressources.
Traitement des risques Identification, dmonstration,
recommandation.
Contrle interne, pratique
dorganisation communment
Rfrentiel
adoptes.
2me : sassure que les
responsables matrisent leurs
Niveau
risques.
Risk management
Risques purs : alatoires,
accidentels, sans esprance
de gain.
Risques portant sur les
biens et les personnes.
Identification, rsolution.
Chiffrage cot des mesures /

frquence (probabilit) et
gravit (impact) des risques.
1er : dtecte et traite
(prvention, dtection et
correction) les risques purs.
L'audit interne doit :

aider l'organisation en identifiant et en valuant les risques significatifs et
contribuer l'amlioration des systmes de management des risques et de
contrle interne,
surveiller et valuer l'efficacit du systme de management des risques de
l'organisation,
valuer les risques affrents au gouvernement dentreprise, aux oprations et
aux systmes d'information de l'organisation au regard :
de la fiabilit et lintgrit des informations financires et oprationnelles ;

de lefficacit et lefficience des oprations ;
de la protection du patrimoine ;
du respect des lois, rglements et contrats.
Au cours des missions de conseil, les auditeurs internes considrent lensemble des
risques rencontrs, y compris ceux qui nentrent pas dans le primtre de la mission,
dans la mesure o ils sont significatifs.
82

__________________________________________________________________________________________
Les auditeurs internes doivent intgrer dans le processus didentification et dvaluation

des risques significatifs de lorganisation (cartographie des risques) les risques rvls
lors de missions de conseil.
4.3 Interaction audit interne / contrle interne.
L'audit interne doit aider l'organisation maintenir un dispositif de contrle interne

appropri en valuant son efficacit et son efficience et en encourageant son
amlioration continue.
Sur la base des rsultats de l'valuation des risques, l'audit interne doit valuer la
pertinence et l'efficacit du dispositif de contrle portant sur le gouvernement
dentreprise, les oprations et les systmes d'information de l'organisation. Cette
valuation doit porter sur les aspects suivants :
la fiabilit et lintgrit des informations financires et oprationnelles ;

lefficacit et lefficience des oprations ;
la protection du patrimoine ;
le respect des lois, rglements et contrats.
Des critres adquats sont ncessaires pour valuer le dispositif de contrle et

apprcier si les objectifs et les buts ont t atteints par le management.
Les auditeurs internes doivent prendre en compte dans le processus didentification et
dvaluation des risques significatifs de lorganisation, le dispositif de contrle interne
dont ils ont eu connaissance lors de leurs missions de conseil.
4.4 Interaction audit interne / gouvernement dentreprise.
L'audit interne doit valuer le processus de gouvernement dentreprise et formuler les

recommandations appropries en vue de son amlioration. cet effet, il dtermine si le
processus rpond aux objectifs suivants :
promouvoir des rgles et des valeurs dthique au sein de lorganisation ;
garantir une gestion efficace des performances, assortie dune obligation de rendre
compte ;
bien communiquer au sein de lorganisation, les informations relatives aux risques et

aux contrles ;
fournir une information adquate au Conseil, aux auditeurs externes et au

management, et assurer une coordination efficace de leurs activits.
valuer la conception, la mise en uvre et lefficacit des objectifs, des programmes

et des activits de l'organisation lis lthique.
veiller sur la cohrence des objectifs des missions ralises avec les valeurs et les
objectifs gnraux de lorganisation.
83

__________________________________________________________________________________________
5. Les diffrents niveaux de laudit.

Audit de conformit ou de rgularit : il sagit de contrler la rgularit par
rapport aux rgles internes de lentreprise (normes et procdures) et la
conformit avec les dispositions lgales et rglementaires. Il sagit galement de
comparer la rgle et la ralit, ce qui devrait tre et ce qui est par rapport
un rfrentiel. Le travail de lauditeur consiste :
signaler les irrgularits,

analyser les causes et consquences,
formuler les recommandations.
Audit de defficacit et de management : permet dvaluer :
la pertinence de lorganisation et lefficacit de son fonctionnement,

la pertinence des objectifs et la cohrence des actions entreprises par
rapport la stratgie de lentreprise.
6. La dmarche laudit interne.

Alain Meignant, consultant prcise que la spcificit de laudit, cest la comparaison et
la mesure dcarts entre une pratique et un rfrentiel, cest--dire la vrification quun
systme est bien conforme ce quil est suppos tre, et lexplication des carts
ventuels .
La mission de laudit cest :
comparer les rsultats et les objectifs pour faire apparatre des carts,
envisager la ralit de plusieurs points de vue complmentaires.
6.1 - Objectifs oprationnels.
Pour Raymond Vatier, lobjectif de principe cest se prononcer sur la qualit du

systme de gestion, sur les risques quil encourt, sur les potentialits quil recle et sur
sa capacit danticipation .
Laudit est un instrument de prparation aux dcisions : il sert linformation, la
vrification des donnes, lobjectivation, au transfert de mthodes et doutils de pilotage
au responsable qui a un rle pdagogique.
Dfinir les objectifs oprationnels de laudit, cest expliquer sur quoi laudit va porter, et
comment vont sarticuler les diffrentes actions ou degrs dintervention.
6.2 - Critres de l'valuation.
L'audit s'oriente de plus en plus vers une approche intgre globale de l'entreprise.
Chaque audit particulier doit permettre de dboucher sur un audit de direction. L'audit
de stratgie couronne l'difice en permettant de vrifier que chacune des fonctions de
l'entreprise est efficace dans la ralisation du rsultat final.
84

__________________________________________________________________________________________
L'audit devient alors un audit de la performance et les normes d'audit se situent dans la
ralisation des quatre notions suivantes : notions defficacit, notion d'efficience, notion
de pertinence et notion dconomie.
Notion d'efficacit.
Une rponse positive la question " est-ce que l'objectif est atteint ? " souvent donne
naissance la question suivante : existe-t-il une autre alternative plus efficace, pour
atteindre les mmes rsultats ?
L'efficacit examine le rapport entre l'effort et la performance.
L'efficacit est dfinie comme tant "la mesure dans laquelle un programme atteint les
buts viss ou les autres effets recherchs. 20
Notion d'efficience.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part,
et les ressources utilises pour les produire, d'autre part.
Dans une opration base sur l'efficience, pour tout ensemble de ressources utilises le
produit obtenu est maximum, ou encore les moyens utiliss sont minimaux pour toute
qualit et quantit donnes de produits ou de services.
Notion de pertinence.
La notion de pertinence reste trs subjective et difficile mesurer. Toutefois, on pourra

admettre que la pertinence est la conformit des moyens et des actions mis en oeuvre
en vue d'atteindre un objectif donn. Autrement dit, tre pertinent c'est atteindre
efficacement et d'une manire efficiente l'objectif fix.
Notion d'conomie.
Par conomie, on entend les conditions dans lesquelles on acquiert des ressources
humaines et matrielles. Pour qu'une opration soit conomique, l'acquisition des
ressources doit tre faite d'une qualit acceptable et au cot le plus bas possible.
En rsum, on peut schmatiser par une reprsentation triangulaire les relations entre
objectifs, moyens et rsultats.
Objectifs
Pertinence
Efficacit
Moyens
20
Rsultats
Par le "Bureau du vrificateur gnral du Canada".
85

__________________________________________________________________________________________
6.3 - Les diffrents degrs dintrt de laudit.
Degr de ralit ou dexactitude : comparer les faits rapports aux pices

existantes et vrifier que linstitution a bien ralis ce quelle dit avoir fait.
Degr de conformit aux rgles : comparer les pratiques effectives avec les
procdures prescrites (lgislation, impratifs techniques).
Degr de cohrence et de pertinence : vrifier que linstitution est capable de

faire ce quelle dit vouloir faire en comparant les objectifs viss avec les moyens
mis en uvre.
Degr defficacit : comparer les objectifs viss avec les rsultats atteints.
Degr defficience : vrifier loptimisation des moyens mis en uvre.
Degr de potentialit et de flexibilit : savoir si linstitution peut connatre et

estimer les risques et si elle peut anticiper sur son volution et matriser les
changements.
Le regroupement des degrs dintervention permet de construire des typologies daudit,

sachant que ces diffrents degrs ne sont pas toujours tous mis en uvre.
On peut les regrouper en 3 grands groupes selon Vatier, selon le degr dexactitude et
de conformit, les comparaisons dans le temps et lespace (benchmarking), et enfin
lefficacit et lefficience. Ce qui aboutit sur laudit de conformit, laudit defficacit et
laudit stratgique ou de management.
Pour autant, chaque audit suit le mme droulement : constat du fonctionnement et
qualit de gestion, risques et prconisations.
6.4 Dmarche mthodologique.
La dmarche mthodologique de laudit doit suivre quelques consignes, quelque soit le

type daudit ralis :
constat-interrogation-hypothse-constat ;
approche systmique et examen multidisciplinaire (Cf. Partie 2) ;
constituer les repres et les systmes de rfrence;
oprer des comparaisons susceptibles de mettre en vidence des carts
significatifs et den apprcier la valeur;
partir des faits pour remonter vers les causes : dmarche inductive;
introduire la quantification.
Quelle que soit lapproche adopte, laudit doit tre rigoureux et rpondre des
exigences prcises. Cela exige des techniques et des outils qui vont permettre la fois
de prparer linvestigation et de formuler, analyser et interprter des constats. Ainsi, 3
phases se distinguent : tude, vrification et conclusion.
86

__________________________________________________________________________________________
LA DEMARCHE DUNE MISSION DAUDIT

Phase tude
Dcouvrir le sujet de lentit auditer

Dfinir le champ de la mission
Phase vrification
Programmer et spcifier les vrifications

Vrifier, valuer, mesurer
Analyser, conclure, valider et prescrire
Phase conclusion
Valider lensemble et informer

Obtenir des actions et dresser un bilan des
progrs accomplis
6.4.1. La phase tude.
Cette phase permet dobserver, dcouter, didentifier les symptmes, de dcomposer

les symptmes, les faits et les phnomnes, didentifier les inter-relations, de les classer
et de les situer par rapport un rfrentiel.
La finalit d'une telle phase est de former une vision densemble de lorganisation objet
de la mission et des contrles internes mis en place. Il sagit, travers lanalyse des
risques, de concentrer lattention sur les points essentiels pour ne pas perdre le temps
sur les dtails inutiles. Elle permet d'organiser et de planifier la mission en fonction des
objectifs dfinis par lauditeur et de renforcer limage de lauditeur chez les audits en
tant que professionnel rigoureux.
La dmarche adopte durant cette phase est la prise de connaissance gnrale,
l'identification des risques et la dfinition des objectifs.
La prise de connaissance
Son objectif est double, d'abord disposer de la culture ncessaire pour comprendre
lactivit de lorganisation audite et pouvoir poser les bonnes questions pour
ensuite matriser le sujet audit.
La prise de connaissance se fait suivant un plan dapproche organis permettant de
prvoir les moyens les mieux appropris pour latteinte des objectifs.
Pour mener bien cette tape, l'auditeur dispose de divers moyens tels que le
questionnaire de prise de connaissance, la documentation collecte auprs de laudit
et les entretiens avec les responsables.
87

__________________________________________________________________________________________
Lidentification des risques
Son objectif est didentifier les risques potentiels partir de donnes gnrales et de la
connaissance pralable de lentit audite, et de reprer les risques rels partir dun
examen attentif de lactivit et des observations releves.
La prise de connaissance se fait suivant la "note dorientation" qui dfinit les objectifs
gnraux, les objectifs spcifiques et le champ daction.
Parmi les moyens dont dispose l'auditeur, on trouve le dcoupage fonctionnel et
gographique de lentit auditer et les entretiens et investigations.
Dfinition des objectifs
Elle permet de formaliser les axes dinvestigation de la mission et de dfinir ses limites,
d'exprimer les objectifs atteindre pour le donneur dordre et les audits.
Elle constitue la synthse des forces et faiblesses de l'entit, des priorits et des
proccupations du management.
La note dorientation permet de confirmer lexistence des forces et dvaluer limpact des
faiblesses. Elle ne mentionne pas les travaux daudit qui seront rpertoris dans le
programme de vrification.
6.4.2. La phase ralisation
La feuille de rvlation et danalyse de problme (FRAP) : permet de formuler le

raisonnement de lauditeur, de mettre en vidence les dysfonctionnements et les
solutions proposes, de conclure chaque section de travail de terrain et de
communiquer avec laudit.
Elle doit reprendre le but de laction prvue dans le programme de vrification et
prciser les modalits dexcution, permettre tout auditeur de comprendre et
dexcuter de manire fiable et objective les actions prvues.
Les conclusions dresses doivent rpondre de manire prcise, concise et contrlable
aux buts assigns laction.
La supervision dune FRAP, permet de dterminer :
lnonc du problme : est-il immdiatement comprhensible ?

les consquences : motiveront-elles les audits ?
les recommandations : sont-elles ralisables ?
La reformulation d'un constat en un problme , le constat doit tre :
bref et directement comprhensible : synthtique,

complet et donc redondant avec la trouvaille : Autonome,
net et facile mmoriser : percutant.
La validation de la FRAP, il sagit de prparer laudit reconnatre le problme,
sy faire, ladmettre, lavertir en premier et lassocier activement pour llaboration
de la recommandation : ainsi elle sera accepte avant mme dtre mise.
88

__________________________________________________________________________________________
6.4.3. La phase conclusion

Ossature du rapport
Lossature du rapport labore partir des problmes figurant sur les FRAP et des
conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est
lenchanement des messages que lauditeur veut livrer lors des prsentations et dans le
rapport concluant la mission. Lossature du rapport constitue :
Le guide de rdaction du rapport daudit interne ;
Le guide de rdaction du rsum du rapport ;
Le support de prsentation.
Compte rendu final, mise au point ou dbriefing
Le compte rendu final au site, appel galement mise au point ou dbriefing, est la
prsentation orale par le chef de mission, au principal responsable de lentit audite,
des observations les plus importantes. Il est effectu la fin du travail sur le terrain.
Le compte rendu final sur site rpond au souhait lgitime du principal responsable de
lentit audite dtre inform. Il incite le responsable agir immdiatement, en cas
dirrgularit sans attente du rapport et peut tre utilis pour mettre en valeur la qualit
de la dmarche de laudit.
Le dbriefing doit tre programm dans le cadre du travail sur le terrain. Sa prparation
se fait en tenant une runion de synthse de lquipe daudit avant deffectuer les
dernires vrifications du travail sur le terrain.
Section2 : Particularits de l'audit bancaire.

Hier contrleur de la rgularit des traitements et des oprations, l'auditeur bancaire est
aujourd'hui un expert du diagnostic des processus oprationnels et de contrle des
risques, un chef de projet voluant dans un environnement complexe et un spcialiste
du mtier bancaire. Ce profil en fait galement un acteur majeur en matire de gestion
des risques et de cration de valeur ajoute pour la banque.
1. Principes dicts par le comit de Ble en matire daudit bancaire.
Surveillance des activits et correction des dficiences.
Lefficacit globale des contrles internes de la banque devrait tre surveille en

permanence. Le suivi des principaux risques devrait faire partie des activits
quotidiennes de la banque de mme que les valuations priodiques effectues par les
secteurs dactivit et laudit interne.
Comme lactivit bancaire est un secteur dynamique, o tout volue rapidement, les
banques doivent en permanence surveiller et valuer leurs systmes de contrle interne
89

__________________________________________________________________________________________
en fonction des modifications des conditions internes et externes et les renforcer, au

besoin, pour en garantir lefficacit.
Surveiller lefficacit des contrles internes est une tche qui peut tre accomplie par du
personnel de plusieurs secteurs diffrents, dont celui en charge des oprations ellesmmes, le contrle financier et laudit interne.
Pour cette raison, il est important que la direction gnrale dsigne clairement les
auditeurs en prcisant leurs fonctions de surveillance. La surveillance devrait faire partie
des activits quotidiennes de la banque mais commande galement de procder des
valuations priodiques spcifiques de lensemble du processus de contrle interne.
La frquence de la surveillance des diffrentes activits devrait tre fonction des risques
encourus ainsi que du rythme et de la nature des changements affectant
lenvironnement oprationnel.
Un processus de surveillance en continu peut permettre de dcouvrir et de corriger
rapidement les dficiences du systme de contrle interne. Il atteint son efficacit
maximale lorsque le systme de contrle interne est intgr lenvironnement
oprationnel et donne lieu des rapports rguliers qui font lobjet dun examen.
Dans le cadre de la surveillance en continu figurent, par exemple, lexamen et
lapprobation des enregistrements courants ainsi que la consultation et lapprobation par
la direction des rapports sur des faits exceptionnels.
En revanche, les valuations spcifiques ne dtectent gnralement les problmes
quaprs coup; elles permettent cependant une organisation davoir un aperu rcent
et global de lefficacit du systme de contrle interne et des activits de surveillance.
Les valuations du systme de contrle interne prennent souvent la forme dautovaluations, lorsque les personnes charges dune fonction prcise dterminent le
degr defficacit des contrles pour leurs activits.
Les documents et rsultats concernant les valuations sont ensuite soumis lattention
de la direction gnrale. Les examens effectus tous les niveaux devraient tre tays
par une documentation adquate et communiqus dans les meilleurs dlais lchelon
de la direction approprie.
Un audit interne efficace et exhaustif du systme de contrle interne.
Cet audit devrait tre effectu par un personnel bien form et comptent bnficiant
dune indpendance oprationnelle. La fonction daudit interne, en tant qulment de la
surveillance du systme de contrle interne, devrait rendre compte directement au
conseil dadministration, ou son comit daudit, ainsi qu la direction gnrale.
La fonction daudit interne constitue un lment majeur de la surveillance en continu du
systme de contrle interne, parce quelle fournit une valuation indpendante du
caractre adquat des politiques et procdures tablies et du respect de la conformit
ces dernires. Il est essentiel que la fonction daudit interne soit indpendante du
fonctionnement de la banque au quotidien et quelle ait accs lensemble des activits
conduites par lorganisation bancaire, y compris dans ses succursales et filiales.
90

__________________________________________________________________________________________
En rendant compte directement au conseil dadministration ou son comit daudit ainsi

qu la direction gnrale, les auditeurs internes procurent des informations objectives
sur les diffrentes activits.
En raison de limportance de cette fonction, laudit interne doit tre assur par un
personnel comptent et bien form ayant une parfaite comprhension de son rle et de
ses responsabilits.
La frquence et lampleur des examens et tests des contrles internes effectus au sein
dune banque par les auditeurs internes devraient correspondre la nature et la
complexit des activits de lorganisation et aux risques associs.
Le rattachement de la fonction daudit interne au plus haut niveau de lorganisation
bancaire, permet la gouvernance dentreprise de sexercer correctement.
Le conseil bnficie dinformations qui ne peuvent tre aucunement adaptes par les
niveaux de direction couverts par ces comptes rendus. Le conseil devrait galement
renforcer lindpendance des auditeurs internes, en faisant en sorte que des questions
ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les
concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt
que par des responsables qui sont affects par les travaux des auditeurs internes.
Notification par laudit interne des dficiences des contrles internes au

conseil.
Les dficiences des contrles internes, quelles soient dtectes par un secteur
dactivit, laudit interne ou un autre personnel de contrle, devraient tre notifies dans
les meilleurs dlais au niveau de la direction approprie et faire lobjet dun traitement
rapide. Les dficiences importantes devraient tre signales la direction gnrale et
au conseil dadministration.
Les auditeurs internes doivent assurer un suivi ou toute autre forme approprie de
surveillance et informer immdiatement la direction gnrale ou le conseil de toute
insuffisance non corrige. Pour faire en sorte que toutes les dficiences soient traites
au plus tt, la direction gnrale devrait tre responsable de linstauration dun systme
destin suivre les faiblesses du contrle interne ainsi que les actions destines y
remdier.
Le conseil dadministration et la direction gnrale doivent recevoir priodiquement des
rapports recensant les problmes de contrle dcels. Des points qui apparaissent peu
importants lors de contrles individuels peuvent fort bien rvler des tendances
susceptibles, sous un angle global, de reprsenter une dficience de contrle majeure si
une action nest pas entreprise temps.
2. Des volutions durables.
Vers la gnralisation des meilleures pratiques.
Vers la fin des annes 80, on commence parler beaucoup de contrle interne : il s'agit
de l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrle bien
ses oprations, qu'il n'y ait pas de problmes de scurit ou de fiabilit.
91

__________________________________________________________________________________________
Dans les annes 90, quelques faillites clbres alertent les autorits de tutelle
internationales. Une globalisation qui change tout. Auparavant, les banques ne
dpendaient que de la supervision des autorits nationales. Mais le systme bancaire
s'est mondialis et les autorits de tutelle se sont regroupes dans le fameux Comit de
Ble, pour dicter des rgles gnrales valables pour tous les pays. Et tout
naturellement, on se cale alors sur les meilleures pratiques.
Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une
rgle commune beaucoup plus exigeante que les rgles habituelles. Il leur faut donc se
mettre niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent
tirer avantage de ces contraintes nouvelles en termes de productivit et de comptitivit.
Quand on matrise mieux ce qui se passe, on gaspille moins, on a moins de sinistres, on
connat mieux ses clients, on sait mieux dfinir ses prix etc.
Dans ce contexte plus scuris, l'auditeur peut donc s'attacher, non plus uniquement
tester des soldes ou des transactions ou valider des procdures courantes, mais de
plus en plus effectuer un diagnostic du dispositif de contrle et de pilotage sur lequel
s'appuie la direction de la banque pour matriser ses risques.
Paralllement, les sujets auxquels s'intresse l'auditeur voluent et sont de plus en plus
perus comme stratgiques par ses clients en l'occurrence le top management et les
risk managers.
Les exigences croissantes des marchs financiers.
Un autre phnomne a boulevers le mtier : ce qu'on appelle aujourd'hui l'exigence de

cration de valeur actionnariale. Auparavant, les banques taient nationalises.
L'information financire avait donc relativement peu d'importance,personne n'investissait
dans leur action.
Aujourd'hui, la situation s'est totalement inverse, la plupart des banques sont cotes et
paralllement, les investisseurs deviennent de plus en plus exigeants. Ils rclament des
investissements plus intressants et veulent pouvoir comprendre comment la banque
gre sa rentabilit dans le temps et quels risques elle prend.
La pression du march pour obtenir une information pertinente est permanente. Le
primtre de l'information fournie s'largit donc, et dans le mme temps, le champ
d'intervention de l'auditeur bancaire, qui, l encore, touche des domaines de plus en
plus stratgiques de l'entreprise tels que le contrle des risques, les problmatiques de
rentabilit ajuste des risques, la rpartition des fonds propres entre les diffrentes
activits, etc.
3 - Contrle interne et audit interne bancaires.
Contrle interne bancaire.
Le contrle interne est le processus mis en uvre par le conseil dadministration, les
dirigeants et le personnel dune organisation, destin fournir lassurance raisonnable
92

__________________________________________________________________________________________
quant aux objectifs suivants : la ralisation et loptimisation des oprations, la fiabilit

des oprations financires, la conformit aux lois et aux rglementations en vigueur . 21
Le contrle interne se dfinit gnralement comme lensemble des mesures qui, sous la
responsabilit de la direction de lentreprise, doivent assurer, avec une certitude
raisonnable, la ralisation des lments suivants : une conduite des affaires ordonne et
prudente, encadre dobjectifs bien dfinis; une utilisation conomique et efficace des
moyens engags; une connaissance et une matrise adquate des risques en vue de
protger le patrimoine; lintgrit et la fiabilit de linformation financire et de celle
relative la gestion; le respect des lois et rglements ainsi que des politiques gnrales,
plans dactions et des procdures internes.
Une partie de ces mesures est axe sur la vrification et lencouragement du respect,
par lentreprise, des rgles qui ont trait lintgrit de la fourniture de services
financiers. Elle porte, en dautres termes, sur la fonction dite de compliance.
Enfin, la fonction daudit interne est un instrument important pour vrifier le bon
fonctionnement, lefficacit et lefficience du contrle interne et ce compris la fonction de
compliance.
Dans le cadre de ses travaux, laudit interne fournit la direction de lentreprise des
analyses, des valuations, des recommandations, des avis et des informations sur les
activits examines et contribue ainsi une meilleure gestion de lentreprise.
Un systme de contrle interne adquat requiert un ensemble efficace de mesures
intgres, adaptes lorganisation et au fonctionnement de ltablissement et
conformes aux principes dune gestion prudente et saine.
Lobjectif principal du contrle interne est danalyser, surveiller, dtecter et prvenir les
risques auxquels les tablissements bancaires sont confronts. Les principaux risques
sont : le risque de crdit, de march, de taux, de liquidit, de rglement, oprationnel et
juridique.
Le contrle bancaire doit se concevoir travers une approche prventive pour que
ltablissement exerce ses activits de manire saine et sre. Ce contrle ne se limite
pas au seul examen du respect des normes quantitatives, mais repose aussi sur la
qualit des dirigeants, sur la discipline de march (par une meilleure transparence
financire) et sur la qualit du contrle et de la matrise des risques par les
Etablissements bancaires.
Le contrle interne est un systme qui fonctionne en continu tous les niveaux de la
banque. A ce titre, il constitue une composante essentielle de la gestion dun
tablissement et un lment de la culture de celui-ci en faisant partager lensemble du
personnel limportance du contrle.
Le contrle interne doit permettre ltablissement de conserver sa capacit
didentification, de raction et dadaptation lors de la survenance de risques.
Ainsi, le systme de contrle interne doit prvoir quatre niveaux de contrle :
21 [Dfinition du C.O.S.O. : committee of sponsoring organizations of the treadway commission.
93

__________________________________________________________________________________________
contrles quotidiens raliss par les excutants (contrle premier niveau,

premier degr);
contrles critiques continus assurs par les personnes charges du
traitement administratif des oprations(contrle premier niveau,
deuxime degr) ;
contrles raliss par les membres de la direction sur les activits ou
fonctions qui tombent sous leur responsabilit directe (contrle premier
niveau, troisime degr);
contrles raliss par le service daudit interne (contrle deuxime
niveau).
Audit interne bancaire.
Rappelons que : Laudit Interne est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de ses oprations, lui apporte
ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette
organisation atteindre ses objectifs en valuant, par une approche systmatique et
mthodique, ses processus de management des risques, de contrle, et de
gouvernement dentreprise, et en faisant des propositions pour renforcer leur
efficacit.
L'audit interne, charg de veiller la cohrence et lefficacit du contrle interne, est
au cur du systme de contrle interne bancaire. Pour garantir son efficacit, des
exigences doivent tre vrifies:
Caractre permanent;
Indpendance;
Charte daudit;
Objectivit;
Comptence professionnelle.
Empruntant la dmarche d'audit interne dcrite supra pour lexcution de ses travaux,
l'audit bancaire repose en plus sur quelques particularits :
Plan annuel daudit;
Programmes de missions;
Documents de travail;
Rapports de synthse et dtaill;
Suivi de missions.
Le plan annuel daudit est dtermin selon la mthodologie ANA (Audit Needs
Assessment) en dterminant les priorits daudit et la frquence des audits qui doit tre
en fonction du degr de risque.
Pour l'laborer, un plan daudit est dtermin en plusieurs tapes :
Analyse des flux et activits;
Hirarchiser selon limpact et la probabilit;
94

__________________________________________________________________________________________
Elaboration de la cartographie des risques.

De ce fait, la cartographie des risques est considre comme :
Un outil de planification, de gestion et de monitoring des risques
bancaires;
Un instrument d'aide la matrise adquate des risques;
Un outil pour grer le systme de contrle interne.
Ainsi pour mener bien sa mission et contribuer crer de la valeur ajoute pour la
banque, l'audit bancaire doit adopter une approche simple, pragmatique et efficace.
Dispositif de l'audit interne bancaire.
Laudit interne, directement rattach au top management de ltablissement bancaire,

est indpendant de toute entit, de tout mtier et de toute unit oprationnelle. Il nest
donc, de quelque manire que ce soit, pas impliqu dans le fonctionnement au
quotidien des activits quil contrle.
Laudit interne effectue priodiquement et autant que de besoin, des missions, surplace
et ou sur pices et dont lobjectif est la vrification :
du respect des rglementations externes;
du respect des rgles internes;
du respect des dcisions du management et de la mise en place de
moyens adapts leur application;
de lidentification et de la matrise des risques de toute nature, tant avant
quaprs linitiation des oprations;
de la fiabilit et de la pertinence des informations, mesures ou mthodes
utilises au niveau local des fins de gestion financire ou de contrle des
risques;
de la fiabilit et de lexhaustivit des informations reportes au niveau
central en vue de leur consolidation;
de lexistence, de la pertinence et de la correcte application des
procdures oprationnelles;
de la qualit ainsi que de la juste valuation et comptabilisation des
lments dactif et de passif;
de la mise en place des procdures et moyens suffisants pour assurer la
continuit de lactivit;
de la traabilit des oprations et de leurs traitements;
de lefficacit et de la cohrence du dispositif de contrle interne.
95

__________________________________________________________________________________________
4 - Un primtre d'intervention largi.

Hier, l'auditeur se proccupait d'un primtre limit avec une dmarche pour l'essentiel
trs proche des dtails. Aujourd'hui, de fait, son champ d'intervention est beaucoup plus
large : il est charg de raliser le diagnostic de systmes de reporting et de dispositifs
de pilotage trs sophistiqus, des systmes utiliss par la direction gnrale, ce qui
signifie que les auditeurs sont en contact avec l'tat-major de la banque, dans une
approche qui n'a rien envier celle du consultant.
Ainsi, pour mettre en uvre cette dmarche de manire efficace et crdible, il faut faire
intervenir uniquement des auditeurs spcialistes et lorsque ncessaire, leur apporter
l'appui d'experts trs pointus pour les aspects les plus techniques.
Audit tous Risques.
Exemple parmi d'autres : les risques de march, risques de systme d'information et les
moyens mis en uvre pour y faire face. Aujourd'hui, on demande aux banques de
matriser, de grer et de contrler ces risques. A partir du moment o elles entrent dans
la cartographie des risques de la banque, cela signifie qu'il faut avoir les comptences
ncessaires pour avoir un regard critique sur ces risques.
Ce sont des horizons nouveaux pour le mtier de l'audit bancaire, on doit donc avoir des
quipes comptentes formes et de spcialistes qui peuvent comprendre en dtail tout
ce qu'il y a derrire et parler d'gal gal avec les audits.
Pour ce type de risques, on recrute notamment des ingnieurs financiers ayant des
connaissances mathmatiques extrmement pousses, parfois compltes par une
exprience de trading ou de contrle des risques dans une banque.
Une dmarche globale.
Un empilement de solutions techniques (informatiques mais aussi comptables,

juridiques, fiscales, financires...) ne saurait assurer la scurit d'un systme
d'information sans une cohsion d'ensemble de ces diffrents lments. Celle-ci passe
par la mise en place d'une vritable organisation efficace au sein de la banque.
Pour l'audit bancaire, il s'agit donc de mettre en place une approche structure intgrant
les composantes stratgiques, organisationnelles et humaines mais aussi les facteurs
risques, cots et efficacit.
5 - Finalit, rle et approche de l'audit bancaire.
Finalit de l'audit bancaire.
Les banques font face un environnement socioconomique de plus en plus difficile.

Les risques auxquels elles sont confrontes sont devenus plus nombreux, plus
significatifs et plus complexes.
Dans le contexte conomique actuel, les banques doivent plus que jamais disposer dun
systme de gestion de risque efficace et labor, susceptible dassurer une raction
96

__________________________________________________________________________________________
rapide face lapparition de nouveaux risques. La finalit d'un tel systme serait de
prserver leur solidit financire, de continuer de crotre et dapporter la confiance au
march.
La fonction daudit interne est un instrument important pour vrifier le bon
fonctionnement, lefficacit et lefficience du contrle interne, en ce compris la fonction
de compliance.
Dans le cadre de ses travaux, laudit interne fournit au management de la banque des
analyses, valuations, recommandations, avis et informations sur les activits
examines et contribue ainsi une meilleure gestion de la banque.
Les autorits de tutelle, en l'occurrence BAM exige pour chaque banque lexistence
dune organisation interne adquate par rapport lactivit exerce et aux risques
encourus. Do la ncessit dun systme daudit et de gestion de risques performant.
Rle : vrification du bon fonctionnement du contrle interne.
Pour tenir compte de limportance de la gestion de risque dans une banque, un certain
nombre de principes ont t clairement dfinis, notamment le rle et les responsabilits
du management (conseil dadministration et direction gnrale), les activits de contrle
et la sparation des fonctions, la ncessit de disposer des informations actualises,
fiables, cohrentes et accessibles.
Le conseil dadministration doit veiller la mise en place et au maintien dun contrle
interne consquent, tablir des limites lintrieur desquelles les risques sont encourus
et garantir la mise en place des mesures didentification, dvaluation, de surveillance et
de contrle des risques. Il appartient, par la suite, la direction gnrale de mettre en
uvre ces principes et notamment de dvelopper des procdures de contrle y
relatives.
L'audit interne, cellule indpendante directement rattache au conseil dadministration, a
comme premier rle de vrifier le bon fonctionnement du contrle interne.
En parallle, on assiste un dveloppement des comits daudit, manation du conseil
dadministration, composs de plus en plus de spcialistes dans les diffrents domaines
concerns (comptabilit, rglementation, juridique, private banking, etc.).
Le comit daudit assure la communication rgulire avec laudit externe et laudit
interne, veille la qualit et lindpendance de leurs travaux et informe lensemble du
conseil dadministration, par des rapports synthtiss sur les constats et
recommandations majeurs relevs.
Lapproche risque au centre de laudit bancaire.
Dans le cadre du concept de surveillance dualiste au Maroc, BAM exerce une

surveillance des tablissements bancaires et ce de manire indirecte. Cest--dire en se
basant sur les travaux des auditeurs internes et externes.
Ainsi, dans son rle dorgane de vrification du bon fonctionnement du contrle interne,
l'auditeur bancaire se voit attribuer un rle beaucoup plus tendu. Il ne vrifie pas
97

__________________________________________________________________________________________
seulement la rgularit de traitement des oprations. Il doit galement prendre position,

dans un rapport adress au conseil dadministration de la banque sur le respect des
conditions dautorisation dune banque.
Par ailleurs, il doit aussi constater le (non)-respect de la rglementation bancaire, se
prononcer sur la situation financire et notamment prsenter des indications
quantitatives et qualitatives sur la situation des risques (adquation de la politique des
risques, gestion et contrle).
Pour remplir leur rle, les auditeurs utilisent des mthodologies bases sur lanalyse de
lenvironnement, des risques existants ou potentiels et de lorganisation interne dune
banque.
Comprhension de lenvironnement.
En premier lieu, un diagnostic est pos sur linteraction de la banque dans son
environnement. Quels sont les clients? Quels sont les produits proposs? Sur quels
marchs et quelles rgions gographiques la banque intervient-elle? Qui sont les
stakeholders et quelles sont leurs attentes? Quelle est la conjoncture conomique?
Quels sont les changements rglementaires? etc.
Cette premire tape permet didentifier les risques dcoulant des activits bancaires
(business risks), comme par exemple: sensibilit lvolution des indicateurs
conomiques (taux de change, taux dintrt, etc); concurrence; tendance et
dveloppement de lenvironnement (par exemple, de la taxation de lpargne, de la
nouvelle ordonnance sur le blanchiment dargent de BAM); technologie (e-business,
fournisseurs informatiques, disponibilit et scurit de linformation).
Apprciation de la culture de risque.
La deuxime tape consiste apprcier la culture de risque de la banque et le degr
dlaboration du systme de gestion de risque et du contrle interne. Son point de
dpart se situe au niveau de la politique de risque qui reflte la comprhension, la
mesure et le contrle de risque par ltablissement bancaire.
Face chacun deux, les tablissements adoptent certains comportements: viter un

risque (par exemple, ne pas rentrer sur un nouveau march ou offrir tel type de
services); rduire ou transfrer un risque (par exemple, utilisation des drivs de
crdit), et enfin, accepter un risque. Une fois ce cadre pos, la banque doit identifier,
dfinir et mesurer les risques et attribuer un risk owner pour chacun deux.
Ensuite, il est ncessaire de fixer des tolrances aux risques (limites), puis dtablir un
suivi et un reporting de lvolution de lexposition aux risques, et ceci de manire
individuelle et globale.
Apprciation et analyse de chaque risque.
Lauditeur procde une estimation des risques inhrents chaque domaine dactivit
(crdit, ressources humaines, systme d'information, etc.). les risques peuvent tre
d'ailleurs classs en trois catgories (cf. chapitre 2) :
Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur doit
comprendre comment ceux-ci sont grs et contrls.
98

__________________________________________________________________________________________
Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises par la
banque en vue de minimiser les risques encourus. Si donc limportance du risque se
dfinit par le risque inhrent, la capacit de grer ce risque se dfinit par le dispositif de
contrle interne mis en place.
La conjonction des niveaux estims du risque inhrent et du risque de contrle permet
ensuite lauditeur de dterminer ltendue, la priodicit et les mthodes de vrification
quil doit entreprendre, en accord avec les principes de la profession.
Le respect des conditions dautorisation.
Lanalyse des risques inhrents et les contrles internes mis en place permet de
sassurer que les risques sont bien identifis et correctement reflts dans les comptes
annuels. Ces travaux permettent galement de se prononcer sur le respect des
conditions dautorisation et des rgles de comportement.
Enfin, lapplication dune telle mthodologie permet galement didentifier des

opportunits damlioration et doptimisation du systme de contrle interne et de les
communiquer la banque sous forme de recommandations ou de plans dactions.
Dans le contexte conomique actuel, une gestion de risque efficace se rvle plus que
jamais capitale, pour prserver la solidit financire dune banque et apporter la
confiance au march. Les autorits bancaires de surveillance doivent intgrer cette
ncessit dans la rglementation en vigueur, qui va toutefois encore se renforcer avec
lintroduction des nouveaux accords de Ble II.
Le dveloppement rcent du corporate governance, limage des fondements du
contrle interne rcemment redfinis par BAM, gagne en importance dans la gestion de
risque.
La gestion des risques : un processus continu.
La gestion de risque et le contrle interne doivent ainsi tre entendus en tant que
processus continu dont lapplication doit tre garantie en permanence. Ce processus
doit assurer lidentification des dficiences et la prise de mesures de correction
adquates.
Lanalyse de ce processus dynamique est au cur de lapproche et des travaux daudit
bancaire. Il ne sagit pas seulement dune apprciation fige des risques un instant
donn.
Lanalyse des risques et les approches daudit bancaire en dcoulant doivent tre
communiques et valides avec le conseil dadministration ou le comit daudit. La
communication et la comprhension des rles des diffrents acteurs dans la
surveillance des banques sen trouveront certainement facilites et amliores. Quant
la transparence des informations dterminantes sur la situation des risques, elle
contribuera renforcer la confiance et amliorer la bonne gouvernance bancaire.
99

__________________________________________________________________________________________
Dans un environnement changeant, l'auditeur interne peut jouer un rle dpassant
largement celui de "contrleur" pour devenir un "catalyseur" encourageant les dirigeants
d'entreprise agir...
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volont affirme de la part de ses instances dirigeantes de se doter d'un outil en vue
de limiter les risques, de rendre l'organisation existante plus performante et plus
efficace.
Laudit interne peut jouer un rle non ngligeable en matire defficacit de la banque.
Ainsi, dans le cadre de lexercice de sa mission, lauditeur est bien plac pour identifier,
outre les problmes de contrle, les domaines dans lesquels les contrles sont inutiles,
inefficaces et coteux.
Lauditeur peut galement identifier les inefficacits des oprations et peut se voir
charger, au-del de sa mission habituelle, de mission de conseil.
Encore s'agit-il de s'assurer que l'outil mis en place est bien apte accomplir la mission
qu'on lui a assigne. Des conditions sont remplir pour que l'audit interne puisse tre
un vritable outil d'efficacit.
L'efficacit, et donc le rsultat pour la banque, seront d'autant plus grands, que chacun
de ses critres aura pu tre optimis, apportant ainsi une contribution significative
l'ensemble. Cette optimisation a toutefois ses limites, qui peuvent tre classes en
quatre grandes catgories, selon leur nature :
Une premire limite est lie aux hommes, aux auditeurs bien sr, compte tenu de
leurs aptitudes assumer la fonction, de leurs connaissances, de leur formation, de
leurs qualits intrinsques, mais aussi aux audits et leur comportement ou la
remise en cause ventuelle de leur faon de travailler et de leurs habitudes.
Enfin, l'attitude des dirigeants et le soutien qu'ils apportent leur structure d'audit
interne, est un gage majeur de russite.
Une deuxime limite est constitue par le rapport efficacit/cot. L'existence d'une
structure performante d'audit cote cher en termes de salaires, de frais de
dplacements, de frais de structure. Il faut donc que l'quipe se rentabilise et il n'est
pas toujours vident de mesurer concrtement sa productivit.
La troisime limite est lie au fait que la mise en place du contrle interne vient
souvent l'encontre de l'efficacit immdiate.
Le quatrime type de limite concerne l'volution rapide des techniques et des

mthodes de travail. Lexemple de l'informatique qui permet dsormais de travailler
en temps rel, va tout fait dans le sens de l'efficacit, mais par contre, conduit
souvent des systmes inauditables.
Par ailleurs, avec l'audit systmique qui sera prsent et dvelopp en dtail la
deuxime partie, nous verrons que des systmes rputs auparavant comme
inauditables pour l' auditeur bancaire, le seront dsormais avec la mthodologie
prsente.
100

__________________________________________________________________________________________
101

__________________________________________________________________________________________
Chapitre 3 :
Les systmes daudit interne
bancaire marocain et leur
efficience : enqute sur le terrain
102

__________________________________________________________________________________________
Chapitre 3 : Les systmes daudit interne bancaire marocain et leur

efficience : enqute sur le terrain
Introduction.
Lenqute sur lefficience de laudit interne au sein du systme bancaire marocain a t
ralise avec les inspecteurs gnraux et les responsables daudit interne de cinq
banques prives de la place. Elles ont t choisies parmi celles les plus reprsentatives
de l'activit bancaire l'chelon national savoir :
3 filiales de banques franaises :
Banque Marocaine pour le Commerce et l'Industrie, BMCI (BNP- Paribas);
Socit Gnrale Marocaine de Banques, SGMB (Socit Gnrale);
Crdit du Maroc, CDM (Crdit Agricole).
2 banques marocaines :
Attijariwafa Bank (AWB);
Banque Marocaine du Commerce Extrieur - BMCE BANK.
Nos interlocuteurs ont rpondu favorablement aux entretiens sollicits, donnant ainsi
aux rsultats de lenqute la lgitimit que nous voulons.
Le guide d'entretien s'est articul autour de la sensibilit du management l'audit
intenre, le positionnement et rle des dpartements de contrle et le dispositif d'audit
adopt pour les quatre mtiers choisis savoir le systme dinformation, les activits de
march, la gesion des ressources humaines et la comptabilit.
Section 1 : Le guide d'entretien.

Le guide d'entretien adopt lors de lenqute sur lefficience de laudit interne au sein du
systme bancaire marocain avait comme objectif didentifier :
Le degr de sensibilit du management toutes les catgories de risques:
oprationnel, financier et de rputation;
Le rle des risk - managers dans la gestion et le contrle des risques;
L'indpendance et l'efficacit de l'audit interne dans la mesure et la
prvention des risques;
L'efficience du systme d'audit interne existant et ltendue de ses travaux;
L'exhaustivit de la cartographie des risques et du primtre d'audit;
La ralisation de missions spcifiques pour les lignes mtiers : Direction
du Systme d'Information, Salle Des Marchs, Direction des Ressources
Humaines et Direction de la Comptabilit;
103

__________________________________________________________________________________________
L'existence au sein de l'audit interne de ples de comptence aptes

mener des missions d'audit dans ces lignes mtiers;
La disponibilit de manuels de procdures ou des modes opratoires pour
piloter les missions daudit ralises et particulirement celles cites cidessus ( DSI, DRH, DC et SDM);
L'exhaustivit des points de contrle par ligne mtier formaliss par le
mode opratoire daudit.
1. Sensibilit du management l'audit interne.

Le management est-il sensible tous les risques : oprationnels, financiers et
de rputation ?
Quelles dispositions pratiques a-t-il pris face ces risques ?
Comment le management a-t-il rparti les rles entre les divers acteurs de
son entit (Risk management, Audit interne et Compliance) en terme de
prvention de ces risques?
Comment est-organise la supervision de la prvention des risques
oprationnels et la remonte de linformation ?
2. Positionnement et Rle des dpartements de contrle.

2.1 - Risk Management.
Le positionnement des Risk managers dans lorganigramme assure-t-il

lindpendance ncessaire laccomplissement de leur mission ?
Leur mission est-elle dfinie par une lettre de mission et celle-ci est-elle mise
par une autorit approprie ?
Le risk manager est-il consult lors de la mise en place de nouveaux produits
et procdures, pour rendre un avis sur les risques induits ?
2.2 - Audit interne.
Laudit interne est-il rattach hirarchiquement au Top management (voir au

Conseil dAdministration, Directoire) de la banque ?
Laudit interne est-il mobilis et soutenu par le comit de direction ?
Les recommandations de laudit interne sont-elles suivies par le management
en terme de prvention des risques ?
Les rapports de missions d'audit sont-ils transmis directement cette
hirarchie ?
Le primtre ou champs daudit est-il exhaustif et couvre-t- il tous les risques
et toutes les entits (rseau, directions centrales, filiales, succursales et
fonctions dont le contrle interne et la compliance) ?
Le plan annuel d'audit des 3 dernires annes listant les missions menes
couvre-t- il la totalit des risques (crdit, march, oprationnels) et des units
(oprationnelles et fonctionnelles)?
104

__________________________________________________________________________________________
Existe-t- il une cartographie des risques ? est-elle fiable et exhaustive? Est elle constamment mise jour ?
Inclut-elle les risques financiers (crdit, march, liquidit), les risques
oprationnels (Systme dInformation, Ressources Humaines, Comptable,
non conformit, fiscal, ..) et le risque de rputation (ou dimage) ?
Les missions ralises couvrent-elles l'ensemble de ces risques ?
Si oui, quelle est leur frquence dans le plan triennal d'audit ?
Dans quelle mesure les recommandations formules par les missions daudit
ont particip l'amlioration des processus de gestion et la prvention des
risques ?
L'audit interne dispose -t- il de comptences spcifiques aptes mener des
missions haute technicit (Direction des Systmes dInformation, Salle Des
Marchs, Direction des Ressources Humaines, Direction de la Comptabilit) ?
Y a -t- il un auditeur par ple de comptence ou bien des auditeurs
polyvalents ?
Y a -t- il des manuels de procdures ou des modes opratoires pour piloter
les missions daudit ralises?
Ces manuels de procdures intgrent-ils des missions daudit (Direction des
Systmes dInformation, Salle Des Marchs, Direction des Ressources
Humaines, Direction de la Comptabilit) ?
Si oui, sont-ils exhaustifs explicites et conformes la rglementation en
vigueur ?
2.3 - Compliance et Dontologie.
Un Compliance Officer a-t-il t dsign ?

Si oui, quel est son poids rel dans lorganigramme et quelle est son
indpendance ?
Travaille-t-il avec des outils fiables et exhaustifs ?
Existe-t-il un code de dontologie spcifique la banque ?
Est-il diffus lensemble des collaborateurs ?
Les collaborateurs ont-ils sign un engagement au respect du secret
bancaire, la lutte contre le blanchiment et ont-ils pris connaissance de leurs
devoirs rappels dans le Rglement intrieur de lentit ?
3. Dispositif d'audit par ligne mtier.

Dans une mission de la Direction du Systme d'Information, les 4 domaines
sont-ils couverts :
Organisation et management,
Scurit,
Etudes et dveloppements,
Exploitation informatique ?
105

__________________________________________________________________________________________
Dans une mission de la Salle Des Marchs, les 3 fonctions sont-elles couvertes :
Front Office,
Middle Office,
Back Office ?
Les risques qui en dcoulent sont ils galement couverts :
oprationnels,
de contrepartie,
juridique,
de scurit ?
Dans une mission de la Direction des Ressources Humaines, les cinq domaines
dactivit du mtier sont-ils couverts :
Administration,
Gestion des carrires,
Recrutement,
Formation,
Relations Sociales ?
Dans une mission de la Direction Comptable, les domaines relevant de l'activit
comptable et financire sont-ils couverts :
Structure et organisation gnrale,
Sparation des fonctions,
Contrles exerces par le service comptable,
Les outils de pilotage,
Connaissance et respect des rgles de dontologie,
Reportings rglementaires,
Risques fiscaux,
Consolidation ?
Section 2 : Les conclusions de l'enqute.

Cette section prsente lanalyse des rsultats et restitue dans les grandes lignes les
pratiques daudit interne bancaire, les tendances convergentes et les spcificits
apparentes. Elle met en lumire les lments marquants qui sen dgagent.
Ceux-ci viennent corroborer nos constats travers notre exercice sur le terrain du
mtier dauditeur des multi mtiers bancaires et confirmer aussi les enjeux et les
volutions majeures de la profession au niveau du systme bancaire marocain.
Cette enqute constitue ainsi un support danalyse qualitatif auquel tout responsable
daudit interne ou risk manager est invit se reporter, dautant que la deuxime partie
de ce mmoire prsente en dtail les bonnes pratiques en la matire travers
lapproche de laudit systmique.
106

__________________________________________________________________________________________
Cette enqute reflte limage dun audit interne indpendant au service tant de la
direction gnrale que du comit daudit mais non parfaitement mme de prvenir
correctement avec le risk management toutes les familles de risques.
En particulier, laudit interne apparat de plus en plus comme un outil puissant de
dtection des risques mais se limite toutefois aux risques classiques (de contrepartie, de
traitements oprationnels, ..) sans pour autant se focaliser sur dautres risques tels que
les risques march, les risques du systme dinformation, les risques lis aux
ressources humaines,...
Ce faisant, la non matrise de certains risques peut induire la destruction de valeur au
sein de lorganisation et de limiter le rle essentiel de laudit interne, savoir dapporter
une contribution dterminante la bonne gouvernance de ltablissement bancaire.
Principaux enseignements et rflexions.
La prsente tude a t mene dans un contexte marqu notamment par lentre en

vigueur des normes bloises, de la nouvelle loi bancaire et des nouveaux statuts de
BAM.
Afin damliorer la gouvernance au sein des banques marocaines, de nombreuses
dispositions ont t adoptes, notamment par les circulaires de BAM sur le contrle
interne des tablissements de crdit, sur laudit externe des tablissements de crdit et
par la refonte des textes de base relatifs la loi bancaire et les statuts de BAM, rforme
qui nest pas sans consquences pour laudit interne bancaire.
Dans le mme temps, la profession, prenant acte des attentes renouveles des
organisations, a dfini de nouvelles normes professionnelles qui centrent lactivit de
laudit interne sur lvaluation des processus de management des risques, de contrle
interne y compris ceux de la conformit et de gouvernement dentreprise.
Quels en sont les impacts pour les pratiques de laudit interne ?
Quel est le niveau de participation de laudit interne avec le Risk
Management au processus de gestion des risques ?
1 - Sensibilit du management l'audit interne.
Le rattachement direct de laudit interne au top management de la banque confirme

limportance du positionnement de laudit interne dans lorganisation.
Les responsables daudit interne affirment tous la prise de conscience par le
management de la banque de lensemble des risques oprationnels, financiers et de
rputation mais part la diligence de missions classiques (respect des procdures de
traitements oprationnels et de crdit), rares sont les dispositions pratiques adoptes
pour y faire face.
Ces dispositions se limitent par la cration de cellules pour la gestion du chantier Ble 2
ou celui de la Compliance. Les rflexions relatives aux structures de Risk management
107

__________________________________________________________________________________________
et de prvention des risques oprationnels, except pour les filiales des banques
franaises, ne semblent pas tre encore lordre du jour.
En termes de prvention de ces risques, il ny a pas une claire rpartition des rles entre
les diffrentes structures savoir : le Risk management, lAudit interne et la
Compliance.
La supervision de la prvention des risques par le management se limite au suivi des
rapports daudit sans pour autant disposer dune cartographie des risques consolide
pour piloter lvolution de tous les risques par ligne mtier et par entit.
Seule une banque (filiale franaise) dispose dun progiciel dautovaluation du systme
de contrle interne sur une priodicit trimestrielle, renseign et valid par le
responsable de chaque entit. La remonte de linformation sur le dispositif du contrle
interne par mtier est centralise au niveau de la Direction de Contrle Interne.
2 - Positionnement et rle des dpartements de contrle.
2.1 - Risk Management.
Les rflexions relatives aux structures de Risk management et de prvention des

risques oprationnels, except pour les filiales franaises, ne semblent pas tre encore
dans lordre du jour.
La dsignation des Risk Managers par mtier est pratique dans une seule banque de
la place.
Un systme de risk management doit tre mis en place pour sassurer que les risques
qui pourraient dcouler de dfaillances ou dinsuffisances, de quelque ordre que ce soit,
sont identifis et font lobjet de mesures de nature en limiter la survenance et limpact
sur le fonctionnement global de ltablissement bancaire.
La gestion des risques ou le risk management aussi bien en interne que conformment
aux exigences prudentielles, en est encore ses dbuts. Des efforts ont t nanmoins
entrepris par deux banques marocaines en vue de se doter d'outils pertinents capables
de renseigner sur la survenance de tout risque de nature oprationnelle, et ce quelle
que soit son origine ou sa localisation. Ce nouveau systme est en cours de mise en
place et sa fiabilit ne pourrait toutefois tre suffisamment apprcie qu'au cours des
annes ultrieures.
Le systme d'information parat dans ce sens jouer un rle cl pour communiquer les
objectifs de la banque en matire de risque. Il est vident que l'efficacit d'un bon
contrle interne dans ce domaine repose sur la fiabilit du systme d'information pour
maintenir une culture de contrle et pour s'assurer que l'ensemble du personnel adhre
ces objectifs.
A titre dexemple la BMCE et la SGMB ont eu l'ide de constituer une base de donnes
interne incluant tous les incidents ou les vnements de pertes occasionnes dans le
cadre de l'exercice des activits de la banque. Ces vnements doivent nanmoins tre
identifis de manire exhaustive et intgre. D'o le rle dterminant qu'aura jouer
aussi bien l'audit interne que les reporting en interne.
108

__________________________________________________________________________________________
Le systme de collecte et de reporting doit tre une partie intgrante des procdures
oprationnelles. Ces exigences ne peuvent que renforcer le rle indniable du "risk
manager" charg du suivi et de l'analyse de tous les vnements de pertes identifies
travers le systme interne d'information.
Mme si les banques utilisent des moyens prventifs contre lexposition aux risques, les
rsultats de lenqute mettent en vidence linsuffisance de ces moyens. En cela, la
prise de conscience des dirigeants apparat insuffisante ce jour. Au del de cette prise
de conscience, cest lvolution de la gestion des risques qui doit tre repense au sein
des banques. Par consquent, un pr -requis simpose : la fonction de laudit interne doit
contribuer la prvention des risques bancaires travers lidentification des risques et
lvaluation de lefficacit du dispositif de contrle interne mis en place.
2.2 - Audit interne.
Le rattachement de laudit interne au plus haut niveau de lorganisation (prsident du

Conseil ou du directoire) favorise son indpendance et rduit les risques dinterfrences
implicites ou explicites sur le choix des missions ou la formulation des
recommandations.
Ce rattachement donne une grande majorit dauditeurs internes une libert
importante, voire totale, pour la ralisation de leurs missions. Laudit interne doit pouvoir
exercer sa mission de sa propre initiative et sexprimer librement.
Les contacts avec la direction gnrale sont dailleurs nombreux : la quasi-totalit des
banques sondes confirment avoir au moins une runion formelle par mois. Ceci
confirme le positionnement de la fonction daudit interne et son importance dans
lorganisation.
Les banques sont munies de comits daudit et les relations de laudit interne avec ces
comits sont troites et permanentes. Les responsables daudit interne assistent
toutes les runions du comit daudit.
En apportant la direction gnrale et aux administrateurs, par lintermdiaire du comit
daudit, un regard impartial sur les risques de la banque et son contrle interne, laudit
interne participe grandement lamlioration du gouvernement dentreprise.
La plupart des banques ont adopt une structure hirarchique semblable celle des
cabinets daudit ; deux dentre elles ont cependant opt pour une hirarchie interne
souple, avec moins de niveaux et des rotations au poste de chef de mission.
Les recommandations de laudit interne sont suivies par le management qui reoit
systmatiquement les rapports de missions d'audit.
Laudit interne largement tourn vers les missions classiques au
dpend des missions complexes.
La part des missions classiques relatives au contrle de conformit aux procdures

internes (traitements oprationnels et procduraux et risques de crdit) et la
109

__________________________________________________________________________________________
rglementation est largement prdominante par rapport des missions expertise

leve (Systme dInformation, Salle des marchs...) ou des audits systmiques.
Les missions sexercent en priorit autour de lanalyse du contrle interne de tous les
processus oprationnels puis autour de lvaluation du contrle interne des processus
financiers et comptables. Les audits de conformit aux lois et rglementations et les
audits des systmes dinformation, des activits de march ou de la gestion des
ressources humaines restent peu significatifs.
La part dvolue aux travaux conjoints avec les commissaires aux comptes et aux audits
systmiques comptables et financiers reste minoritaire, mme si plus de la moiti des
responsables daudit interne estime quils raliseront lavenir plus de missions de ce
type.
Lvaluation des processus de management des risques est quasiment absente mais
tend prendre une part significative avec la prise de conscience progressive du rle
dterminant de cette fonction au sein de la banque.
En revanche, lvaluation du processus de gouvernement dentreprise reste galement
absente en comparaison avec les autres missions et ceci, bien quelle soit inscrite dans
la dfinition de laudit interne. Il est probable que la mise en oeuvre souvent rcente de
ce processus, est lorigine de ce constat.
En matire dactivits de conseil , laudit interne ralise des missions classiques :
conseil en organisation, actions de formation et apporte sa contribution des projets de
lentreprise. Toutefois, les missions dassurance restent toujours majoritaire.
Laudit interne se professionnalise mais sur une cadence varie.
Plan annuel daudit et cartographie des risques :
Mme si le critre majeur reste les demandes spcifiques de la direction gnrale, le

plan daudit est dsormais construit en sappuyant fortement sur une analyse des
risques. Cette approche par les risques reste toutefois non gnralise et reprsente le
critre cit en deuxime lieu par les responsables daudit pour laborer le plan daudit.
Lanalyse des volutions particulires de lenvironnement de la banque est galement
un critre de poids dans ltablissement du plan annuel daudit.
Par ailleurs ; la pratique de la cartographie des risques ne concerne pas toutes les
banques. Deux seulement ont hirarchis les risques en fonction de leur impact
possible et de leur frquence (probabilit de survenance). Pour les filiales franaises
disposant dune cartographie des risques, cette dernire nest toutefois pas exhaustive
et ne concerne que quelques risques classiques (des traitements oprationnels, des
risques de crdit et parfois des risques march..), les risques oprationnels cits par
Ble II et le risque de rputation restent quasiment absents. Sa frquence de mise
jour reste alatoire.
110

__________________________________________________________________________________________
Le primtre daudit nest pas trs exhaustif et ne couvre pas toujours toutes les entits
dune banque.
Laudit du rseau dagences occupe le premier rang (70% du budget temps allou au
plan annuel daudit) en se focalisant sur le risque des traitements oprationnels et le
risque de crdit.
Par ailleurs, laudit des filiales, des services centraux, des banques offshore reste peu
frquent voire absent pour certaines entits. Les mtiers les moins audits sont : la salle
des marchs, le systme dinformation, les ressources humaines, la gestion Actifs
Passifs (ALM), le contrle de gestion, le contrle interne, la compliance
Lexamen du plan annuel d'audit des 3 dernires annes de certaines banques listant
les missions menes ne couvre pas la totalit des risques des units oprationnelles et
fonctionnelles mme sil est approuv parfois par le comit daudit.
Ainsi peut-on conclure que les programmes annuels daudit sont inadquats ou
inefficaces. Trs souvent, les audits effectus ne sont pas suffisamment rigoureux pour
dceler et notifier les insuffisances du contrle dans les banques. Dans dautres cas,
mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme, except
celui de suivi des recommandations par laudit interne, nest prvu pour faire en sorte
que la direction remdie immdiatement aux dficiences releves.
Manuels de procdures daudit.
Pour piloter les missions daudit ralises, les directions daudit interne disposent en
gnral de manuels de procdures mais se limitant aux procdures internes de
traitement et du risque de contrepartie. La mise jour de ces manuels reste une
pratique non systmatique.
Les modes opratoires daudit (DSI, SDM, DRH, DC, ALM22, gestion dactifs,
Compliance, activits de bourse) savrent trs peu frquents.
Auditeurs internes.
Mme si laudit interne apparat comme une fonction plutt attractive, les responsables
daudit interne rencontrent des difficults recruter, pour des raisons de comptences
principalement. Lune des consquences probables de ces difficults est le recours
des ressources extrieures au service, quelles soient internes ou externes la banque,
pour rechercher certaines comptences et de lexpertise complmentaire en faisant
notamment appel des prestataires externes.
Les entretiens mens auprs des responsables daudit interne, confirment que sont
exclues de leur primtre dintervention certaines missions exigeant une expertise
pointue et une haute technicit telles que laudit des systmes dinformation ou laudit de
la salle des marchs et ce pour le manque de comptences en audit interne aptes
mener ce genre de missions.
22
DSI (Direction du Systme dInformation), SDM (Salle des Marchs), DRH (Direction des Ressources Humaines), DC ( Direction
Comptable), ALM (Asset Liability Management)
111

__________________________________________________________________________________________
Dans ce cadre, les filiales des banques franaises font appel laudit interne de leurs
maisons mres ayant lexpertise et les outils adquats (modes opratoires spcifiques,
outils labors daudit) pour aborder ces missions.
Par ailleurs, les banques marocaines recourent aux prestations dexperts externes ou
de cabinets spcialiss daudit.
La pratique des ples de comptence en audit interne ne semble en gnral pas tre
pratique du fait de la nature des profils gnralistes pour les auditeurs. Une seule
distinction a toutefois t releve entre lquipe charge du volet inspection, celle de
laudit des oprations et des procdures et enfin celle charge dauditer le risque de
crdit.
Laudit interne dispose gnralement de moyens humains adquats ce qui est
rvlateur de la prise de conscience de limportance de cette fonction par le
management des banques.
Le niveau de qualification des auditeurs internes reste trs disparate dune banque
une autre avec une prdominance dquipes htrognes dont une partie est issue des
grandes coles de commerce avec une exprience professionnelle ne dpassant pas
les deux ans et un autre lot compos de profils ayant dj eu une exprience
oprationnelle dans la banque.
La volont de former des cadres haut potentiel ayant une vision sur lensemble des
processus pour lorganisation semble tre prioritaire par rapport la fidlisation des
auditeurs au sein du service.
La comptence professionnelle doit aussi tre apprcie au niveau du service daudit
interne dans son ensemble, qui doit avoir en son sein toute la gamme des comptences
techniques ncessaires pour pouvoir examiner lensemble des domaines dans lesquels
ltablissement opre.
Le service daudit interne doit maintenir jour les connaissances acquises et assurer
une formation continue et actualise chacun des auditeurs.
Lorsque dans des domaines spcifiques, le service daudit interne ne dispose pas dune
comptence suffisante pour procder un audit, il peut recourir aux services dun expert
externe, sous condition toutefois que lexpert soit plac sous la dpendance du chef du
service daudit interne qui conserve la supervision de lopration.
La comptence, et en particulier les connaissances et lexprience, de chaque auditeur
sont essentielles pour le bon fonctionnement du service daudit interne. Il est important
que le service daudit interne dispose de personnes ayant reu une formation de niveau
lev et disposant de comptences techniques adquates. Lors de la slection de ces
personnes il sera tenu compte galement de la nature et de la diversit des activits
conduites par ltablissement.
112

__________________________________________________________________________________________
2.3 - Compliance & Dontologie.
La cration de la fonction de conformit ou compliance reste rcente, non

gnralise et ne jouit pas encore de lautonomie ncessaire, elle reste en gnral
dilue avec dautres fonctions telles que le contrle interne, la dontologie, linspection
gnrale ou laudit interne.
La dsignation dun Compliance Officer reste une pratique peu frquente, elle ne
concerne que deux banques ce qui ne nous a pas permis dapprcier le poids rel de
cette fonction dans lorganigramme.
Les outils mis la disposition de lentit conformit ne permettent pas encore davoir
une vision exhaustive et fiable sur tous les traitements raliss, des rflexions dans ce
sens sont entames pour quatre banques sondes.
Chaque banque dispose dun code de dontologie spcifique ayant pour principal
objectif de doter celle-ci dun texte de rfrence visant promouvoir en son sein une
forte rigueur dontologique et renforcer ainsi la confiance et la crdibilit quelle doit
en permanence inspirer lensemble de ses partenaires savoir les pouvoirs publics, la
clientle, les oprateurs et, dune manire gnrale, lopinion publique.
3 - Dispositif d'audit par ligne mtier.
3.1 - Mission de la Direction du Systme dInformation.
L'audit des Systmes dInformations dans son ensemble a fait lobjet dune mission au
sein de deux grandes banques de la place. Lune est une filiale franaise ayant
bnfici de lexpertise dune mission diligente par linspection gnrale de sa maison
mre ayant lexpertise et les outils adquats (modes opratoires spcifiques, rfrentiel
COBIT, progiciels labors daudit) pour aborder cette mission. Cette mission a en effet,
couvert tous les domaines de la fonction informatique : l'Organisation et le management,
la Scurit, les Etudes et dveloppements et l'Exploitation informatique.
Lautre banque, pour mener cette mission, a compt sur son propre audit interne mais
elle na pas couvert que deux domaines savoir la scurit et les dveloppements
informatiques.
Les autres banques affirment ne pas avoir les comptences ncessaires pour mener
une telle mission.
Dans ce cas, la mission daudit du Systme dInformation devrait apprcier comment
sont couverts les risques lis la fonction Systme d'information principalement les
risques d'efficacit, d'efficience, de confidentialit, d'intgrit, de disponibilit, de
conformit, Juridique et d'image.
Laudit du Systme dInformation devra mesurer le niveau des risques, leur volution, et
lavancement des plans dactions correcteurs.
113

__________________________________________________________________________________________
3.2 - Mission de la Salle des marchs.
De part limportance des risques inhrents lactivit de march, trois banques (dont 2
franaises et une marocaine) ont ralis une mission daudit de la Salle Des Marchs
mais sans pour autant en couvrir les 3 fonctions du Front Office, du Middle Office et du
Back Office ainsi que tous les risques qui en dcoulent oprationnels, de contrepartie,
juridique et de scurit.
Les missions ralises se limitent :
L'examen des principales procdures de traitement (Back office);
L'analyse du respect dispositif de contrle interne ;
Les missions nont pas procd au recoupement avec les travaux des autres missions
(systme dinformation, comptabilit, ..).
Elles nont pas analys :
La totalit des risques lis lactivit de march savoir les risques de gestion,
oprationnels, dontologiques, de fraude, dimage, de crdit, commerciaux et
juridiques.
Les risques, sur des sondages, transverses plusieurs fonctions, sur un ou
plusieurs chantillons doprations.
Le mode d'laboration des rsultats comptables et de gestion, ainsi que la procdure
de rapprochement de ces deux rsultats.
L'inventaire des diffrents tats de reporting et de leur mode d'laboration.
La qualit et la fiabilit des informations vhicules sur la nature des oprations
traites, des positions prises et de leur rentabilit tant en interne qu'en externe.
La qualit de la matrise des risques financiers et les techniques gnres par les
oprations.
L'ensemble des activits, stratgies et instruments traits par la salle audite.
L'inventaire des applications de gestion et de traitement de ces activits et
instruments.
3.3 - Mission de la Direction des Ressources Humaines.
De part la sensibilit du domaine auditer, la Direction des Ressources Humaines est

une fonction rarement audite au sein des banques. Seulement deux banques ont men
une mission daudit Ressources Humaines ces trois dernires annes mais nont
toutefois pas couvert les cinq domaines de la gestion des ressources humaines
savoir : ladministration, la gestion des carrires, le recrutement, la formation et les
relations Sociales.
Se trouvent ainsi exclus le recrutement, la gestion des carrires et les relations sociales.
Les missions menes se sont en effet limites couvrir les risques de traitements
administratifs, de dclarations sociales (CNSS, CIMR,), fiscales (IGR) et dassurance
et parfois le volet formation (OFPPT).
Parmi les familles de risques nayant pas t abordes, on trouve les risques de
management, juridiques, de dontologie, de compliance et oprationnels.
114

__________________________________________________________________________________________
De ce fait, un nombre de zones risques nayant pas t couverts tels que :

Les rgles de confidentialit (paie, dossiers personnels) et de scurit (back up);
Le processus de rvision des rmunrations individuelles ;
La gestion des avantages annexes;
Le provisionnement des engagements sociaux (retraites, prvoyance, indemnits) ;
La sensibilisation du personnel aux risques de fraude interne et externe
(consignation du code de dontologie);
Le processus dapprciations annuelles ;
La rationalisation des mouvements sociaux.
3.4 - Mission de la Direction Comptable.
Les objectifs dune mission daudit de la Direction Comptable sont les suivants :
Sassurer de la fiabilit de linformation financire et de sa conformit aux normes
dfinies par les autorits de tutelle. On entend par information financire la fois les
comptes sociaux, consolids et fiscaux ainsi que les tats rglementaires.
Identifier les dysfonctionnements ventuels du dispositif de contrle interne.
Apprcier la fiabilit du systme dinformation comptable.
Porter une apprciation sur les rsultats et la rentabilit de lentit audite.
Sassurer de la connaissance et du respect des rgles de dontologie.
Les deux premiers objectifs sus - viss sont atteints par les cinq banques sondes. Par
ailleurs, rares sont les missions comptables ayant abord les trois autres objectifs.
Diffrents de ceux des auditeurs externes ayant un caractre lgal, les objectifs de
cette mission sont tendus et ne peuvent tre atteints quavec une analyse approfondie
des zones les plus risques. Cest pourquoi une mission daudit de la fonction
comptable doit mettre laccent sur :
lidentification des risques et le recoupement avec les travaux des autres missions
(systme dinformation ; ressources humaines, ..) concernant les clignotants
comptables ;
lanalyse des risques transverses plusieurs fonctions, sur un ou plusieurs
chantillons doprations ;
lexamen des risques de non exhaustivit, de non qualit et de non fiabilit de
linformation comptable, de non fiabilit des comptes et des tats financiers, de non
fiabilit de linformation financire consolide, rglementaire et fiscale.
La mesure du niveau des risques, leur volution, et lavancement des plans dactions
correcteurs.
Cette mission doit couvrir quatre domaines : laudit systmique du service comptable
(apprciation du contrle interne), les reportings rglementaires, les risques fiscaux et la
consolidation.
115

__________________________________________________________________________________________
Les missions comptables au sein des banques sondes sexercent en priorit autour de
lanalyse du contrle interne de tous les processus de traitements comptables et
financiers.
La part dvolue aux travaux conjoints avec les commissaires aux comptes et aux audits
systmiques comptables et financiers reste minoritaire, mme si plus de la moiti des
responsables daudit interne estime quils raliseront lavenir plus de missions de ce
type.
Lvaluation des processus de management des risques comptables est quasiment
absente mais tend prendre une part significative avec la prise en conscience
progressive du rle dterminant de cette fonction dans la gestion des risques.
116

__________________________________________________________________________________________
Laudit interne tel que pratiqu actuellement dans de nombreuses grandes
banques marocaines, relve encore quelques insuffisances. En outre, cet audit doit
aller dans le sens de limportance accrue confre par les autorits de contrle
bancaire lexamen exhaustif et pertinent des processus de gestion du risque et de
contrle interne dans une organisation bancaire.
Il importe de souligner quil incombe au conseil dadministration et la direction
gnrale de sassurer de lexistence dun audit interne adquat et de promouvoir un
environnement dans lequel les individus comprennent et assument leurs
responsabilits dans ce domaine.
Nous avons relev des insuffisances dans la surveillance de certains risques et une
absence dune forte culture de contrle et/ou de risque particulirement au sein des
banques marocaines. Les cas de pertes importantes refltent tous, sans exception,
un manque dattention et de rigueur de la direction envers la culture de contrle
dans la banque, une orientation et une surveillance insuffisantes de la part du conseil
dadministration et de la direction gnrale ainsi que labsence dun exercice clair des
responsabilits de la direction dans lattribution des rles et des tches entre laudit
interne, le risk management et la conformit.
La supervision de la prvention des risques par le management se limite au suivi des
rapports daudit sans pour autant disposer dune cartographie des risques consolide
pour piloter lvolution de tous les risques par ligne mtier et par entit.
Ainsi peut-on conclure que les programmes annuels daudit sont inadquats ou
inefficaces. Trs souvent, les audits effectus ne sont pas suffisamment rigoureux
pour dceler et notifier les insuffisances du contrle dans les banques. Dans dautres
cas, mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme,
except celui de suivi des recommandations par laudit interne, nest prvu pour faire
en sorte que la direction remdie immdiatement aux dficiences releves.
Ces cas rvlent galement labsence dincitations appropries pour que laudit
interne exerce une surveillance hirarchique rigoureuse et maintienne un niveau
lev de conscience du contrle au sein du systme bancaire.
Laudit interne na pas achev sa mutation et continuera dvoluer pour apporter aux
banques toujours plus de valeur ajoute. Les rsultats de cette enqute permettent
dentrevoir les contours de laudit interne de demain et de dfinir les dfis et les
enjeux futurs de la profession :
affirmer son rle et ses responsabilits dans le gouvernement dentreprise la
faveur dun rattachement hirarchique la direction gnrale et de liens
fonctionnels avec le comit daudit, lorsquil existe ;
se positionner, plus encore que par le pass, comme un outil majeur de
dtection, de prvention et de matrise des risques, en coordination avec
toute autre fonction concerne (Risk management, compliance,..);
maintenir son indpendance, son objectivit et son impartialit ;
accrotre sa professionnalisation par :
117

__________________________________________________________________________________________
une formation permanente;

une mthodologie et des outils adapts et performants bass et sur les
risques et sur les systmes (lAudit Systmique);
En relevant ces dfis, laudit interne apportera aux banques encore plus de valeur
ajoute et sera un acteur incontournable de la bonne gouvernance de lorganisation
bancaire.
118

__________________________________________________________________________________________
Partie 2 :
L'audit systmique, un nouvel outil
au service du risk management
pour matriser davantage
les risques des mtiers.
119

__________________________________________________________________________________________
Chapitre 1 :
Les particularits de l'approche
d'audit systmique.
120

__________________________________________________________________________________________
Chapitre 1 : Les particularits de l'approche d'audit systmique.

Introduction.
Les volutions des mtiers bancaires, ont gnr de nouvelles variantes de
risques et modifi les facteurs de fragilit financire susceptibles d'affecter la qualit de
la situation des acteurs bancaires. Ainsi, il devient de plus en plus impratif de
dvelopper des outils d'analyse spcifiques dans le but de prvenir, de dtecter et de
couvrir le plus rapidement possible les risques susceptibles d'engendrer une dfaillance
bancaire qui ne pourrait tre que prjudiciable la stabilit du secteur financier dans
son ensemble.
De nombreux tablissements bancaires ont encore un mode de fonctionnement
compartiment, avec des silos dinformations, danalyses et dhypothses parfois
incohrents entre les entits de la banque. Il leur est donc difficile dobtenir une vision
densemble fiable et cohrente des multiples risques rencontrs et den mesurer le
niveau de criticit.
Si les normes prudentielles et rglementaires demeurent un point d'ancrage essentiel, il
est de plus en plus pressant que les tablissements bancaires puissent s'investir dans le
dveloppement d'instruments complmentaires d'analyse fonds sur des mthodes la
fois quantitatives, qualitatives voire systmiques.
Ble II impose la mise en uvre de mthodes plus strictes pour lvaluation et la
gestion du risque de crdit, du risque de march et du risque oprationnel. Disposer de
cette visibilit globale sur le risque, tout en rpondant aux exigences rglementaires,
demande beaucoup dimplication, de temps, defforts et de ressources de la part des
banques. Avec l'audit systmique, les tablissements bancaires disposent d'un outil
prcieux pour mieux grer et contrler leurs risques.
Par consquent, trois aspects mritent d'tre dvelopps :
Approches de l'audit du systme de contrle interne;
L'approche par les risques;
L'approche par les systmes ou l'approche systmique.
121

__________________________________________________________________________________________
Section 1 : Approches de l'audit du systme de contrle interne.

L'audit du systme de contrle interne est une ncessit prouve par les diffrents
acteurs. Plusieurs approches complmentaires sont possibles dont une approche par
les risques, qui se complte d'ailleurs avec une approche par les systmes.
Le contexte.
L'audit, ou la revue du systme de contrle interne, d'une banque peut constituer une
mission spcifique mandate par la direction gnrale ou le conseil d'administration qui
prouve le besoin d'avoir un diagnostic sur la qualit du systme de contrle interne et
des recommandations pour en amliorer l'efficacit.
Pour l'auditeur bancaire, ce travail constitue un pralable sa mission gnrale car la
qualit du contrle interne conditionnera son programme de travail : tendue des
contrles, profondeur des contrles, budget temps. L'auditeur s'appuiera sur un systme
de contrle interne dont il aura vrifi l'efficacit. Un systme de contrle interne faible
conduira renforcer les tests, les sondages et les contrles pour pallier cette faiblesse.
Cette alternative demeure toutefois difficilement applicable pour le cas spcifique des
tablissements de crdit, ce pour la simple raison que le contrle interne est un lment
incontournable de la scurit des oprations financires. Un contrle interne dfaillant
ne saurait tre compens par des tests tendus, compte tenu du volume des
oprations, de la complexit et de la diversit des mtiers et de la taille des
tablissements financiers dots gnralement d'une organisation largement
dcentralise.
Ce travail exige en revanche un personnel hautement qualifi car il se fera
essentiellement base d'entretiens, d'analyse de l'organisation, d'examen des rapports
et documents importants et ventuellement de quelques tests destins vrifier la
ralit et l'efficacit des dispositifs et des procdures existantes.
Un questionnaire, un guide de contrle interne, ou un mode opratoire daudit par ligne
mtier peut constituer un outil prcieux pour mieux "encadrer" la mission. (Cf. 2me
Partie).
A l'issue de cette revue, l'auditeur pourra tablir son diagnostic soulignant les forces et
les faiblesses du systme de contrle interne et ses recommandations pour en
amliorer l'efficacit.
Plusieurs approches sont possibles pour raliser cette revue du systme de contrle
interne. Ainsi, on distingue, l'approche par les risques et l'approche par les systmes.
Actuellement, il y a une tendance privilgier davantage l'approche par les risques.
Par ailleurs, l'approche systmique permet d'avoir une vision plus globale et matrise
des risques et doptimiser ainsi lefficacit de laudit, quelle que soit la complexit des
organisations ou des processus auditer.
Lauditeur bancaire doit se poser les questions suivantes avant de dfinir sa dmarche
d'audit :
122

__________________________________________________________________________________________
Comprenons-nous les implications des engagements pris par la banque vis--vis

des marchs financiers?
Comprenons-nous pleinement le modle conomique de la banque et les risques
qui y sont attachs? Le Conseil d'Administration lui-mme les apprhende-t-il ?
Les quipes ont-elles les comptences ncessaires au vu des activits ou
oprations de la banque ? Avons-nous recours aux expertises requises?
Prenons-nous bien la mesure des impacts potentiels de pratiques comptables
"agressives" ?
Apprhendons-nous vraiment la substance des oprations ralises au del de
leur forme?
Avons-nous une communication transparente avec le Conseil d'Administration ou
le Directoire et/ou le Conseil de Surveillance?
Les outils de reporting de la banque sont-ils adapts pour une bonne apprciation
des risques?
Pour une meilleure apprhension des risques d'un tablissement financier, Lauditeur
bancaire est tenu de :
Amliorer la comprhension de l'activit et de la performance de la banque et de
son environnement/march;
Elargir son champ d'investigation;
Ne pas se cantonner la fonction financire;
Evaluer la qualit du pilotage de lentreprise et les impacts ventuels de l'activit
sur les comptes;
Identifier et valuer galement ce qui n'est pas dans les comptes ;
Renforcer l'analyse de l'activit, des engagements et des oprations des
diffrentes fonctions;
Renforcer la qualit et l'efficacit de l'audit;
Renforcer l'utilisation dans son approche des indicateurs de pilotage de l'activit
utiliss par le management;
Prendre en compte les amliorations rapides des outils et du contrle des
processus du client;
Accrotre sa capacit produire des conclusions forte valeur ajoute,
rpondant aux proccupations du management.
Le rfrentiel de contrle interne : COSO
Cette approche, est conceptuellement simple et logique. Elle s'inspire dans sa

conception de l'approche COSO (Committee of Sponsoring Organizations of the
Treadway Commission) qui reprsente un rfrentiel international en matire de
contrle interne.
123

__________________________________________________________________________________________
Quelques concepts cls du COSO :
Les contrles sont plus efficaces quand ils sont intgrs aux activits
oprationnelles;
Chaque individu tous les niveaux de l'organisation a une responsabilit en
terme de contrle interne ;
Le contrle interne ne peut pas fournir une assurance absolue;
Le contrle interne est une composante essentielle d'une bonne gouvernance
d'entreprise.
Elments considrer pour chaque domaine :
Environnement de contrle
Code de conduite (intgrit, dontologie et thique);

Philosophie et style de management des dirigeants;
Comptences;
Gouvernement d'entreprise : conseil d'administration, comit d'audit;
Dlgations de pouvoir et domaines de responsabilit;
Politique en matire des ressources humaines.
Evaluation des risques
Processus d'valuation des risques;

Mcanismes pour anticiper, identifier et ragir aux vnements significatifs;
Processus et procdures pour identifier les changements dans les pratiques
comptables, mtier et de contrle interne.
Informations et communication
Production de rapports de performance rpondant aux critres dfinis par

l'entreprise;
Alignement des systmes d'information et de communication avec la stratgie
de la banque;
124

__________________________________________________________________________________________
Engagement de l'entreprise pour dvelopper, tester et superviser les systmes

d'information;
Plan de secours et plan de continuit informatique.
Activit de contrle
Existence de procdures et de normes;

Dfinition prcise des activits de contrle intgrant une supervision active;
Intgration des activits de contrle l'valuation des risques;
Sparation des tches;
Mise en place de procdure de sauvegarde des documents et des actifs;
Procdures d'autorisation.
Pilotage
Evaluation priodique des contrles internes;

Mise en place des recommandations pour amlioration;
Fonction d'audit interne structure pour superviser les activits de contrle.
Approche d'valuation du systme de contrle interne.
La premire tape consistera identifier les risques majeurs et la deuxime analyser

les dispositifs en vigueur pour matriser ces risques.
L'identification des risques peut s'appuyer sur l'inventaire des risques
traditionnels et bien connus tels que prsents dans le 1er chapitre de la
premire partie. Elle peut galement s'appuyer sur un inventaire, ou
"cartographie", tabli par l'tablissement lui-mme (via le risk management). Il
conviendra ensuite de l'affiner pour l'adapter au profil spcifique de
l'tablissement : ajouter de nouveaux risques, enlever ceux que n'encourent pas
l'tablissement et de les hirarchiser selon leur typologie.
La deuxime tape consiste rpondre la question : quel est le degr de
matrise de ce risque? Il conviendra pour rpondre cette question d'examiner
soigneusement les dispositifs de contrle interne, les procdures, les moyens, les
outils de mesure et de gestion.
Ebauche d'une dmarche d'valuation du systme de contrle interne.
Le systme de contrle interne ne doit pas tre confondu avec l'audit interne qui est
l'organe dont la mission est de s'assurer en permanence que le dispositif de contrle
interne est efficace. Dans le cas contraire, laudit interne doit dtecter rapidement les
faiblesses pour y porter remde. A ce titre, il fait partie intgrante du systme de
contrle interne. Un systme de contrle interne efficace est caractris par :
Des objectifs clairement exprims et des moyens appropris;
Une forte implication des organes dlibrant et excutifs;
Une organisation cohrente des organes de contrle;
Des systmes de mesure, de limites et de surveillance des risques rigoureux;
Une stricte sparation des fonctions et des tches;
Le contrle permanent des oprations et la supervision;
Des procdures qui mettent en application la politique de contrle interne;
Un systme comptable fiable pour traduire une image fidle;
125

__________________________________________________________________________________________
Un systme d'information performant et scuris;

Une entit daudit interne forte et indpendante.
Toute dmarche de revue du systme de contrle interne viserait les objectifs suivants:
Etablir une vue la fois prcise et globale de l'ensemble des risques de la
banque;
Discuter et valider avec tous les responsables impliqus dans le processus
d'identification des risques, le niveau de risque associ chaque activit.
L'auditeur devra dans ce cas prcis faire appel ses connaissances
approfondies du secteur bancaire et particulirement de l'tablissement
audit;
Identifier les contrles mis en place afin d'assurer une couverture des risques;
Evaluer l'appropriation du contrle interne par les responsables oprationnels.
Section 2 : L'approche par les risques.

L'approche d'audit est en gnrale base sur les risques et peut tre rsume comme
suit :
Approche par les risques
Changements dans la mise en uvre
Application renforce des principes
Une approche partant de l'activit du

client pour mieux comprendre et
valider les comptes.
Une
analyse
progressive
de
l'assurance d'audit.
La prise en compte des risques d'audit
traditionnels (exhaustivit, exactitude,
cut-off, droits et obligations, etc).
Une dmarche organise autour des

business
units
et
business
processes.
Des produits finis davantage centrs
sur les zones de proccupation du
management.
Des travaux mieux rpartis sur
l'exercice; disparition des phases
traditionnelles (intrim, Final).
Une gestion de mission en mode
projet
Une analyse de "l'assurance" d'audit
intervalles rguliers en regard des
travaux rellement effectus et non de
faon thorique au moment de la
dfinition de la stratgie.
Les grandes tapes de cette dmarche peuvent tre rsumes comme suit :
Phase I : Identification des principaux risques pouvant menacer le bon
fonctionnement de l'tablissement.
Les principales catgories de risques qui seront analyses sont les suivantes :
126

__________________________________________________________________________________________
risque de crdit ;
risque de march ;
risque de taux d'intrt ;
risque de liquidit ;
risque de rglement;
risques oprationnels;
risques informatiques;
risque juridique;
risque humain;
risque commercial.
Pour ce qui concerne l'identification des principaux risques, ceux-ci devraient tre revus
avec les principaux responsables de services de chaque entit lors d'entretiens
individuels. Lors de ces entretiens, il est question de revoir avec eux la probabilit de
survenance et l'impact potentiel de ces risques sur les objectifs de lentit.
Cette phase dbouchera sur la rdaction d'un document d'identification des principaux
risques pouvant menacer les processus de la banque.
Phase II : Mise en vidence des principales faiblesses du systme de contrle
interne de la banque.
Cette phase s'appuie dans un premier temps sur une prise de connaissance de la
politique de gestion des risques au sein de la banque au travers des cinq composants
(reconnus par le COSO Report comme tant les cinq piliers du contrle interne)
suivants:
l'environnement de contrle interne ;
l'valuation des risques;
les activits de contrle ;
l'information et la communication;
le monitoring du systme de contrle.
Ensuite, il y a lieu d'tudier avec la direction de lentit et les principaux responsables
oprationnels quels sont les systmes de contrle existants au sein de la banque et qui
couvrent les principaux risques identifis lors de la phase prcdente. Cette phase fait
appel un cumul de connaissances assez important qui pourrait tre constitu travers
des bases de donnes internes comprenant les meilleures pratiques dans le domaine
des systmes de contrle.
Cette deuxime phase mettra en vidence les faiblesses les plus importantes dans le
dispositif du systme de contrle interne.
L'objectif tant de ressortir dune part, l'cart entre les risques les plus importants
auxquels s'expose la banque et les systmes de contrle existants et d'laborer dautre
part, un document prsentant les principales faiblesses du systme de contrle interne.
Phase III: Elaboration d'un plan d'actions ncessaire la banque pour
matriser ses principaux risques et tre en conformit avec la
rglementation.
Cette phase aura pour objectif de prioriser les actions qui devront tre inities et
d'valuer les moyens mettre en uvre pour atteindre un niveau de risque acceptable
par la Direction.
127

__________________________________________________________________________________________
Les recommandations seront dtailles et regroupes sous forme de projets, en

prcisant la priorit et les ressources devant tre engages. Le plan d'actions propos
est prsent pour validation la Direction. Sa mise en place permettra de couvrir les
principaux risques qui menacent les objectifs de la Direction et de rpondre aussi aux
exigences de Bank Al Maghrib.
Au cours de cette phase, il est aussi question de dterminer galement quelles sont les
procdures qui doivent tre labores.
Cette phase dbouchera sur la rdaction d'un plan d'actions prioriss comprenant les
recommandations dtailles (systmes de contrle amliorer ou mettre en place)
pour matriser les principaux risques qui menacent les objectifs de la banque.
Section 3 : L'approche systmique.

Les diffrentes dfinitions d'un systme :
Un systme est un ensemble d'objets runis par la relation entre les objets et
leurs attributs (A. HALL et R. FAGEN).
Un ensemble d'lments en interaction dynamique, organiss en fonction d'un
but (J. ROSNAY).
Un ensemble des parties coordonnes en vue d'atteindre un ensemble de buts
(W. CHURCHMAN).
Il ressort de ces diffrents lments que :
un systme est constitu d'lments et de relations entre ces lments;
un systme est finalis;
un systme est un tout non rductible ces parties;
un systme est organis.
Les caractristiques principales d'un systme.
L'approche systmique permet d'apprhender le fonctionnement d'une entit complexe

qu'est la banque. Elle permet de comprendre la banque comme un ensemble de
variables en interaction ayant un certain degr de finalit. La grille d'analyse de la
banque permet de rpertorier les variables pertinentes et leurs liaisons.
Les paramtres du modle d'analyse de la banque sont :
Sa structure : allocation stable des tches et des rles crant un cadre d'activit
inter-reli et permettant la banque de mener et de coordonner ses activits.
Ses systmes de gestion : lments qui donnent vie l'organisation (systme
d'information, prise de dcision, valuation, contrle).
Sa coalition dominante : petit nombre de dcideurs (organes d'administration) ou
managers (risk managers) avec des propositions de pouvoir et d'influence avec : une
personnalit, des valeurs, des expriences professionnelles.
128

__________________________________________________________________________________________
Un environnement dimensions multiples : caractris par la complexit et

l'incertitude. Il concerne les volets : commercial, risque, technologique,
rglementaire, socio-culturel
Les individus : ou ressources humaines venant d'horizons diffrents (des
comptences, des attentes, des qualits, des besoins).
Une stratgie : avec des choix de domaine d'activit, d'objectifs et de paramtres
concurrentiels.
Une technologie : c'est dire un ensemble de moyens matriels et immatriels
ncessaires la ralisation de l'activit.
Une culture : c'est dire un ensemble de valeurs, de croyances et de rgles plus ou
moins reconnues par les acteurs de l'organisation, plus ou moins formelles ou
informelles qui indiquent le chemin suivre (ce qui est attendu, ce qui est admis, ce
qui est rcompens).
Des performances : rsultats de la banque sous
(organisationnelles, conomiques, techniques, humaines).
diffrentes
formes
La prise en compte conjointe de ces diffrentes variables permet d'analyser l'ensemble

des interactions existant dans la banque.
L'approche systmique.
L'approche systmique a modifi profondment les pratiques utilises jusqu'alors pour

aborder l'tude et la conception des systmes. L'analyse systmique engendre une
dmarche inductive.
Son introduction dans l'audit a impos une remise en cause profonde de l'approche
utilise s'accompagnant d'une modification de la nature des outils sur lesquels se fait
son application.
La systmique envisage les lments d'une conformation complexe, des faits, non pas
isolment mais globalement, en tant que parties intgrantes d'un ensemble dont les
diffrents composants sont dans une relation de dpendance :
Le principe de totalit exprime l'ide que les interactions entre les diffrents
lments d'un systme ne peuvent s'apprhender qu'au niveau de la totalit et non
au niveau des lments pris sparment.
Le principe d'interaction implique que chaque lment peut s'informer et agir sur
l'tat des autres.
Le principe d'homostasie caractrise un systme auto-rgul, c'est dire capable
de ragir toute modification, d'origine interne ou externe, pour revenir son tat
initial.
Le principe d'quifinalit indique qu'un mme rsultat peut tre obtenu par des
voies et conditions initiales diffrentes.
Application de l'approche systmique dans l'audit bancaire.
A travers lapproche systmique, les diffrentes composantes du systme de contrle

interne seront analyses, comme suit, pour en apprcier l'efficacit :
129

__________________________________________________________________________________________
Dfinition des objectifs de contrle interne : sassurer que l'tablissement a dfini

ses objectifs en matire de contrle interne et que ceux-ci sont cohrents par rapport
aux normes professionnelles.
L'existence d'un document souvent intitul charte de contrle interne , approuv

par le conseil d"administration est un point positif. Sa large diffusion et la rfrence
permanente ce document sont des facteurs complmentaires indispensables.
Les moyens dont dispose le systme de contrle interne permettent de vrifier que
l'tablissement est rsolument engag dans la ralisation de ses objectifs.
Rle du conseil d'administration : s'assurer qu'il assume pleinement ses
responsabilits en matire de contrle interne. Les procs verbaux de ses runions
permettent de s'imprgner de son implication dans ce processus.
Distinguer notamment les rsolutions purement formelles destines se mettre en

conformit avec les textes rglementaires des rsolutions qui mettent en vidence
ses proccupations relles d'imposer ses objectifs en matire de contrle interne.
Des entretiens avec certains membres du conseil d'administration sont un facteur
important pour permettre l'auditeur de se forger une opinion sur ce degr
d'implication. Notamment avec les membres faisant partie du comit d'audit.
Rle du comit d'audit : son rle peut tre examin essentiellement par des
entretiens avec ses membres et l'examen des procs-verbaux ou des documents
qu'il a mis ou approuv.
Les points suivants sont rvlateurs de l'efficacit de son rle : composition,

pouvoirs, existence et contenu de la charte de contrle interne, nombre de runions
tenues dcisions prises durant ces runions, recommandations qu'il a mises,
rapports qu'il a soumis au conseil d'administration, etc.
Rle de la direction gnrale : sassurer que la direction gnrale est implique
dans le systme de contrle interne et remplit son rle qui est de dfinir les
stratgies et d'en suivre la ralisation.
Ce travail pourra tre ralis avec les membres de la direction gnrale. Des
entretiens avec les diffrentes units de la banque permettront d'apprcier dans
quelle mesure la direction gnrale donne les impulsions ncessaires pour imposer
ses objectifs de contrle.
Culture de contrle interne : la culture de contrle interne se constatera galement
tout au long de la mission par les entretiens avec les diffrents responsables
oprationnels et fonctionnels. Le degr avec lequel l'ensemble du personnel est
conscient des risques qu'il assume au quotidien et la manire de les grer peuvent
alors tre valus.
Audit systmique : audit multidisciplinaire du processus, de l'organisation, du
fonctionnement, des procdures,
Dans lexercice de leurs activits, les tablissements de crdit supportent diffrents

types de risques. En fonction de leur taille et de la complexit de leurs activits, les
tablissements de crdit devraient mettre en place des systmes de gestion du risque savoir les processus de dtection, de mesure et de contrle des expositions aux
risques - pour toutes les principales catgories de risques encourus.
130

__________________________________________________________________________________________
Les risques bancaires sont lis aux processus de distribution des produits et services,
au traitement des oprations, aux systmes dinformation ou des modifications de
lenvironnement dans lequel opre la banque (juridique, fiscal, contractuel,
rglementaire ou autres). Tout tablissement bancaire est confront ces risques
susceptibles de porter atteinte la qualit des services apports ses clients, sa
performance commerciale et, partant, son dveloppement dans la rentabilit.
Dans ce contexte, une mthodologie dapproche globale des risques serait
indispensable pour en tudier les principales causes et consquences, ainsi que les
mcanismes de propagation. Une telle approche - appele audit systmique permettra de dterminer les indicateurs et mesures de gestion puis les plans dactions
les mieux adapts pour les matriser.
Laudit systmique est une approche descriptive, cognitive, prospective, experte et co
systmique des dispositifs complexes. Laudit systmique tente de rpondre aux
besoins de connaissance et de modlisation prparant la conception de systmes
complexes (projet et dispositif) ainsi qu leur pilotage par le commandement et la
gestion des dcisions (management).
Cette approche permet d'avoir une vision globale et matrise des risques et doptimiser
lefficacit de la mission daudit, quelle que soit la complexit des organisations ou des
processus auditer.
Il sagit dune approche globale du risque avec un ensemble de composants modulaires
complets permettant de vrifier l'efficacit du dispositif de contrle interne par ligne
mtier, mais qui peut aussi tre intgre individuellement pour complter un systme
existant.
L'audit systmique aboutit notamment mieux connatre le profil de risque des activits
exerces (cartographie des risques), dvelopper et alimenter les outils ncessaires au
pilotage de ces risques (rfrentiel de risques par activit, indicateurs de veille et de
suivi, incidents oprationnels et pertes conscutives leur survenance).
Il vise galement amliorer et coordonner les processus de gestion existants en
intgrant, en particulier, les problmatiques de contrle interne, de scurit des
systmes dinformation, de dontologie et de plans de continuit des activits dans le
cadre dun dispositif de matrise globale des risques.
Enfin, il permettra daccrotre la responsabilit, la vigilance et la ractivit des units
oprationnelles et ainsi des risk managers qui bnficieront notamment des retours
dexpriences et de rpondre aux exigences du march (actionnaires, analystes
financiers et agences de notation) et du rgulateur.
Une dmarche dtaille d'valuation du systme de contrle interne par l'audit
systmique est dveloppe pour quatre lignes mtiers (systme d'information, salle des
marches, comptabilit et ressources humaines) dans la deuxime partie.
Audit systmique : outil de matrise et de prvention des risques pour le Risk
manager.
Le Risk Manager dune unit coordonne et supervise les diffrents travaux constitutifs
dun dispositif de surveillance et de matrise des risques encourus par cette unit.
Le management des risques concerne toutes les fonctions support ou oprationnelles
existantes de la banque (contrle interne, ressources humaines, systme dinformation,
131

__________________________________________________________________________________________
front office, middle office, back office, finance - comptabilit, conformit - dontologie,
scurit financire).
L'audit systmique permet au Risk Manager de mener bien sa mission en matire
d'identification et d'valuation des risques, de mesure et de suivi du cot de ces
risques, de prvention et de rduction de leurs impacts et enfin, de surveillance et de
matrise desdits risques.
1. Identification et valuation des risques.
La dmarche cartographique permet aux units de dtecter les risques dans les
activits ou processus de chaque domaine de leur primtre et de les hirarchiser.
Cette analyse passe par l'auto-valuation des risques et des contrles permanents de
chaque processus mtier ou support par les responsables d'activits (ex : responsables
d'un desk, d'un Back Office,).
Le Risk Manager fait tablir avec le concours des responsables concerns de son unit
la cartographie de risques de son primtre. Il maintient dans ce cadre les rfrentiels
du primtre de la banque / ligne mtier (processus, entits ).
Le Risk Manager met jour cette cartographie annuellement ou aprs chaque
changement significatif dans lorganisation de son primtre. Il est responsable de la
ralisation de la cartographie et la fait valider par le Comit de Contrle Interne ou de
risques de la banque.
2. Mesure et suivi du cot des risques (pertes et alertes).
Le Risk Manager fait recenser auprs des responsables des activits concernes les
incidents importants et les pertes lies la survenance d'un risque dans son entit.
3. Prvention et rduction des risques.
Le Risk Manager contribue dvelopper limplication des responsables de son entit

dans la gestion de leurs risques et promeut les bonnes pratiques en matire de Risk
management.
Lors du lancement de nouvelles activits et / ou nouveaux produits, le Risk Manager
sassure en liaison avec l'auditeur bancaire que leurs caractristiques ont t examines
par les spcialistes comptents sous langle des risques oprationnels (dontologie,
juridique, fiscalit, scurit des systmes dinformation, comptabilit). Il fait mettre jour
la cartographie de son primtre pour en tenir compte.
L'audit interne promeut et coordonne avec les autres fonctions risques (crdit et
march) et les fonctions support (organisation, systmes dinformation,..) les mesures
de prvention et de rduction des risques (optimisation contrles/risques, amlioration
des procdures, automatisation des processus..).
4. Surveillance et matrise des risques.
Le Risk Manager surveille lvolution des risques travers un tableau de bord trimestriel
rassemblant au minimum les lments suivants : faits marquants de la priode, risques
sensibles (processus surveiller), indicateurs cl mis en place, cot du risque et actions
majeures (prvues ou en cours).
132

__________________________________________________________________________________________
Ce tableau de bord est revu par le Comit de Contrle Interne, puis communiqu la
Direction Gnrale. Il appartient lentit, le cas chant, de faire automatiser la
collecte et le traitement des donnes ncessaires son alimentation.
En relation avec laudit interne, le Risk manager tablit, suit et coordonne le plan
dactions global damlioration du Contrle Interne. Les actions damlioration de la
matrise des risques proviennent des rsultats de la cartographie, des recommandations
des auditeurs et des rgulateurs, et de lanalyse des dysfonctionnements significatifs.
Ce plan dactions global est suivi par le Comit de Contrle Interne.
Adhsion du top management : une condition sine qua none pour lefficacit
de lapproche daudit systemique.
Pour garantir lefficacit de lapproche daudit systmique, la structure managriale de

ltablissement bancaire doit tre suffisamment sensibilise par rapport lapport
indniable de cette approche et de sa valeur ajoute en termes doutil de pilotage de la
stratgie risques, defficacit et de scurit des traitements oprationnels, defficience
du risk management et de la bonne gouvernance en gnral.
Ainsi, le top management se doit de :
rpartir clairement les rles et les responsabilits entre les divers acteurs intervenant
dans le processus de matrise des risques (l'audit interne, le contrle interne, le risk
management, la compliance, la dontologie, ) et favoriser la coordination et la
synergie entre ces acteurs ;
cerner la taxinomie et la particularit de chacun des risques inhrents l'activit
bancaire et prendre les dispositions ncessaires pour prvenir et matriser ces
risques ;
prvoir la mise en place des dispositifs de contrle interne correctifs en cas de
production ou de manifestation des risques tels que le Plan de Continuit
d'Activit(PCA), les polices dassurance, la refonte du dispositif de contrle interne,
instaurer un systme de pilotage stratgique des risques en tant destinataire via un
systme de reporting priodique (cartographie consolide des risques, indicateurs des
risques cls KRI , rapports sur le contrle interne, rapports de missions de laudit
interne), des vnements risques et des incidents survenus en mettant en relief leur
criticit, leur svrit, leur occurrence, leur (s) cause(s) (dfaillance ou insuffisance du
dispositif de contrle interne en termes defficacit ou de pertinence) et enfin, les
mesures prises ou prvues pour soit attnuer limpact financier et/ou de rputation,
soit rduire la probabilit de survenance de ces risques.
133

__________________________________________________________________________________________
L'audit systmique a modifi profondment les pratiques utilises jusque l par
l'auditeur bancaire. Instaure en globalit pour toutes les lignes mtiers ou intgre
individuellement pour complter un systme existant, une telle approche permet :
d'avoir une vision globale et matrise des risques, quelle que soit la complexit des
organisations ou des processus auditer;
de vrifier l'efficacit du dispositif de contrle interne par ligne mtier;
Enfin, daccrotre la responsabilit, la vigilance et la ractivit des units
oprationnelles et ainsi des risk managers dans la matrise, la gestion et la
prvention des risques.
Paralllement au dveloppent en interne d'outils et techniques de contrles et de
gestion des risques bancaires, l'auditeur interne apparat de plus en plus incontournable
dans le processus de supervision bancaire architectur par les organes de tutelles.
Au del de sa responsabilit de donner un avis indpendant sur la fiabilit des
dispositifs de contrle interne, l'auditeur bancaire devient ainsi un acteur incontournable
dans la prvention des risques bancaires.
Ainsi, une dmarche opratoire d'audit systmique est dveloppe pour quatre lignes
mtiers (systme d'information, salle des marches, ressources humaines et
comptabilit) dans la deuxime partie illustrant parfaitement l'originalit et la pertinence
de l'approche.
134

__________________________________________________________________________________________
Chapitre 2 :
Mission d'audit de la Direction des
Systmes d'Information.
135

__________________________________________________________________________________________
Chapitre 2 : Mission d'audit de la Direction des Systmes

d'Information.
Introduction.
Ce chapitre couvre l'audit de la fonction systme dinformation (SI) dans son ensemble.
Il a t divis en quatre domaines correspondant un dcoupage logique des axes
danalyse de ladite fonction : l'organisation et le management, la scurit, les tudes
et dveloppements et l'exploitation informatique.
La matrise de la fonction systme d'information, au sein de toute banque commerciale
comme ailleurs, passe notamment par la maitrise des quatre domaines savoir :
Une organisation claire et un management adquat avec des procdures
gnrales en place visant matriser la fonction SI dans son ensemble,
La matrise de la scurit par une analyse rgulire des risques pesant sur le
systme d'information de l'entit (scurit logique, scurit physique, et la
continuit des services),
L'efficacit, l'efficience et l'intgrit des dveloppements dapplications (en
interne ou en externe), des progiciels ou des systmes existants ayant t
modifis,
L'exhaustivit des procdures dexploitation du SI : indicateurs de qualit,
performance, planification et contrle des travaux.
Comme pour toutes les fonctions, une mission daudit SI comprendra une phase de
prparation (collecte de documents et entretiens prparatoires), une phase
dinvestigation (entretiens systmiques 23 et sondages) et une phase de rdaction. Il
conviendra de couvrir chacun des quatre domaines lors de chaque phase.
Selon limportance de la banque audite, ces quatre thmes seront dclins plus ou
moins formellement. Dans tous les cas, la mission aura pour objet dapprcier comment
sont couverts les risques lis la fonction SI.
Parmi les familles de risques recenses, seront principalement concerns les risques
d'efficacit, d'efficience, de confidentialit, d'intgrit, de disponibilit, de conformit,
juridique et d'image.
Laudit des systmes dinformation devra mesurer le niveau des risques, leur volution,
et lavancement des plans dactions correcteurs.
Le prsent chapitre reprend :
pour la phase de prparation, la liste des documents recueillir et des
entretiens mener,
pour la phase dinvestigation, dans chacun des 4 domaines, les objectifs, les
points de contrle, les familles de risques associes et les natures des risques
et enfin les sondages et les documents requis.
23
Audit de processus : organisation, fonctionnement, procdures,
136

__________________________________________________________________________________________
Pour la phase de synthse, une liste de sondages qui pourraient tre repris
dans le rapport.
Prparation.
Ds le dbut de la phase prparatoire de la mission, les auditeurs remettent la
Direction des Systmes dInformation (DSI) une liste de documents leur envoyer et/ou
tenir leur disposition :
Organigramme de la DSI ;
Liste des comits auxquels participe le responsable SI ;
Description des missions / rles / responsabilits des principaux dpartements
de la DSI ;
Liste des sites informatiques (dveloppement,
archivage,) et des principaux sites utilisateurs ;
production,
back-up,
Liste des principales socits externes prestataires de services informatiques,

avec indication de la nature et de limportance (quantitative/qualitative) des
services rendus ;
Documents budgtaires de synthse des exercices N et N-1
chiffres et dossiers daccompagnement valids) ;
(donnes
Documents de synthse rcents relatifs aux grandes orientations stratgiques

/ schmas directeurs / principaux projets informatiques (exemple : plan
triennal, notes dorientation stratgique,) ;
Documents de synthse de prsentation des architectures matrielles,
logicielles et rseaux (incluant les principales interconnexions avec
lextrieur);
Documents de synthse de la cartographie applicative et de prsentation des
principales applications sur les diffrentes plates-formes ;
Comptes-rendus rcents (ex : 6 derniers mois) des principaux Comits
informatiques (internes DSI / inter-Directions / de Direction Gnrale) ;
Rapports de synthse dactivit rcents de la DSI diffuss la Direction
Gnrale / aux Directions utilisatrices (ex : rapport annuel, derniers
rapports mensuels / trimestriels,).
Accs au systme dinformation de la banque audite.
En cas de besoin daccder au rseau local de la banque pour des investigations,

demander que les ordinateurs des auditeurs de la mission soient connects avec des
droits daccs en lecture uniquement (et pour la dure de la mission) sur les
rpertoires de production des serveurs du rseau local.
En cas de besoin pour les membres de la mission de disposer dun rpertoire partag,
demander la mise disposition dun tel rpertoire, sur un serveur de fichier de la
banque. Ne pas oublier de nettoyer ce rpertoire en fin de mission avant de quitter la
banque.
Pour les systmes de production centraux, demander lattribution dun ou plusieurs
comptes utilisateurs ayant toutes les fonctions de consultation et dimpression sur les
137

__________________________________________________________________________________________
programmes et donnes de production. Demander expressment de navoir aucune

possibilit de cration ou de mise jour des donnes et programmes de production.
Investigation.
Rappel de larborescence de la dmarche daudit systmique :
Mission : nom de la mission objet de laudit.
Thme : libell du thme auditer.
Sous-thmes : libell du sous-thme appartenant au thme audit.
Objectifs/points de contrle : points de contrle vrifier via un questionnaire.
Risques : risques inhrents au thme/sous-thme audit.
Approches daudit et sondages : approches daudit et de sondages raliser.
Mission d'audit de la Direction des Systmes d'Information.

1. Organisation et management.
Ce domaine concerne l'organisation et les procdures gnrales en place visant
matriser la fonction SI dans son ensemble travers :
une organisation claire et des dfinitions de responsabilits prcises,
une planification court, moyen et long terme formalise des volutions des
systmes d'information,
la mise en oeuvre de procdures internes formalises, notamment en matire
budgtaire et de suivi dactivit,
la formalisation des relations avec les utilisateurs et leurs matrises douvrage,
la mise en uvre de dispositifs de pilotage et de contrle.
1.1 - Structure et organisation gnrale

Organisation et responsabilits de la fonction.
Objectifs/points de contrle.
Existe-t-il un organigramme hirarchique et fonctionnel de la fonction informatique, est-il
mis jour rgulirement ?
La dfinition de la fonction Informatique est-elle clairement tablie (missions et
responsabilits) et la position de la fonction au sein de l'entit lui permet-elle
d'exercer ses missions de faon satisfaisante ?
L'organisation de la fonction Informatique est-elle adapte aux rles et responsabilits
qui lui ont t attribus par la Direction Gnrale de la banque ?
Risques.
Efficacit, Efficience
138

__________________________________________________________________________________________
Approches daudit & sondages.

Pour quelques postes figurant sur l'organigramme informatique, vrifier que le titulaire
effectif du poste au sein de la Direction informatique correspond bien la personne en
charge du poste sur l'organigramme.
Prendre connaissance de la dfinition des missions et des responsabilits relatives
l'exercice de la fonction.
Analyser les relations hirarchiques, le pouvoir dcisionnel et le positionnement par
rapport aux autres fonctions. Le rattachement de la fonction informatique doit tre le
plus lev possible (en principe la Direction Gnrale de la banque).
Analyser la structure de la Direction informatique au travers de son organigramme, en le
rapprochant des missions et responsabilits dfinies par la Direction Gnrale de la
banque.
Rles et responsabilits des diffrents postes.
Existe-t-il une dfinition de poste prcisant les rles et responsabilits pour chaque
poste figurant sur l'organigramme de la Direction informatique, et est-elle applique
dans les faits ?
Existe-t-il une procdure formalise prcisant les responsabilits des personnes au
sein de la Direction informatique concernant les dlgations de signature ?
Risques.
Efficacit, efficience, conformit.
Pour un certain nombre de postes de la Direction informatique, vrifier que la description
de poste comporte les lments suivants : objet du poste, missions, rles et
responsabilits, rattachements hirarchiques et fonctionnels, principales relations avec
dautres postes internes et externes la Direction informatique. De plus, interroger la
personne qui occupe le poste pour s'assurer qu'il connat sa description et qu'il
lapplique.
S'assurer notamment de la formalisation des autorisations pour les embauches, la
dfinition de l'organisation interne, le lancement des projets, les achats et le recours
des prestations externes.
Sparation des tches.
L'organisation et le fonctionnement effectif de la fonction informatique respectent-ils
une correcte sparation des tches incompatibles?
Risques.
Efficacit, efficience.
Confidentialit, intgrit.
Consulter l'organigramme et dterminer la sparation des tches en vigueur.
139

__________________________________________________________________________________________
Par analyse des travaux effectus par quelques personnes, vrifier qu'elles ne ralisent
pas dans la pratique des tches d'autres personnes, lencontre dune correcte
sparation des tches.
Stratgie informatique
Une stratgie claire et cohrente a-t-elle t dfinie et formalise en matire de
systmes d'information, et est-elle respecte ?
Les dcisions cls en matire de systmes d'information sont-elles soumises un
Comit runissant la Direction Gnrale, les matrises d'ouvrage et les matrises
d'uvre de la banque ?
Risques.
Consulter les documents dcrivant cette stratgie.
S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas
dorientations importantes apparaissant comme incohrentes avec la stratgie.
S'assurer que ces orientations stratgiques sont respectes et que les matrises
douvrage sont consultes loccasion des orientations prises par la banque.
Se faire communiquer la note ou l'instruction de la Direction Gnrale de la banque
instituant le Comit dcisionnel en matire de stratgie informatique.
Examiner par rapport la structure gnrale de la banque la reprsentativit de ce
Comit.
Examiner les procs-verbaux ou les comptes rendus des runions les plus rcentes de
ce Comit et vrifier si les principales dcisions stratgiques en matire d'volution des
SI ont bien t prises dans le cadre de ce Comit.
Schma directeur / plan informatique :
Les orientations stratgiques, en matire de systmes dinformation, approuves par
la Direction Gnrale de la banque, sont-elles dclines sous la forme d'un schma
directeur / plan informatique, priodiquement mis jour, reprenant ces orientations et
recensant les projets envisags court et moyen terme dans le cadre de leur mise
en uvre ?
Les prconisations du schma directeur des systmes d'information font-elles l'objet
d'un suivi (avec un reporting) de mise en oeuvre priodique et formalis l'intention de
la Direction Gnrale de la banque ?
Risques.
Rcuprer le schma directeur / plan informatique.
Analyser son processus d'laboration et de mise jour, et notamment le lien avec les
orientations stratgiques approuves par la Direction Gnrale de la banque.
Slectionner quelques projets et s'assurer quils sont en ligne avec ces orientations
stratgiques.
140

__________________________________________________________________________________________
S'assurer que ce suivi est effectu, soit dans le cadre d'un Comit runissant les
principaux responsables de la banque, y compris la Direction Gnrale, soit par un
reporting formalis ces responsables.
1.2 - Conduite des activits.

La fonction informatique est-elle dote des moyens permettant un pilotage efficace
de son fonctionnement et de son volution ?
La fonction informatique dispose-t-elle des moyens financiers adapts sa mission
et ceux-ci sont-il grs et contrls de faon adquate ?
Un budget informatique est-il labor en conformit avec le processus budgtaire
global de l'entit, recense-t-il l'ensemble des dpenses et des recettes associes aux
systmes d'information, et fait-il l'objet d'un suivi formalis ?
Risques.
Se procurer le budget informatique.
Vrifier en particulier que l'laboration de ce budget fait l'objet d'une concertation
suffisante entre les Directions de l'entit afin de tenir compte des orientations des
Directions "utilisatrices" de l'informatique.
Se procurer les documents de suivi du budget informatique.
Vrifier en particulier ladquation de lanalyse des carts entre le budgt et le ralis,
et de la justification du prvisible.
Plans de travail.
Le plan informatique long terme est-il rgulirement traduit en plans de travail
court terme qui prvoient laffectation des ressources humaines et matrielles ? Ces
plans sont-ils priodiquement rexamins et mis jour ?
Les plans de travail sont-ils cohrents par rapport aux budgets informatiques ?
Risques.
Demander la communication des versions successives des plans informatiques court
terme et vrifier leur cohrence avec le plan long terme. S'assurer que ces plans
incluent les dveloppements, la maintenance, et qu'une marge de manuvre est
conserve afin de raliser des travaux exceptionnels et urgents.
Sassurer que les travaux prvus aux plans de travail sont cohrents par rapport aux
lignes budgtaires approuves par la Direction Gnrale de la banque.
141

__________________________________________________________________________________________
Pilotage et suivi de l'activit.

Des instances permanentes ou ponctuelles permettent-elles de piloter de manire
adquate les activits conduites par la fonction informatique de la banque ?
Des tableaux de bord de gestion, comportant un ensemble pertinent et complet
d'indicateurs, sont-ils labors et exploits pour le pilotage de la fonction
informatique au sein de la banque ?
Un reporting priodique de l'activit de la fonction informatique de la banque est-il
effectu auprs de la Direction Gnrale de la banque ?
Risques.
Recenser les instances existantes et analyser leurs modalits de fonctionnement.
Rcuprer les traces formelles des runions de ces instances et vrifier que des
dcisions y sont prises et suivies d'effet.
Collecter les diffrents tableaux existants et analyser leur contenu. Vrifier qu'ils
contiennent des indicateurs relatifs aux diffrentes activits de la fonction informatique, y
compris les principales volutions de la structure (effectifs / organisation...), les
principaux dveloppements, la volumtrie en exploitation, les principaux incidents, et
des lments de suivi budgtaire. Dterminer si ces tableaux de bord sont utiliss pour
des dcisions de gestion.
Prendre connaissance de ce reporting et vrifier qu'il reprend fidlement les principaux
indicateurs relatifs l'activit de la fonction informatique.
Moyens techniques.
Dispose-t-on d'un inventaire jour de tous les quipements24 avec leur emplacement
et leurs connexions ?
Des inventaires physiques priodiques sont-ils effectus et existe-t-il un
rapprochement priodique avec la comptabilit ?
Existe-t-il une gestion de la performance et de la capacit des quipements ?
Risques.
Apprcier l'exhaustivit, la lisibilit, et les procdures de mise jour de cet inventaire.
Obtenir les rsultats du dernier inventaire physique : apprcier les procdures mises en
oeuvre, y compris lanalyse des carts et le rapprochement avec la comptabilit.
Obtenir le reporting correspondant : apprcier la couverture des quipements
concerns, et dterminer si ce reporting permet danticiper correctement des
modifications de configuration pour amliorer les performances et la capacit de
traitement.
24
Equipements concerns: serveurs, postes de travail, imprimantes, quipements rseau (routeurs, multiplexeurs, concentrateurs, modems...)
142

__________________________________________________________________________________________
Gestion des ressources humaines

La fonction Informatique dispose-t-elle des ressources humaines adaptes ses
missions ?
La dure moyenne de formation (interne/externe) du personnel est-elle suffisante par
rapport aux besoins et aux volutions technologiques ?
La fonction SI gre-t-elle ses ressources partir d'un plan de gestion formalis?
Le turn-over des collaborateurs est-il limit (de lordre de 5 15% par an) ?
Des mesures ont-elles t prises de manire viter que toute fonction essentielle
dpende de la prsence d'une personne cl unique (back-up des comptences) ?
A-t-on le sentiment que le climat social est correct et qu'il n'y a pas redouter
d'action bloquante pour l'exploitation informatique ou d'action interne malveillante?
Risques.
Disponibilit, intgrit, confidentialit.
Recenser le personnel de la fonction informatique.
Analyser pour les diffrents responsables et catgories de personnel, leur formation
initiale et complmentaire, ainsi que leur exprience vis vis des postes occups.
S'assurer que la dure de formation est suffisante (suprieure 5 jours par an et par
personne), notamment dans les domaines volutifs (net, rseaux / telecom ...) et dans la
conduite de projets,...
S'assurer que la planification de la fonction informatique intgre la gestion des
ressources.
Vrifier que le personnel peut voluer en fonction de ses aptitudes au sein de la fonction
informatique.
Identifier les raisons d'un ventuel turnover important. S'assurer que des mesures ont
t prises pour le rduire : prime, formation, volution de carrire, ...
Identifier les personnes cls de la fonction sur lesquelles reposent des responsabilits
ou connaissances importantes (ex: chef de projet, responsable de l'exploitation, ...).
Vrifier l'existence d'une personne susceptible de les remplacer en cas d'absence
temporaire ou dfinitive.
1.3 - Gestion des projets.

La banque a-t-elle tabli une structure gnrale de gestion de projets qui dfinit la
mthodologie appliquer pour chaque projet entrepris ? Cette mthodologie couvret-elle, au minimum, lattribution des responsabilits entre la Matrise dOuvrage
(MOA) et la Matrise duvre (MOE), le jalonnement des tches, ltablissement et le
suivi du budget temps et ressources, les points de contrle et de validation ?
La MOA des dpartements utilisateurs participe-t-elle systmatiquement la
dfinition et lautorisation dun projet de dveloppement, de mise en uvre ou de
modification ?
La mthodologie de gestion de projet prvoit-elle lapprobation dun projet par la
Direction Gnrale de la banque et lapprobation des diffrents lots et des diffrentes
phases par la MOA ?
143

__________________________________________________________________________________________
La mthodologie de gestion de projet prvoit-elle une mthode et un contrle du

suivi des charges de travail et des dpenses engages tout au long de son
dveloppement ?
Tout projet fait-il l'objet d'une dmarche mthodologique et de l'utilisation d'outils de
suivi normaliss ?
Le suivi des projets se fait-il de manire rigoureuse pour viter tout drapage non
contrl en termes de dlais et de cots ?
Risques.
Se faire communiquer et apprcier la mthodologie de gestion de projet retenue par la
banque.
Slectionner un chantillon de projets en fonction de leur taille et de leur criticit.
Pour chacun des projets de lchantillon, tudier la cohrence et la pertinence de la
mthodologie effectivement applique.
Se faire communiquer les documents attestant de la participation de la MOA des
dpartements utilisateurs (note de cadrage, cahier des charges, avant-projet,...).
Vrifier sur lchantillon slectionn que les projets ont t formellement autoriss par la
Direction Gnrale de la banque et que la MOA approuve chaque lot et chaque phase
du cycle de dveloppement des projets.
Contrler les documents de suivi des projets (contrle de gestion).
Vrifier lexistence dune mthodologie et doutils de suivi de projet normaliss.
Vrifier sur lchantillon slectionn que les projets sont suivis par une instance
adapte, partir d'un reporting adquat des travaux effectus, et vrifier lutilisation
effective de la mthodologie et des outils de suivi.
Analyser les diffrences entre les plannings et cots initialement prvus et effectivement
constats en fin de projet.
1.4 Gestion de la qualit.

Une personne est-elle en charge de la qualit interne, ou vis--vis des tiers, des
prestations de la fonction informatique de la banque ?
Des niveaux de services ont-ils t dfinis et sont-ils rgulirement mesurs pour
valuer la qualit des prestations fournies ses clients (internes / externes) par la
fonction informatique de la banque ?
Risques.
Prendre connaissance de la dfinition de fonction de la personne en charge de la
qualit.
Vrifier que ce poste dispose de moyens ncessaires la ralisation de ses objectifs.
Recenser les domaines dans lesquels existent des conventions de services.
Sassurer que les indicateurs sont pertinents et mesurables de manire objective, et quil
y a eu concertation entre la fonction informatique et ses clients pour leur dtermination.
144

__________________________________________________________________________________________
Vrifier que des mesures rgulires des niveaux de services sont effectues laide de
ces indicateurs, et que des actions damliorations sont engages le cas chant
partir de ces mesures.
1.5 - Assurances.
Le choix des garanties en matire informatique correspond-il une stratgie
rsultant d'une tude spcifique, valide par la Direction Gnrale de la banque ?
Le systme informatique est-il couvert par un contrat d'assurance couvrant les
dommages matriels ?
La banque a-t-elle souscrit un contrat couvrant les frais supplmentaires
dexploitation en cas de sinistre ?
La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de
mdias25?
La banque a-t-elle souscrit d'autres contrats lis aux prcdents (Globale
informatique, Responsabilit civile, Pertes d'exploitation, etc...) ?
Risques.
Vrifier que le montant et la nature des risques couverts ont t dtermins par une
tude prcise portant notamment sur le matriel (configuration centrale, rseaux...), les
risques de fraude ou de dtournement, les cots de reconstitution de supports, les
pertes d'exploitation ventuelles, etc ...
Vrifier que les risques suivants sont bien mentionns : la dtrioration d'origine externe
mais aussi interne, d'ordre lectrique ou mcanique, les phnomnes naturels, le vol ou
la tentative de vol de matriel (s'assurer que le contrat inclut une garantie de vol sans
effraction).
S'assurer que le contrat d'assurance prend bien en charge les frais supplmentaires
d'exploitation, c'est--dire ceux qui sont mis en uvre au moment du sinistre, la
couverture du back-up, les biens et services de remplacement, les frais supplmentaires
de transport et de main d'uvre.
S'assurer que le contrat couvrant les frais de reconstitution des mdias concerne les
programmes dvelopps pour les besoins spcifiques de l'entreprise et les adaptations
des progiciels aux besoins particuliers de l'entreprise.
Vrifier que les sauvegardes correspondantes existent et sont effectues rgulirement,
pour rendre possible la mise en jeu de la garantie.
Vrifier que les risques couverts par les diffrents contrats sont complmentaires, non
redondants, et cohrents par rapport la stratgie dassurance de la banque.
1.6 Conformit aux lois / rglements et aux normes.

Des mesures ont-elles t prises pour faire respecter la lgislation concernant la
protection de la proprit des logiciels 26 ?
25
26
Il s'agit des moyens de stockage de type "unit disques" contenant programmes et donnes utiliss pour le fonctionnement des systmes informatiques
Il s'agit essentiellement de la protection contre le piratage informatique (copie, utilisation et diffusion illicites de logiciels).
145

__________________________________________________________________________________________
Risques.
Conformit.
Vrifier notamment que les logiciels font lobjet dune licence.
1.7 - Ethique et dontologie.

Le rglement intrieur comporte-t-il des dispositions spcifiques en matire d'thique
et de dontologie concernant l'usage du systme d'information ?
Remet-on des documents ad hoc aux nouveaux arrivants dans l'entit et leur fait-on
le cas chant signer des documents relatifs leurs obligations en matire d'usage
du systme d'information ?
Risques.
Conformit, disponibilit.
Intgrit, confidentialit.
Juridique, image.
S'assurer qu'il existe une dfinition claire et prcise des droits et devoirs auxquels sont
soumis les intervenants sur le systme d'information, et que ces lments sont dment
communiqus aux personnes concernes.
Vrifier qu'en cas de non respect, des sanctions sont prvues et appliques.
Se procurer ces documents (ex : moyens mis en oeuvre par lentreprise pour contrler
lutilisation des services Internet mis la disposition du personnel).
Si un document est sign par les nouveaux arrivants, s'assurer du caractre
systmatique de cette procdure sur un chantillon.
1.8 Veille et standards technologiques.
Une fonction de veille technologique a-t-elle t dfinie ?
Quels sont ses objectifs et les moyens qui lui sont allous ?
Les travaux effectus font-il lobjet dune formalisation ?
La fonction informatique labore-t-elle et diffuse-t-elle des normes / standards pour
lensemble des domaines placs sous sa responsabilit ?
Risques.
Si cette fonction existe, vrifier quelle dispose de suffisamment de moyens pour tre
rellement oprationnelle.
Se procurer et analyser les documents produits et diffuss.
Recenser ces standards en matire de scurit, darchitecture technique / fonctionnelle,
de conduite de projet, de dveloppement, dexploitation, de micro-informatique, et
vrifier que ces standards sont respects.
146

__________________________________________________________________________________________
1.9 - Gestion des services assurs par des tiers.
Chaque prestation confie en externe est-elle contractualise et rgulirement suivie et
contrle par un responsable de la banque clairement identifi ?
Les contrats avec les prestataires de services informatiques font-ils l'objet d'une
validation par le dpartement juridique et/ou la Direction des Achats avant signature ?
Les contrats incluent-ils systmatiquement une clause d'auditabilit des prestations
fournies, prcisant les modalits daudit ?
Les contrats de sous-traitance incluent-ils systmatiquement une clause de rversibilit,
prcisant les modalits de reprise en interne des prestations ?
Risques.
Conformit, efficience, efficacit, conformit, juridique.
Identifier les principales prestations externes, et vrifier pour chacune delles l'existence
dun contrat, dun responsable du suivi de la prestation et de procdures de suivi et de
contrle effectives (en principe sur la base de conventions de service).
Interroger le dpartement juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont)
t consult(s) sur des contrats rcemment signs par la fonction informatique avec des
tiers. Vrifier sur un chantillon que les avis mis sont formaliss.
Recenser les contrats et vrifier l'existence d'une telle clause et sa porte effective.
Recenser les contrats de sous-traitance et vrifier l'existence d'une telle clause et son
applicabilit effective.
1.10 - Contrle indpendant de lactivit informatique.

Des audits internes et externes de la fonction informatique sont-ils effectus de manire
rgulire, et donnent-ils lieu des plans dactions correctrices ?
Risques.
Recenser ces audits et vrifier que les recommandations ont fait lobjet de plans
dactions correctrices.
Sassurer que le primtre de ces missions couvre lensemble de la fonction
informatique (absence de sanctuaire ).
1.11 - Evaluation des risques.
Existe-t-il une valuation rgulire des risques informatiques qui pourraient mettre en
pril la ralisation des objectifs de la banque ?
Cette valuation constitue-t-elle une base afin de dterminer comment grer les risques
pour les rduire un niveau acceptable ?
Existe-t-il un plan dactions visant mettre en uvre des contrles et des mesures de
147

__________________________________________________________________________________________
scurit pour diminuer lexposition aux risques et ce de faon permanente ?

Une mise jour des analyses et des actions et est-elle priodiquement effectue en
tenant compte notamment des rsultats des audits, et des incidents constats ?
Existe-t-il une acceptation formelle des risques rsiduels (aprs mise en oeuvre des
plans dactions correctrices) par le management, en fonction de lestimation des risques,
de la politique organisationnelle, de lincertitude inhrente lapproche mme de
lvaluation des risques et du rapport cot / efficacit de la mise en uvre des mesures
de protection et de contrle ?
Les risques rsiduels sont-ils compenss par une couverture dassurance adquate ?
Risques.

Prendre connaissance des rsultats des analyses rcentes des risques informatiques.
Sassurer que lvaluation des risques se fait de manire intgre au niveau gnral des
activits de la banque et au niveau spcifique des systmes dinformation de la banque.
Prendre connaissance des plans dactions existants visant rduire les risques
identifis.
Dterminer si ces plans dactions adressent les principaux risques identifis.
Dterminer si les risques rsiduels sont clairement identifis et formellement accepts
par les responsables de la banque, sur des bases objectives.
Dterminer si les risques rsiduels sont correctement couverts par des assurances.
2. Scurit.
2.1 - Cadre de la scurit
La scurit du systme d'information est-elle une proccupation effective au sein de la
banque ?
Cette proccupation s'est-elle traduite par la mise en place d'une organisation, de
procdures et d'outils adapts, permettant la matrise effective des risques auxquels se
trouve expose la banque en matire d'organisation informatique et de systmes
d'information ?
Les aspects de scurit informatique sont-ils intgrs dans les politiques et procdures
de la banque 27?
Risques.
Disponibilit, intgrit, confidentialit, efficacit, efficience.
Interroger des membres du personnel de la banque tout chelon hirarchique sur le
sujet.
Rechercher dans les politiques et procdures de scurit informatique de la banque des
lments accrditant le caractre effectif de cette proccupation.
27
Ressources humaines, communication, juridique, dontologie, gestion des risques, ...
148

__________________________________________________________________________________________
Rechercher la prsence d'une charte scurit dfinissant les rles et responsabilits,

ainsi que les droits et devoirs, de chaque type dintervenants de la banque vis vis de la
scurit.
Faire de mme pour les exigences lgales et rglementaires en matire de scurit des
systmes d'information.
Procder par interview et/ou par examen des procdures existantes.
2.2 - Analyse des risques
Une cartographie des risques de la banque lis la scurit des systmes
dinformation a-t-elle t ralise/mise jour depuis moins dun an ?
La banque a-t-elle dtermin le niveau de scurit informatique jug souhaitable par
rapport aux exigences de ses mtiers ?
La banque a-t-elle effectu une classification selon les critres de la sensibilit /
criticit des processus et des informations en fonction de limpact quun sinistre
touchant ces processus et ces informations aurait sur la banque ?
Des missions priodiques de contrle visant spcifiquement la mise en uvre de la
scurit des systmes dinformation sont-elles ralises ?
Existe-t-il au sein de la banque des tableaux de bord / indicateurs priodiques de
mesure et de pilotage des risques lis la scurit des systmes dinformation ?
28
29
30
31
Risques.
Disponibilit, intgrit, confidentialit, conformit.
Analyser la pertinence de cette tude qui doit comprendre un primtre, une
mthodologie, une valuation des diffrents types de risques lis la scurit
informatique, et le plan dactions pour traiter ces risques.
Prendre connaissance de la manire dont ce niveau a t dfini (par exemple, par une
tude de vulnrabilit et/ou lutilisation dune classification32 dtermine par les
propritaires des processus / des informations).
Sassurer de la couverture de lensemble des processus et des informations de la
banque, notamment dans les domaines transverses (gestion des clients, flux).
Vrifier que ce travail a t effectu par les propritaires ou par des responsables
utilisateurs reprsentatifs et ayant une bonne connaissance de leur activit.
Se procurer les rapports de ces missions.
Analyser lexhaustivit et la priodicit de ces missions sur le primtre de la scurit de
la banque et leur degr dapprofondissement et de pertinence.
Vrifier que leurs conclusions servent mettre jour la cartographie des risques au
travers de lapprciation du contrle interne.
Se procurer, quand ils existent les tableaux de bord / indicateurs existants, et vrifier le
niveau de couverture des diffrents types de risques au travers de ces outils.
28
Technologie, scurit, continuit de service, rglementation, etc

Les tablissements de crdit dterminent le niveau de scurit informatique jug souhaitable par rapport aux exigences de leurs mtiers.
Incidents, erreurs, indiscrtion, fraude, sabotage
31
Audit interne et externe, contrles du responsable scurit, ...
32
Disponibilit, Intgrit, Confidentialit, Preuve
29
30
149

__________________________________________________________________________________________
2.3 - Plan scurit.
Existe-t-il au sein de la banque un plan scurit des systmes d'information remis jour
priodiquement et dont la mise en uvre est suivie rgulirement ?
Ce plan a-t-il t tabli partir d'lments objectifs ?
Ce plan couvre-t-il bien l'ensemble des systmes informatiques de la banque ?
Risques.
Disponibilit, Intgrit, Confidentialit, Efficacit, Efficience.

Analyser le contenu du plan scurit33.
Etudier les modalits de mises jour du plan : volution des configurations matrielles
et logicielles / applicatives, recommandations faites sur la scurit (audit interne ou
externe, responsable scurit, ...).
S'assurer de la correcte mise en uvre des actions du plan en termes de contenu et de
dlais (consulter notamment les comptes rendus des instances de pilotage et de suivi
de la scurit).
Vrifier que l'laboration du plan s'est effectue partir d'une valuation des risques ou
d'audits scurit.
Vrifier le niveau de couverture des systmes dinformation partir de linventaire
disponible. S'assurer notamment que les micro-ordinateurs (autonomes ou connects
au rseau) et l'I*net34 sont couverts par le plan.
2.4 - Organisation, responsabilits et instances.
Existe-t-il un Comit charg d'tudier tous les problmes lis la scurit, se runissant
priodiquement et dont les travaux sont formaliss ?
La scurit informatique dispose-t-elle au sein de la banque d'un poste spcifique
(Responsable de la Scurit des Systmes d'Information) sur l'organigramme, avec un
rattachement hirarchique lev assorti d'une dfinition de fonction et d'un budget
spcifique ?
Existe-t-il des administrateurs de scurit, distincts du responsable scurit , chargs
de la gestion quotidienne de la scurit et des accs ?
Existe-t-il des propritaires nommment dsigns des processus / traitements et des
informations / donnes, responsables des rgles, procdures et autorisations
d'utilisation des processus et des informations dont ils ont la charge ?
Existe-t-il au sein de la banque une sensibilisation et une information rgulire de
l'ensemble des utilisateurs concernant les problmes de scurit ?
Les rgles de scurit informatique respecter sont-elles intgres dans les contrats
/Conventions de services signs par les prestataires externes ?
L'utilisation des postes de travail (autonomes ou connects un rseau local) fait-elle
l'objet de procdures de scurit particulires dont la mise en uvre est contrle ?
35
33
Il doit comprendre une valuation quantitative des risques, une dfinition des risques intolrables (en liaison avec les utilisateurs), les moyens de scurit existants, ceux
mettre en place, le planning et les priorits, un budget annuel de la scurit, les principes et rgles de scurit mettre en place, ainsi que les responsabilits et dates prvues
de mise en oeuvre
34
Internet, Extranet, Intranet
35 Pour les entits de taille importante, il est recommand que le responsable scurit n'administre pas lui-mme la scurit.
150

__________________________________________________________________________________________
Risques.
Disponibilit, intgrit, confidentialit, efficacit, efficience.
Se procurer le document dcrivant les objectifs et le fonctionnement du Comit.
Analyser sa composition, rcuprer les derniers comptes-rendus et valuer la ralit de
son rle dans le domaine de la scurit.
Prendre connaissance de la dfinition de fonction du responsable scurit.
Vrifier que le rattachement du poste se fait au moins au niveau du responsable
informatique et de prfrence directement la Direction Gnrale de la banque (pour
garantir son indpendance).
S'assurer qu'il dispose de vritables moyens pour assumer sa fonction (temps, budget,
comptences, ...).
Prendre connaissance de leur dfinition de fonction.
S'assurer que leurs travaux sont correctement tracs et contrls priodiquement par le
responsable scurit.
S'assurer de la couverture de l'ensemble des activits de l'entit notamment dans les
domaines transverses (gestion des fichiers clients, flux...) par ces propritaires.
Prendre connaissance des rles et responsabilits des propritaires et de la ralit de
leur action.
Interroger des membres du personnel de la banque tous les chelons hirarchiques et
valuer leur degr de sensibilisation et d'information.
S'assurer de l'existence de supports pour la sensibilisation / l'information36.
Vrifier, dans la manire de travailler du personnel, que la scurit est une
proccupation permanente.
Examiner quelques contrats / conventions. Vrifier notamment qu'ils prcisent que
toutes les rgles37 et procdures de la banque relatives la scurit doivent tre
respectes et qu'elles ont t portes au pralable la connaissance des prestataires.
2.5 Scurit logique.

Lintgrit des informations enregistres dans (et restitues par) les systmes
informatiques est-elle prserve par les dispositifs de scurit logique mis en place ?
De mme, la confidentialit des informations sensibles est-elle prserve ?
Risques.
Intgrit, confidentialit.
Sassurer que les contrles mis en place a priori (identification / authentification,
habilitations, ) et a posteriori (revue priodique des habilitations, analyse des logs, )
sont complmentaires et permettent de prserver lintgrit et la confidentialit des
informations.
36
37
Par exemple: charte de scurit, formation / action de sensibilisation (journal interne, ...)
Clause de confidentialit, rgles d'accs aux matriels, logiciels, donnes et documentations en plus des procdures applicables l'ensemble du personnel
151

__________________________________________________________________________________________
2.6 - Dispositifs / outils de scurit logique.
La gestion des droits d'accs est-elle prise en charge par un logiciel spcifique et/ou un
composant du systme de base ?
L'accs aux fonctions de gestion / d'administration des habilitations et des paramtres
de scurit est-il strictement limit ?
Risques.
Analyser l'architecture de la scurit d'accs et les systmes de scurit en place38 pour
accder aux traitements et donnes informatiques.
S'assurer qu'elle couvre tous les systmes : serveurs centraux (mainframe), serveurs
dcentraliss, micro-ordinateurs connects ou connectables, rseaux,...
Lister les utilisateurs ayant accs ces fonctions. S'assurer que cette liste est limite
aux personnes en charge de l'administration de la scurit.
2.7 Identification et authentification.
Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse,
cl ou carte personnelle, ) effectivement utilises et conditionnant laccs aux
systmes dinformation et leurs donnes ?
Risques.
Disponibilit, Intgrit, Confidentialit.
Sassurer, pour quelques systmes / donnes sensibles slectionns, que chaque
utilisateur dispose de son propre identifiant (le partage au travers didentifiants
gnriques tant proscrire) pour y accder.
Vrifier que les mcanismes didentification et dauthentification couvrent tous les points
daccs39 aux systmes informatiques.
Sassurer que des procdures sont en place afin de prserver lefficacit des
mcanismes dauthentification par mot de passe.
2.8 - Procdure de gestion des habilitations.
Existe-t-il une procdure de gestion des profils et des habilitations des utilisateurs,
incluant une approbation formelle pour l'octroi des droits d'accs ?
Chaque utilisateur n'a-t-il accs qu'aux systmes et aux donnes qui lui sont
ncessaires la ralisation des tches propres sa fonction ?
Des prcautions sont-elles prises pour la protection de l'accs aux donnes
confidentielles conserves sur ordinateur personnel, rseau local ou messagerie.
38
39
Pour les utilisateurs et les informaticiens (interne et externes)

Connexion par le rseau commut et les autres voies d'entre sur le systme (rseau local principalement)
152

__________________________________________________________________________________________
Risques.
Vrifier si la procdure traite l'ensemble des vnements de la gestion des habilitations
(cration, modification, suppression) incluant une demande crite et sa validation
formelle.
Pour quelques utilisateurs sur quelques systmes sensibles, vrifier l'existence des
demandes et leur validation formelle.
S'assurer galement que les ajouts d'accs font l'objet d'une demande et que la
suppression / modification des profils / habilitations est rapide aprs le dpart / la
mutation dun collaborateur. Pour cela, prendre la liste les derniers dparts et mutations
au sein de l'entit.
Sur quelques systmes sensibles, faire un sondage principalement pour quelques
utilisateurs ayant des accs privilgis (trs tendus). S'assurer que chaque utilisateur
n'a que les accs (en consultation, ajout, modification ou suppression) qui lui sont
ncessaires.
2.9 - Interconnexions avec lextrieur.
Tous les systmes informatiques / serveurs de la banque accds depuis lextrieur
sont-ils correctement scuriss ?
Dans le cadre dchanges ou de transactions lectroniques entre la banque et
lextrieur, les procdures en place permettent-elles de vrifier lauthenticit de la
contrepartie extrieure, de garantir lauthenticit et la non-rpudiation et des changes
ou des transactions ?
Lintgrit des changes ou des transactions lectroniques entre la banque et lextrieur
est-elle garantie par des dispositifs adapts ?
Les procdures permettent-elles de garantir la protection des cls de chiffrement (cls
SWIFT notamment) ?
Face aux virus, des mesures adquates ont-elles t mises en uvre pour la
prvention, la dtection et la correction ?
Lutilisation des services Internet par le personnel de la banque est-elle effectue dans
des conditions scurises ?
Si la banque a mis en uvre des sites Internet, Intranet ou Extranet, des tudes de
scurisation de ces sites ont-elles t menes ?
Ces sites, comme les connexions des utilisateurs ceux-ci, ont-ils t correctement
scuriss par le biais de lutilisation de pare-feu (Firewall ) et de DMZ , et de
protocoles tels que SSL pour les connexions ?
A-t-on recours des socits de services informatiques pour simuler des attaques
externes (tests dintrusions) afin dvaluer et damliorer le cas chant le niveau de
scurit en place ?
Avant de rendre oprationnel un site, une tude est-elle soumise au service juridique
comptent afin de sassurer du correct traitement des aspects juridiques, fiscaux,
rglementaires et prudentiels ?
40
41
42
40
Pare-feu: Mcanisme employ pour protger le rseau interne dune entreprise des accs ou usages non autoriss tout en permettant aux utilisateurs locaux daccder
lInternet.
DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systmes informatiques (rseau interne) de l'entit et le rseau externe (Internet).
42
Secure Socket Layer (SSL): protocole de scurisation des transactions assurant la confidentialit, l'intgrit et en principe l'authentification des parties et la non-rpudiation
des transactions par l'usage de la cryptographie cls publiques, fond sur le contrle d'intgrit et le chiffrement des donnes
41
153

__________________________________________________________________________________________
Risques.
Obtenir linventaire des points daccs distance aux systmes informatiques de la
banque.
Sassurer quils sont scuriss par des procdures de call-back ou daccs dment
scuriss.
Vrifier que les accs / tentatives provenant de lextrieur sont enregistrs dans des
logs analyss rgulirement (les tentatives daccs infructueuses doivent en principe
tre analyses au jour le jour).
Recenser les changes ou transactions lectroniques effectus par la banque avec
lextrieur.
Pour chacun dentre eux, vrifier lexistence dun mcanisme dauthentification fiable
(mot de passe, cl de chiffrement, ...), de non-rpudiation (signatures lectroniques,
horodatage, certificats mis par des tiers de confiance,...).
Sassurer que des mcanismes de contrle dintgrit adapts (hash coding /
scellement43 par exemple) sont utiliss.
Apprcier les dispositifs de protection (scurit physique et logique, sparation de
fonctions,...) en place. Recenser les sites dploys par la banque, et les tudes de
scurisation existantes.
Vrifier que des rgles de scurisation ont t suivies.
Sassurer que le paramtrage des firewalls a t effectu par des spcialistes de la
scurit Internet et quune DMZ est utilise.
Se procurer les rapports de ces prestations et vrifier que les faiblesses releves ont t
corriges rapidement et/ou quun plan dactions a t tabli.
Vrifier auprs du service juridique de la banque la nature du travail effectu sur ce
point pour les sites mis en oeuvre, et que dventuelles consultations auprs de
spcialistes extrieurs la banque ont eu lieu si en interne les comptences ntaient
pas suffisantes.
2.10 - Contrle a posteriori des accs (niveaux 1 et 2 ).

44
Une revue priodique des profils utilisateurs est-elle effectue par un responsable afin
de vrifier le respect des procdures et de confirmer les droits daccs existants ?
A-t-on instaur des rgles de journalisation45 d'vnements lis la scurit
informatique?
Existe-t-il un contrle systmatique, priodique et centralis des vnements
journaliss?
Certains types de violation d'accs sont-ils remonts en temps rel au responsable
scurit pour contrle ?
Les oprations effectues par les administrateurs de la scurit sur les systmes de
scurit sont-elles journalises sans possibilit d'altration ?
Ces traces sont-elles revues priodiquement par un responsable scurit distinct des
administrateurs de scurit ?
Risques.
43
Technique de reprsentation dun texte en clair en un quivalent symbolique ( hash code / sceau) indcodable, qui permet de dtecter toute altration du texte en clair.
Les contrles de niveau 1 sont contenus dans le traitement des oprations (contrles informatiques, contrles manuels) et ceux du niveau 2 sont effectus par la hirarchie qui
supervise le traitement des oprations.
45
Trace d'enregistrement
44
154

__________________________________________________________________________________________

S'assurer de l'existence d'une telle revue par un responsable scurit et/ou un
responsable hirarchique, et consulter les lments qui la supportent. En l'absence de
formalisation de la revue, la refaire sur un chantillon et confronter les rsultats avec
ceux (oraux) obtenus par le responsable.
S'assurer que les principaux vnements lis la scurit sont enregistrs et conservs
sur une priode suffisante.
S'assurer la formalisation de ces contrles et des actions qui en sont issues.
Vrifier que les logs mis en place sur les firewalls sont analyss frquemment par une
personne comptente.
S'assurer que les violations remontes sont les plus pertinentes et risques, et quelles
sont effectivement contrles.
Se faire communiquer les types doprations concernes et demander la justification
d'ventuelles modifications abaissant le niveau de scurit.
Interroger les administrateurs ou le responsable scurit pour savoir si ces oprations
sont journalises et revues de manire indpendante. Examiner par sondage les
supports de ces revues afin dvaluer le caractre effectif et la pertinence des contrles
effectus.
2.11 - Scurit physique.
Les moyens et procdures mis en uvre permettent-ils d'assurer la scurit physique
du systme d'information (contrle d'accs physique, protection environnementale,
incendie, dgts des eaux, humidit, chaleur, coupures lectriques,...)?
Les diffrents quipements de scurisation des locaux informatiques et de son
environnement sont-ils sous contrat de maintenance et vrifis / tests priodiquement?
Existe-t-il des consignes de scurit gnrale affiches, connues et testes?
Risques.
Disponibilit, intgrit.
46

Sur ce point de contrle, une visite des diffrents locaux hbergeant les quipements
informatiques est indispensable pour constater par observation les dispositifs en place
(visite effectuer avec le responsable du centre de production informatique et/ou celui
des services gnraux / logistiques).
Se procurer les contrats de maintenance des matriels, les comptes-rendus
d'intervention de maintenance prventive / curative, les comptes-rendus de tests.
S'assurer que l'ensemble des quipements sont couverts par des contrats et que des
interventions prventives priodiques (une deux fois par an) ont lieu.
S'assurer que les consignes sont affiches, ont fait l'objet d'une information / formation
et sont testes priodiquement.
Interroger sur ce sujet les membres du personnel et se faire communiquer les consignes
et les comptes-rendus de tests.
46
Equipements de contrle daccs, dtection et extinction incendie, dtection humidit, climatisation, onduleurs, batteries, groupes lectrognes, ...
155

__________________________________________________________________________________________
2.12 - Scurit de l'environnement.
Des tudes ont-elles t ralises sur les dangers prsents par des facteurs externes
sur les locaux informatiques renfermant des quipements informatiques sensibles et les
recommandations prescrites ont-elles t suivies d'effet ?
Le btiment a-t-il t spcialement construit pour l'informatique et/ou est-il l'usage
exclusif de l'informatique ?
Le site informatique est-il peu connu et peu reprable ?
Le transformateur alimentant les locaux informatiques est-il correctement scuris?
Existe-t-il une rgulation lectrique (contre les pannes lectriques et les variations de
extension) comportant au moins un onduleur complt de batteries garantissant une
autonomie suffisante ?
Ses caractristiques rpondent-elles aux prescriptions des constructeurs de matriels
informatiques ?
Est-elle teste rgulirement et dispose-t-elle d'un secours?
Existe-t-il un groupe lectrogne pouvant tre rapidement oprationnel en cas de
coupure de l'alimentation lectrique ?
Pour les salles ordinateurs, dispose-t-on de disjoncteurs spars par matriel
informatique important, d'un tableau lectrique d'accs facile et d'une coupure gnrale
"coup de poing"47 ?
La conformit des installations lectriques a-t-elle t vrifie par un organisme agr ?
Un systme de climatisation (temprature, hygromtrie, poussire) est-il install et
oprationnel ?
Ses caractristiques rpondent-elles aux prescriptions des constructeurs des matriels
informatiques utiliss ?
Est-il test rgulirement et dispose-t-il d'un secours?
Risques.

S'assurer que ces tudes ont bien pris en compte les principales menaces lies
l'environnement extrieur48.
En l'absence d'tude particulire, vrifier que le responsable informatique a conscience
de ces risques.
S'assurer que des dispositifs spcialiss sont installs pour surveiller et contrler
l'environnement.
Vrifier si le btiment renferme uniquement les locaux et installations informatiques. Si
le btiment n'est pas l'usage exclusif de l'informatique, examiner la liste et la nature
d'activit des autres services et dpartements s'y trouvant. Dterminer si ce voisinage
se traduit par des facteurs de risque spcifiques49.
S'assurer qu'aucun panonceau n'indique la prsence du site informatique et qu'aucun
matriel du site n'est visible et facilement accessible de l'extrieur.
S'assurer que le transformateur est protg contre les risques d'incendie, de dgts des
eaux et d'accs non autoriss.
47
Il s'agit d'un disjoncteur permettant d'arrter l'alimentation de l'ensemble des quipements en une seule opration d'un "coup de poing" d'o le nom de la commande.
48
Menaces lies l'environnement extrieur: phnomnes mto, inondation (cours d'eau, sources et nappes phratiques), coule de boue, orages/foudre (paratonnerre),
qualit/stabilit du terrain, zone sismique, etc mais galement le voisinage risques pollution, menaces chimiques, voisinage ou stockage de matires inflammables.
49
Allers et venues de personnes extrieures, stockage de matires inflammables, ...
156

__________________________________________________________________________________________
S'assurer que les quipements/matriels ncessaires50 au fonctionnement de la salle

informatique sont branchs sur l'onduleur et sur le groupe lectrogne.
Vrifier que la capacit de l'onduleur est suffisante pour les matriels branchs.
S'assurer que la capacit relle (teste) des batteries (gnralement 20 minutes)
permet, soit l'arrt "propre" des systmes informatiques, soit de tenir jusqu' la fin de la
monte en puissance du groupe lectrogne.
Vrifier que la capacit du groupe lectrogne est suffisante pour les matriels
branchs.
S'assurer que le groupe est test au moins une fois par mois.
Vrifier que la rserve de carburant est situe dans un endroit scuris, temprature
rgule et suffisante pour tenir environ 48 heures.
Vrifier qu'il est prvu une scurit de dmarrage du groupe par redondance ou mode
de secours (air comprim, essence, batterie, ...).
S'assurer que la commande "coup de poing" ne puisse pas tre actionne
malencontreusement, mais reste cependant aisment accessible.
S'assurer que lors de la mise en place des installations lectriques et lors de
changements importants leur conformit est vrifie.
Prendre connaissance des procs verbaux d'inspection et s'assurer de la mise en
conformit de l'installation avec les recommandations formules, le cas chant.
S'assurer que l'installation de climatisation est systmatiquement rtudie l'occasion
d'amnagement des locaux, ou de mise en place de nouveaux matriels (serveurs,
priphriques, ...).
Vrifier la prsence de thermomtres, hygromtres et leur emplacement.
Relever les indications portes par les instruments de mesure et vrifier qu'elles sont
conformes aux plages prconises par les constructeurs des matriels informatiques.
2.13 - Scurit incendie et dgts des eaux.
L'ensemble des btiments renfermant les locaux informatiques (y compris les salles de
marchs) et les locaux attenants sont-ils protgs par une installation de dtection et
d'extinction automatique ?
Des extincteurs mobiles sont-ils conservs dans les locaux informatiques et les locaux
attenants ?
Ces extincteurs sont-ils priodiquement vrifis ?
Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle
respecte?
Les salles informatiques sont-elles vierges de tout stock de papier ou matriaux
inflammables ?
A-t-on fait des tudes sur les dangers prsents par l'eau dans les locaux informatiques
et les locaux attenants ?
A-t-on vrifi qu'il n'existe pas de canalisations apparentes ou traversant les fauxplanchers ?
Les blocs de climatisation sont-ils l'extrieur des salles ordinateurs ?
Les faux-planchers sont-ils dots d'un systme de dtection d'eau ou d'humidit, et en
cas de besoin existe-t-il un dispositif garantissant l'vacuation de l'eau ?
Risques.
50
Il ne suffit pas d'avoir les serveurs sur onduleurs mais galement les quipements de communication et les consoles de pilotage des systmes informatiques
157

__________________________________________________________________________________________

Se faire dcrire les systmes de dtection et d'extinction (sprinklers -eau-, halon / CO2 gaz dangereux-, FM200 -poudre-,...).
S'assurer que les faux planchers sont protgs contre le risque incendie par l'existence
d'un dtecteur et d'une bonbonne de gaz d'extinction sous le faux plancher.
S'assurer du nombre suffisant d'extincteurs dans les locaux et de leur accs facile.
Vrifier que les types d'extincteurs (eau, gaz, poudre) correspondent aux types de
matriel protger.
Vrifier que les consignes d'utilisation des appareils sont correctement lisibles.
Contrler la date de dernire vrification.
Vrifier la prsence de panneaux dinterdiction de fumer.
S'assurer que les impressions sont effectues dans un local annexe.
Etudier l'implantation gographique des locaux informatiques au sein du btiment
(risque moindre si la salle est situe dans les tages suprieurs).
S'assurer qu'il n'existe pas de points d'accumulation d'eau situs proximit ou au
dessus de la salle informatique (toit-terrasse, ballons d'eau, sanitaires, ...).
S'il existe des canalisations apparentes, vrifier qu'elles concernent exclusivement le
systme de climatisation. Vrifier leur implantation.
S'assurer que le systme de dtection d'eau (ou d'un taux d'hygromtrie anormalement
lev) est suffisamment sensible, de manire se dclencher suffisamment tt.
S'assurer de l'ventuelle existence d'un systme d'vacuation d'eau dans les locaux
(plancher inclin ou pompes).
2.14 - Contrle d'accs physique.
Existe-t-il un systme de contrle d'accs aux salles contenant des quipements
sensibles tels qu'units centrales et priphriques, serveurs, quipements de
communication, terminaux ddis aux transactions sensibles (SWIFT, tlex, salles des
marchs...) ?
Les visiteurs internes ou externes la banque sont-ils accompagns par une personne
habilite accder aux salles informatiques, et un registre des visiteurs est-il tenu et
revu priodiquement ?
Risques.
Vrifier que l'accs aux salles contenant des quipements sensibles est limit par un
dispositif de type digicode, lecteur de badges ou commande d'ouverture distance.
S'assurer de la correcte gestion de ces systmes d'accs. Contrler la liste des
personnes auxquelles a t remis ou communiqu le code ou un badge. Dans le cas
d'un digicode, s'assurer que les codes sont priodiquement changs.
Interroger les personnes habilites accder aux salles informatiques sur la procdure
en place pour les visiteurs. Vrifier que ces derniers sont systmatiquement
accompagns pendant leur sjour dans les locaux, et quils ne disposent pas dun accs
permanent aux salles.
Consulter le registre des visiteurs, s'assurer qu'il est complet et revu priodiquement et
formellement par un responsable informatique et/ou logistique.
158

__________________________________________________________________________________________
2.15 - Continuit de service.
La banque s'est-elle dote des moyens et de l'organisation lui permettant de maintenir
son activit mme aprs un incident majeur ou un sinistre gnrant une indisponibilit
prolonge (partielle ou totale) du systme d'information ?
Risques.
Disponibilit, efficacit, efficience, disponibilit, conformit.
Se procurer les plans de continuit / reprise d'activit et les plans de back-up (secours
informatique).
Examiner les contrats ventuels avec les fournisseurs de services de secours.
Examiner les comptes-rendus de tests ventuels.
Prendre connaissance des ventuels incidents majeurs ou sinistres dj survenus et
des dispositions prises ces occasions pour y remdier.
2.16 Sauvegardes.
La banque sest-elle dote des moyens lui permettant de disposer de copies de ses
donnes aisment utilisables en cas de perte des donnes dexploitation dorigine ?
A-t-on pris en compte la ncessit dlaborer des sauvegardes de type production
dune part et de type recours dautre part ? Les cycles de sauvegarde et les dures
de rtention sont-ils compatibles avec les caractristiques des informations
sauvegardes ?
Existe-t-il une sauvegarde systmatique de lensemble des informations des serveurs
dcentraliss et Bureautiques ?
La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des
donnes rsidant sur les postes de travail connects ?
Contrle-t-on rgulirement quune reprise ou un redmarrage sont effectivement
possibles partir des sauvegardes ? Sait-on relire les supports ? Est-on assur de
lexhaustivit des donnes relues (restaures) ?
51
52
Risques.
Disponibilit, efficacit, efficience.
Prendre connaissance des procdures de sauvegarde.
Vrifier que les procdures sont correctement appliques.
Sassurer que ces deux types de sauvegardes existent et que leur exhaustivit est
garantie.
Vrifier lexistence dune procdure permettant dintgrer les fichiers et programmes des
nouveaux dveloppements et maintenances.
Sassurer que les sauvegardes de recours sont stockes dans un lieu distinct de la salle
informatique.
51
52
Aprs incident d'exploitation

Aprs sinistre majeur
159

__________________________________________________________________________________________
Recenser ce type de serveurs et vrifier que des sauvegardes priodiques sont

ralises en fonction de leur criticit / de la criticit des donnes quils contiennent.
Interroger les utilisateurs et les informaticiens sur les possibilits de sauvegardes
offertes sur un espace serveur ddi et personnel de leurs fichiers rsidant sur microordinateurs.
Seuls des tests de restauration peuvent permettre dtre sr de la qualit des
sauvegardes. Sassurer que dans le cas de plantages ou dincidents informatiques, les
sauvegardes utilises ont pu permettre la reprise des traitements.
Pour les sauvegardes de recours, seul un test du back-up peut prouver leur qualit.
2.17 PCA (Plan de Continuit des Activits ).

53
Existe-t-il un Plan de Continuit des Activits de la banque remis jour au moins

chaque anne ?
Le PCA est-il remis jour en cas dvolutions qui le ncessiteraient ?
Existe-t-il un PCA, pendant utilisateurs du plan de secours informatique ?
Une coordination entre les deux plans (informatique et utilisateurs) existe-t-elle afin
dviter tout dphasage ?
Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs
autonomes (fixes et portables) et les micro-ordinateurs en rseau (serveurs,
stations de travail, ) ?
Une tude sur la vulnrabilit de la banque face diffrents types de risques physiques
ou non (pas ncessairement informatiques) a-t-elle t ralise et a-t-elle entran la
mise en place dun Plan de Continuit des Activits de la banque ?
A-t-on ralis une tude prliminaire, qui permette de classer les processus et/ou les
applications dans lordre dcroissant des pertes ou prjudices qui surviendraient aprs
un sinistre physique (total ou partiel), une panne grave ou une grve ?
Existe-t-il des locaux et/ou des coffres de scurit permettant de stocker dans des
conditions de scurit acceptables les supports informatiques contenant des
informations dont la perte serait prjudiciable la banque ?
Le PCA contient-il bien les procdures alternatives de traitement mettre en place par
les utilisateurs jusqu ce que la fonction informatique soit en mesure de restaurer
entirement ses services aprs un sinistre ?
Un plan de communication a-t-il t dfini pour permettre la mise en uvre des actions
de communication adaptes tant en interne quen externe en cas de survenance dun
sinistre ?
Une cellule de crise a-t-elle t organise pour grer un sinistre ventuel ?
Le PCA est-il test priodiquement dans des conditions les plus proche possibles de la
ralit de la production ?
Risques.
Disponibilit, intgrit, efficacit, efficience.
Sassurer de la mise jour priodique du PCA en fonction des volutions de
lorganisation de la banque et de son systme dinformation.
53
Le plan de continuit est l'outil de contrle interne qui assure la gestion des ressources et des donnes informatiques sensibles, en cas d'interruption de traitement. Le plan de
continuit des activits comprend les lments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up
et le plan de reprise d'activits qui intgre les schmas fonctionnels et organisationnels compltant les moyens matriels.
160

__________________________________________________________________________________________
Sassurer que des procdures ont t labores par les dpartements utilisateurs, en
collaboration avec le service informatique, pour organiser la reprise et la continuit des
activits partir du dclenchement du sinistre et jusquau retour la normale.
Sassurer que les sauvegardes sont stockes sans dlai dans un lieu scuris une fois
leur cration effectue.
Vrifier la cohrence des deux plans en termes de droulement, de priorits de
reprise,
Sassurer que les volutions de systmes et procdures la fois ct informatique et
ct utilisateurs font lobjet de mises jour des plans.
Recenser les nouvelles applications ou activits sensibles de la banque (ou des
modifications significatives rcentes), et vrifier que les plans les prennent bien en
compte.
Sassurer que cette tude est assez rcente pour tre pertinente.
Vrifier que ltude a t formalise et valide par les principaux responsables de la
banque. Analyser ce document et vrifier son exhaustivit ;
Sassurer que les processus / applications couvrent bien lensemble des activits de la
banque.
Vrifier que ltude est mise jour en cas de nouveau processus / application ou de
modification importante.
Sassurer que lon a pris en considration dans cette tude les interdpendances entre
processus / applications.
Analyser ce document. Sassurer quil a t labor avec des professionnels de la
communication et les parties prenantes dans le P.C.A.
Vrifier que les procdures de reprise couvrent les diffrentes tapes du droulement du
plan de secours informatique.
Vrifier que les cibles des actions de communication ont t identifies et les
messages adapts.
Analyser la composition de la cellule. Vrifier quelle regroupe les parties prenantes du
PCA (informatique, utilisateurs, communication), y compris les principaux responsables
de la banque ;
Sassurer que les modalits de la runion rapide de la cellule sont formalises et
communiques aux participants (coordonnes, y compris personnelles, lieu de
regroupement, ).
Prendre connaissance des conditions de tests.
Se procurer les comptes-rendus de tests et vrifier que les problmes rencontrs ont fait
lobjet dadaptations dans le PCA.
2.18 Plan de back-up / de secours.
Existe-t-il un plan de secours de lexploitation informatique (ventuellement en mode
dgrad54 et/ou clat sur plusieurs sites) ainsi que des documents permettant la mise
en uvre rapide des procdures de secours en cas de sinistre ?
Le plan de secours prend-il en compte les volutions prvues dans le plan informatique /
schma directeur ?
Une tude a-t-elle t mene pour dterminer le choix des moyens de secours / de
backup pour le systme dinformation de la banque ?
54
En mode dgrad, l'exploitation n'assure que partiellement les services habituels. En gnral, seules les fonctions indispensables la continuit des traitements sont
assures. Des procdures manuelles, ou des procdures automatises de contournement, peuvent se substituer des procdures automatises utilises en mode normal
dexploitation.
161

__________________________________________________________________________________________
Les ressources informatiques critiques pour la continuit des activits ont-elles t

identifies et effectivement secourues ?
A-t-on effectu une tude de scurit pour le choix des liaisons de tlcommunications
entre le site de secours et lensemble des sites connects (internes / externes) ?
Lexhaustivit des sauvegardes de recours garantit-elle la reprise de lactivit dans les
conditions dfinies par la banque ?
Le plan de secours est-il test priodiquement dans des conditions les plus proches
possible de la ralit de lexploitation ?
Le plan de secours est-il remis jour (volutions matrielles et logicielles, configurations
rseau, ) de manire rgulire ?
Les activits ncessitant une haute disponibilit des systmes informatiques (par
exemple les activits de salles de marchs, les systmes dchanges interbancaires
(SWIFT, )) bnficient-elles de solutions de secours en temps rel ?
Risques.
Disponibilit, efficacit, efficience.
Analyser ce document. Sassurer que les procdures sont compltes, claires et
dtailles.
Vrifier que toutes les parties prenantes disposent dun exemplaire jour du plan.
Sassurer que les impacts sur le plan de secours des volutions contenues dans le plan
informatique ont t prises en compte.
Sassurer que les trois possibilits offertes ont t tudies (mutualisation de moyens
chez un prestataire, secours externe ddi la banque, secours interne) et que les
moyens mis disposition sont conformes aux choix stratgiques de la banque.
Sassurer que ces ressources comprennent les traitements et donnes dapplications
critiques, les systmes dexploitation et les logiciels de base, les quipements de
tlcommunications, et les fournitures.
Vrifier que pralablement cette tude, un recensement des liaisons au(x) sites
dexploitation a t effectu.
Sassurer que les lignes principales sont doubles.
Sassurer quune procdure garantit lexhaustivit des sauvegardes de recours.
Vrifier que les hypothses de reprise sont cohrentes avec la fraicheur des
donnes des sauvegardes.
Prendre connaissance des conditions et des rsultats de tests. Se procurer les comptesrendus de tests et vrifier que les problmes rencontrs lors des tests ont donn lieu
des mises jour du plan de secours.
Sassurer que le plan est mis jour notamment lors des modifications des configurations
matrielles, logicielles (nouveau dveloppement, maintenance, ) et rseau.
Vrifier que pour les systmes sensibles concerns, des solutions de haute disponibilit
(de type mirroring / clustering55) sont mises en uvre pour permettre de basculer de
manire quasi-transparente ( chaud ) dun systme informatique dfaillant un
autre.
55
Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallle. La panne d'une ressource tant transparente pour le droulement
des traitement par le passage la ressource en miroir / cluster.
162

__________________________________________________________________________________________
3. Etudes et dveloppements.
Ce domaine concerne les dveloppements dapplications (en interne ou en externe),
lacquisition de progiciels ou la modification de systmes (applications, progiciels)
existants. Il concerne non seulement les dveloppements effectus par le dpartement
informatique, mais aussi ceux directement raliss par les utilisateurs laide de
logiciels bureautique (Microsoft Access ou Excel, par exemple).
Lauditeur doit se faire communiquer la liste des dveloppements (applications,
progiciels) termins ou en cours par le dpartement informatique avec la charge de
travail des quipes informatiques, les dveloppements effectus par les services
utilisateurs laide de logiciels bureautique, les classer par ordre dimportance et de
criticit pour dterminer un chantillon reprsentatif de systmes sensibles.
3.1 Expression des besoins.
Les objectifs, la nature et le primtre couvert par un projet sont-ils formaliss dans un
document crit pralablement son lancement ?
Ce document dfinit-il clairement les besoins de la banque dj satisfaits, ceux auxquels
doit rpondre le nouveau systme (ou la modification du systme existant) pour les
besoins fonctionnels et oprationnels ?
La banque a-t-elle dfini une mthodologie lui permettant dassurer la prise en compte
des exigences de scurit et de contrle interne dans les projets de dveloppement ou
dacquisition de nouveaux logiciels ? Les exigences de scurit sont-elles prises en
compte lors de llaboration du cahier des charges ?
Risques.
Efficacit, efficience, disponibilit, intgrit, confidentialit.
Sur lchantillon slectionn, tudier la note de cadrage pour en vrifier le contenu.
La note de cadrage doit replacer le projet dans son contexte, en dfinir les grandes
lignes fonctionnelles et les avantages / gains attendus au travers dune tude
conomique (retour sur investissement).
Vrifier que le cahier des charges / la description fonctionnelle traite des aspects de
scurit et de contrle interne.
Sassurer de la prise en compte du systme dhabilitation lors de la conception dune
application.
3.2 Choix des systmes.
La mthodologie de dveloppement des systmes prvoit-elle une analyse des
solutions alternatives susceptibles de satisfaire les demandes des utilisateurs ?
La mthodologie de dveloppement prvoit-elle une tude de faisabilit technologique
et conomique de chacune des solutions envisages pour rpondre aux besoins de la
banque ?
Dans le cadre de lanalyse des solutions alternatives, la banque ralise-t-elle une
analyse des risques qui comprend : lidentification des menaces de scurit, des points
163

__________________________________________________________________________________________
de vulnrabilit et des mesures de scurit et de contrle envisager ?

La banque a-t-elle dfini une stratgie dacquisition / de dveloppement de logiciel
dfinissant sil peut tre acquis dans le commerce, dvelopp en interne, ralis en
sous-traitance ou par volution du logiciel existant ?
Pour les services fournis par des tiers, la banque fait-elle une valuation des besoins et
dfinit-elle les spcifications de lappel doffre ?
La mthode de choix des fournisseurs de progiciels permet-elle dintgrer les aspects de
scurit ?
Pralablement au dveloppement ou lachat dun progiciel, la banque fait-elle une
analyse des besoins de piste daudit et de confidentialit ?
Risques.
Efficacit, efficience, efficacit, disponibilit, intgrit, confidentialit.
Analyser la documentation des projets pour sassurer que des solutions alternatives ont
t tudies.
Analyser la documentation des projets slectionns pour contrler que ces tudes ont
effectivement t menes. Pour ltude de faisabilit conomique, celle-ci doit inclure
une analyse des cots et des bnfices induits par les solutions envisages.
Vrifier que cette analyse des risques a t mene et quelle a conduit liminer ou
rduire les risques identifis.
Se faire communiquer le document reprenant la stratgie dacquisition de logiciel.
Pour les projets qui requirent des services fournis par des tiers (par exemple, fourniture
dun progiciel, intgration de systmes), contrler que les besoins ont t quantifis et
quun appel doffre a effectivement t formalis.
Vrifier que le choix dun progiciel nest pas uniquement effectu sur sa capacit
couvrir les besoins fonctionnels et techniques de la banque et que les aspects de
disponibilit, dintgrit, de confidentialit des informations et de piste daudit font partie
intgrante des critres de choix.
3.3 Dveloppement et maintenance.
Le plan de travail de dveloppement est-il labor et mis jour priodiquement et
couvre-t-il le dveloppement et la maintenance (volutive et corrective), avec une partie
rserve aux demandes inopines non prvues ?
Une mthodologie gnrale est-elle suivie et une tude particulire est-elle ralise, lors
de la conception des applications, sur le choix des contrles programms / automatiss
et des contrles utilisateurs en amont et en aval du traitement de linformation et, si cette
tude existe, prend-elle en compte le niveau de sensibilit des donnes ?
La banque a-t-elle dfini des normes concernant lutilisation doutils de dveloppement
(langage, Atelier de Gnie Logiciel, gnrateur de code, gnrateur de jeux dessai,
production de la documentation, ) ?
Existe-t-il une sparation effective entre les environnements de dveloppement et
dexploitation ?
Les droits daccs du personnel des quipes de dveloppement interdisent-ils laccs
permanent en criture (ajout, suppression, modification) aux chanes de traitement,
programmes et donnes de lenvironnement dexploitation ?
Des mesures spcifiques sont-elle prvues pour limiter laccs en lecture aux donnes
sensibles / confidentielles de lenvironnement de production ?
164

__________________________________________________________________________________________
Le dpartement informatique a-t-il dfini des normes pour la documentation des

dveloppements dapplications ?
Le dpartement informatique a-t-il dfini des normes de tests (vrifications,
documentation et conservation des tests unitaires, de groupes de programmes ou de
lensemble dune application) ?
Chaque projet de dveloppement fait-il lobjet dun plan de tests (tests unitaires de
programmes, tests dintgration, tests de capacit et de performance et tests de
recette) ?
Les aspects de scurit et de contrle interne sont-ils pris en compte dans les tests
effectus ?
Une documentation complte est-elle tenue jour pour lensemble des applications
utilises par la banque ?
La documentation est-elle correctement recense et archive ?
Les interfaces internes et externes sont-elles correctement identifies, dcrites et
documentes ?
Des manuels utilisateurs avec les supports adquats sont-ils labors ?
Un manuel de mise en exploitation est-il tabli par les quipes de dveloppement avant
la mise en production dune application ?
Les demandes de modification ou dvolution sont-elles standardises et soumises
des procdures formelles de gestion des changements ?
La documentation est-elle mise jour loccasion des modifications des applications ?
Le stockage et laccs aux programmes sources sont-ils scuriss ?
Utilise-t-on un outil de gestion des sources ? Existe-t-il un contrle priodique de
lexhaustivit des sources et de la correspondance entre les sources et les
excutables ?
Existe-t-il une procdure de sauvegarde priodique des environnements de
dveloppement (sources de programmes, donnes de test, etc.) ?
Cette procdure inclut-elle les applications dveloppes par les utilisateurs ?
Les contrats passs avec les fournisseurs de progiciels dfinissent-ils les modalits de
transfert de proprit et les conditions daccs aux programmes sources, en particulier
en cas de dfaillance du fournisseur ?
Risques.
Efficacit, efficience, disponibilit, intgrit, confidentialit.
Le plan de travail doit non seulement couvrir le dveloppement de nouvelles
applications, mais aussi prvoir des plages de temps rserves la maintenance
corrective des applications ainsi qu la prise en compte de demandes urgentes
dvolution des systmes (par exemple, rglementation, scurit, ).
Evaluer la pertinence de la mthodologie.
Ltude particulire doit tre fonde sur lanalyse des schmas de traitement et de
circulation des informations et des risques derreur ou de malveillance.
Les contrles utilisateurs sont les contrles manuels oprs par les utilisateurs
gestionnaires dans un processus fonctionnel. Leur description et leur mise en oeuvre
doivent faire lobjet de procdures crites.
Vrifier que le secteur Etudes utilise des outils de dveloppement homognes et en
respect des normes dfinies par la banque.
Ceci sapplique galement aux applications dveloppes directement par les services
utilisateurs.
165

__________________________________________________________________________________________
Prendre connaissance de la configuration des environnements et sassurer que les

quipes de dveloppement ont leurs environnements de dveloppement et de tests
distincts de lenvironnement de production / exploitation. La bonne pratique requiert, au
minimum, lexistence de deux environnements distincts : celui de dveloppement et de
tests (unitaires et dintgration) et celui de production.
Vrifier les droits daccs de quelques membres du personnel des tudes et
dveloppements pour sassurer quils nont pas daccs permanent en criture
lenvironnement dexploitation.
Contrler la pertinence de ces mesures. Vrifier les droits daccs des membres du
personnel des tudes et dveloppements pour sassurer que ces mesures sont
respectes.
Les normes doivent inclure lanalyse fonctionnelle, lanalyse organique, la
documentation des programmes, la documentation des tests, le dossier dexploitation et
la documentation dutilisation de lapplication.
Les quipes de dveloppement ainsi que les MOA des dpartements utilisateurs doivent
avoir des instructions prcises pour la ralisation, la documentation et la conservation
des tests afin de garder la traabilit des tests effectus.
Contrler que les tests font lobjet dun planning et que les ressources ncessaires
leur ralisation ont t dfinies.
Vrifier la teneur (nature, exhaustivit) des tests effectus pralablement la mise en
production des systmes pour garantir un fonctionnement correct des traitements
concerns.
Vrifier que dans la documentation des tests, des tests sont prvus sur les scurits et
contrles dvelopps dans les applications pour garantir lexactitude, lexhaustivit et
lautorisation des entres, des traitements, des sorties et des donnes gres, ainsi que
la piste daudit.56
Chaque systme dvelopp localement ou acquis lextrieur doit disposer, au
minimum, des dossiers de conception et dexploitation pour la partie informatique et dun
manuel opratoire pour les utilisateurs.
Effectuer un sondage pour sassurer que la documentation existe, quelle est adquate
et quelle est correctement mise jour en fonction de limportance du systme et des
volutions / modifications.
La description des interfaces doit permettre de comprendre lenchanement des
processus / traitements et les flux dinformation entre les diffrents systmes.
Vrifier que les manuels utilisateurs et les procdures / supports sont labors en
collaboration avec la MOA et/ou le dpartement en charge de lorganisation.
Le manuel de mise en exploitation est un document rdig par les quipes de
dveloppement destination de lexploitation informatique. Il dcrit les procdures qui
doivent tre suivies pour assurer le bon fonctionnement de lapplication. Il doit contenir
une description gnrale des traitements et de leur enchanement, une description des
fichiers en entre et en sortie, lestimation de la taille des fichiers et des temps de
traitement, les sauvegardes, larchivage. Il doit galement prvoir les contrles effectus
par lexploitation pour sassurer de la bonne fin des traitements, et des procdures de
reprise et de fonctionnement en mode dgrad en cas dincident dexploitation.
Contrler que les modifications et volutions effectues par le dpartement informatique
font lobjet dune demande formalise de la part des dpartements utilisateurs et sont
56
la piste daudit consiste en des documents, fichiers, journaux, tats ou listes, qui permettent de suivre pas pas une transaction introduite dans le systme pour en
reconstituer le traitement (et inversement, retrouver les transactions lorigine dun traitement).
166

__________________________________________________________________________________________
intgres dans un processus de gestion du changement formalis (analyse et chiffrage

de la demande, priorisation, approbation par le dpartement demandeur, recette,).
Vrifier que la documentation est rgulirement mise jour en fonction des volutions et
des modifications apportes aux applications.
La bonne pratique veut que les sources des programmes soient conserves dans
lenvironnement de production.
La sauvegarde des sources des programmes doit tre incluse dans le plan de
sauvegarde des systmes informatiques. Pour permettre la traabilit et la piste daudit
des traitements, les versions successives des sources des programmes doivent tre
conserves en fonction des besoins internes et/ou rglementaires.
Vrifier la frquence, ltendue et le stockage des sauvegardes des programmes et des
donnes de dveloppement.
Les fournisseurs peuvent tre soit des diteurs de logiciels, soit des sous-traitants.
Dans le cas de sous-traitance, vrifier que le contrat prvoit une clause de transfert de
proprit du logiciel dvelopp au profit de la banque.
De mme, contrler que les conditions daccs aux sources des programmes sont
dfinies de manire ce que lentit y ait accs en cas de dfaillance du fournisseur.
Pour garantir cet accs, les sources et la documentation des programmes doivent
normalement tre dpos chez un tiers agr (par exemple un notaire).
3.4 - Protocole de recette et de mise en exploitation.
La mthodologie de dveloppement prvoit-elle une procdure de recette (pralable la
mise en exploitation) par les dpartements utilisateurs, des nouvelles applications ou
des modifications aux applications existantes ?
Le dossier de recette des utilisateurs dfinit-il les rgles de gestion et les scnarios
tester qui en dcoulent ?
La recette finale est-elle prononce aprs une valuation et une approbation formalises
des rsultats des tests par les dpartements utilisateurs (ou la MOA) et les services
informatiques ?
Lorsque ncessaire, la mthode de dveloppement prvoit-elle la conversion / migration
/ reprise des donnes de lancien systme, conformment un plan prdfini ?
Existe-t-il une procdure formalise de mise en exploitation de toute nouvelle application
ou modification aux systmes existants ? Cette procdure spare-t-elle clairement les
fonctions de dveloppement et d'exploitation ?
Risques.
Efficacit, efficience, intgrit, disponibilit.
Un procs verbal de recette doit tre co-sign par le responsable du projet / de
lapplication informatique et les responsables des dpartements utilisateurs (ou la MOA).
Contrler que le dossier de recette identifie correctement les rgles de gestion et les
scnarios de tests correspondants.
Contrler lexistence des Procs Verbaux de recette, et vrifier que les demandes de
mise en exploitation sont formalises sur un document adquat et quelles intgrent
lapprobation des dpartements concerns (Etudes, Utilisateurs, Exploitation).
167

__________________________________________________________________________________________
Vrifier lexistence dun plan de conversion / migration / reprise des donnes des
anciennes applications avec une estimation des ressources (humaines et matrielles)
ncessaires ces travaux.
Vrifier sur quelques applications ayant ncessit une reprise des donnes que la
mthodologie a t applique et que les procdures de reprise ont t correctement
formalises et planifies.
Contrler lexistence de cette procdure et vrifier la sparation des responsabilits
entre les secteurs Etudes et Exploitation.
Vrifier que la mise en exploitation des applications et des modifications aux
programmes nest jamais effectue directement par les quipes de dveloppement.
4. Exploitation informatique.
4.1 Suivi de lexploitation.
Existe-t-il des procdures dexploitation du systme informatique ?
Ces procdures dcrivent-elles lexploitation des systmes centraux et des systmes
dcentraliss / distribus (par exemple : les systmes installs sur des serveurs du
rseau local) ?
LExploitation Informatique a-t-elle dfini des contrats de service avec les utilisateurs ?
Ces contrats ont-ils t formaliss et signs par les parties ?
Le secteur tient-il un tableau de bord reprenant les indicateurs de qualit / performance
prvus dans les contrats de service ?
Les travaux dexploitation sont-ils correctement planifis pour utiliser au mieux les
ressources et atteindre les objectifs cits dans les contrats de service ?
Les travaux non planifis (ou exceptionnels) sont-ils analyss et approuvs
pralablement leur inclusion dans le plan de travail ?
Existe-t-il des journaux (logs) dexploitation permettant de vrifier lexcution et la
bonne fin des traitements ?
La bonne fin des travaux est-elle contrle (rception des fichiers, excution correcte de
tous les programmes, transmissions de fichiers, impression, faonnage) ?
Risques.
Efficacit, efficience, conformit, intgrit, disponibilit.
Prendre connaissance des procdures existantes (documentation disponible).
Vrifier lexistence dune documentation qui recense les diverses tches dexploitation
(par exemple : manuel oprateur).
Vrifier que toutes les applications et plates-formes / systmes informatiques sont
effectivement couverts par ces procdures.
Vrifier lexistence de contrats de service entre le dpartement informatique et les
utilisateurs.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la
disponibilit, la fiabilit, la performance, le support aux utilisateurs, la rsolution des
incidents et la mise en place des changements.
Les niveaux de service doivent tre des donnes facilement quantifiables, par exemple :
le taux de disponibilit du systme pour les utilisateurs, les temps de rponse, le respect
des horaires de production, le nombre dincidents et leur dlai moyen de rsolution, les
mises en place des changements (nouveaux programmes, volutions ou corrections
dans les programmes existants).
168

__________________________________________________________________________________________
Contrler que les quipes dexploitation disposent en permanence dun plan de travail
incluant les travaux journaliers, priodiques et exceptionnels.
Vrifier que les heures de mise disposition des applications ne perturbent pas les
activits des utilisateurs.
Se faire communiquer le relev de contrle et danalyse des journaux dexploitation.
Sassurer que les contrles des journaux (logs) dexploitation permettent de suivre
lexcution et la bonne fin des travaux informatiques.
Vrifier, partir de ces documents, quil est possible de retracer facilement les incidents
dexploitation.
4.2 Gestion des systmes dexploitation et des rseaux.
La capacit et la performance des diffrents composants du systme sont-elles
rgulirement mesures ?
Quelle utilisation est faite de ces mesures ?
Les achats dquipements dinformatique distribus (matriels et logiciels) sont-ils
effectus sur la base dun catalogue labor conjointement par le dpartement des
achats et le dpartement informatique ?
Les supports originaux et les licences des progiciels, des systmes dexploitation et des
outils bureautique sont-ils conservs dans un lieu scuris ?
Le dpartement informatique tient-il un inventaire des matriels et logiciels pour les
systmes informatiques centraux et pour linformatique distribue (serveurs de rseau
local et postes de travail) ?
Un inventaire physique des matriels et des logiciels est-il rgulirement effectu ? Les
anomalies releves lors dun inventaire sont-elles corriges dans les meilleurs dlais,
avec mise jour approprie (aprs analyse), de linventaire informatique et comptable ?
Linventaire des progiciels est-il galement confront au stock des licences pour
sassurer de ladquation du nombre de licences ?
Risques.
Efficacit, efficience, conformit, intgrit, disponibilit.
Contrler que les lments de charge et de performance sont rgulirement mesurs et
analyss. Par exemple : les volumes des donnes traites, les temps de traitement,
lespace disque utilis, lutilisation des imprimantes, la puissance machine utilise,
lutilisation de la mmoire, la charge du rseau et des lignes de tlcommunications, etc.
Vrifier que ce catalogue rsulte dune analyse technique et conomique des solutions
disponibles.
Vrifier que les licences de logiciel et les supports sont regroups et correctement
stocks dans un endroit accs restreint.
Vrifier que cet inventaire existe et quil est rgulirement mis a jour lors des transferts,
des nouvelles acquisitions ou des mises au rebut.
Contrler que linventaire est ralis sur une base priodique (au minimum annuelle) et
que les diffrences sont justifies.
4.3 Gestion des incidents et du support aux utilisateurs.
Existe-t-il une organisation et des outils / procdures adapts pour identifier et
169

__________________________________________________________________________________________
journaliser les incidents dexploitation par nature et pour suivre les actions engages en
vue dy remdier ?
La direction du dpartement informatique a-t-elle dfini une procdure descalade
(remonte) des problmes afin de sassurer quils sont rsolus de la manire la plus
efficace ?
Les procdures de gestion des incidents prvoient-elles de rechercher les causes
originelles des incidents (par exemple : changement de systme dexploitation ou mise
en production dune nouvelle application) ?
Existe-t-il des procdures de reprise des traitements et de restauration des donnes
partir des sauvegardes et des procdures de mise en uvre dun fonctionnement en
mode dgrad en cas dincident ?
Existe-t-il, au sein de lexploitation, une fonction dassistance / support aux utilisateurs ?
Le personnel en charge de cette fonction travaille-t-il en troite collaboration avec le
personnel en charge de la gestion des incidents ?
Toutes les demandes dassistance / requtes des utilisateurs sont-elles correctement
enregistres par la cellule dassistance ?
Existe-t-il une procdure descalade au sein du dpartement informatique pour les
demandes des utilisateurs qui ne peuvent pas tre rsolues immdiatement par lquipe
de support de premier niveau ?
Le management du dpartement informatique exerce-t-il un suivi priodique pour
sassurer que le traitement des demandes des utilisateurs seffectue en temps voulu ?
Risques.
Vrifier lexistence de cette organisation et de ces outils / procdures, et se faire
communiquer le reporting relatif aux incidents afin den apprcier ladquation.
Vrifier que cette procdure prvoit les critres et modalits descalade aux niveaux
hirarchiques et dexpertise successifs pour la rsolution des problmes, en tenant
compte de la gravit des problmes et de leur priorit de rsolution.
Vrifier que les causes des incidents sont analyses au travers des documents de suivi /
reporting des incidents.
Vrifier lexistence, dans les dossiers dexploitation, de procdures de reprise /
restauration et de mise en uvre dun mode dgrad en cas dincident.
Vrifier dans lorganigramme que cette fonction est effectivement couverte et que les
ressources sont suffisantes par rapport la population des utilisateurs.
Sonder quelques utilisateurs cet gard pour valuer leur niveau de satisfaction.
Se faire communiquer le registre des demandes dassistance / requtes afin dvaluer
ladquation de leur enregistrement.
A partir du registre, contrler que les demandes sont rsolues dans les plus brefs dlais
et que les procdures descalade entre les diffrents niveaux de support sont
respectes.
4.4 Procdures de sauvegarde et darchivage.
Des procdures de sauvegarde des donnes ont-elles t prvues pour les diffrentes
applications et les diffrents systmes, conformment la politique de sauvegarde de
la banque ?
Ces procdures dcrivent-elles les cycles de sauvegarde, les priodes de rtention
170

__________________________________________________________________________________________
(conservation) et les lieux de conservation pour chaque type de sauvegarde ?

Les sauvegardes de recours sont-elles systmatiquement conserves dans un lieu
diffrent du centre informatique pour permettre une mise en uvre du plan de secours
en cas de sinistre majeur dans le btiment ?
Lidentification externe des supports magntiques, le contrle de leurs mouvements et
de leur stockage sont-ils correctement effectus ? Les supports contenus dans la
mdiathque sont-ils rgulirement inventoris ?
Les anomalies releves suite un inventaire physique sont-elles corriges en temps
voulu ?
Les supports magntiques sont-ils priodiquement tests pour sassurer quils sont
lisibles et que les donnes quils contiennent sont exhaustives ?
Existe-t-il des procdures darchivage qui prennent en compte la nature des donnes
(frquence de mise jour, sensibilit) et les besoins internes et rglementaires ?
Ces procdures sont-elles appliques ?
En cas de modification majeure de lapplication, de la structure des donnes ou dun
matriel, le dpartement informatique sassure-t-il que les supports darchivage
antrieurs peuvent tre relus et consults ?
57
58
Risques.
Vrifier que ces procdures couvrent lintgralit des sauvegardes, savoir (pour les
systmes centraux et dcentraliss) : Systmes dexploitation et configurations systme
(y compris les SGBD ), Sources, excutables et donnes de production des
applications, environnements de dveloppement / de tests, environnements du rseau
local (y compris les serveurs de fichiers et de messagerie et les postes de travail des
utilisateurs.
Vrifier que la documentation fait galement lobjet de procdures de sauvegarde.
Vrifier que, pour chaque type de sauvegarde cit ci-dessus, ces lments ont t
dfinis et quils sont pertinents par rapport aux besoins exprims en terme dactivit
(notamment vis vis de la nature des donnes sauvegardes et de leur dure de
conservation).
Vrifier que les sauvegardes de recours sont transfres vers un site extrieur dans les
meilleurs dlais.
Se faire communiquer les documents de gestion de la mdiathque : mouvements en
entre et sortie, inventaire priodique, correction des anomalies. Si les documents de
suivi et dinventaire sont inadquats, procder un inventaire physique par sondage et
le rapprocher de linventaire informatique.
Se faire communiquer les comptes-rendus des tests et analyser les actions qui sont
prises suite la dtection danomalies.
En cas de doute sur la lisibilit des supports de sauvegarde, faire ventuellement
effectuer un test par sondage pour sassurer quils sont lisibles et quils contiennent
effectivement les donnes prvues par le plan de sauvegarde.
Vrifier que les procdures darchivage ont t labores en tenant compte des besoins
propres lactivit et des besoins lgaux et rglementaires.
59
57
58
Aprs sinistre majeur
Cette fonction ne doit pas tre confondue avec la sauvegarde, qui vise permettre une reprise des traitements aprs un incident . Larchivage reprsente le besoin de conservation
pour des buts fonctionnels lis lactivit de lentreprise (besoins internes, lgaux et rglementaires).
59
SGBD : Systme de Gestion des Bases de Donnes.
171

__________________________________________________________________________________________
Vrifier que ces procdures prvoient galement le dsarchivage quand la dure de

conservation des informations est chue.
Contrler que les supports darchives peuvent tre physiquement lus sur les matriels
actuels et que les systmes dexploitation, les outils et les applicatifs sont en mesure
dinterprter ces informations.
4.5 Mise en exploitation des modifications.
Existe-t-il des procdures formalises pour la mise en production de modifications aux
systmes applicatifs existants ?
Risques.
Vrifier que ces procdures incluent la mise jour ventuelle des programmes
denchanement des applications, des tests dintgration, de non rgression et de prproduction ventuellement (en cas de modifications importantes ou complexes)
pralablement la mise en exploitation effective.
A partir des demandes de mises en exploitation, effectuer un sondage sur des
applications rcemment modifies.
4.6 - Administration des logiciels systme, des rseaux et des bases

de donnes
Existe-t-il une fonction d'administration des logiciels systme (systmes
dexploitation...), qui a la responsabilit de leur installation, de leur suivi et de la gestion
de leurs volutions?
Existe-t-il une fonction d'administration des rseaux / tlcommunications, qui a la
responsabilit de leur installation, de leur suivi et de la gestion de leurs volutions?
Risques.
Vrifier lexistence de cette fonction dans lorganigramme du dpartement informatique,
avec une description de fonction dtaille.
172

__________________________________________________________________________________________
Chapitre 3 :
Mission d'audit de la Salle des
Marchs.
173

__________________________________________________________________________________________
Chapitre 3 : Mission d'audit de la Salle des Marchs.

Introduction.
Le prsent chapitre s'applique l'audit de la Salle des Marchs. Les objectifs
gnraux de cet audit sont d'valuer :
La qualit et la fiabilit des informations vhicules sur la nature des oprations
traites, des positions prises et de leur rentabilit, tant en interne qu'en externe;
La qualit de la matrise des risques financiers et techniques gnrs par les
oprations qu'elle traite ;
La contribution des diffrents services concerns (front office, middle office, back
office, contrle des risques et contrle interne) cette matrise.
Les orientations majeures de la mission accomplir se basent sur :
Le recensement de l'ensemble des activits, stratgies et instruments traits par
la salle audite,
L'inventaire des applications de gestion et de traitement de ces activits et
instruments,
La revue des procdures de traitement,
L'examen des principales procdures comptables,
L'analyse du mode d'laboration des rsultats comptables et de gestion, ainsi
que la procdure de rapprochement de ces deux rsultats,
L'inventaire des diffrents tats de reporting et de leur mode d'laboration.
Cest pourquoi ce chapitre met laccent :
Sur lidentification des risques et le recoupement avec les travaux des autres
auditeurs en phase de prparation,
Sur les liens avec laudit des autres fonctions concernant les activits de march
en phase dinvestigation,
En fonction de lanalyse des risques, sur des sondages, transverses plusieurs
fonctions, sur un ou plusieurs chantillons doprations dterminer.
Un tel audit couvre cinq domaines : le front office (trading & ventes), le middle
office, le back office, le risque de contrepartie, le risque juridique et la scurit
physique.
Comme pour toutes les fonctions, une mission daudit de la salle des marchs
comprendra une phase de prparation (collecte de documents et entretiens
prparatoires), une phase dinvestigation (entretiens systmiques 60 et sondages) et une
phase de rdaction. Il conviendra, en thorie, de couvrir chacun des 6 domaines lors de
chaque phase.
60
174

__________________________________________________________________________________________
La mission aura pour objet dapprcier comment sont couverts les risques lis l'activit
de march. Parmi les familles de risques recenses, seront principalement concerns
les risques de gestion, oprationnels, dontologiques, de fraude, dimage, de crdit,
commerciaux et juridiques.
Laudit de la salle des marchs devra mesurer le niveau des risques, leur volution, et
Mission : Salle des Marchs.
1. Front-Office Trading & ventes.

1.1 - Stratgie, politique, budget.
Une stratgie a-t-elle t dfinie?
Cette stratgie est-elle en phase avec celle de la banque?
La stratgie prend-elle en ligne de compte tous les risques inhrents lactivit ?
Un budget a-t-il t labor?
La direction de la banque est-elle implique dans la procdure budgtaire?
Risques.
Risque de gestion : une stratgie doit tre labore et doit tre en phase avec celle
de la banque.
Plan triennal, notes internes, Budget.
Ces documents permettront plus probablement de mieux comprendre les activits de la
banque que de trouver des anomalies ou dysfonctionnements.
Examiner la procdure budgtaire en lisant les courriers, les notes, les projets, etc.
1.2 - Organisation de lactivit.
Lactivit a-t-elle t clairement dfinie et mise en place ?
Les tches des employs sont-elles clairement dfinies? ny a-t-il pas de
chevauchements ?
La hirarchie des teneurs de livres comptabiliss en mark-to-market est-elle diffrente
de ceux comptabiliss en couru ?
175

__________________________________________________________________________________________
Sinon, les oprations internes entre des desks anims par la mme hirarchie sont-elles
interdites ?
La rpartition des traders concide telle avec celle des vendeurs ?
Tous les vendeurs peuvent-ils effectuer des oprations avec les clients ?
Sont-ils dment autoriss ?
Les vendeurs prennent-ils des positions non couvertes ?
Risques.
Risque de gestion.
Risque de fraude : les gains ou les pertes pourraient tre basculs dun livre lautre.
Risque oprationnel : les traders pourraient passer plus de temps coter des oprations
qu ngocier.
Risque commercial : des cotations trop longues pourraient entraner la perte de client.
Risque dontologique : les vendeurs pourraient conclure des oprations en dehors de
leur dlgation.
Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors
de leur dlgation en matire de risque de march.
Dfinition de poste, organigramme, notes internes.
Analyser laffectation des traders et des vendeurs aux clients, aux diffrents produits,
aux diffrentes devises au moyen des statistiques (nombre doprations, volumes) et en
fonction des rsultats.
Organigramme, liste des livres de trading avec le plan de comptes.
Analyser laffectation des traders par rapport aux besoins de la force de vente.
Vrifier la dlgation de chaque vendeur et la comparer avec les produits traits.
Point de contrle difficile vrifier. Analyser le courant doprations pour voir si les
vendeurs peuvent un moment quelconque prendre des positions ouvertes sans les
dclarer.
Le contrle le plus important est celui effectu lors de la rception par un secteur
indpendant des confirmations et des rclamations des clients.
1.3 - Stratgie de trading.
Une stratgie a-t-elle t dfinie pour les activits de trading ?
Risques.
Risque financier. La stratgie en matire de trading pourrait tre trop risque.
Examiner le livre des positions de trading et vrifier que son volution correspond
effectivement cette stratgie.
Examen des positions du book de trading. Analyser particulirement les positions des
jours qui ont enregistr les plus gros gains ou les plus grosses pertes et demander des
explications. Lexplication pourrait se trouver dans des risques non pris en ligne de
compte (effet smile ) plutt que dans la stratgie de trading.
176

__________________________________________________________________________________________
1.4 - Informations relatives au march.
Les analyses envoyes au client sont-elles ralises par des membres du personnel
autoriss et qualifis ?
Risques.
Risque dimage. Risque dontologique.
Examen des analyses sur le march envoyes aux clients.
1.5 - Comit de gestion.
Quels sont les diffrents comits auxquels le responsable du trading participe ?
Quelle est la nature des relations qui existent entre le front office et les autres secteurs :
back office, middle office, comptabilit, engagements ?
La contribution des vendeurs est-elle clairement identifie (marge, rmunration des
vendeurs, mid-market) et calcule par un secteur indpendant ?
Risques.
Risque de gestion : une mauvaise coordination entre les secteurs pourrait entraner
des pertes financires ou des occasions perdues.
Risque financier : un calcul erron de la contribution pourrait entraner le paiement
de primes injustifies.
Examiner les procs verbaux des runions. Quelques points peuvent y tre voqus et
servir aux investigations : problmes de partage des gains, mauvaise qualit des
traitements, etc
Vrifier par un examen ou par des interrogations dans le systme lexactitude de la
contribution des vendeurs
1.6 - Avis dopr.
Les avis dopr contiennent-ils toutes les informations ncessaires au traitement des
oprations ? 61
Les oprations sont-elles pr-affectes un secteur dtermin ?
Existe-t-il une piste daudit pour chaque ticket ?
Les tickets de transaction sont-ils horodats ? 62
Existe-t-il une piste daudit en cas dannulation ou de modification?
Dans le cas o le Front Office peut annuler ou modifier des oprations (et
particulirement les oprations chues) dans les systmes FO et BO, la validit de ces
annulations/modifications est-elle contrle de faon indpendante ?
Des heures limites de traitement des oprations ont-elles t fixes ? sont-elles
respectes ?
61
Principes de dontologie spcifiques aux activits de marchs financiers : Les ngociateurs sont responsables des informations renseignes sur les tickets doprs. Ils
doivent veiller ce quils soient correctement remplis et viss, et transmis dans les meilleurs dlais aux services de traitement.
Principes de dontologie spcifiques aux activits de marchs financiers : Les ordres de la clientle sont enregistrs chronologiquement ds leur rception (horodatage).
62
177

__________________________________________________________________________________________
Les oprations hors site sont-elles autorises ?

Dans laffirmative, les traders ont-ils obtenu pralablement lautorisation de la direction
et laval du dontologue ?
Ces oprations sont-elles effectues dans les conditions de scurit voulues ?
63
Risques.
Risque oprationnel et financier. Risque de mauvaise interprtation des ordres par le
back office.
Risque financier : une affectation a posteriori pourrait amener un transfert de gains
dun secteur un autre.
Risque oprationnel. En cas de contrle, la piste daudit de chaque ticket doit tre
taye.
Risque de fraude : le FO pourrait modifier les oprations sans que les secteurs
administratifs en soient informs. La modification dune opration chue peut
changer le rsultat.
Risque oprationnel : des oprations peuvent avoir t inities et non traites.
Risque financier : certaines oprations pourraient tre effectues linsu de la banque.
Procder par sondage sur les tickets dopr pour sassurer de leur exactitude.
Vrifier que la procdure assure ce contrle. Les traders chargs de plusieurs
desks/portefeuilles devraient faire lobjet dune attention toute particulire. Des
procdures particulires devraient sappliquer pour ces personnes.
Examiner les tickets de transaction.
Lorsque les oprations ne sont pas matrialises par un ticket mais saisies directement
dans un systme, examiner lheure de saisie des diffrentes oprations afin de mettre
en lumire dventuelles concentrations inhabituelles.
Examiner les annulations/modifications.
Dans le cas dun systme informatique intgr, examiner les fonctionnalits pour vrifier
quune piste daudit est conserve pour les oprations annules ou modifies.
Procdures internes.
Examen des tickets de la salle.
Vrifier les procdures relatives aux oprations hors site.
Sassurer que lautorisation a t donne par la direction et le dontologue.
Sassurer que ces oprations sont effectues dans les conditions de scurit voulues. :
sparation des fonctions, justificatif de lopration, et contrles par le Middle Office
respects.
1.7 - Gestion des positions.
Chaque oprateur tient-il un tat rcapitulatif des oprations soit manuellement soit par
lintermdiaire dun systme FO?
Les oprations sont-elles enregistres dans lordre chronologique sur cet tat.64 ?
La position (position de change, solde, impasse en taux, sensibilit, delta, ) de chaque
trader est-elle toujours disponible et constamment mise jour ?
Le primtre de la position du trader couvre-t-il exactement ce quil est cens couvrir ?
63
Principes de dontologie spcifiques aux activits de marchs financiers : Les ngociateurs susceptibles de raliser une transaction sur un instrument financier en dehors des
horaires et de leur lieu de travail habituels doivent pralablement obtenir une habilitation spcifique de leur hirarchie, vise par le dontologue, de telle sorte que les modalits
dintervention assurent la scurit requise.
64
Les ngociateurs veillent aussi lenregistrement chronologique des ordres reus, transmis et excuts.
178

__________________________________________________________________________________________
Les avis de positions provenant dautres secteurs sont-ils envoys en temps opportun et
en bonne et due forme ?
Toutes les positions du FO sont-elles rapproches avec celles du BO ?
Toutes les positions prises par les autres secteurs sont- elles bien prises en ligne de
compte dans le rapprochement?
Dans le cas dun systme FO automatis, une solution de secours de suivi des positions
est-elle en place et a -t- elle t teste ?
Dans le cas o le client a des positions ouvertes avec la banque (oprations de gr
gr), les vendeurs ont-ils accs en temps rel la position du client rvalue ?
Dispose-t-on dune lettre de dcharge, signe par le niveau N+1 de la hirarchie de
linterlocuteur habituel pour les reports de terme cours historiques ?
Risques.
Risque oprationnel : labsence dune piste daudit rend impossible tout contrle de
second niveau.
Risque financier. La position du trader doit pouvoir tre connue tout moment.
Autrement, en cas dvolution dfavorable du march et dabsence du trader, la
banque ne sera pas en mesure de rduire la position.
Risque oprationnel : le cambiste pourrait surveiller une position qui ne couvre pas le
primtre quelle devrait couvrir (notamment lorsque cette position est suivie laide
dun systme FO).
Risque financier : le trader peut ne pas tre inform des positions (trsorerie,
changes, ) prises par dautres secteurs.
Risque financier : les positions non communiques ou non rconcilies sont
responsables de positions inexactes qui peuvent gnrer des pertes.
Risque Financier : la position doit tre disponible en cas de panne du systme.
Autrement des pertes peuvent tre encourues.
Risque commercial et financier : en cas dvolution dfavorable du march, les
vendeurs doivent tre en mesure de conseiller le client, tout particulirement dans le
cas des produits volatils (drivs).
Risque de crdit : le client peut dissimuler des pertes ou des gains. La banque
pourrait faire lobjet de poursuites pour soutien illgal ou pour vasion fiscale.
Vrifier les tats rcapitulatifs du trader ou sassurer que le systme FO assure cette
fonction.
Examiner ltat pour sassurer que les oprations sont enregistres dans lordre
chronologique.
Sassurer que ltat rcapitulatif du trader est bien disponible.
Dans le cas dun systme FO, sassurer que les oprations sont saisies immdiatement
en vrifiant les heures de saisie des oprations pour mettre en vidence dventuelles
concentrations inhabituelles ou des oprations tardives.
Dans le cas dun systme FO, vrifier la codification du portefeuille/primtre de la
position.
Examiner les positions communiques aux traders par les autres secteurs (production,
commercial, ). Des positions non communiques temps pourraient tre mises en
vidence au cours du rapprochement des positions entre le FO et le BO.
Vrifier le type des rapprochements effectus sur les positions et sassurer de leur
efficacit. Sassurer que ces rapprochements sont effectus rgulirement.
Examiner les positions provenant des autres secteurs pour sassurer quelles sont
communiques en temps voulu.
179

__________________________________________________________________________________________
Vrifier les solutions de secours ainsi que les tests raliss.

Vrifier que pour tous les produits volatils, les vendeurs suivent la position du client
laide dun systme en temps rel.
Vrifier que toutes les oprations avec report au cours historique effectues avec
lautorisation pralable du client.
1.8 - Suivi des limites de risque.
Le FO est-il en mesure de suivre ses risques de march ?
Le FO est mme de suivre ses risques de contrepartie ?
Risques.
Risque financier : le FO peut ne pas tre mme de suivre ses risques de march. Il
peut dpasser la limite (dans le cas dune variation brusque sur le march par
exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans
les limites.
Risque de crdit : le FO peut initier des oprations avec des clients sans que des lignes
de crdit soient disponibles ou dans le cadre de lignes de crdit non
autorises.
Sassurer que le FO dispose des moyens matriels pour suivre ses limites de risques de
march.
Examiner les utilisations afin didentifier tout dpassement de limites de ce fait.
Dans lventualit o le FO na pas de moyen pour suivre les limites et prtend que les
limites sont suivies au feeling, sassurer que lutilisation nest pas proche de la limite.
Sassurer que le FO a les moyens matriels pour suivre ses limites de risques de
contrepartie.
Passer en revue les utilisations pour identifier tout dpassement de limites de ce fait.
1.9 - Matrialisation des oprations.
Existe-t-il des contrles permettant de sassurer que toutes les oprations inities par le
FO sont matrialises ? 65
Existe-t-il une procdure denregistrement des conversations tlphoniques ?
Les enregistrements sont-ils conservs dans un endroit dont laccs est limit aux
personnes dment autorises et interdit aux membres du FO ?
Les enregistrements sont-ils conservs pendant une dure minimum de 6 mois
conformment aux rglementations locales ?
Les personnes habilites couter les conversations ontelles t approuves par le
dontologue ?
Lorsquune conversation tlphonique est coute, le personnel concern est-il autoris
entendre la conversation incrimine ? 66
65
les SDM ont lobligation de procder lenregistrement des conversations tlphoniques de tous les ngociateurs dinstruments financiers et des collaborateurs qui sans tre
ngociateurs participent la relation commerciale avec les donneurs d'ordres, en tenant compte de lapprciation du dontologue concern et des montants et risques en
cause. Ces enregistrements ont pour fin de faciliter les contrles de la rgularit des oprations , leur conformit aux instructions des donneurs dordres et la rsolution
dventuels litiges.
66
Ces enregistrements sont conservs dans un endroit dont laccs est strictement rserv aux personnes autorises. La dure de conservation obligatoire des enregistrements
est fixe 6 mois et ne peut en aucune faon excder cinq ans, sauf obligation nationale diffrente. Laudition des enregistrements des conversations tlphoniques, peut tre
effectue par le dontologue des fins de preuve en cas de litiges ou des fins de contrle. Si le dontologue ne procde pas lui mme laudition, celle ci ne peut intervenir
180

__________________________________________________________________________________________
Risques.
Risque oprationnel : la contrepartie pourrait contester une opration qui ne serait
pas taye par un justificatif (communication tlphonique, communication par
Reuter ).
Risque oprationnel : la preuve doprations pourrait ne pas tre suffisamment
protge.
Sassurer que la salle dispose des moyens ncessaires pour enregistrer toutes les
conversations tlphoniques ou les communications par Reuter ou pour fournir tout
autre justificatif des oprations.
Sassurer que laccs au systme denregistrement de conversations tlphoniques est
protg.
Vrifier que les enregistrements sont conservs au moins six mois et conformment aux
rglementations locales.
Sassurer que le dontologue a bien donn son accord sur les personnes habilites
couter les conversations tlphoniques.
1.10 - Sparation des tches.

Est-il interdit aux traders et leurs assistants deffectuer les tches suivantes : 67
rdiger, valider et envoyer des confirmations ou des contrats de trading ?
enregistrer les oprations de trading, tenir les livres de positions et des chanciers,
prparer des rapports dactivit quotidiens et des tats de positions ( lexception
des notes pour informer les traders sur les positions prises) ?
rvaluer les positions rgulirement et dterminer les gains ou les pertes pour les
comptes officiels ?
dnouer les oprations ou effectuer dautres fonctions de paiement ou de rception
de fonds, telles que lmission ou la rception et le traitement doprations par cble
ou par courrier, des effets ou des lettres de change ?
recevoir les confirmations des contreparties et les marier avec les contrats ou les
avis de courtiers, suivre les confirmations en suspens et corriger les erreurs qui sy
rapportent et autres fonctions de traitement similaires ?
grer et rapprocher les comptes Nostri et autres comptes dbiteurs et crditeurs
concerns par les activits de trading ?
prparer, approuver et enregistrer toute autre criture comptable ?
Le personnel du FO est-il exclu des listes de signatures autorises et des personnes

habilites :
ouvrir des comptes au nom de la Banque auprs de confrres ou de courtiers ?
initier des transferts ou des mouvements sur ces comptes?
Une unit indpendante de la salle est elle charge de revoir les rapports quotidiens
pour dtecter les dpassements de limites de trading autorises ?
quavec son accord ou laccord dune personne dsigne par lui. Le collaborateur dont les conversations sont enregistres dispose du droit dcouter lenregistrement en cause
en cas daudition.
67
Principes de dontologie spcifiques aux activits de marchs financiers La scurit des transactions est notamment assure par le respect du principe de sparation des
fonctions de ngociation ( front office ) et de traitement ( middle et back office ). Ces fonctions relvent dorganisation et de hirarchie diffrentes. Elles ne doivent en aucun
cas tre assumes par la mme personne.
181

__________________________________________________________________________________________
Risques.
Risque de fraude. Les traders peuvent confirmer des transactions sans en informer le
BO. Des positions peuvent tre prises linsu de la banque.
Les traders peuvent manipuler les livres de manire gnrer des gains fictifs ou
dissimuler des pertes.
Les traders peuvent manipuler les rvaluations pour gonfler les gains artificiellement.
Les traders peuvent initier des paiements linsu de la banque.
Des positions, des gains ou des pertes peuvent tre cachs la banque.
Les traders peuvent dissimuler des irrgularits dans les Nostri occasionnes par
des oprations effectues linsu de la banque.
Les traders peuvent manipuler les critures comptables pour gnrer des gains fictifs.
Les traders peuvent ouvrir des comptes linsu de la Banque afin de dissimuler des
pertes ou des gains et de les virer sur dautres comptes.
Risque de fraude : les dpassements de limites peuvent ne pas tre signals et ainsi
gnrer des pertes suprieures aux stop-loss officiels.
Sassurer que les points de contrle suivants sont respects.
Examiner les contrats et les confirmations pour sassurer quaucun(e) nest sign(e) ni
envoy(e) par des traders ou par quiconque leur soit rattach.
Vrifier la liste des signatures autorises et des pouvoirs pour sassurer que tous les
traders et leurs assistants en sont exclues.
Sassurer quaucune criture comptable nest saisie directement par les traders et
quaucune position nest tenue par eux.
Sassurer que la comptabilit effectue ces tches indpendamment sans intervention du
FO.
Vrifier que le secteur comptabilit est indpendant du FO dans le cadre de ses
rvaluations et de ses calculs de pertes et profits.
Tous les chiffres utiliss par le secteur comptabilit doivent pralablement tre valids
par le BO (ou par un secteur administratif).
Sassurer que les traders nont pas accs aux systmes (Swift, telex ) ou aux moyens
de paiement (lettres de change).
Sassurer que ces fonctions sont physiquement spares.
Sassurer que les traders ne reoivent aucune confirmation. Il conviendrait dviter que
des tlcopies, telex, etc ne soient reus dans la salle. Si un telex ou un tlcopieur est
ncessaire dans la salle, il y a lieu de sassurer quaucune confirmation ne peut tre
reue exclusivement dans la salle.
Sassurer que les comptes Nostri et autres comptes dbiteurs et crditeurs sont
rapprochs par un secteur indpendant du FO.
Sassurer quaucune criture comptable nest saisie directement par les traders.
Sassurer que le secteur comptabilit saisit ces critures lui-mme sans aucune
intervention du FO.
Sassurer que toutes les personnes rattaches au FO sont exclues de la liste des
signatures autorises et des mandataires.
Sassurer que la fonction suivi de limites nest pas rattache au FO.
1.11- Politique commerciale.
Existe-t-il un programme de visites aux clients ?
182

__________________________________________________________________________________________
Chaque runion avec un client fait-elle lobjet dun compte rendu ?

Les vendeurs coordonnent-ils leur action avec le secteur commercial de la banque des
entreprises ?
Risques.
Risque commercial : certains clients peuvent ne pas recevoir la visite dun exploitant.
Des opportunits daffaires peuvent ne pas tre dtectes en labsence de visites
rgulires chez les clients.
Risque de gestion : des renseignements relatifs au client peuvent tre perdus.
Risque commercial : une mauvaise coordination entre les secteurs peut tre
prjudiciable la relation avec le client.
Sassurer quil existe bien un planning de visites.
Passer en revue les visites rendues aux clients pour sassurer que le planning est
respect.
Examiner les comptes rendus de visite.
Sassurer que les visites aux clients sont effectues conjointement avec le secteur
commercial.
Sassurer que les cadres de la banque commerciale sont informs des positions prises
par les clients et quelles sont suivies. Demander voir les comptes rendus de visites,
les tats des positions des clients.
2. Middle-Office.
La ligne hirarchique du middle office est-elle diffrente de celle des traders et des
marketers ?
Risques.
Risque financier : la non-sparation des tches pourrait tre source de conflits
dintrts et occasionner des pertes financires.
Vrifier laide de lorganigramme que les lignes hirarchiques sont bien distinctes.
2.2 - Stocks.
Le MO calcule-t-il les risques et les rsultats sur un stock valid chaque jour par un
secteur (BO) indpendant du FO ? 68
Sil existe deux systmes (FO et BO), le MO vrifie-t-il que le rapprochement des stocks
est correctement effectu (contrle de deuxime niveau) ?
Les oprations en suspens sont-elles prises en compte dans les calculs de risques du
MO ?
Lorsque la salle ne ngocie pas sur une amplitude de 24 heures, les risques sont-ils
68
Chaque jour, partir des positions arrtes le soir prcdent et valides par le back office, la tche du middle office est de : valider les paramtres de march utiliss dans les
calculs de risques et de rsultats en contre-vrifiant auprs de sources extrieures .
183

__________________________________________________________________________________________
calculs sur toutes les oprations ralises pendant la journe, y compris celles
ralises aprs lheure limite du BO ?
Risques.
Risque financier et risque de fraude : les calculs des risques et des rsultats peuvent
ne pas tre indpendants du FO ce qui impliquerait des risques de positions
caches.
Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des
stocks ce qui peut affecter les calculs de risques et de rsultats.
Risque financier : il se peut que toutes les oprations ne soient pas prises en
compte, ce qui peut entraner une estimation errone des risques de march.
Dans le cas dun systme unique, vrifier que le MO calcule les risques et les rsultats
postrieurement la validation du stock par le BO.
Lorsquil existe deux systmes (FO et BO), vrifier que le BO ou un secteur indpendant
du FO effectue un rapprochement entre les deux stocks avant le calcul du MO.
Sassurer que le MO est toujours inform des diffrences entre les stocks du FO et du
BO.
Sassurer que le MO vrifie rgulirement les rapprochements des stocks.
Vrifier la procdure en matire doprations en suspens. Cette procdure devrait
assurer un calcul des risques sur toutes les oprations effectues au cours de la journe
coule.
2.3 - Prix de march.

Saisie des paramtres de march
Existe-t-il une procdure de contrle et de validation des prix de march ? Cette
procdure prcise-t-elle :
la rfrence indpendante des prix de march (page Reuter, courtier, )?
lheure de saisie ?
Cette procdure a-t-elle t valide par toutes les parties concernes (MO, FO, contrle
interne, BO, ) ?
Cette procdure est-elle respecte ?
En cas de saisie manuelle des prix de march, la saisie est-elle vrifie ?
Risques.
Risque financier : en labsence de procdure les prix pourraient tre manipuls en
cas de dsaccord entre le MO et le FO.
Risque oprationnel : les prix de march pourraient ne pas tre saisis correctement.
Vrifier quune procdure existe, quelle prcise la source des donnes (source, courtier
.) et lheure de saisie. Vrifier que cette procdure a t valide par toutes les
personnes concernes.
Sassurer du respect de la procdure.
Vrifier que les prix de march saisis sont correctement contrls.
184

__________________________________________________________________________________________
Vrification des prix de march.
En cas de chargement automatique, la codification des paramtres de march est-elle
vrifie ?
Les prix de march utiliss pour les r-valuations sont-ils soumis un contrle de
cohrence?
Un contrle est-il effectu pour dtecter des alimentations incompltes ?
Risques.
Risque oprationnel : la codification pourrait tre incorrecte et par consquent des
prix de march errons pourraient tre chargs.
Risque financier : des prix de march incohrents pourraient tre utiliss, ce qui
pourrait donner un rsultat incorrect.
Risque financier : des alimentations incompltes pourraient tre la cause de rsultats
incorrects.
Sassurer que la saisie de toute nouvelle source dun paramtre de march (page
Reuter .) est doublement vrifie.
Vrifier que les changements de source (fusion dactions, nouveaux marchs) sont
traits comme il se doit.
Sassurer quil existe un contrle et quil est efficace en consultant les prix de march
sur une certaine priode et dtecter ceux qui seraient incohrents.
Sassurer que les tats danomalies sont bien vrifis et que cette vrification est
documente.
Contrler que les donnes de march sont vrifies pour sassurer que les alimentations
incompltes sont dtectes avant toute valuation de stocks.
Modifications.
Chaque modification dans la rfrence dun prix de march est-elle justifie et
documente ?
Les modifications des prix de march sont-elles documentes?
Les prix de march sont-ils modifis et valids par un secteur indpendant du FO?
Existe-t-il une piste daudit pour chaque paramtre de march ?
Risques.
Risque financier : les rfrences pourraient tre modifies afin de manipuler les prix
de march
Risque financier : les prix de march pourraient tre manipuls.
Risque financier : en labsence dune piste daudit approprie, aucun contrle de
second niveau ne peut tre assur. Il existe par consquent un risque de
manipulation des prix de march.
Sassurer que toutes les modifications des rfrences des prix de march sont
documentes.
185

__________________________________________________________________________________________
Sassurer que toute modification ou intervention sur les prix de march est taye par
un document qui nmane pas du FO.
Examiner les prix de march. Pour chacun, la source (page Reuter par exemple) et
lheure de chargement ou de saisie devrait tre disponible.
Protection des accs.
Laccs aux prix de march et aux rfrences des prix de march est-il protg ?
Le FO peut-il forcer les donnes de march ?
Les calculs de la courbe des taux, les mthodes dinterpolation, des coefficients
dactualisation et les autres paramtres utiliss sont-ils clairement documents ?
Laccs aux calculs est-il interdit au FO ?
Risques.
Risque financier : le FO pourrait dissimuler des pertes en manipulant les prix de
march.
Risque financier : les paramtres de march pourraient tre inexacts ou manipuls
ce qui pourrait entraner des rsultats inexacts.
Vrifier que laccs aux prix de march et aux rfrences est protg.
Vrifier que le FO ne peut pas forcer les prix de march et les rfrences que sil le fait,
un contrle appropri garantit quil ne peut pas y avoir de manipulation.
Vrifier que la documentation existe et quelle est jour.
Sassurer que les calculs sont bien conformes la documentation.
Sassurer que le FO ne peut avoir accs aux calculs et les modifier.
Limites.
La direction de la banque (le directeur de la banque ou le conseil dadministration) et les
responsables de desks sont-ils impliqus dans la fixation des limites globales de la
banque ?
Les limites globales tiennent-elles compte des exigences en matire de fonds propres ?
Les limites globales sont-elles revues aussi souvent que ncessaire et au minimum une
fois par an ?
Le responsable de la salle a-t-il fix et dcompos des limites de risques de march
oprationnelles en phase avec les limites globales ?
Risques.
Risque financier : la limite peut ne pas tre oprationnelle (parce que trop basse) ou
inutilise parce que trop importante (dans ce cas du capital serait allou inutilement).
Risque financier : les limites de certaines units peuvent tre trop leves et exposer
la Banque un risque financier (faillite).
Risque financier : du fait des fluctuations sur le march, les limites peuvent tre
obsoltes (trop faibles ou trop leves).
Risque oprationnel : les traders peuvent ne pas avoir respecter une limite
individuelle les limites globales pourraient par consquent tre dpasses.
186

__________________________________________________________________________________________

Vrifier les utilisations pour estimer si les limites semblent appropries.
Vrifier au moyen de notes internes, de courriers, de procs verbaux de runion, etc
que la direction locale et le responsable du desk sont formellement impliqus dans la
fixation des limites.
Vrifier que les limites ont t fixes en tenant compte du capital de la banque et vrifier
galement que la fixation de ces limites est documente.
Vrifier que le capital risque (si vous pouvez le calculer) est infrieur au capital de la
banque.
Sassurer que les limites ont t r-examines.
Demander le document dtaillant les limites fixes chaque trader.
2.4 - Risques de march.

2.4.1 - Mthodologie
La mthodologie labore par la SDM pour le suivi des risques de march est-elle
respecte ?
Les limites globales couvrent-elles lensemble des risques de march auxquels la
banque est expose ?
Risques.
Risque financier : les risques de march pourraient tre sous-valus.
Sassurer que la mthodologie est bien respecte
Sassurer quelle couvre lensemble des risques de march inhrents lactivit.
Vrifier que la mthodologie mise en uvre fixe des limites spcifiques pour : les
chances, les devises, les produits, le march.
Sattacher la validit des modles mathmatiques, les risques de liquidit, la position
dominante sur un march donn (importantes positions sur les instruments financiers
terme par exemple)
Sinformer sur des perturbations de march rcentes qui ont affect lactivit de trading
de la banque. Sassurer que les pertes ont t contenues dans les limites prvues.
2.4.2 - Suivi des limites.
Toutes les limites fixes (produits, maturits, devises, marchs) au FO sont-elles suivies
par un secteur indpendant ?69
Les limites sont-elles suivies au jour le jour?
Les dpassements de limites sont-ils signals conformment la procdure ? 70
Les actions correctives sont-elles suivies de prs par le MO ?
Risques.
Risque financier : le FO pourrait prendre des positions non autorises.
69
Quotidiennement, sur la base des positions front office arrtes la veille au soir et valides par le back-office, la mission des suivis dactivit est de : mesurer les niveaux
dexposition en risques de marchs en appliquant la mthodologie en vigueur et contrler le respect des limites octroyes et des rgles spcifiques de gestion spcifies dans
les dlgations.
70
En cas de franchissement de limites, alerter immdiatement par crit les hirarchies front et middle offices concernes.
187

__________________________________________________________________________________________
Risque financier : les dpassements de limites qui ne sont pas signals pourraient
entraner une exposition des risques excessifs et par consquent des pertes
potentielles suprieures aux prvisions.
Risque financier : dtecter les dpassements sans suivre les actions correctives peut
inciter le FO dpasser continuellement les limites.
Une action corrective inadapte ou trop laxiste pourrait affecter la crdibilit et
lefficacit des contrles.
Sassurer que le MO assure le suivi de toutes les limites fixes au FO (chances
maximum, restrictions relatives aux produits, etc )
Sassurer que le MO est dot doutils appropris pour assurer ce suivi.
Examiner par sondage les tats de risques afin de trouver tout dpassement de limite.
Demander voir tous les tats de risque et vrifier par sondage que tous les
dpassements de limites ont bien t signals.
Vrifier pour quelques dpassements quelles actions correctives ont t prises et de
quelle manire elles ont t suivies : courrier, notes, rapports, etc.
Vrifier que les actions correctives entreprises augmentent la crdibilit du contrle. De
trop nombreux dpassements pourraient indiquer un manque de crdibilit dans le
contrle des limites.
2.4.3 Calcul des limites.

Si les limites sont calcules par un systme :
Les calculs du systme ont-ils t valids par un secteur indpendant du FO et du MO ?

Le primtre (desk, portefeuille) des tats de risque est-il vrifi rgulirement pour
sassurer que toutes les oprations sont bien prises en ligne de compte ?
Laccs la codification du systme de calcul et ddition des tats de risques est-il
interdit au FO ?
Si les limites ne sont pas calcules par un systme :
Loutil utilis peut-il calculer correctement les risques de march ?

Loutil utilis (Excel, tats, rapports,) est-il fiable ?
Est-il indpendant du FO, en ce sens quil utilise des donnes vrifies par un secteur
indpendant. ?
Un plan de secours/une sauvegarde a-t-il(elle) t mis(e) en place et test(e) ?
Le primtre (desk, portefeuille) du calcul de risque est-il vrifi rgulirement pour
sassurer que toutes les oprations sont prises en compte ?
Risques.
Risque financier : les risques de march pourraient tre mal calculs.
Les limites pourraient tre calcules sur un primtre incorrect cause dune
mauvaise codification des systmes. La limitation de laccs la codification du
systme de calcul des risques met la Banque labri des risques de fraude
(manipulations des risques de march).
Risque financier : les risques de march pourraient tre mal calculs.
188

__________________________________________________________________________________________

Vrifier les documents justificatifs des calculs de risques.
Vrifier si le primtre de ltat couvre lensemble des transactions et si le MO procde
un contrle rgulier.
Vrifier laccs au systme pour sassurer que le FO ne peut pas modifier les tats de
risques, son primtre et les calculs.
Vrifier que loutil utilis est mme de calculer les risques de march.
Vrifier que loutil utilis a des droits daccs appropris. Vrifier que les calculs ne sont
pas sujets des erreurs de traitement (dans le cadre dune utilisation dun fichier Excel
par exemple).
Vrifier que les donnes utilises pour les calculs sont valides par un secteur
indpendant du FO.
Vrifier que loutil utilis est dot dun systme de secours qui a t test.
Vrifier si le primtre du calcul englobe toutes les oprations et si le MO procde des
contrles rguliers.
2.4.4 Limites intrajour.
Si les systmes ne permettent pas un suivi en temps rel des limites de march, existet-il un contrle a posteriori par sondage pour sassurer que les positions en cours de
journe ne dpassent pas les limites de march ?
Ces contrles sont-ils documents ?
Risques.
Risque financier : labsence de contrle sur les oprations en cours de journe
pourrait entraner un dpassement de limites par le FO, ce qui pourrait exposer la
Banque des pertes potentielles suprieures aux prvisions.
Vrifier que le MO effectue des contrles a posteriori par sondage.
Vrifier que ces vrifications sont documentes.
2.4.5 - Rsultats/Rvaluation au cours du jour.
La banque est-elle en mesure de procder une valuation au cours du jour de toutes
ses positions indpendamment du FO ?
La banque a-t-elle mis en place une procdure permettant de calculer quotidiennement
les gains ou les pertes comptables indpendamment du FO ?
Risques.
Risque financier : la banque doit tre en mesure dvaluer au cours du jour ses positions
pour dterminer son rsultat latent, mme si le rsultat est en couru.
Risque financier : les rsultats doivent tre calculs par un secteur indpendant afin
dviter toute dissimulation de perte et les risques de fraude.
Sassurer que le MO a les moyens de rvaluer toutes les positions au cours du jour.
189

__________________________________________________________________________________________
Sassurer que le MO a ses propres outils pour procder ces r-valuations ainsi que
des donnes valides et quil est par consquent indpendant du FO.
Vrifier que les calculs sont effectus par un secteur indpendant.
Sassurer que ce secteur a les moyens dassurer lindpendance de la production : stock
valid par le BO, indpendance des paramtres de march.
2.4.6 - Couverture du risque de change sur les rsultats en

devises
Les rsultats sur oprations de change (relatifs la banque) sont-ils couverts auprs de
la salle des marchs au moins une fois par mois ? 71
Risques.
Risque financier : le risque de change sur les rsultats pourrait ne pas tre couvert.
Vrifier que le rsultat sur oprations de change est couvert auprs de la salle au moins
une fois par mois.
2.4.7 - Calcul des rsultats.

Si les rsultats sont calculs par un systme :
Les calculs effectus par le systme ont-ils t valids par un secteur indpendant du
FO ?
Le primtre (desk, portefeuille) de ltat de rsultats est-il vrifi rgulirement pour
sassurer que toutes les oprations sont prises en compte ?
Laccs la codification du systme de calcul et ddition des tats de rsultats est-il
interdit au FO ?
Si les rsultats ne sont pas calculs par un systme ddi :
Loutil utilis est-il capable de calculer correctement les rsultats ?

Loutil utilis (Excel, tats, ) est-il sr ?
Est-il indpendant du FO, en ce sens quil utilise des donnes vrifies par un secteur
indpendant ?
Une procdure de secours a-t-elle t mise en place ? teste ?
Le primtre (desk, portefeuille) des calculs de rsultats est-il vrifi rgulirement pour
sassurer que toutes les oprations sont bien prises en compte ?
Tous les lments constitutifs du rsultat ont-ils t pris en compte : trsorerie interne
rsiduelle, cot de la liquidit, risques de garantie et risques metteurs, provisions, etc?
Risques.
Risque financier : les rsultats pourraient tre mal calculs. Les limites pourraient tre
calcules sur un primtre incorrect du fait dune mauvaise codification des
systmes.
Limiter laccs la codification du systme dans le cadre des calculs de rsultats
71
Dans chaque unit, les rsultats en devises sur oprations courantes, qu'ils soient valus en couru ou en marked to market, doivent tre cds au moins mensuellement
contre monnaie locale auprs de la salle des marchs, ou auprs de la Gestion Actif-Passif de la banque.
190

__________________________________________________________________________________________
protge la Banque des risques de fraude (manipulation des rsultats).

Risque financier : des rsultats mal calculs pourraient donner des informations
incohrentes sur la rentabilit de lactivit et laffectation des primes.
Vrifier les documents de validation des rsultats.
Vrifier que le primtre des tats englobe toutes les oprations et que le MO procde
rgulirement des contrles.
Vrifier laccs au systme pour sassurer que le FO ne peut pas modifier les tats de
rsultats, leur primtre et les calculs.
Sassurer que loutil utilis est capable de calculer les rsultats.
Sassurer que loutil utilis dispose des droits daccs appropris. Vrifier que les calculs
ne sont pas sujets des erreurs de traitement (dans lutilisation dun fichier Excel par
exemple).
Vrifier que les donnes utilises dans les calculs sont valides par un secteur
indpendant du FO.
Vrifier que loutil utilis dispose dune sauvegarde et dune procdure de secours et
que les deux ont t testes.
Vrifier que le primtre du calcul englobe toutes les oprations et sassurer que le MO
procde rgulirement des vrifications.
Vrifier que tous les lments constitutifs des cots et des produits sont bien pris en
compte.
Le financement de lactivit de chaque desk par exemple devrait tre pris en compte.
Vrifier sil y aurait lieu de facturer le cot de la liquidit.
2.4.8 - Rconciliation des rsultats.
Le calcul des rsultats comptables est-il soumis la validation des traders par le biais
dun rapprochement formel avec les rsultats du FO ?
Les rsultats du MO sont-ils rapprochs rgulirement des rsultats comptables? 72
Risques.
Risque financier : le rapprochement est une garantie de la validit des rsultats. Il
permet de sassurer galement que les oprateurs FO sont daccord avec les
rsultats.
Vrifier le rapprochement et sassurer que tous les carts sont expliqus et documents.
3. Back Office.
3.1 - Structure et gestion de lactivit.
Qui est charg de contrler la productivit ?
Avec quelle priodicit la qualit de la productivit est-elle value ?
La direction dispose-t-elle de processus et doutils spcifiques pour mesurer et amliorer
72
Quotidiennement, sur la base des positions front office arrtes la veille au soir et valides par le back-office, la mission des suivis dactivit est d'effectuer des
rapprochements priodiques avec la comptabilit gnrale de la banque.
191

__________________________________________________________________________________________
la productivit et la qualit du service ?

Existe-t-il des statistiques dtailles par produit sur le nombre doprations ? le nombre
derreurs ? le nombre de rclamations ?
Les contrles effectus par la hirarchie sont-ils formaliss ?
Risques.
Des zones de non-productivit pourraient ne pas tre mises en lumire.
La direction pourrait prendre des dcisions inappropries faute dune bonne
connaissance de lactivit.
Lactivit pourrait ne pas tre correctement suivie.
Demander les plans dactions, les notes de projet ou les statistiques relatives la
productivit tenues par la direction.
Demander des statistiques portant au moins sur les deux dernires annes afin
danalyser lvolution.
Sassurer que les documents vrifis par la hirarchie sont correctement viss.
3.2 - Procdures et organisation.
Des procdures formelles existent-elles au niveau de la banque ? Ces procdures sontelles mises jour rgulirement et communiques aux membres du personnel
concerns ?
Lapplication correcte des procdures au niveau de la banque fait-elle lobjet de
vrifications rgulires ?
Risques.
La remise de procdures prcises aux membres du personnel permet de rduire les
risques oprationnels par une intervention rapide et de garantir la poursuite de
lactivit dans le respect des procdures en cas de dpart ou dabsence dun
employ occupant un poste clef.
Des erreurs de traitement peuvent survenir dans le cas dun non respect des
procdures.
Demander consulter les procdures les plus rcentes et vrifier quelles correspondent
lactivit actuelle.
Sassurer que les membres du personnel connaissent parfaitement les procdures en
vigueur.
Le BO est-il hirarchiquement indpendant du FO ?
Existe-t-il une vritable sparation des tches entre le FO / BO / le secteur rglement?73
Des contrles spcifiques sont-ils mis en uvre pour sassurer quil existe une
indpendance totale entre le FO (qui initie les oprations), le BO (qui saisit les
oprations dans les systmes de gestion), les personnes charges des rglements et le
73
La scurit des transactions est notamment assure par le respect du principe de sparation des fonctions de ngociation ( front office ) et de traitement ( middle et back
office ). Ces fonctions relvent dorganisation et de hirarchie diffrentes. Elles ne doivent en aucun cas tre assumes par la mme personne.
192

__________________________________________________________________________________________
secteur comptabilit ?
Les fonctions de rapprochement et de confirmation sont-elles assures par des
personnes diffrentes au sein du BO ?
Risques.
Des oprations frauduleuses peuvent tre conclues et traites en labsence dun
contrle appropri et dune vritable sparation des tches.
Une mme personne pourrait tre charge de lensemble du processus, ce qui
empcherait le contrle de deuxime niveau.
Demander les organigrammes, les dfinitions de postes.
Sassurer par exemple que les systmes BO ne permettent pas de saisir des oprations
dans les positions tenues par le FO. Vrifier de mme que les systmes FO ne
permettent pas le traitement et le rglement des oprations.
Par le biais dentretiens, identifier les personnes charges de ces diffrentes fonctions.
3.4 - Saisie des oprations.
Les tickets dopr font-ils lobjet dun horodatage ? (vrification pour sassurer que les
tickets sont correctement et rgulirement transmis au BO : exhaustivit des oprations
enregistres) .
Les tickets dopr sont-ils pr-affects aux oprateurs ou aux desks ?
Les tickets dopr sont-ils diffrents selon le type dinstrument ?
Les horodateurs sont-ils jour ?
Les tickets dopr sont-ils correctement et compltement remplis ? (exactitude des
donnes).
Les tickets dopr contiennent-ils toutes les informations requises par les rgles de
march (cela vaut aussi pour les oprations internes) ?
Les tickets dopr sont-ils signs par les traders ?
Les oprations sont-elles saisies au fil de leau et correctement ?
Les fonctions de saisie et de validation des oprations sont-elles effectivement
spares ?
Si les traders utilisent Reuters, les conversations sont-elles imprimes au BO ?
Les impressions de conversations Reuters sont-elles rgulirement vrifies par le BO ?
Les oprations internes sont-elles formalises par un ticket dopr ?
Un rapprochement est-il effectu entre les tickets dopr et les saisies dans le
systme?
Risques.
Les oprations peuvent tre saisies avec un certain retard ou incorrectement. Il
pourrait en rsulter une mauvaise valuation du risque ou une dissimulation de
postions.
Une opration conclue par le FO pourrait ne pas tre enregistre par le BO.
Il pourrait y avoir un transfert de rsultat par une affectation a posteriori.
Les tickets dopr pourraient tre incorrectement saisis.
Lhorodatage permet de connatre prcisment lheure laquelle une opration a t
conclue, ce qui peut tre utile dans le cas dune rclamation clientle.
Les oprations peuvent tre saisies de manire incorrecte.
193

__________________________________________________________________________________________
Lvaluation des positions pourrait tre inexacte si le stock de position est lui-mme
inexact.
Le contrle de deuxime niveau pourrait ne pas tre assur.
Certaines transactions pourraient tre dissimules par le FO et certaines oprations
pourraient tre omises.
Les oprations internes pourraient ne pas tre documentes et par consquent
difficiles identifier.
Tous les tickets dopr pourraient ne pas tre enregistrs dans les systmes de
gestion.
Vrifier que les tickets doprations sont bien horodats au moment ou lordre client est
reu et au moment ou lexcution est acheve.
Sassurer que les tickets dopr contiennent des informations relatives au desk.
Prendre un chantillon de tickets dopr par type dinstrument et vrifier quils sont
diffrents.
Vrifier que tous les tickets dopr prcisent lheure de conclusion de lopration.
Vrifier au FO que les horodateurs indiquent les bonnes date et heure.
Prendre un chantillon de tickets dopr et vrifier quils sont compltement remplis et
quils ne comportent pas de mots rays ou effacs.
Prendre de faon alatoire quelques oprations et comparer la date dopration avec la
date de saisie, la date de valeur, la date de paiement.
Dterminer le nombre doprations saisies de faon incorrecte, rechercher les causes et
analyser les consquences.
Vrifier les signatures apposes sur les tickets dopr, les droits daccs aux systmes
et les noms des utilisateurs utiliss pour la saisie.
Vrifier la cohrence entre les tickets / les telex / les impressions Reuters.
Vrifier que les contrles relatifs aux conversations Reuters sont documents et
formaliss.
Vrifier que les tickets dopr relatifs aux oprations internes sont correctement
remplis. Sassurer quils peuvent tre facilement identifis par le BO (numros
spcifiques, archivage ). Cette vrification peut tre mene de pair avec celle des
retards de saisie.
3.5 - Archivage des dossiers.
Les dossiers sont-ils conservs dans un endroit sr ? laccs ce local est-il protg?
Les dossiers des oprations sont-ils correctement conservs ? sont-ils complets (ticket
dopr, confirmations, ordres de paiement, fiches de saisie, documentation lgale,
messages telex et description de produits complexes, sil y a lieu ) ?
Les diffrents types doprations peuvent-ils tre aisment individualiss ? oprations
en cours ? oprations chues ?
Risques.
La protection des dossiers pourrait ne pas tre suffisamment assure.
Le suivi des oprations peut tre difficile faute dune documentation correcte.
Une comptabilisation incorrecte des oprations pourrait cacher des pertes
financires ventuelles.
194

__________________________________________________________________________________________

Tester les droits daccs au local dans lequel les dossiers sont conservs.
Choisir quelques oprations et sassurer que les fichiers peuvent tre facilement trouvs
et quils sont correctement documents.
3.6 - Modification / annulation dune opration.
Existe-t-il une procdure pour la modification ou lannulation dune opration ?
Existe-t-il une piste daudit en cas dannulation ou de modification dune opration
(registre spcifique, classement des tickets dopr correspondants .) ?
Toutes les modifications/annulations sont-elles expliques, autorises par la hirarchie
et documentes ?
Des tats danomalie spcifiques sont-ils dits en cas de modification des oprations ?
Risques.
Les oprations pourraient tre modifies ou annules par les membres du personnel
sans que ces annulations ou modifications soient documentes.
Prendre un chantillon doprations modifies et annules et analyser le processus.
3.7 - Gestion des oprations en dehors des heures d'ouverture.
Un horaire butoir a-t-il t dfini en ce qui concerne lactivit de trading (lheure limite
denvoi des derniers tickets dopr et pour arrter la journe comptable) ?
Existe-t-il une procdure formalise en ce qui concerne le traitement des oprations
conclues en dehors des heures douverture ?
Risques.
La scurit des oprations pourrait ne pas tre assure.
Demander consulter la procdure relative aux ngociations en dehors des heures
douverture.
Identifier les oprations effectues en dehors des heures douverture et analyser de
quelle manire elles ont t traites.
3.8 - Gestion des oprations hors site.
Existe-t-il une procdure spcifique pour les oprations hors site ?
Risques.
La scurit des oprations pourrait ne pas tre assure .
Demander consulter la procdure relative aux ngociations hors site.
195

__________________________________________________________________________________________
Identifier des oprations effectues hors site et analyser de quelle manire elles ont t
traites.
3.9 - Rapprochement des stocks.
Les stocks enregistrs dans les applications BO sont-ils constamment rapprochs avec
les systmes FO ?
Risques.
Lexactitude de la position de la banque nest pas assure en labsence dun
rapprochement des stocks appropri.
Les carts dans les stocks pourraient signifier que certaines oprations nont pas t
enregistres dans les systmes FO ou BO, entranant des valuations incorrectes.
Vrifier que les stocks sont rgulirement rapprochs (selon quelle frquence ?) et que
ces rapprochements ne mettent pas en vidence des suspens. Analyser au moins trois
rapprochements de stocks : identifier le seuil de signification des carts constats, le
niveau de dtail,
Vrifier que des rapprochements sont rgulirement effectus entre le FO et le BO.
Demander consulter au moins trois rapprochements et identifier toute opration en
suspens. Les suspens doivent tre expliqus et documents.
3.10 - Contrle de position.
Le BO procde-t-il priodiquement (lidal tant une priodicit quotidienne) un
rapprochement entre les positions FO et BO ?
Sinon de quelle manire les positions vrifier sont-elles choisies ?
Les positions du BO et de la comptabilit sont-elles rapproches priodiquement (au
moins chaque date darrt comptable)?
Risques.
Les rsultats de la Banque pourraient tre inexacts en labsence dune position
exacte des stocks.
Choisir certaines oprations et rapprocher les saisies / la rcapitulation des saisies / les
tickets dopr ou demander voir des rapprochements effectus par le BO.
Si le rapprochement est automatis, analyser les tats danomalie.
Vrifier que ltat contient toutes les positions rapprocher.
Vrifier que toutes les positions du BO sont bien enregistres dans le systme
comptable.
En cas de dversement automatique en comptabilit, vrifier quil ny a pas de suspens
ou sil y en a, quils sont identifis et documents.
196

__________________________________________________________________________________________
3.11 - Suspens.
Existe-t-il une procdure spcifique pour liquider les suspens ?
Cette procdure est-elle correctement applique ?
Les anomalies sont-elles numrotes, enregistres dans un registre interne et signales
la direction ?
Les suspens sont-ils dtects et rgls ponctuellement ?
Une piste daudit est-elle assure lorsque le suspens implique la modification ou
lannulation dune opration ?
Une analyse des suspens est-elle faite lattention de la direction : origine,
consquences financires ? Cet impact financier est-il systmatiquement affect au
desk responsable du suspens ?
Quelles actions correctives sont entreprises ? Sont - elles approuves par la direction ?
Risques.
Les suspens peuvent suggrer des erreurs de traitement par le BO et peuvent
entraner des pertes financires.
Vrifier que le BO est au courant de tous les suspens et quil en assure le suivi : si les
suspens sont mis dans un fichier spcifique, demander le consulter et procder un
examen dtaill ; nombre des suspens, explications, temps ncessaire leur
rglement
Demander consulter la procdure interne relative au rglement des suspens ou toute
note dinformation.
3.12 - Processus de confirmation.
Le BO est-il le seul secteur charg de lenvoi et de la rception des confirmations?
La rception ou lenvoi de confirmations par le FO est-il strictement interdit(e) ?
Le processus de confirmation est-il automatis ? Dans laffirmative, est-il suffisamment
scuris (accs swift, au telex .) ?
Les confirmations sont-elles envoyes lextrieur en temps opportun (un jour ouvrable
au plus tard aprs la date dopration) ? (FED)
Les confirmations sont-elles vrifies avant dtre envoyes ?
Ces confirmations sont-elles signes par des signataires dment autoriss ?
Existe-t-il un suivi formalis des confirmations non reues ? ou non signes ?
Est-il procd un rapprochement formel entre les tickets dopr, les confirmations
envoyes et les confirmations reues de contreparties et les saisies dans le systme?
Ce rapprochement est-il fait manuellement ou automatiquement ?
Les signatures apposes sur les confirmations sont-elles vrifies ? (FED)75
74
Risques.
En labsence dune vritable sparation des tches, des oprations pourraient tre
dissimules par le FO.
Des oprations frauduleuses peuvent tre conclues dans un environnement non
74
75
FED Trading and Capital Markets Activities Manual.

FED Trading and Capital Markets Activities Manual Feb 1998
197

__________________________________________________________________________________________
scuris.
Des confirmations incorrectes peuvent tre la cause de rclamations des
contreparties.
Labsence de confirmation ou une mission tardive peut entraner des saisies
incompltes.
Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en
vidence.
Une opration pourrait tre mal enregistre.
La Banque pourrait ne pas tre labri en cas de diffrend avec la contrepartie.
Vrifier que toutes les confirmations sont directement envoyes par le BO et quelles
sont conserves par ce secteur.
Vrifier que le FO ne peut pas avoir accs au processus de gnration des
confirmations.
Vrifier que les confirmations ne peuvent tre effectues que par des personnes
autorises, et quil existe une piste de connexion.
Prendre quelques confirmations et sassurer quelles contiennent toutes les informations
utiles relatives lopration et quelles sont signes par des personnes autorises.
Examiner les tats rcapitulatifs des confirmations pour identifier les oprations dont les
confirmations sont en suspens depuis plus de 15 jours (FED)76.
Vrifier si toutes les diffrences entre les confirmations envoyes par les contreparties
et les tats de la Banque sont enregistres dans un registre des anomalies. Vrifier que
toutes les irrgularits sont envoyes pour rglement un cadre indpendant de la
fonction trading. (FED) 77
Vrifier que tous les suspens ncessitant une action corrective sont rapidement
identifis, examins et rgls en temps opportun. (FED)78
Analyser les tats danomalies ventuels.
Si ce rapprochement nest pas formalis, choisir certaines oprations et raliser le test.
Demander consulter le recueil des signatures autorises des contreparties conserv
par le BO et le comparer quelques confirmations.
3.13 - Gestion de la trsorerie.
Les mouvements sont-ils cumuls et enregistrs par date de valeur ? par devise ? par
correspondant ?
La banque dispose-t-elle dun systme de gestion de trsorerie fiable ?
La banque dispose-t-elle dun outil fiable de gestion de prvisions des flux ?
La prvision de liquidit et les soldes comptables sont-ils rapprochs quotidiennement ?
Les oprateurs sont-ils informs des nouvelles prvisions de position? Comment?
Risques.
Des anomalies pourraient ne pas tre dtectes.

Prendre quelques comptes et analyser le processus de gestion de la trsorerie en
liaison avec la fonction FO.
76
77
78
FED Trading and Capital Markets Activities Manual, Feb 1998

FED Trading and Capital Markets Activities Manual, Feb 1998.
FED Trading and Capital Markets Activities Manual, Feb 1998
198

__________________________________________________________________________________________
3.14 - Analyse des rclamations.
Existe-t-il une procdure formalise pour traiter les rclamations des clients ?
Toutes les rclamations sont-elles consignes dans un registre ad hoc ? Ce registre estil jour ? est-il correctement tenu (indique-t-il la nature de la rclamation, la date de
rglement, la solution apporte ) ?
Ce registre est-il rgulirement soumis laudit interne ? Est-il vis par la direction de la
banque ?
Les rclamations non rgles sont-elles soumises la direction pour dcision ? dans
quel dlai ?
Chaque rclamation de client est-elle tudie dun point de vue financier ? lincidence
est-elle affecte en analytique au desk responsable ?
Des pnalits de retard sont-elles systmatiquement demandes et payes ?
La personne charge dtudier les rclamations est-elle diffrente de celle qui initie ou
traite les oprations ?
Est-ce que les conversations tlphoniques sont enregistres ?
Risques.
La banque peut avoir payer des pnalits pcuniaires.
La sparation des tches pourrait ne pas tre assure ce qui fait obstacle un
contrle appropri. Il existe un risque de fraude du fait que des rclamations peuvent
ne pas tre suivies.
En cas de litige la piste daudit peut ne pas tre assure.
Analyser de quelle manire les rclamations sont traites par le BO. Sil existe un
registre, lexaminer.
Vrifier que la fonction examen des rclamations est assure par des personnes
indpendantes (par des entretiens, lexamen de lorganigramme).
Vrifier que les conversations sont enregistres.
4. Risque de contrepartie.
4.1 - Octroi des lignes de Crdit.
Est-ce que les lignes pour les oprations de march font partie de la demande globale
de lignes de risque pour la contrepartie ?
Est-ce que le dpartement des engagements dispose des master agreements
signs avec chacun des clients utilisant des produits drivs ?
Est-ce que les lignes de risque sont accordes par le Comit de Crdit ?
Est-ce que le dpartement commercial est inform des lignes de risque pour les
activits de march sur les clients accrdits ?
Risques.
Risque de crdit : La demande de lignes pour les oprations de march insuffisamment
documente et motive, peut conduire une sous-estimation du risque sur un client.
Risque de crdit : Labsence de la documentation affaiblit la position de la banque en
199

__________________________________________________________________________________________
cas de conflit avec un client.

Risque de crdit : Les lignes pour les oprations de march ne doivent tre donnes
que par le Dpartement des engagements et valides par le Comit de Crdit.
Risque de crdit : Le dpartement commercial doit tre inform des lignes de risque
attribues pour les oprations de march de manire avoir une vue globale de la
relation.
Ce point doit tre vrifi avec les fonctions commerciale et engagements afin de vrifier
que le processus global intgre bien les trois dpartements.
Vrifier, par sondage, que les contrats cadres sont bien signs avant/pendant que la
banque entre en transaction avec un client.
Vrifier que les lignes sont bien accordes par le Dpartement des Engagements.
Vrifier que le dpartement commercial est bien inform des demandes de lignes pour
les oprations de march.
4.2 - Systme de gestion du risque de crdit.

Existe-t-il un systme de gestion du risque de crdit pour les oprations de march ?
Est-il en temps rel ?
Couvre-t-il lensemble des produits ?
Risques.
Risque de crdit : labsence de systme de gestion peut conduire une sousvaluation du risque de contrepartie.
Vrifier que lensemble des produits traits sont pris en compte par le systme de
gestion des risques de contrepartie, notamment des produits comme les instruments
dpart dans le futur.
4.3 Rvaluation.
Dans le cas o le systme nest pas intgr, est-ce que les rvaluations des positions
clients sont ralises par un service indpendant du Front Office ?
Si le systme nest pas intgr : Est-il matris (quil soit dvelopp en interne ou achet
un fournisseur) ? Est-il scuris en terme de droit daccs, de sauvegarde et de backup ?
Est-ce que les paramtres de march servant la rvaluation pour le calcul du risque
de contrepartie sont valids par un dpartement indpendant ?
Risques.
Sparation des tches : Le Front Office peut dissimuler des pertes si cest lui qui
procde aux rvaluations des positions
Risque de crdit : le systme peut ne pas tre assez scuris et pour diverses
raisons mal valuer le risque de contrepartie.
Risque de crdit : Le risque de contrepartie peut tre mal calcul.
200

__________________________________________________________________________________________

Vrifier que les rvaluations sont faites par un service indpendant du Front Office.
Il faut vrifier que le systme de gestion du risque de contrepartie est suffisamment
scuris, il faudra veiller vrifier que les paramtres de march servant au calcul des
positions soient fournis par un service indpendant du Front Office.
Vrifier que les paramtres de march sont valids par un dpartement indpendant du
Front Office. Pour plus de prcision vous pouvez vous reporter la section consacre
au Middle Office.
4.4 - Suivi du risque de crdit.
Est-ce que les risques de contrepartie sont suivis par un service indpendant du Front
Office ?
Est-ce que les positions sont suivies sur une base continue (temps rel) et contrles
par un service indpendant du Front Office ?
Est-ce que les dpassements de limites sont notifis au responsable du desk avec copie
au management ?
Est-ce que les notifications de dpassement sont suivies ?
Risques.
Risque de Crdit :Le Front Office ne doit pas tre impliqu dans le suivi du risque de
contrepartie. Lindpendance du contrle garantit que les dpassements seront
notifis.
Risque de crdit : Les franchissements de limites non signals peuvent conduire
augmenter le risque de crdit sur un client.
Risque de crdit : Les dpassements doivent tre signals et corrigs sinon le rle
du dpartement de contrle sera diminu.
Vrifier quun dpartement rellement indpendant contrle le risque de contrepartie.
Vrifier que pour chaque dpassement une notification est envoye au responsable du
desk avec copie sa hirarchie.
Vrifier que pour chaque dpassement, les actions correctrices ont t prises partir
des mails, des mmos etc
5. Risque Juridique.
5.1 - Capacit lgale des personnes.
Est-ce que linterlocuteur possde la capacit engager son entreprise sur des
oprations de march?
Est-ce que linterlocuteur est habilit traiter pour tous types doprations (options,
swaps de taux etc) et de montants ?
Est-ce que les employs de la banque sont autoriss traiter avec les contreparties,
pour quels types de montants et de produits ?
Risques.
Risque Juridique : La banque peut se voir reprocher des oprations au motif que la
201

__________________________________________________________________________________________
personne qui a trait navait pas le pouvoir de le faire.

Risque Juridique et financier: Une transaction initie par une personne non autorise
peut conduire des pertes en cas de contestation
Vrifier dans le dossier client la ou les personnes autorises traiter.
Vrifier que seuls les employs rguliers sont autoriss traiter.
5.2 - Contrat cadre.
Est-ce que les contrats cadres sont signs avec les contreparties traitant des produits
drivs ?
Avant de traiter le premier deal, sil manque des contrats signs, existe-t-il un suivi ?
Est-ce que la personne qui a sign avait le pouvoir de le faire ?
Est-ce que les contrats cadres sont signs avec les contreparties travaillant en repo et
prt/emprunt de titres avec la banque ?
Risques.
Risque Juridique : le contrat cadre doit tre juridiquement valable.
Risque Juridique : labsence des contrats cadres affaiblit la position de la banque en
cas daction en justice.
Demander la validation officielle du Dpartement Juridique.
Vrifier que le contrat cadre est sign avant de raliser la premire transaction et que la
signature a t authentifie.
5.3 - Confirmations.
Est-ce que le contenu des confirmations a t valid par un dpartement juridique?
Risques.
Risque Juridique : la confirmation doit tre juridiquement valable pour les produits
sensibles.
Vrifier que les confirmations envoyes aux clients sur les produits drivs non
standards ont t valides par le dpartement Juridique.
5.4 - Conversation tlphonique.
Est-ce que le systme denregistrement des conversations fonctionne correctement ?
Risques.
Risque Juridique et Commercial : Mme si un enregistrement nest pas une preuve
forte, ce systme aide en cas derreur sur une opration.
202

__________________________________________________________________________________________

Vrifier le fonctionnement du systme, vrifier quil existe aussi une procdure pour la
conservation des enregistrements.
6. Scurit Physique.
6.1 - Accs.
Est-ce que laccs la salle des marchs est rserv aux personnes autorises ?
Risques.
Fraude : Un accs rserv est la premire tape pour viter les oprations
frauduleuses.
Vrifier que les portes sont fermes et que laccs est rserv aux membres du FrontOffice.
6.2 - Systmes.
Est-ce que les PC et autres systmes de dealing sont dconnects en dehors des
heures de travail ?
Est-ce que le systme denregistrement des conversations fonctionne correctement ?
Risques.
Risque de fraude : Ces systmes sont protgs par des user et des
password . Une utilisation frauduleuse de ces systmes est impossible lorsque ces
systmes sont dconnects.
Risque juridique et commercial : Mme si un enregistrement nest pas une preuve
forte, cet appareil aidera sur dventuels litiges.
Vrifier que les systmes informatiques sont bien dconnects en dehors des heures de
travail.
Vrifier le fonctionnement du systme, vrifier quil existe aussi une procdure pour la
conservation des enregistrements.
6.3 - Back-up.
Est-ce que la solution de back-up de la salle est oprationnelle ?
Risques.
Risque de continuit dactivit.
Pour ce contrle il faudra sassocier avec lauditeur en charge de la fonction
informatique.
203

__________________________________________________________________________________________
204

__________________________________________________________________________________________
Chapitre 4 :
Mission d'audit de la Direction des
Ressources Humaines.
205

__________________________________________________________________________________________
Chapitre 4 : Mission d'audit de la Direction des Ressources

Humaines.
Introduction.
La fonction Ressources Humaines couvre cinq domaines : ladministration, la gestion
des carrires, le recrutement, la formation et les relations sociales.
Elle a, au sein de toute banque commerciale comme ailleurs, quatre missions
essentielles assurer :
Administrer (les classifications, ladministration du personnel, la paie);
Rpondre aux besoins, en fournissant les ressources humaines adaptes (le
recrutement, lorientation, la formation, la motivation);
Garantir la continuit du fonctionnement de lentreprise (le dialogue social,
lenvironnement du travail);
Optimiser les cots des ressources humaines (les rmunrations, le contrle de
gestion).
Selon la taille de la banque, les Ressources Humaines (RH) seront plus ou moins
structures ; une gestion directe par le management assist dun secrtariat
administratif dans les petites units, une Direction des Ressources Humaines (DRH)
importante dans les plus grandes.
Comme pour toutes les fonctions, une mission daudit de la Direction des Ressources
Humaines comprendra une phase de prparation (collecte de documents et entretiens
prparatoires), une phase dinvestigation (entretiens systmiques 79 et sondages) et une
phase de rdaction. Il conviendra, en thorie, de couvrir chacun des cinq domaines lors
de chaque phase.
Selon limportance de la banque audite, ces cinq thmes seront dclins plus ou moins
formellement. Dans tous les cas, cependant, la mission aura pour objet dapprcier
comment sont couverts les risques lis la fonction Ressources Humaines.
Parmi les familles de risques recenses, seront principalement concerns les risques de
management, juridiques, de dontologie et de compliance, oprationnels et fiscaux.
Laudit RH devra mesurer le niveau des risques, leur volution et lavancement des
plans dactions correcteurs.
Le prsent chapitre reprend :
Pour la phase de prparation, la liste des documents recueillir et des entretiens
mener,
Pour la phase dinvestigation, dans chacun des cinq domaines, les objectifs, points
de contrle, familles de risques associes et natures des risques, sondages et
documents.
Pour la phase de synthse, une liste de sondages qui pourraient tre repris dans le
rapport et une indication sommaire des domaines les plus sensibles.
79
206

__________________________________________________________________________________________
Les points de contrle essentiels.
Au cours de la mission, les points de contrle essentiels seront les suivants :

1. Les cinq fonctions RH sont-elles couvertes (Administration, Gestion, Recrutement,
Formation, Relations Sociales) ?
2. Les rgles de confidentialit (paie, dossiers personnels) et de scurit (back up)
sont-elles respectes ?
3. Y a-t-il des tableaux de bord fiables lintention du Responsable de la banque ?
4. Le processus de rvision des rmunrations individuelles est-il formalis ?
5. Y a-t-il un systme de rmunration objectif et connu ?
6. Comment sont grs les avantages annexes ?
7. Le provisionnement des engagements sociaux (retraites, prvoyance, indemnits,
) est-il adquat ?
8. Le personnel est-il sensibilis aux risques de fraude interne et externe ?
9. Les rgles de prise de congs sont-elles respectes (prise de tous les congs, dure
dabsence minimum, ) ?
10. Existe-t-il un plan de formation ? Est-il suffisant et respect ?
11. En cas de mouvements sociaux, des activits ou des quipements pourraient-ils tre
bloqus ?
Prparation.
Documentation spcifique demander la banque.
Parmi la documentation spcifique demande la banque au cours de la phase de
prparation, les documents suivants concernent plus particulirement la fonction
Ressources Humaines :
Organigramme de la DRH,
Liste des comits auxquels participe le responsable RH,
Liste du personnel en activit (ge, anciennet, fonction, niveau hirarchique, statut,

diplmes, salaire, emploi temps complet partiel),
Systme de salaires et de bonus, avantages annexes, liste des bonus ou primes des
trois dernires annes,
Liste des heures supplmentaires par dpartement au cours des trois dernires
annes,
Liste des absences hors congs annuels au cours des trois dernires annes,
Programme de formation des trois dernires annes (budget ralis),
Principaux lments de la rglementation du travail,
Le cas chant, plans sociaux des cinq dernires annes,
Liste des organisations syndicales reprsentes,
Rglement intrieur,
207

__________________________________________________________________________________________
Charte des contrles (au Secrtariat du Personnel),
Supports de communication de la DRH.

Entretiens pralables
Top management,
Responsable RH (DRH).
Investigations.
La fonction RH est une fonction support. Les investigations auront donc pour objet de
sefforcer de rpondre deux types de proccupations :
Celles relatives laudit de conformit : conformit avec les accords sociaux, avec
les aspects juridiques et fiscaux, avec les budgets et avec lorganisation.
Celles relatives aux audits stratgiques : quelles sont les pratiques de rtribution, les
freins la mobilit interne, quelle est la politique de gestion des comptences, la
formation est-elle efficace, comment peut-on apprcier la qualit du climat social
1. Organisation gnrale de la fonction RH.

Thme : Structure de la DRH
Objectifs/points de contrle
Existe-t-il un organigramme dtaill de la DRH ?

Les 5 fonctions sont-elles couvertes (voir supra) ?
Lorganisation est-elle adquate ?
La rpartition des responsabilits au sein de la ligne-mtier RH est-elle claire et
efficace ?
Risques.
Risque oprationnel.
Non suivi ou suivi imparfait de certaines fonctions RH.
Organigramme RH.
Dfinitions de fonctions du personnel RH.
208

__________________________________________________________________________________________
Nombre de personnes ddies chaque fonction par rapport la taille de la banque (en
particulier pour ladministration de personnel : Formation du personnel RH (passe et
prvue).
Stratgie.
Des objectifs sont-ils fixs annuellement par ligne-mtier ? Sont-ils accompagns de

plans dactions ?
La synergie avec le management est-elle suffisante ?
La DRH est-elle associe la dtermination des objectifs ?
La procdure budgtaire intgre-t-elle les objectifs RH ?
Les objectifs annuels gnraux de la banque sont-ils communiqus aux diffrents
responsables de la banque ?
Risques.
Risque li au management.
Risque oprationnel.
Non prise en compte des impratifs de la banque.
Non respect du budget.
Non application des dcisions prises.
Plans dactions, instructions en matire de recrutement, formation, gestion individuelle,
acquisition de moyens.
Communications avec le management (courriers, mails), existence dune
communication institutionnelle, de rgles crites, de visites rgulires.
Participation du Directeur des Ressources Humaines la fixation des objectifs (notes,
mails).
Participation du DRH la procdure budgtaire, budget de la banque.
Communication crite aux responsables sur les objectifs.
Qualit.
Y a-t-il une dmarche qualit au sein de la DRH ?
Risques.
Risque oprationnel.
Efficacit non mesure.
Etudes statistiques sur les dlais de traitement des demandes (de cong, de formation,
etc.), sur les couvertures de postes, sur le suivi de la formation, la satisfaction des
stagiaires,
209

__________________________________________________________________________________________
Audit.
Les recommandations de lAudit Interne et/ou de lInspection Gnrale sont-elles
prises en compte ?
Risques.
Risque li au management, risque oprationnel.
Rponses de la DRH aux rapports dAudit Interne, respect des dlais de mise en uvre,
notes internes.
Dontologie.
La rglementation interne et la dontologie sont-elles respectes ?
Les rgles de confidentialit sont-elles respectes au sein de la DRH ?
Risques.
Risque juridique, risque li au management,
Risque oprationnel, risque de dontologie et de compliance.
Divulgation dinformations sensibles.
Vrifier que le rglement intrieur et le code de dontologie ont t remis chaque
collaborateur, et lus (sondage),
Vrifier la scurit et la confidentialit du systme de paie et de bonus, la distribution
des fiches de paie sous pli ferm, les dossiers personnels dans un local fermant cl.
Procdures.
La banque a-t-elle dfini des procdures pour le fonctionnement du dpartement RH ?

Risques.
Risque oprationnel.
Suivi non homogne selon les personnes.
Procdures existantes, vrification de leur respect (sondage).
Information externe.
Le march local de lemploi est-il connu ?

Risques.
210

__________________________________________________________________________________________

Information rcente disponible, abonnements.
Information interne.
Existe-t-il des tableaux de bords pour la Direction Gnrale, avec indicateurs quantitatifs
et qualitatifs (turn-over, dmissions, ) ? Pour le responsable de la banque ? Pour la
DRH ?
Risques.
Risque li au management. Information incomplte ou insuffisante.
Copie des tableaux de bord remis la DG et la DRH.
Ressources.
Les ressources humaines, matrielles, budgtaires (formation, systmes

dinformation, ) sont-elles adaptes ?
Risques.
Inadquation des moyens.
Budget des RH, comparaison entre budget propos et budget adopt, entre besoins
exprims et ressources obtenues.
Systmes dinformation
Y a-t-il un pilotage centralis de la fonction RH ?
Risques.
Risque oprationnel.
Mode denregistrement et de suivi des absences, embauches, dparts, formation,
2. Administration.
Dossiers du personnel.
Les dossiers sont-ils complets ? A jour ? Correctement classs ? Confidentiels ?
Qui assure le secrtariat du personnel et la gestion des dossiers ?
Existe-t-il un systme dhabilitation pour les personnes qui ont accs aux dossiers ?
Qui signe les augmentations de salaire, les embauches, les contrats de travail, les
211

__________________________________________________________________________________________
lettres dobservations ou de sanctions ?

Risques.
Risque oprationnel, risque juridique.
Connaissance incomplte de la formation, des congs, apprciations trop
anciennes,
Sondage sur dossiers individuels dans plusieurs directions ou dpartements. Voir en
annexe 2 le contenu standard dun dossier.
Respect des rgles de confidentialit.
Suivi quotidien.
Liste quotidienne des absences (causes), heures supplmentaires, personnel
temporaire, stagiaires.
Dans les points de vente recevant du public, les rgles de prsence minimum sont
elles respectes ?
Risques.
Risque oprationnel, risque juridique, risque li au management.
Absences injustifies, retards, heures supplmentaires systmatiques,
Liste des absences par service, sondage sur exactitude de cette liste sur quelques
jours. Idem pour heures supplmentaires. (Voir annexe 3).
Contrle sur prsences minimum dans points de vente recevant du public.
Traitement de la paie.
Comment la paie est-elle traite (interne, externe) ? Par qui (en interne ? par un
sous-traitant externe ?) Y a-t-il des contrles ? Un back-up ? Une sparation des
tches ?
Le processus dtablissement de la paie permet-il de sassurer que les oprations et
donnes traites sont compltes, exactes, autorises et effectues dans les dlais ?
Risques.
Non confidentialit, fraude interne.
Sondage sur les tats dits par le systme traitant la paie et vrifier leur exhaustivit,
fiabilit et dlai de traitement.
Rglementation.
La DRH a -t-elle une bonne connaissance de la rglementation ? (droit du travail, )

212

__________________________________________________________________________________________
Risques.
Risque juridique, risque li au management.
Non respect des rgles locales.
Possession et utilisation dun code du travail jour.
Abonnements aux sources dinformation de mise jour de la rglementation.
Statistiques.
Existe-t-il des statistiques jour sur : les effectifs (rpartition, classes dge,
anciennet, qualification, rmunration, taux de rotation), le march du travail dans
le secteur bancaire ?
Risques.
Risque oprationnel.
Non adaptation au march, connaissance insuffisante des donnes de base pour
gestion moyen terme des effectifs.
Documents statistiques tablis par la DRH (et sondage sur fiabilit).
Informations gnrales sur le march du travail local.
Bilan social s'il existe.
Comptabilisation des critures.
La saisie des critures est-elle faite par les personnes en charge dtablir la paie ?
Y a-t-il des contrles tablis par la Comptabilit ou un autre secteur (autre que
DRH) ? Y a-t-il des rapprochements entre les critures comptables et les tats de
gestion ?
Risques.
Risque oprationnel.
Risque de fraude.
Comparaison des listings comptables des critures de paie et du listing du personnel en
gestion.
Comparaison des listings comptables des critures (paie et rmunrations variables, y
compris heures supplmentaires) de rmunrations variables (y compris heures
supplmentaires) et des listings de gestion de ces lments variables.
3. Gestion des carrires.
Apprciations.
Comment fonctionne le systme dapprciation ? Les diffrents dlais (apprciation
213

__________________________________________________________________________________________
annuelle, temps de rponse par lintress) sont-ils respects ? Le personnel a-t-il un

droit de rponse ?
Le systme dapprciation est-il pris en compte pour la dtermination des
rmunrations ? Pour la dtermination des besoins de formation ?
Risques.
Risque oprationnel.
Dmotivation du personnel.
Pour chaque dpartement, consulter les notations des annes n et n-1 de quelques
collaborateurs. Vrifier leur cohrence dune anne sur lautre.
Vrifier, par sondage dans diffrents dpartements, la cohrence entre la priode
prvue et effective de notation dune part et la date des mesures individuelles dautre
part.
Vrifier la prise en compte des points faibles ventuels dans le plan de formation
individuel.
Mutations.
Comment sont dcids les changements de poste ? Rles respectifs de la
hirarchie, de la DRH ; de la DG ? Y a-t-il une Bourse de lemploi ?
Y a-t-il des entretiens de gestion rguliers ? Comment les collaborateurs font-ils
remonter leurs desiderata ?
Quels sont les dlais pour les mouvements de personnel entre une dcision et sa
mise en uvre ?
Risques.
Risque oprationnel. Gestion non optimale et mcontentement du personnel.
Mauvaise adquation possible entre le personnel et les fonctions exerces.
Conflit entre intrt individuel des hirarchiques et intrts du Groupe.
Entretiens (toutes fonctions). Procdures formalises sur les changements de postes.
Copie de la Bourse de lemploi.
Gestion des carrires.
Existe-t-il un recensement et un suivi spcifique des cadres fort potentiel ?
Risques.
Mcontentement de cadres potentiel.
Entretien avec le responsable de la banque. Si le recensement existe : critres ?
Consquences ?
214

__________________________________________________________________________________________
Rmunrations.
Quel est le systme de rmunration de la banque ? Mesures collectives et
individuelles, rmunration fixe et variable. La dtermination de la partie variable est-elle
objective ?
Ses critres sont-ils prdfinis et accepts formellement par lintress ?
Les objectifs individuels sont-ils fixs a priori et non a posteriori ?
Quelles sont les modalits de rmunration des cadres suprieurs ?
Existe-t-il des systmes dintressement aux rsultats ? Comment fonctionnent-ils ?
Le personnel du dpartement RH est-il sensibilis aux risques de fraude interne et
externe en matire de rmunrations ? Des dispositions sont-elles prises pour
prvenir la fraude ?
Risques.
Risque oprationnel, risque li au management.
Absence de matrise de la masse salariale, non respect du budget, de la politique de
rmunration.
Dmissions de cadres dirigeants.
Risques de fraude.
Salaires fictifs, avantages indus.
Procdure budgtaire, comptes-rendus de runions sur mesures individuelles, rgles de
rmunration variable communiques au personnel.
Par sondage, calcul de rmunrations variables partir des critres prdfinis.
Vrification de la date de fixation des objectifs individuels.
Voir avec le responsable de la banque et la DRH les modalits crites et pratiques de
rmunration.
Vrifier que les dcisions DRH sont appliques sans modifications dans la banque.
Rgles relatives lintressement. Accord dentreprise le cas chant. Existence dun
contrle interne sur lapplication des accords (modalits de calcul).
4. Recrutement.
Politique de recrutement.
Comment sont dfinis les besoins ? Comment sont donnes les autorisations ? Qui a le
pouvoir de recruter ?
Risques.
Procdure budgtaire. Autorisations spcifiques crites pour recrutements hors budget.
215

__________________________________________________________________________________________
Besoins.
Existe-t-il une fiche de besoin prcise pour chaque poste ?
Risques.
Risque oprationnel.
Inadaptation des postes.
Fiches de besoins.
Slection.
Comment sont slectionnes les candidatures ? Les modes sont-ils diffrents selon
les niveaux ?
Les rles respectifs du dpartement demandeur, de la DRH et du responsable de
la banque sont-ils clairement dfinis ?
Risques.
Risque de fraude.
Non utilisation du meilleur mode de recrutement.
Risque oprationnel.
Perte de temps, demandes de personnel mal formules.
Contrat avec prestataire extrieur. Appel doffres, copie des annonces doffre demploi.
Document contractuel gnral. Profil de poste, salaire propos dcrit par le dpartement
demandeur.
Embauche.
Existe-t-il un contrat de travail ? Est-il standard, systmatique, revu par le service
juridique ?
A lembauche, la DRH distribue-t-elle un document sur le secret professionnel, sur
les rgles dontologiques, sur lutilisation de la micro-informatique ?
Risques.
Risque de dontologie et de compliance.
Risque juridique.
Mconnaissance des rgles de base de la banque.
Documents remis aux nouveaux embauchs. (Rgles spcifiques pour les mtiers
sensibles).
216

__________________________________________________________________________________________
Suivi.
Y a-t-il un suivi formalis et systmatique des jeunes embauchs ?
Y a-t-il des statistiques sur les dmissions ? Des entretiens avec les
dmissionnaires ?
Risques.
Risque oprationnel.
Modalits de suivi des jeunes embauchs, entretiens.

Comptes-rendus dentretiens avec les dmissionnaires.
Qualit.
Le recrutement rpond-il de manire satisfaisante et dans les dlais acceptables aux
besoins (profil et niveau de comptence) ?
Risques.
Mauvaise adquation entre besoins et ressources.
Mesurer les dlais entre expression des besoins, propositions de dossiers et embauche
des candidats,
Comparer les profils demands et les profils des candidats prsents et recruts.
5. Formation.
Plan de formation.
Existe-t-il un plan de formation ? Est-il respect ?
Est-il cohrent avec les moyens, les besoins, le budget, les obligations lgales ?
Des besoins sont-ils exprims ? Sont-ils pris en compte ?
Risques.
Risque oprationnel.
Formation insuffisante ou coteuse.
Formation inadapte ou non coordonne.
Plan de formation, suivi par la DRH, mode dlaboration (entretiens de formation,
remonte formalise des besoins).
Mode de dtermination des besoins, entretiens annuels de formation.
Inscriptions aux actions de formation.
Cot de la formation.
217

__________________________________________________________________________________________
Le cot de la formation en % de la masse salariale est-il acceptable ?

Risques.
Risque oprationnel. Formation inutile ou insuffisante.
Pourcentage de la masse salariale consacr la formation (budget et rel). (La

moyenne pour le secteur est de 5,00%).
6. Relations et activits sociales.
Engagements sociaux.
Y a-t-il un systme de retraite propre la banque ? Est-il conforme la lgislation (code
du travail) ?
Les engagements pris lgard du personnel en matire dindemnits et de
gratifications (dparts, retraites, prvoyance, mdaille du travail etc) sont-ils couverts
par une provision adquate ?
Risques.
Risque oprationnel, risque juridique, risque fiscal.
Retraites insuffisamment provisionnes.
Rgime de retraite de la banque. Provision pour retraites : vrifier ladquation des

ressources et provisions du rgime de retraite par rapport aux engagements vis--vis
des ayants-droits. Vrifier si le calcul a t confi des professionnels (type actuaires).
Syndicats.
Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids
respectifs ?
Risques.
Risque oprationnel.
Sous ou sur-reprsentation du personnel.
Tracts, entretiens avec les reprsentants.
institutionnelles, runions formelles.
Tableau de rsultats des lections.
Existence
de
relations
Mouvements sociaux.
La banque a-t-elle connu des mouvements sociaux ? Ont-ils t suivis ?
Des activits ou des quipements pourraient-ils tre bloqus suite des
mouvements sociaux ?
218
sociales

__________________________________________________________________________________________
Risques.
Risque oprationnel.
Mauvais climat social.
Rumeurs fondes ou infondes.
Taux dabsentisme pour grve.
Existence de plans de secours.
Instruments dvaluation du climat social.
Communication interne.
Existe-t-il un ou des journaux dentreprise ? Qui les rdige ?
Risques.
Risque oprationnel.
Mauvais climat social.
Journaux internes, entretiens avec les rdacteurs.
Prts au personnel.
Y a-t-il des prts au personnel la consommation, immobiliers ? Existe-t-il des
rgles crites ? Les taux sont-ils attractifs ? Y a-t-il des impays ? Les prts sont-ils
remboursables en cas de dmission ?
Risques.
Risque de crdit, risque oprationnel.
Cot si les taux sont trop bas, mauvais climat social sils sont trop levs.
Rgles crites pour prts au personnel. Mode de dcision. Contrle de la DRH sur les
prts taux bonifis. Limitations, impays. Rpartition des prts consentis en fonction
des niveaux hirarchiques.
Scurit du travail.
Existe-t-il un suivi des accidents du travail ?
Risques.
Risque oprationnel.
Risque financier et juridique.
Suivi au travers du bilan social ou de tout autre indicateur.
219

__________________________________________________________________________________________
Synthse.
La phase de synthse, consacre la rdaction du rapport daudit, comprendra
llaboration des constats, mais galement ltablissement dune liste de sondages.
Pour mmoire, et pour information, on rappellera ci-dessous quels sont les sondages
qui peuvent tre effectus et lists dans le rapport, et, sagissant des constats, les
domaines les plus sensibles. Sur ces domaines sensibles, une apprciation claire sera
porte dans la synthse de la fonction RH, autant que possible.
Liste des sondages possibles
Nombre de codes de dontologie remis compar au nombre de collaborateurs de

la banque ( travers des accuss de rception).
Contenu des dossiers personnels. Volet Gestion, volet Administration. Sont-ils
complets ?
Liste des absences compare aux absences relles sur quelques jours.
Liste des heures supplmentaires compare aux heures supplmentaires relles
sur quelques jours.
Apprciations annuelles : tablies la date prvue, cohrence dune anne sur
lautre, cohrence entre notation et mesures individuelles.
Rmunration variable : cohrence du montant avec les rgles de calcul
prtablies.
Prts au personnel : respect des rgles, impays ou retards.
Domaines les plus sensibles (doivent faire lobjet dune apprciation dans la
synthse de la fonction RH)
Respect des rgles de dontologie et de confidentialit.

Existence de procdures crites dans la fonction RH.
Scurit, confidentialit du traitement de la paie.
Existence et suivi dun plan de formation.
220

__________________________________________________________________________________________
Chapitre 5 :
Mission d'audit de la Direction
Comptable.
221

__________________________________________________________________________________________
Chapitre 5 : Mission d'audit de la Direction Comptable.

Introduction.
Le prsent chapitre s'applique l'audit de la fonction Comptabilit. Les objectifs
de cet audit sont les suivants :
Sassurer de la fiabilit de linformation financire et de sa conformit aux
normes dfinies par les autorits de tutelle. On entend par information
financire la fois les comptes sociaux, consolids et fiscaux ainsi que les
tats rglementaires,
Apprcier la fiabilit du systme dinformation comptable,
Identifier les dysfonctionnements ventuels du dispositif de contrle interne,
Porter une apprciation sur les rsultats et la rentabilit de lentit audite,
Sassurer de la connaissance et du respect des rgles de dontologie.
Ces objectifs sont donc diffrents de ceux des auditeurs externes. En effet, ces
derniers ont une mission lgale lissue de laquelle ils doivent donner une opinion
sur les comptes (certification avec ou sans rserve, refus de certification).
Ces missions sont tendues et ne peuvent tre atteintes par le seul audit de la
fonction comptable. En consquence, laudit de cette fonction doit imprativement
sappuyer sur :
les travaux des auditeurs des autres missions (DSI, SDM,..),
les travaux des autres auditeurs externes, et des autorits de tutelle,
une analyse des risques, afin dadapter le programme de travail la
dimension de la mission tout en le centrant sur les zones les plus risques.
Cest pourquoi ce chapitre met laccent sur :
lidentification des risques et le recoupement avec les travaux des autres
auditeurs en phase de prparation,
les liens avec laudit des autres fonctions ( clignotants comptables ) en
phase dinvestigation,
des sondages, transverses plusieurs fonctions, sur un ou plusieurs
chantillons doprations dterminer.
Un tel audit est plus particulirement applicable dans le cadre dune banque ayant
une comptabilit propre. Il ne couvre pas les spcificits comptables lies certaines
activits (crdit-bail, assurance, affacturage, gestion dactifs).
Il couvre quatre domaines : laudit systmique du service comptable (apprciation du
contrle interne), les reportings rglementaires, les risques fiscaux et la
consolidation.
222

__________________________________________________________________________________________
Comme pour toutes les fonctions, une mission daudit de la fonction comptable
comprendra une phase de prparation (collecte de documents et entretiens
prparatoires), une phase dinvestigation (entretiens systmiques et sondages) et
une phase de rdaction. Il conviendra, en thorie, de couvrir chacun des quatre
domaines lors de chaque phase.
80
La mission aura pour objet dapprcier comment sont couverts les risques lis la
fonction comptable. Parmi les familles de risques recenses, seront principalement
concerns les risques de non exhaustivit, de non qualit et de non fiabilit de
linformation comptable, de non fiabilit des comptes et des tats financiers, de non
fiabilit de linformation financire consolide, rglementaire et fiscale.
Laudit comptable devra mesurer le niveau des risques, leur volution, et
Prparation.
Documents collecter.
Documentation gnrale :
Organigramme gnral de la Direction Financire et comptable,

Dfinitions de fonctions des principaux responsables,
Tableau de bord des risques oprationnels,
Rapports mis par les auditeurs externes au cours des trois derniers
exercices : notes de synthse et lettres de recommandations sur le
contrle interne,
Programme annuel daudit interne de la banque sur les trois derniers
exercices et cartographie des risques de la banque,
Dernier rapport des autorits de tutelle (BAM, Administration fiscale,
Office des changes),
Documentation sur les contraintes lgales ou rglementaires (ratios
prudentiels, etc).
Documentation spcialise :
Comptabilit :
Descriptif de larchitecture des systmes comptables et de reporting,

Plan de Comptes des Etablissements de Crdit (PCEC),
Balance gnrale des comptes du dernier arrt annuel ou trimestriel,
Reporting rglementaire local des trois derniers exercices,
Liasses de consolidation des trois derniers exercices et dtail des
retraitements ventuels entre la liasse de consolidation et la
comptabilit,
Liste des tats de contrle et danomalies dits rgulirement
(frquence quotidienne, mensuelle, trimestrielle),
Liste des procdures comptables existantes.
80
223

__________________________________________________________________________________________
Contrle de gestion (documents utiliser notamment pour lanalyse

financire) :
Reporting de gestion destin au Management de la banque et

commentaires.
Budget et commentaires.
Entretiens prparatoires.
A titre indicatif, nous dressons une liste dentretiens prparatoires avec certaines
entits concernes par la mission daudit comptable :
Direction comptable et financire : sinformer sur les spcificits
comptables de la banque audite,
Direction du contrle interne : obtention des rapports des auditeurs
externes, connatre leur plan de travail sur les dernires annes et sur
lanne venir (thmes de revues de procdures),
Direction Juridique et Fiscale : identification des risques juridiques ou
fiscaux ventuels,
Auditeurs externes: dysfonctionnements et zones de risques dj
identifis lors des prcdentes missions.
Travaux prparatoires :
Analyse financire et apprciation des performances de la banque.
Lobjectif de cette analyse financire est double :

identifier les principales activits et les variations significatives sur les
dernires priodes afin de dgager des zones de risques et dorienter les
travaux de la phase dinvestigation,
apprcier les performances financires de la banque, au vu dun certain
nombre de ratios (coefficient dexploitation, Return On Equity, Return Of
Weighted Assets,). Ces performances doivent tre values la fois par
rapport aux objectifs fixs (budget) mais aussi par comparaison avec la
concurrence.
Lanalyse porte sur les postes du bilan, du hors bilan et du compte de rsultat. Elle
sappuie galement sur lannexe. Ce travail est raliser, de prfrence, ds la
phase prparatoire, en sappuyant sur les documents de la banque audite : tats
financiers, tableaux de bord du contrle de gestion et commentaires associs.
Informations chiffres :
Les rubriques suivantes doivent tre renseignes dans un tableau (liste indicative,
adapter en fonction de lactivit) :
Compte de rsultat : ( cf . Annexe 5 ) :
224

__________________________________________________________________________________________
Dtail de la formation du Rsultat Brut dExploitation (PNB, frais gnraux) par

secteur (Commercial, Trsorerie, Gestion du Fonds de Roulement, etc), puis, pour
chaque secteur, par mtier (Commercial : activits Particuliers, PME, Entreprises,
Groupes ; Trsorerie : Trading, Sales, Drivs, Change,).
Si linformation est disponible, analyser galement la formation du Rsultat Brut
dExploitation par produit.
Bilan et hors bilan : ( cf . Annexe 6 ) :
Dcomposition dtaille des postes dactif, de passif et de hors bilan sur les trois
dernires annes, en date darrt (soldes comptables) et en capitaux moyens.
Dcomposer galement le bilan et le hors bilan par produit.
Points analyser / informations pertinentes / liens avec les autres

fonctions :
Mettre en vidence la part de chaque activit dans le PNB,
Expliquer les principales variations dune anne sur lautre, en mettant

notamment en vidence la variation des marges et des commissions (saider des
commentaires du Contrle de Gestion),
Effectuer, tous secteurs confondus, une analyse dtaille de la variation des frais
gnraux sur les trois derniers exercices. Cette analyse pourra servir lors de
laudit des frais gnraux,
A partir de lanalyse du bilan, mettre en vidence et expliquer les variations

importantes,
Analyser lvolution du portefeuille de crances douteuses et les mouvements de

provisions sur les derniers exercices. Regarder notamment lvolution des ratios
suivants : crances douteuses / total crances et provisions / portefeuille de
crances douteuses.
Exploitation des travaux des auditeurs externes.
Lobjectif est de relever les zones considres comme risques par les auditeurs
externes, et les intgrer la dmarche didentification des risques (comprenant
notamment la cartographie).
Apprcier ltendue de leurs travaux et notamment les thmes dintrim (revues de
procdures).
Documents exploiter : Notes de synthse des auditeurs externes des trois
dernires annes, annuels et semestriels sil en existe, Lettres de recommandations
ou rapport sur le contrle interne, Rapports sur la situation fiscale, Rapports
spcifiques.
225

__________________________________________________________________________________________
Investigation.
1. Audit systmique du service comptable.

1.1 - Structure et Organisation Gnrale.
Organisation et rattachement hirarchique.
Lorganisation de la fonction comptable de la banque permet-elle de satisfaire les
contraintes ou besoins de la banque et dassurer la remonte des informations
ncessaires la production des comptes ?
Le rattachement hirarchique du service comptable est-il conforme son rle et
lindpendance ncessaire la fonction?
Risques.
Risque de non exhaustivit, de non qualit et de non fiabilit de linformation
comptable.
Obtenir lorganigramme de la banque et analyser le positionnement hirarchique du
service comptable et le pouvoir dcisionnel du responsable. La norme prvoit que le
responsable comptable soit rattach au responsable de la banque ou au directeur
financier.
Missions.
Existe-t-il une dfinition des missions et responsabilits du service comptable ainsi
que des rgles de fonctionnement qui lui sont applicables ?
Les missions du service comptable ont-elles t dclines au niveau de chaque
collaborateur par lintermdiaire dune dfinition de fonction signe par le
responsable hirarchique et le collaborateur ?
Risques.
comptable.
226

__________________________________________________________________________________________

Vrifier que les missions et les responsabilits ainsi que les champs dintervention du
service comptable ont t dfinis par une structure hirarchique comptente
(Direction Gnrale ou comit excutif).
Vrifier que le service comptable est en charge des missions suivantes :
la production des reportings et des tats rglementaires,
le contrle et la justification des comptes,
la mise jour du plan de comptes de la banque,
la validation du paramtrage des tats financiers sur la comptabilit,
la rdaction des procdures comptables conformment aux lois et
rglements en vigueur.
Ressources humaines et Moyens.
Le service comptable dispose-t-il des ressources humaines adaptes ses
missions ?
La formation des collaborateurs du service comptable est-elle suffisante et adapte
aux besoins du service comptable ?
Le service comptable at-il une documentation suffisante et mise jour ?
Risques.
comptable.
Sassurer de ladquation qualitative et quantitative des ressources avec la charge
de travail : nombre de personnes, qualification et niveau de comptence du
personnel. Pour cela, vrifier : les dossiers du personnel, les valuations annuelles,
les plans de formation des trois dernires annes, les mouvements et la rotation du
personnel.
Systmes dinformation.
Le service comptable dispose-t-il des outils adapts lexercice de ses missions ?
Risques.
comptable.
Se faire dcrire par le responsable comptable le systme dinformation.
Reprer les zones de fragilit du systme : dlai et qualit des reportings, nature et
nombre dcritures comptables saisies manuellement par le service comptable,
mauvaise qualit (ou absence) de linterface entre les diffrents sous-systmes, non
blocage du systme informatique sur les mois et les exercices prcdents (attention
aux critures manuelles rtroactives).
227

__________________________________________________________________________________________
Normes et Procdures comptables
Existe-t-il des normes et procdures comptables adaptes au fonctionnement du
service comptable ? Sont-elles mises jour en fonction des volutions de la
rglementation ?
Sont-elles connues des membres du personnel et accessibles tous ?
Risques.
comptable.
Vrifier que les procdures comptables de la banque sont produites et valides par
le service comptable et incluent principalement :
le plan de compte,
les modalits denregistrement, de traitement et de restitution des
informations,
lexhaustivit des schmas comptables utiliss,
la priodicit et la nature des contrles mis en uvre,
le calendrier darrt des comptes,
les principes comptables en vigueur et la rglementation.
Dfinition des responsabilits de saisie et de contrle des comptes
Les responsabilits de saisie et de contrle des comptes ont elles t dfinies pour
lensemble du plan de compte ?
Risques.
comptable.
En rgle gnrale, les saisies comptables sont dcentralises dans les diffrents
dpartements de la banque audite (Back Offices, Ressources Humaines, Moyens
Gnraux, etc). Il convient de vrifier que le service comptable a :
rparti les comptes par dpartement,

dit une balance par service gestionnaire qui doit tre justifie par
chaque dpartement concern,
tabli une fiche de fonctionnement documente par compte (schmas
comptables),
list les contrles de premier niveau qui comprennent principalement : le
pointage des oprations passes en compte, la rgularisation des critures,
la justification des soldes comptables et le rapprochement du solde
comptable avec les documents internes (dtail des critures composant le
solde comptable).
228

__________________________________________________________________________________________
Archivage des donnes comptables
Le service comptable a-t-il mis en place une procdure darchivage des documents
comptables selon les normes en vigueur?
Risques.
Risque fiscal.
Vrifier lexistence de cette procdure et sa conformit aux normes.
1.2 - Sparation des Fonctions.
1.2 - 1 Respect du principe de sparation des fonctions.
La banque respecte-t-elle le principe de sparation des fonctions entre la production,
le contrle et lanalyse ?
Risques.
Risque de Fraude.
Sassurer du respect du principe de sparation des fonctions au sein
comptable (stricte sparation entre la saisie, la validation informatique,
des comptes).
Sassurer du respect de ce principe dans tous les services en charge
comptables (travail raliser par les auditeurs en charge des autres
production, engagements, marchs, gestion des moyens).
du service
le contrle
de saisies
fonctions :
1.2.2 - Accs aux guides de saisie et habilitations.
Laccs au systme comptable est-il contrl, cest dire :
seul un nombre restreint doprateurs a accs au systme comptable (le
personnel des back offices et de la comptabilit),
les habilitations accordes ces personnes sont elles mmes limites
aux besoins de leur poste.
Risques.
Risque de fraude.
Vrifier que les profils utilisateurs des collaborateurs correspondent aux besoins de
leur poste.
Sassurer que les accs aux guides de saisie ouverts (permettant de
mouvementer nimporte quel compte) sont strictement limits au service comptabilit
(travail raliser en liaison avec lauditeur informatique).
229

__________________________________________________________________________________________
1.3 - Contrles exercs par le service comptable.

1.3.1 - Contrles de second niveau exercs.
Le service comptable effectue-t-il un rel contrle sur les comptabilits
dcentralises dans les B/O ?
Risques.
Risque de fraude et de non fiabilit de linformation comptable.
Sassurer que le contrle de second niveau effectu par la comptabilit comprend les
points de contrle suivants :
vrification mensuelle des justifications de compte,
contrle de la piste daudit par sondage en allant du solde de la balance
gnrale jusqu lcriture dorigine,
mise sous surveillance de certains comptes plus risqus (comptes de
passage, compte pivot, comptes nostri),
suivi et analyse de la rgularisation des suspens comptables.
Ces contrles doivent tre matrialiss, conservs dans un dossier (class
par nature de compte, par type dopration, par devise...) et disponibles
pour tout contrle des auditeurs internes et externes.
1.3.2 - Interfaces entre les systmes oprationnels et la comptabilit
gnrale.
Le service comptable vrifie-t-il rgulirement le bon droulement des interfaces
entre les systmes oprationnels et la comptabilit gnrale ?
Risques.
Risque de fraude et de non fiabilit de linformation comptable.
Vrifier que le service comptable :
effectue priodiquement (par exemple tous les mois) un contrle des interfaces
entre les systmes oprationnels et la comptabilit gnrale,
identifie et analyse les carts ventuels, et sassure que les corrections
adquates on t apportes par les Back Offices.
1.3.3 - Oprations saisies par la comptabilit.
Le responsable comptable a-t-il mis en place une procdure de suivi et de contrle
des oprations saisies par la comptabilit ?
Risques.
Risque de fraude.
Recenser les oprations saisies comptabilises.
230

__________________________________________________________________________________________
Etudier le processus de comptabilisation de ces oprations :

Qui dfinit le schma de comptabilisation ?
Qui effectue la saisie ?
Qui valide la saisie ?
Quels sont les contrles de second niveau exercs ?
1.3.4 - Ouverture, fermeture et modification des comptes.
Le service comptable a-t-il la responsabilit de la gestion du plan de compte interne
(ouverture, fermeture et modification) ?
Risques.
Risque de fraude.
Vrifier que le service comptable fait un suivi rigoureux de son plan de compte. Il
doit :
tre lunique service avoir les habilitations pour procder louverture, la
fermeture et la modification des comptes internes,
tablir une procdure propre au service comptable pour procder
louverture, la fermeture et la modification de comptes,
diter rgulirement le plan de compte et vrifier formellement toutes les
modifications intervenues,
identifier les comptes dormants et en faire un suivi rgulier, les fermer sils
sont non utiliss depuis un certain dlai fixer dans la procdure.
1.3.5 - Rapprochement comptabilit / gestion.
Le service comptable sassure-t-il en liaison avec le contrle de gestion de la
correspondance entre les tats financiers et les tats de gestion ?
Risques.
Risque de non fiabilit des comptes et des tats financiers.
Vrifier la frquence des rapprochements entre les informations comptables et de
gestion (au minimum mensuelle) ?
Obtenir les derniers tats de rapprochement. Les carts sont-ils identifis et
analyss ?
1.4 - Les outils de pilotage.
1.4.1 - Contrle des comptes.
Le Responsable Comptable dispose-t-il dindicateurs ou de tableaux de bord
permettant de recenser et de quantifier les suspens sur une liste dtermine de
comptes sensibles (nostri, dbiteurs et crditeurs divers, etc) ?
Le Responsable Comptable utilise-t-il ces tableaux de bord ? En particulier, analyse
231

__________________________________________________________________________________________
t-il lanciennet des suspens ? Sassure-t-il que ses collaborateurs suivent

correctement les critures anciennes non rgularises (demandes de justifications
complmentaires, relances des services concerns) ?
Le Responsable Comptable (en liaison avec le Directeur Financier) analyse-t-il les
variations des diffrents postes du bilan, du hors bilan et du compte de rsultat ?
Risques.
Risque de fraude.
Risque de non fiabilit des comptes.
Examiner quelques tableaux de bord rcents du Responsable Comptable sur le suivi
des comptes sensibles.
Points dattention :
Quelle est la frquence de ces tableaux de bord ?
Sont-ils exhaustifs (liste des comptes suivis : sassurer de la prsence des
comptes les plus sensibles) ?
Les informations qui y figurent sont-elles pertinentes (par exemple date
denregistrement comptable) ?
Le contrle du chef comptable est-il matrialis sur ces tats ?
1.4.2 - Reporting rglementaire.
Les indicateurs du Responsable Comptable permettent-ils de sassurer du respect
des dlais de production et denvoi des travaux de reporting rglementaire ?
Risques.
Risque rglementaire.
Examiner le planning de production des tats et situations comptables.
1.4.3 - Productivit.
Dispose-t-il dautres indicateurs de productivit (temps passs, en jours / homme,
pour la production des diffrents tats de reporting rglementaires) ?
Risques.
Risque d'efficience.
Discuter de ce point avec le Responsable Comptable. Par ailleurs, on pourra tablir
des comparaisons dans le temps entre le nombre dUnits Temps Plein et le nombre
dcritures.
1.4.4 - Supervision hirarchique.
Ces informations (contrle des comptes, reporting rglementaire, productivit) sontelles galement communiques au Directeur Financier (ou autre hirarchie de
232

__________________________________________________________________________________________
rattachement du service comptable) ? Sous quelle forme (mme format de reporting

ou information plus synthtique prpare par le Responsable Comptable) ?
Sont-elles exploites par le Directeur Financier ?
Risques.
Risque de fraude, risque de non fiabilit des comptes, risque rglementaire.
Consulter les tableaux de bord mis la disposition du Directeur Financier par le
service comptable.
1.5 - Connaissance et respect des rgles de dontologie.
Les membres du service comptable ont-ils connaissance des rgles de dontologie
de la banque?
Ont-ils dj eu appliquer ces rgles ?
Risques.
Risques associs : mise en cause de la banque pour non respect de la
rglementation, divulgation dinformations confidentielles.
Vrifier la diffusion et la prise de connaissance du code de dontologie de la
banque.
Les deux points suivants doivent plus particulirement tre souligns dans le cas
dun personnel comptable :
le respect du secret professionnel,

le droit et devoir dappel.
2. Les reportings rglementaires.

2.1 - Liasse de consolidation.
La liasse de consolidation est-elle alimente correctement ?
Les informations qui y figurent sont-elles rapproches de la comptabilit gnrale ?
Les normes comptables appliques sont-elles conformes aux normes
rglementaires ?
Risques.
Non fiabilit de linformation financire servant de base la production des comptes
consolids.
Audit systmique : Quel est le mode de production de la liasse : alimentation
automatique ou saisie manuelle ? Quels sont les contrles exercs au sein du
service comptable : rapprochement systmatique de la liasse avec la comptabilit
gnrale, validation par le Responsable Comptable ?
A partir de la liasse de consolidation du dernier arrt trimestriel :
233

__________________________________________________________________________________________
vrifier la concordance de la liasse avec le grand livre,

analyser et contrler les ventuels retraitements.
2.2 - Intra-groupes.
La banque identifie-t-elle ses oprations intra-groupes ?
Existe-t-il une procdure de rconciliation avec les contreparties internes
(circularisation et rapprochement) ?
Risques.
Non fiabilit de linformation financire servant de base la production des comptes
consolids.
Auditer la procdure de rconciliation des oprations intra-groupes : Le service
comptable change-t-il des confirmations avec ses contreparties sur les oprations
intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec
lensemble des contreparties) ? Les carts sont-ils analyss et expliqus ?
2.3 - Reporting engagements pondrs.
Le reporting engagements pondrs est-il aliment correctement :
Les informations qui y figurent sont-elles rapproches de la comptabilit

gnrale ?
La rglementation de BAM en la matire est-elle applique ?

Risques.
Non fiabilit de linformation financire communique la Banque Centrale et servant
de base au calcul du ratio de solvabilit.
Audit systmique :
Quel est le dpartement en charge du calcul des engagements pondrs :

comptabilit ou engagements ?
Existe-t-il un systme ddi la production des engagements pondrs ? Estil interfac avec le systme comptable ? Des ajustements manuels sont-ils
ncessaires ? Pour quel type doprations ?
Existe-t-il une piste daudit satisfaisante permettant de remonter la source de

chaque ligne de la liasse de reporting ?
Quels sont les contrles, manuels ou automatiques, effectus sur la liasse ?
La liasse dfinitive est-elle contrle et valide par le dpartement des

engagements ?
Test sur un chantillon dengagements :
Slectionner quelques dossiers dans la liste des dossiers dengagement revus

lors de laudit de cette fonction. On prendra soin de slectionner des types
dopration pouvant facilement engendrer des erreurs :
mission de garanties intra-groupes,
gages espces reus en garantie,
lignes octroyes pour des oprations de march.
Vrifier pour ces oprations quelles sont correctement prises en compte

234

__________________________________________________________________________________________
dans la liasse dengagements pondrs. Pour cela, il est ncessaire de suivre

la piste daudit jusqu la ligne adquate de la liasse.
2.4 - Ratio de liquidit.
Le reporting sur le ratio de liquidit est-il correctement rempli par la banque audite ?
Risques.
Non fiabilit de linformation financire.
Auditer le processus de production de ce reporting,
Qui produit ce reporting ? Quelle est la source de linformation ? Quels sont les
contrles effectus ?
2.5 - Reporting statutaire.
La banque audite respecte-t-elle les rgles prudentielles ? Remplit-elle les
obligations de reporting imposes par les autorits rglementaires ?
Le processus dlaboration du reporting statutaire garantit-il lexactitude,
lexhaustivit et le respect des dlais ?
Risques.
Non respect de la rglementation BAM.
Risque de sanctions BAM.
Afin de valider ces points, il conviendra :
de sinformer des contraintes rglementaires en matire de rgles prudentielles (par
entretien avec le Directeur Financier et consultation des textes officiels),
dobtenir et de contrler les tats de reporting rcents envoys aux autorits
rglementaires (Banque Centrale, Ministre des Finances principalement) : sassurer
que tous les tats de reporting requis sont envoys dans les dlais requis et que les
ratios prudentiels locaux (solvabilit, liquidit,) sont respects.
NB : on trouvera des informations galement dans les rapports des Commissaires aux Comptes
(qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque
Centrale.
3. Risques fiscaux.
3.1 - Dclarations fiscales.
Le reporting fiscal est-il ralis dans les dlais et valid par les personnes
habilites ?
La banque a-t-elle effectu les dmarches ncessaires pour se documenter et
appliquer les rgles fiscales en vigueur ?
235

__________________________________________________________________________________________
Risques.
Consulter les liasses fiscales des derniers exercices et les tats de reporting du
responsable comptable.
Passer en revue la documentation fiscale du responsable financier.
Sassurer que les liasses sont revues par le responsable fiscal (sil en existe un) et
par le management.
3.2 - Identification des Risques Fiscaux.
Les risques fiscaux ont-ils t identifis par la banque et, si oui, sont-ils correctement
provisionns ?
Risques.
Sassurer, en cas de pertes fiscales, quelles sont justifies et non rptitives et ne
correspondent pas un habillage fiscal.
Vrifier sil y a eu des redressements fiscaux ou sil y a des contrles fiscaux en
cours et si oui, quune provision passive a t constitue pour le montant du risque.
Vrifier que les frais de sige refacturs aux filiales sont justifis fiscalement quant
leur ralit et leur montant.
Vrifier que les impts diffrs sont fiscalement justifis (plus-values long terme...).
4. Consolidation.
4.1 Primtre.
Le primtre retenu par la banque est-il comptablement justifi?
Risques.
Risque de non fiabilit de linformation financire,
Obtenir et valider la liste des socits du primtre ainsi que les mthodes de
consolidation retenues.
Pour ce faire, on vrifiera lexactitude des pourcentages dintrt et pourcentages
dintgration calculs pour chaque socit.
4.2 - Elimination des oprations intra groupes.
La banque a-t-elle mis en place une procdure didentification des intra-groupes ?
Ces intra-groupes ont-ils t limins pour la production des comptes consolids ?
236

__________________________________________________________________________________________
Risques.
Risque de non fiabilit de linformation financire, risque rglementaire.
Vrifier que la procdure mise en place par la banque pour rapprocher les montants
intra-groupes socit par socit permet didentifier la rciprocit et lexhaustivit des
liminations (confirmations rciproques des intra-groupes par fiches navettes avec
les autres units du primtre de consolidation).
Sassurer que les montants limins enregistrs en consolidation ont bien t
dclars sur les liasses de consolidation de chaque filiale concerne et inversement
que lensemble des intra-groupes recenss ont effectivement t limins en
consolidation.
4.3 Retraitements.
Le passage du rsultat social au rsultat consolid de la banque est-il expliqu et les
retraitements effectus sont-ils justifis ?
Risques.
Risque de non fiabilit de linformation financire consolide, risque rglementaire.
Obtenir le tableau de passage du rsultat social au rsultat consolid de la banque.
Vrifier la justification des principaux retraitements effectus et leur conformit avec
les normes comptables, notamment :
la prise en compte des retraitements obligatoires avec llimination des
critures purement fiscales (provisions rglementes),
les retraitements dhomognisation (amortissement des immobilisations
selon une dure homogne par exemple).
237

__________________________________________________________________________________________
238

__________________________________________________________________________________________
Conclusion gnrale
239

__________________________________________________________________________________________
240

__________________________________________________________________________________________
Conclusion gnrale.
Le pilotage des risques bancaires via le risk management et l'audit interne est une
problmatique largement d'actualit.
Le paysage bancaire marocain fait actuellement face un environnement
socioconomique mouvant et de plus en plus complexe.
Avec la croissance des volumes doprations, le dveloppement des produits
diversifis et sophistiqus, la rapidit de renouvellement des process,
l'automatisation acclre des traitements, les risques auxquels les banques sont
actuellement confrontes sont devenus plus nombreux, plus significatifs et plus
complexes surtout dans un contexte de baisse des marges.
Ces mutations posent d'une part des problmes de difficults daudit et de
management des risques et dautre part, elles accroissent le risque daudit inadapt
voir dfaillant.
Des systmes dficients en matire de gestion et d'audit des risques dans le secteur
bancaire peuvent rapidement provoquer des pertes financires considrables
lesquelles, si elles ne sont pas contenues adquatement par des tampons solides
aptes endiguer le risque systmique, sont susceptibles d'engendrer un effet de
domino auprs d'autres oprateurs sur les marchs avec des consquences
difficilement calculables pour le systme financier.
S'il est vrai que l'audit bancaire comporte des cots levs, il s'est avr qu'un audit
dficient ou insuffisant cote encore plus cher.
L'audit bancaire prsente quelques spcificits de part les particularits de
lenvironnement analys. En effet, en sappliquant au systme de gestion et de
contrle des risques bancaires, il en dcoule une pluridisciplinarit des champs
observs : ressources humaines, systme d'information, comptabilit, activits de
march .
Ce qui entrane des particularits pour lauditeur concernant la manire dobserver,
linterprtation des rsultats et les difficults dlaboration du systme de rfrence.
Encore s'agit-il de s'assurer que l'audit mis en place est bien apte accomplir la
mission qu'on lui a assigne.
Lenqute mene auprs du systme bancaire marocain a mis en vidence certaines
insuffisances dans la gestion et l'audit des risques au sein des tablissements
bancaires. Cette gestion longuement assimile une simple conformit aux
procdures internes et des rgles prudentielles s'est rvle inadquate dans la
mesure o les banques se sont limites pour la plupart au respect d'un ensemble
d'indicateurs plutt gnraux et ont pass sous silence un aspect fondamental de la
gestion des risques bancaires : l'implication du management et du conseil
d'administration dans le contrle des organisations bancaires ce qui a induit
241

__________________________________________________________________________________________
labsence dun exercice clair des responsabilits du top management dans

lattribution des rles et des tches entre laudit interne, le risk management et la
compliance.
Laudit interne tel que pratiqu actuellement dans de nombreuses grandes banques,
savre inadquat ou du moins prsente des insuffisances. En outre, cet audit doit
aller dans le sens de limportance accrue confre par les autorits de contrle
bancaire lexamen exhaustif et pertinent des processus de gestion du risque et de
contrle interne dans une organisation bancaire.
Les tablissements bancaires sont aujourdhui conduits s'investir davantage pour
tirer les conclusions de ces volutions.
Laxe de progrs le plus vident est la mise en place dun systme interne daudit et
de risk management et ce, quelle que soit la nature du risque (crdit, march,
oprationnel, conformit, rputation...).
Ainsi, les banques doivent plus que jamais disposer dun systme daudit et de risk
management performant, efficace et labor, susceptible danalyser, de mesurer, de
matriser et d'assurer une raction rapide face lapparition de nouveaux risques.
Si les normes prudentielles et rglementaires demeurent un point d'ancrage
essentiel, il est de plus en plus pressant que les tablissements bancaires puissent
s'investir dans le dveloppement d'instruments complmentaires d'analyse fonds
sur des mthodes la fois quantitatives et qualitatives voir systmiques.
Le Comit de Ble impose la mise en uvre de mthodes plus strictes pour
lvaluation et la gestion du risque de crdit, du risque de march et du risque
oprationnel.
Disposer de cette visibilit globale sur le risque, tout en rpondant aux exigences
rglementaires serait possible avec l'approche de l'audit systmique. Celle-ci a
modifi profondment les pratiques utilises jusque l par l'auditeur bancaire.
Instaure en globalit pour toutes les lignes mtiers ou intgre individuellement
pour complter un systme existant, une telle approche permet aux tablissements
bancaires de disposer d'un outil prcieux pour mieux grer et contrler leurs risques.
Cette approche permet galement :
d'avoir une vision globale et matrise des risques, quelle que soit la
complexit des organisations ou des processus auditer;
de vrifier l'efficacit du dispositif de contrle interne par ligne mtier;
enfin, daccrotre la responsabilit, la vigilance et la ractivit des units
oprationnelles et ainsi des risk managers dans la matrise, la gestion
et la prvention des risques.
Paralllement au dveloppent en interne d'outils et techniques de contrles et
gestion des risques bancaires, l'auditeur interne apparat de plus en plus
242

__________________________________________________________________________________________
incontournable dans le processus de supervision bancaire architectur par les

organes de tutelles.
Au del de sa responsabilit de donner un avis indpendant sur la fiabilit des
dispositifs de contrle interne, l'auditeur bancaire devient ainsi un acteur important
dans la prvention des risques bancaires.
Ainsi, la dmarche opratoire d'audit systmique dveloppe dans le prsent
mmoire pour les quatre lignes mtiers (systme d'information, salle des marches,
comptabilit et ressources humaines) illustre parfaitement l'originalit et la pertinence
de l'approche.
Par ailleurs, les nouvelles volutions du cadre rglementaire du secteur
bancaire marocain notamment travers la refonte rcente des statuts de Bank AlMaghrib lui confrant lautonomie en matire dlaboration et de conduite de la
politique montaire et la nouvelle loi bancaire ayant renforc les prrogatives de la
banque centrale dans le domaine de la supervision bancaire dune part, et la
convergence des dispositifs de contrle interne au regard des normes internationales
et les principes fondamentaux dicts par le Comit de Ble dautre part,
permettraient au secteur dtre mme de faire face la concurrence trangre et
daccompagner l'accs des oprateurs aux marchs extrieurs. Le renforcement de
la concentration au sein du secteur bancaire, travers les conomies d'chelle
qu'elle induit, constituerait cet gard un atout majeur.
Paralllement, la Banque centrale veille ce que les tablissements de crdit
renforcent leurs dispositifs de contrle interne, conduisent leurs activits de manire
saine et maintiennent leurs fonds propres des niveaux appropris au regard des
risques quils encourent.
Les travaux prparatoires pour lapplication du nouvel accord sur les fonds propres
ont conduit opter pour une dmarche progressive, adapte au contexte national,
mais incitative ladoption dapproches plus fines dites de notation interne pour
lallocation des fonds propres.
La transition du secteur bancaire vers le nouveau dispositif de Ble II dans de
bonnes conditions ncessite, nanmoins, lacclration du processus de
restructuration des diffrentes composantes de ce secteur.
Lintensification de la concurrence, inhrente la libralisation croissante de lactivit
bancaire et louverture de lconomie nationale, sest traduite, ces dernires
annes, par un resserrement de la marge dintermdiation bancaire, imposant des
standards de comptitivit de plus en plus contraignants.
Cette volution a engendr une nouvelle dynamique dans le secteur qui sest
concrtise par un mouvement de concentration des tablissements de crdit et la
recherche dun positionnement sur lchiquier rgional et international.
243

__________________________________________________________________________________________
La situation prudentielle des banques commerciales demeure conforme aux normes

observes sur le plan international. Leur ratio de solvabilit dgage globalement un
excdent qui devrait, toutefois, tre consolid pour les placer en position de faire
face, aisment, aux nouvelles contraintes imposes par le nouveau dispositif de
Ble II.
Ce faisant, laudit interne na ainsi pas achev sa mutation et continuera dvoluer
pour apporter aux banques toujours plus de valeur ajoute. Les rsultats de
lenqute mene permettent dentrevoir les contours de laudit interne de demain et
de dfinir les dfis et les enjeux futurs de la profession savoir :
affirmer son rle et ses responsabilits dans le gouvernement dentreprise la
faveur dun rattachement hirarchique la direction gnrale et de liens
fonctionnels avec le comit daudit, lorsquil existe ;
se positionner, plus encore que par le pass, comme un outil majeur de
dtection, de prvention et de matrise des risques, en coordination avec
toute autre fonction concerne (Risk management, Compliance,..);
maintenir son indpendance, son objectivit et son impartialit ;
accrotre sa professionnalisation par :
une formation permanente;
une mthodologie et des outils adapts et performants bass et sur les
risques et sur les systmes (lAudit Systmique);
En relevant ces dfis, laudit interne apportera aux banques encore plus de valeur
ajoute et sera un acteur incontournable de la bonne gouvernance de lorganisation
bancaire.
Ce travail de recherche constitue ainsi un support danalyse qualitative auquel
tout responsable daudit interne ou risk manager est invit se reporter, dautant que
de frquentes rfrences aux rfrentiels et aux normes professionnelles viennent
rappeler les bonnes pratiques en la matire.
Il reflte limage dun audit interne au service tant de la direction gnrale que du
comit daudit, mme de prvenir la destruction de valeur au sein de lorganisation
bancaire et dapporter une contribution dterminante une bonne gouvernance.
244

__________________________________________________________________________________________
245

__________________________________________________________________________________________
Annexes
246

__________________________________________________________________________________________
247

__________________________________________________________________________________________
Annexe N1
Tableau synthtique des principales catastrophes financires.
Socit
Type de
catastrophe
Causes
Erreur
Impact
rsultats
Anne
Barings
Faillite
financire
Stratgie errone avec des 1. Management trop confiant

volumes dmesurs par
2. Trop grande concentration des
rapport la taille de
pouvoirs
l'tablissement
3. Faiblesse du contrle interne,
faible supervision des employs et
manque de reporting
4. Manque de comprhension de
l'activit Pertes de 800 millions de
.
Orange
County
Cessation de
paiements
Pas de reporting en valeur 1. Valorisation des portefeuilles au Pertes de 1,64

des portefeuilles
cot historique
milliard de dollars
2. Pas de reporting rgulier
1993 1995
MGRM 81
Cessation de
paiements
Stratgie de vente de
produits ptroliers
hasardeuse
1. Mauvaise comprhension des

risques de l'activit
2. Mauvaise gestion des
corrlations entre les risques de
march
3. Ngligence sur l'tablissement
de limites bien dfinies
Perte de 8,2
milliards de francs
1992
Morgan
Grennfell
Perte de
confiance des
investisseurs
Placement dans des

actions non cotes et trs
spculatives
1.Trop grande concentration des

pouvoirs
2. Faiblesse du contrle interne
Perte de 400 millions 1994 de dollars

1997
Faillite de la banque 1995

et rachat pour 1
franc symbolique par
une banque
hollandaise
Bankers Trust Perte d'image
Insuffisante explication des Insuffisante vrification des

risques lis aux produits
connaissances techniques des
vendus
clients
93 millions de
dommages et
intrts
1994 1996
Daiwa
Fermeture
d'une
succursale et
dmission de
la direction
gnrale
Manque de sgrgation
des tches
1. Dpassement des limites de

position pour rcuprer es pertes
2. Ventes d'obligations
appartenant aux clients
3. Falsification des relevs
bancaires
Pertes de 1,1
milliard de dollars
1995
Lloyds
Pertes
financires
Stratgie d'indemnisation
de sinistre illimite
l'poque de la dcouverte
de l'amiante et autres
polluants
1. Mauvaise matrise des risques 509 millions de livres 1991 moyen et long terme
sterling
1995
Investissements massifs
dans le seul march
immobilier, suivi d'une
chute des prix.
1. Aucune stratgie de
diversification prvue
2. Management trop confiant
Confederation Pertes
Life
financires
Source : PricewaterhouseCoopers.2002
81
METALLGESELLSHAFT Refining and Marketing (MGRM).
248
Pertes de 1,3
milliards de dollars
1980 1993

__________________________________________________________________________________________
Annexe N2
Contenu type du dossier administratif du personnel
1. Renseignements, embauches, rintgration, rgime (temps plein, partiel)
2. Apprciation
3. Formation
4. Appointements, mutations, titularisation, promotions
5. Absences
6. Etat - civil, Situation de famille, adresse
7. Prts et avances
8. Intressement, primes, participation
9. Contrat spcifique (dtachement, CDD, ANAPEC ). Pour le personnel dtach,
avantages particuliers (logement, voyages, scolarit, etc)
10. Incidents
11. Mdailles du travail
12. Service national
13. Pices diverses
14. Sortie (dmission, retraite, plan social)
249

__________________________________________________________________________________________
Annexe 3
Etat des Absences
Sur base de leffectif pay mensuel moyen de lanne (en nombre de personnes),
avec les jours ouvrs par an.
Maladie
Accidents du travail
Congs de maternit
Congs autoriss (vnements familiaux,)
Autres causes
Total
n
%
%
%
%
%
%
n-1
%
%
%
%
%
%
n-2
%
%
%
%
%
%
Annexe 4
Typologie des risques informatiques
OBJECTIF
DEFINITION DU RISQUE DE NON ATTEINTE DE LOBJECTIF
Efficacit
Risque de traitement et de mise disposition dinformations inadquates,

non pertinentes, tardives ou inexploitables.
Efficience
Risque de traitement et de mise disposition dinformations avec une
utilisation des ressources non optimale (productive et conomique).
Confidentialit Risque de divulgation non autorise dinformations sensibles.
Intgrit
Juridique
Risque de non exhaustivit, dinexactitude et dinvalidit des informations

traites, gres et mises disposition.
Risque dindisponibilit des informations et des ressources (humaines,
matrielles, logicielles...).
Risque de non respect des lois, rglementations, contrats, standards,
normes externes et internes.
Risque de ne pas disposer des traces ncessaires des recherches /
contrles a posteriori ou titre de preuve en cas de litige.
Risque de litige port devant les tribunaux.
Image
Risque datteinte la rputation de lentreprise.
Disponibilit
Conformit
Traabilit
250

__________________________________________________________________________________________
Annexe 5
Compte de rsultats
Anne 1 Anne 2 Anne 3
Intrts et produits assimils
- Intrts et charges assimiles
+ Produits sur oprations de crdit-bail
- Charges sur oprations de crdit-bail et assimiles
+ Produits sur oprations de location simple
- Charges sur oprations de location simple
+ Revenus des titres revenu variable
+ Commissions (produits)
- Commissions (charges)
+/- Gains ou pertes sur oprations des portefeuilles de
ngociation
+/- Gains ou pertes sur oprations des portefeuilles de
placement et assimils
+ Autres produits dexploitation bancaire
- Autres charges dexploitation bancaire
= PRODUIT NET BANCAIRE
- Charges gnrales dexploitation
- Dotations aux amortissements et provisions /
immobilisations corporelles et incorporelles
= RESULTAT BRUT DEXPLOITATION
- Cot du risque
= RESULTAT DEXPLOITATION
+/- Gains ou pertes sur actifs immobiliss
= RESULTAT COURANT AVANT IMPOT
+/- Rsultat exceptionnel
- Impt sur les bnfices
+/- Dotations / reprises de FRBG et provisions
rglementes
= RESULTAT NET
251

__________________________________________________________________________________________
Annexe 6
Bilan
Actif
Oprations de trsorerie et interbancaires
Oprations avec la clientle
Dont crances douteuses
Dont provisions pour crances douteuses
Oprations sur titres
Comptes de rgularisation et divers
Valeurs immobilises

Passif
Oprations de trsorerie et interbancaires
Oprations avec la clientle
Oprations sur titres
Comptes de rgularisation
Provisions passives et non affectes
Dettes reprsentes par un titre
Capitaux propres hors rsultat
Rsultat

Hors bilan
Engagements
donns
en
faveur
des
tablissements de crdit
Engagements donns en faveur de la clientle
Engagements reus des banques
Engagements reus de la clientle
Ratios / autres informations :

Anne
1
Effectifs (Units Temps Plein en fin de priode)

Engagements pondrs
Coefficient dexploitation (%)
ROWA (return on weighted assets)
ROE (return on equity) analytique aprs impts
Ratio crances douteuses / total crances
Ratio provisions crances douteuses / crances
douteuses
252
Anne
2
Anne
3

__________________________________________________________________________________________
Annexe N7
Circulaire BAM N6/G/2001
BANK AL-MAGHRIB
LE GOUVERNEUR
Circulaire N 6/G/2001
Rabat, le 25 Kaada 1421
19 Fvrier 2001
CIRCULAIRE N 6 RELATIVE AU CONTROLE INTERNE

DES ETABLISSEMENTS DE CREDIT
Dans le cadre des prrogatives qui leur sont dvolues notamment par le dahir portant loi n1-93-147 (6
juillet 1993) relatif lexercice de lactivit des tablissements de crdit et de leur contrle, les
autorits montaires ont dict un ensemble de rgles prudentielles dordre quantitatif visant
prmunir les tablissements de crdit contre certains risques tels que les risques de liquidit, de
solvabilit, de concentration des crdits et de dprciation des actifs.
Afin de renforcer le dispositif prudentiel susvis et dans le but damener les tablissements de crdit
matriser davantage les risques quils encourent, les autorits montaires estiment que ces
tablissements doivent se doter dun systme de contrle interne.
La prsente circulaire a pour objet de prciser, en particulier, les modalits et les rgles minimales que
les tablissements de crdit doivent observer pour la mise en place de ce systme.
ARTICLE PREMIER
Les tablissements de crdit sont tenus de mettre en place un systme de contrle interne, dans les
conditions minimales prvues par les dispositions de la prsente circulaire.
ARTICLE 2
Le systme de contrle interne consiste en un ensemble de dispositifs conus et mis en uvre, par les
instances comptentes, en vue d'assurer en permanence, notamment :
- la vrification des oprations et des procdures internes,
- la mesure, la matrise et la surveillance des risques,
- la fiabilit des conditions de la collecte, de traitement, de diffusion et de conservation des donnes
comptables et financires,
- lefficacit des canaux de la circulation interne de la documentation et de linformation ainsi que
de leur diffusion auprs des tiers.
- Conception, mise en oeuvre et suivi des tches du contrle interne.
- Dispositif de vrification des oprations et des procdures internes.
- Dispositif de mesure, de matrise et de surveillance des risques.
- Dispositif de contrle de la comptabilit.
- Dispositions diverses et transitoires.
I- CONCEPTION, MISE EN OEUVRE ET SUIVI DES TACHES DU CONTROLE INTERNE
ARTICLE 3
La conception du systme de contrle interne incombe lorgane de direction (direction gnrale,
directoire ou toute instance quivalente) qui doit, cet effet :
- identifier lensemble des sources de risques internes et externes,
- dfinir les procdures de contrle interne adquates,
- prvoir les moyens humains et matriels ncessaires la mise en uvre du contrle interne.
ARTICLE 4
Lorgane de direction labore, galement, la structure organisationnelle approprie pour la mise en
uvre du systme de contrle interne.
ARTICLE 5
Le systme de contrle interne ainsi que sa structure organisationnelle, conus par lorgane de
direction, doivent tre agrs par lorgane dadministration (conseil dadministration, conseil de
surveillance ou toute instance quivalente).
253

__________________________________________________________________________________________
ARTICLE 6
Lorgane de direction est tenu de veiller la mise en place du systme de contrle interne, une fois
adopt par lorgane dlibrant.
Il doit, cet effet, dsigner un responsable qui relve directement de son autorit et qui a pour tche
dassurer un suivi exhaustif du systme de contrle interne et de veiller sa cohrence.
ARTICLE 7
Les tablissements de crdit constitus en groupe, dot d'un organe central, choisissent le responsable
vis au 2me alina de larticle prcdent en concertation avec ledit organe.
ARTICLE 8
Les fonctions du responsable vis au 2me alina de larticle 6 ci-dessus peuvent tre assures par
l'organe de direction lorsque la taille de l'tablissement ne justifie pas de confier ces tches une
personne spcialement dsigne cet effet.
Elles peuvent galement, dans le cas des tablissements contrls de manire exclusive par un autre
tablissement de crdit, tre assumes par le responsable du contrle interne de ce dernier.
ARTICLE 9
Le responsable du contrle interne rend compte de l'exercice de sa mission l'organe de direction ainsi
qu'au comit vis l'article 15 ci-dessous.
ARTICLE 10
Lorgane de direction doit veiller au suivi du systme de contrle interne.
Il est tenu, dans ce cadre de :
- sassurer, en permanence, de la bonne excution de la mission confie au responsable vis au
2me alina de larticle 6 susvis et du bon fonctionnement global du systme de contrle interne,
- prendre les mesures ncessaires pour remdier, en temps opportun, toute carence ou
insuffisance releve dans les dispositifs de contrle.
ARTICLE 11
Lorgane de direction est tenu dlaborer un manuel de contrle interne qui prcise notamment :
- les lments constitutifs de chaque dispositif et les moyens de leur mise en uvre,
- les rgles qui assurent l'indpendance des dispositifs de contrle vis- - vis des units
oprationnelles,
- les diffrents niveaux de responsabilit du contrle.
ARTICLE 12
Le manuel de contrle interne doit tre rexamin priodiquement en vue dadapter ses dispositions
particulirement aux prescriptions lgales et rglementaires ainsi qu l'volution de l'activit, de
l'environnement conomique et financier et des techniques d'analyse.
ARTICLE 13
Lorgane de direction doit tablir, au moins une fois par an, un rapport sur les activits du contrle
interne qu'il adresse lorgane dadministration.
Ce rapport dcrit les actions de contrle effectues et les insuffisances releves, notamment au niveau
des domaines que couvre le dispositif de gestion des risques prvu par le Plan Comptable des
Etablissements de Crdit, ainsi que les mesures correctrices y affrentes.
Il doit, dans le cas des tablissements qui dtiennent le contrle exclusif dautres entits caractre
financier, retracer les activits du contrle interne au niveau de l'ensemble des entits du groupe.
ARTICLE 14
Lorgane dadministration est tenu de sassurer de la mise en place et du suivi, par lorgane de
direction, du systme de contrle interne.
A cet effet, il procde, au moins une fois par an, lexamen de lactivit et des rsultats du contrle
interne sur la base des informations qui lui sont adresses par lorgane de direction conformment aux
dispositions de larticle 13 ci-dessus ainsi que par le comit prvu larticle 15 ci-dessous.
ARTICLE 15
Lorgane dadministration est tenu de constituer un comit charg de lassister en matire de contrle
interne.
Ce comit procde notamment lvaluation de la cohrence et de ladquation des dispositifs de
contrle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposes pour
combler les lacunes ou insuffisances dceles dans le systme de contrle interne.
254

__________________________________________________________________________________________
ARTICLE 16
Le comit vis larticle 15 ci-dessus doit tre compos, en partie, dadministrateurs non dirigeants
ayant les comptences requises.
Il relve directement de lorgane dadministration qui en dtermine les modalits de fonctionnement et
auquel il rend compte.
ARTICLE 17
Lorgane dadministration doit veiller ce que lauditeur externe de ltablissement soit rgulirement
invit assister aux runions du comit prvu larticle 15 ci-dessus.
ARTICLE 18
Les tablissements de crdit qui contrlent de manire exclusive dautres entits caractre financier
doivent sassurer que les systmes de contrle interne mis en place au sein de ces dernires soient
cohrents et compatibles entre eux de manire permettre notamment une surveillance et une matrise
des risques au niveau du groupe.
Ils sassurent galement que les systmes de contrle interne susviss sont adapts lorganisation du
groupe ainsi qu la nature des entits contrles.
ARTICLE 19
Lorgane dadministration de tout tablissement de crdit habilit recevoir des fonds du public doit
veiller ce que les auditeurs externes formulent, dans le cadre de leur mission de rvision et de
contrle annuels des comptes, un avis sur l'organisation et le fonctionnement du systme de contrle
interne.
ARTICLE 20
Lorgane de direction doit adresser, la Direction du Contrle des Etablissements de Crdit de Bank
Al-Maghrib, une copie du rapport annuel vis larticle 13 ci-dessus et ce, au plus tard le 31 mars de
l'exercice suivant.
Les rapports et les comptes rendus portant sur le contrle interne doivent galement tre mis la
disposition des commissaires aux comptes, des auditeurs externes et des contrleurs de Bank AlMaghrib.
ARTICLE 21
Les membres de lorgane dadministration et de lorgane de direction veillent promouvoir, au sein de
leur tablissement, une culture de contrle forte qui met l'accent particulirement sur la ncessit, pour
chaque agent, d'assumer ses tches dans le respect des dispositions lgales et rglementaires en
vigueur et des directives internes tablies par les organes comptents.
Ils adoptent, cet effet, une politique de formation et d'information qui met en avant les objectifs de
l'tablissement et explicite les moyens de leur ralisation.
II- DISPOSITIF DE VERIFICATION DES OPERATIONS ET DES PROCEDURES
INTERNES
ARTICLE 22
Le dispositif de vrification des oprations et des procdures internes doit permettre aux
tablissements de crdit de sassurer notamment :
- de la conformit des oprations effectues et des procdures internes avec les prescriptions lgales
et rglementaires en vigueur ainsi quavec les normes et usages professionnels et dontologiques,
- du respect des normes de gestion et des procdures internes fixes par les organes comptents.
La mise en place de ce dispositif doit refaire dans le respect notamment des articles 23 25 ci-aprs,
ARTICLE 23
Les modalits dexcution des oprations quotidiennement effectues par les entits oprationnelles
doivent comporter, comme partie intgrante, les procdures de contrle appropries pour s'assurer de
la rgularit, de la fiabilit et de la scurit de ces oprations ainsi que du respect des autres diligences
lies la surveillance des risques qui leur sont associs.
Des vrifications priodiques doivent tre galement effectues en vue de sassurer du respect des
procdures de contrle interne.
ARTICLE 24
Les niveaux d'autorit et de responsabilit ainsi que les domaines d'intervention des diffrentes units
oprationnelles doivent tre clairement prciss et dlimits.
255

__________________________________________________________________________________________
De mme, une sparation stricte doit tre tablie entre les units charges, chacune en ce qui la
concerne, de l'initiation, de l'excution et du contrle des oprations.
Les domaines qui prsentent des conflits d'intrts potentiels ou des risques de chevauchement de
comptences ou de responsabilits doivent tre identifis, soumis une surveillance continue et faire
l'objet d'une valuation rgulire en vue de leur suppression.
ARTICLE 25
Chaque service ou unit oprationnelle doit tre dot dun manuel dans lequel sont consignes les
procdures dexcution des oprations quil est charg deffectuer.
Ces consignes fixent notamment les modalits d'engagement, d'enregistrement et de traitement des
oprations ainsi que les schmas comptables correspondants.
III- DISPOSITIF DE MESURE, DE MAITRISE ET DE SUREVEILLANCE DES RISQUES
ARTICLE 26
Les dispositifs de mesure, de matrise et de surveillance des risques doivent permettre de sassurer que
les risques encourus par ltablissement de crdit, particulirement les risques de crdit, de march, de
taux dintrt global, de liquidit et de rglement ainsi que les risques informatique et juridique, sont
correctement valus et matriss.
ARTICLE 27
Les risques de crdit, de march, de taux d'intrt global, de liquidit et de rglement doivent tre
maintenus dans le cadre des limites globales arrtes par la rglementation en vigueur ou fixes par
lorgane de direction et approuves par l'organe dadministration.
Ces limites doivent tre revues, autant que ncessaire et au moins une fois par an, en tenant compte,
notamment, du niveau des fonds propres de l'tablissement.
ARTICLE 28
Le contrle du respect des limites vises larticle prcdent doit tre effectu de faon rgulire et
inopine et donner lieu ltablissement dun compte rendu lattention des organes comptents.
Ce compte rendu doit comporter une analyse des raisons ayant motiv les ventuels dpassements
ainsi que, s'il y a lieu, les propositions et/ou recommandations y affrentes.
ARTICLE 29
Les dispositifs de mesure, de matrise et de surveillance des risques doivent tre adapts la nature, au
volume et au degr de complexit des activits de ltablissement.
ARTICLE 30
Les tablissements de crdit constituent, si le volume et la diversit de leurs activits le justifient, des
comits chargs dassurer le suivi de certaines catgories de risques spcifiques (comit de risque
crdit, comit de liquidit, ).
1- RISQUES DE CREDIT
ARTICLE 31
On entend par risque de crdit, le risque quun client ne soit pas en mesure dhonorer ses
engagements lgard de ltablissement de crdit.
ARTICLE 32
Le dispositif de contrle du risque de crdit doit permettre de sassurer que les risques auxquels peut
sexposer ltablissement de crdit, du fait de la dfaillance de la clientle, sont correctement valus
et rgulirement suivis.
La mise en place dun tel dispositif doit se faire dans le respect des dispositions minimales prvues
aux articles 33 42 ci-aprs.
ARTICLE 33
Les critres dapprciation du risque de crdit ainsi que les attributions des personnes et des organes
habilits engager ltablissement doivent tre dfinis et consigns par crit.
Ces consignes doivent tre adaptes aux caractristiques de ltablissement, en particulier, sa taille,
la nature et au volume de ses activits.
ARTICLE 34
Les demandes de crdit doivent donner lieu la constitution de dossiers comportant toutes les
informations quantitatives et qualitatives relatives au demandeur notamment les documents
256

__________________________________________________________________________________________
comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de
revenu ou tout autre document en tenant lieu.
Les informations portent tant sur le demandeur de crdit lui-mme que sur les entits avec lesquelles
il constitue un groupe dintrt, compte tenu des liens juridiques et financiers qui existent entre eux.
Les dossiers de crdit doivent tre rgulirement mis jour.
ARTICLE 35
L'valuation du risque de crdit prend en considration, notamment, la nature des activits exerces
par le demandeur, sa situation financire, la surface patrimoniale des principaux actionnaires ou
associs, sa capacit de remboursement et, le cas chant, les garanties proposes.
Elle prend galement en compte toutes autres informations permettant une apprciation plus complte
du risque tels que la comptence des dirigeants et l'environnement conomique dans lequel le
demandeur de crdit exerce son activit.
ARTICLE 36
Les dcisions d'octroi des crdits prennent en considration la rentabilit globale des oprations
effectues avec le client et ce, travers lanalyse prvisionnelle des charges et produits y affrents
(cots oprationnels et de financement, charge correspondant au risque de dfaillance ventuelle de la
contrepartie et rmunration des fonds propres).
ARTICLE 37
Lvaluation du risque de crdit donne lieu lattribution, chaque client, dune note par rfrence
une chelle de notation interne.
ARTICLE 38
Les risques de crdit encourus sur une mme contrepartie (client individuel ou groupe de personnes
physiques ou morales lies entre elles et prsentant un risque unique pour ltablissement de crdit)
doivent tre recenss et centraliss quotidiennement. Ceux encourus par secteur, pays ou zone
gographique doivent ltre au moins une fois par mois.
ARTICLE 39
Les risques de crdit encourus sur des clients bnficiant de concours relativement importants doivent
faire l'objet d'une surveillance particulire, tant sur une base individuelle qu'au niveau du groupe.
ARTICLE 40
Les concours consentis aux personnes physiques ou morales apparentes ltablissement de crdit
ainsi que lvolution de leurs encours doivent tre rgulirement ports la connaissance de lorgane
dadministration.
Lorgane dadministration doit tre galement inform de toute opration susceptible dengendrer un
conflit entre les intrts de ltablissement et ceux des personnes prcites.
ARTICLE 41
Les concours qui, au regard de la rglementation en vigueur, sont considrs comme crances en
souffrance doivent tre enregistrs dans les comptes appropris du plan comptable des tablissements
de crdit et donner lieu la constitution des provisions requises.
ARTICLE 42
Les encours des crances en souffrance ainsi que les rsultats des dmarches, amiables ou judiciaires,
entreprises pour leur recouvrement doivent tre rgulirement, et tout le moins deux fois par an,
ports la connaissance de lorgane dadministration. Celui-ci doit galement tre tenu inform des
encours des crances restructures et de lvolution de leur remboursement.
2- RISQUES DE MARCHE
ARTICLE 43
On entend par risques de march, les risques de pertes qui peuvent rsulter des fluctuations des prix
des instruments financiers qui composent le portefeuille de ngociation ou des positions susceptibles
dengendrer un risque de change, notamment les oprations de change terme et au comptant.
Le portefeuille de ngociation susvis comprend :
- les titres acquis, ds lorigine, avec lintention de les revendre brve chance en vue de tirer
bnfice des carts entre les prix dachat et de vente, et ce dans le cadre dune activit de march,
y compris les titres livrer ou recevoir,
- les titres recevoir et livrer dans le cadre de transactions sur le march primaire ou le march
gris,
257

__________________________________________________________________________________________
les produits drivs destins maintenir des positions ouvertes isoles pour tirer avantage de
lvolution des prix ou couvrir les risques de march encourus sur les instruments viss aux
tirets prcdents.
ARTICLE 44
Le dispositif de contrle des risques de march doit permettre de sassurer que les risques auxquels
peut sexposer ltablissement de crdit, du fait des fluctuations qui pourraient affecter les prix des
instruments financiers viss larticle 43, font lobjet dune valuation approprie et dune
surveillance rgulire.
La mise en place dun tel dispositif doit se faire dans le respect notamment des dispositions des
articles 45 47 ci-dessous.
ARTICLE 45
Les transactions sur les instruments financiers viss larticle 43 doivent faire lobjet dun suivi
quotidien de manire :
- apprhender les positions dtenues en chaque instrument et en calculer les rsultats,
- mesurer le risque de taux dintrt, le risque de change et le risque sur titres de proprit lis ces
positions,
- sassurer du respect des limites et des procdures internes mises en place pour la matrise de ces
risques.
ARTICLE 46
La mesure des risques de march doit tre effectue de faon en cerner les diverses composantes et
ce, par le recours des procds qui permettent une agrgation, aussi bien sur une base individuelle
que consolide, de lensemble des positions relatives des instruments financiers ou des marchs
diffrents.
ARTICLE 47
Des valuations rgulires, notamment en cas de fortes variations affectant un march ou l'un de ses
segments, doivent tre effectues pour suivre lvolution des risques susviss.
Les modles d'analyse retenus pour ces valuations doivent, eux aussi, rgulirement faire lobjet de
rvisions, leffet den apprcier la validit et la pertinence au regard de lvolution de lactivit, de
lenvironnement des marchs et des techniques danalyse.
ARTICLE 48
Le dispositif vis larticle 44 ci-dessus doit galement permettre de sassurer du respect des
dispositions rglementaires prvues en la matire, des normes et usages professionnels et
dontologiques ainsi que des limites fixes par les instances comptentes.
3- RISQUE GLOBAL DE TAUX D'INTERET
ARTICLE 49
Le risque global de taux dintrt se dfinit comme limpact ngatif que pourrait avoir une volution
dfavorable des taux dintrt sur la situation financire de ltablissement de crdit.
ARTICLE 50
Le dispositif de contrle du risque global de taux dintrt doit permettre de sassurer que les risques
susceptibles daffecter ngativement les lments de lactif, du passif et du hors bilan de
ltablissement de crdit, du fait dune volution dfavorable des taux dintrt, sont correctement
mesurs et font lobjet dune surveillance rgulire et adquate.
Le dispositif susvis doit tre mis en place dans le respect notamment des prescriptions des articles 51
53 ci-aprs.
ARTICLE 51
Les positions et les flux certains et prvisibles rsultant de lensemble des oprations de bilan et de
hors bilan doivent tre correctement mesurs et faire lobjet dune surveillance rgulire.
De mme, lensemble des facteurs de risque global de taux dintrt ainsi que leur impact sur les
rsultats et les fonds propres doivent tre identifis et valus.
ARTICLE 52
Les paramtres et les hypothses retenus pour lvaluation du risque global de taux dintrt doivent
tre choisis en tenant compte notamment du niveau dactivit de ltablissement de crdit sur les
diffrents marchs.
258

__________________________________________________________________________________________
ARTICLE 53
Les paramtres et les hypothses viss larticle prcdent doivent faire lobjet de rexamens
priodiques pour sassurer de leur cohrence et de leur validit au regard de lvolution de la structure
des activits exerces et des conditions du march.
4- RISQUE DE LIQUIDITE
ARTICLE 54
Le risque de liquidit sentend comme le risque pour ltablissement de crdit de ne pas pouvoir
sacquitter, dans des conditions normales, de ses engagements leur chance.
ARTICLE 55
Le dispositif de contrle du risque de liquidit doit permettre de sassurer que ltablissement de
crdit est en mesure de faire face, tout moment, ses exigibilits et dhonorer ses engagements de
financement envers la clientle.
articles 56 et 57 ci-dessous.
ARTICLE 56
La trsorerie immdiate ainsi que les entres et sorties de trsorerie prvisionnelles des chances
dtermines doivent tre values de manire correcte, en tenant compte notamment de l'incidence
des fluctuations des marchs de capitaux.
ARTICLE 57
Les possibilits daccs aux marchs des capitaux dont bnficie ltablissement, en particulier les
lignes de crdit ouvertes par les correspondants, doivent tre revues priodiquement afin de tenir
compte des ventuels changements qui pourraient affecter la situation ou la renomme de
ltablissement lui-mme ou la situation financire ou juridique de ces correspondants.
5- RISQUE DE REGLEMENT
ARTICLE 58
Le risque de rglement sentend comme le risque de survenance, au cours du dlai ncessaire pour le
dnouement de lopration de rglement, dune dfaillance ou de difficults qui empchent la
contrepartie dun tablissement de crdit de lui livrer les instruments financiers ou les fonds
convenus, alors que ledit tablissement a dj honor ses engagements lgard de ladite contrepartie.
ARTICLE 59
Le dispositif de contrle du risque de rglement doit permettre de sassurer que les risques auxquels
peut sexposer ltablissement de crdit sont correctement valus et font lobjet dun suivi rigoureux
et rgulier.
ARTICLE 60
Le dispositif de contrle du risque de rglement doit permettre de sassurer que les diffrentes phases
du processus de rglement sont identifies et font lobjet dune attention particulire, notamment
l'heure limite pour l'annulation unilatrale de l'instruction de paiement, l'chance de la rception
effective des fonds relatifs l'instrument achet et le moment o la rception de ces fonds ou
instruments est confirme.
6- RISQUE INFORMATIQUE
ARTICLE 61
Le risque informatique sentend comme le risque de survenance de dysfonctionnements ou de rupture
dans le fonctionnement du systme de traitement de linformation, imputables des dfaillances dans
le matriel ou des erreurs, des manipulations ou autres motifs (virus) affectant les programmes
dexcution.
ARTICLE 62
Le dispositif de contrle des risques informatiques doit assurer un niveau de scurit jug satisfaisant
par rapport aux normes technologiques et aux exigences du mtier.
articles 63 65 ci-dessous.
ARTICLE 63
259

__________________________________________________________________________________________
Les supports de l'information et de la documentation relatifs l'analyse et l'excution des

programmes doivent tre conservs dans des conditions prsentant le maximum de scurit contre les
risques de dtrioration, de manipulation ou de vol.
ARTICLE 64
Des procdures d'urgence ainsi que du matriel et des logiciels de secours doivent tre prvus pour
faire face tout dysfonctionnement du systme informatique ou la survenance d'vnements
pouvant le rendre inoprant.
ARTICLE 65
Les dispositifs de scurit, d'urgence et de secours susviss doivent faire lobjet de vrifications
priodiques en vue de tester leur bon fonctionnement.
7- RISQUE JURIDIQUE
ARTICLE 66
Le risque juridique sentend comme le risque de survenance de litiges susceptibles dengager la
responsabilit de ltablissement de crdit du fait dimprcisions, de lacunes ou dinsuffisances dans
les contrats et autres actes de nature juridique le liant des tiers.
ARTICLE 67
Le dispositif de contrle du risque juridique doit permettre de sassurer que les contrats et les autres
actes de nature juridique liant ltablissement de crdit toute contrepartie sont rdigs et conclus
dans le respect des dispositions lgales et rglementaires en vigueur et sont soumis un contrle strict
en vue de parer toutes insuffisances, imprcisions ou lacunes.
8- AUTRES RISQUES
ARTICLE 68
Les autres risques englobent tous les risques qui pourraient tre engendrs par des procdures
inefficientes, des contrles inadquats, des erreurs humaines ou techniques, des fraudes ou par toutes
autres dfaillances.
ARTICLE 69
Le dispositif de contrle des risques viss larticle 68 doit permettre de sassurer que les risques qui
pourraient dcouler de dfaillances ou dinsuffisances, de quelque ordre que ce soit, sont identifis et
font lobjet de mesures de nature en limiter la survenance et limpact sur le fonctionnement global
de ltablissement.
La mise en place dun tel dispositif doit se faire dans le respect notamment des prescriptions des
articles 70 et 71 ci-aprs.
ARTICLE 70
Lorgane dadministration et lorgane de direction doivent prendre les prcautions et les mesures
adquates pour empcher que leurs tablissements ne soient impliqus, leur insu, dans des
oprations financires lies des activits non autorises par la loi et plus gnralement pour viter la
survenance de tout vnement susceptible d'entacher leur rputation ou de porter atteinte au renom de
la profession.
ARTICLE 71
Les dispositifs mis en place pour assurer la scurit des personnes et des biens doivent tre conformes
aux normes usuellement requises en la matire.
De mme, les dommages auxquels peuvent se trouver exposs les personnes et les biens doivent tre
couverts par des contrats d'assurances dment souscrits.
IV- DISPOSITIF DE CONTROLE DE LA COMPTABILITE
ARTICLE 72
Le dispositif de contrle de la comptabilit doit permettre aux tablissements de crdit de s'assurer de
la fiabilit et de l'exhaustivit de leurs donnes comptables et financires et de veiller la disponibilit
de linformation au moment opportun.
La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan
comptable des tablissements de crdit ainsi que de celles des articles 73 77 ci-aprs.
ARTICLE 73
Les modalits denregistrement comptable des oprations doivent prvoir un ensemble de procdures,
appel piste d'audit, qui permet :
260

__________________________________________________________________________________________
de reconstituer les oprations selon un ordre chronologique,

de justifier toute information par une pice d'origine partir de laquelle il doit tre possible de
remonter par un cheminement ininterrompu au document de synthse et rciproquement.
- et d'expliquer l'volution des soldes d'un arrt l'autre par conservation des mouvements ayant
affect les postes comptables.
ARTICLE 74
Le bilan et le compte de produits et charges doivent tre obtenus directement partir de la
comptabilit.
ARTICLE 75
Les oprations qui comportent des risques de march doivent donner lieu, tout le moins la date
d'arrt de fin de mois, un rapprochement entre les rsultats calculs par les units oprationnelles et
les rsultats comptables obtenus sur la base des rgles d'valuation en vigueur.
Les carts significatifs constats doivent tre justifis et ports la connaissance de lorgane de
direction.
ARTICLE 76
Les titres et autres valeurs de mme nature dtenus ou grs pour le compte de tiers doivent tre suivis
travers une comptabilit matire qui en retrace les entres, les sorties et les existants et faire l'objet
d'inventaires priodiques.
Distinction doit tre faite entre les valeurs reues en dpt libre et celles servant de garanties en faveur
de l'tablissement de crdit lui-mme ou de tiers.
ARTICLE 77
Des valuations rgulires du systme d'information comptable et de traitement de linformation
doivent tre effectues en vue de sassurer de sa pertinence au regard des objectifs gnraux de
prudence et de scurit et de la conformit aux normes comptables en vigueur.
V- DISPOSITIONS DIVERSES ET TRANSITOIRES
ARTICLE 78
Les tablissements de crdit crent une structure charge de linformation du public et des rapports
avec la clientle.
Cette structure a principalement pour mission la diffusion de linformation lintention du public et
lexamen des rclamations et dolances de la clientle.
ARTICLE 79
Les tablissements de crdit doivent prendre toutes les mesures ncessaires pour entamer
immdiatement la mise en place du systme de contrle interne prvu par les dispositions de la
prsente circulaire.
Ils doivent adresser la Direction du Contrle des Etablissements de Crdit, fin juillet et fin
dcembre 2001, un rapport retraant ltat davancement de la mise en place de ce systme.
ARTICLE 80
Les manquements aux dispositions de la prsente circulaire sont passibles des sanctions prvues par
les prescriptions du dahir portant loi n 1-93-147 prcit.
Sign : M. SEQAT
261

__________________________________________________________________________________________
Annexe N8
Circulaire BAM devoir de vigilance
BANK AL-MAGHRIB
-------------------LE GOUVERNEUR
Circulaire n 36/G/2003
Rabat, le 29 Chaoual 1424
24 Dcembre 2003
CIRCULAIRE N36 RELATIVE AU DEVOIR DE VIGILANCE

INCOMBANT AUX ETABLISSEMENTS DE CREDIT
Considrant les dispositions du troisime tiret du deuxime alina de larticle 5 du dahir
n 1-59-233 du 23 hijja 1378 (30 juin 1959) portant cration de Bank Al-Maghrib ;
Considrant le Code de commerce notamment son article 488 ;
Considrant les normes dictes par le Comit de Ble en matire de devoir de diligence
au sujet de la clientle et les standards internationaux relatifs la lutte contre la criminalit financire
organise notamment les recommandations du Groupe dAction Financire sur le Blanchiment de
Capitaux (GAFI) ;
Considrant les dispositions de larticle 70 de la circulaire de Bank Al-Maghrib
n6/G/2001 relative au contrle interne.
Bank Al-Maghrib fixe, ci-aprs, les rgles minimales que les tablissements de crdit sont
tenus dadopter au titre du devoir de vigilance au sujet de la clientle.
Article 1 :
Les tablissements de crdit sont tenus de mettre en place les procdures ncessaires qui leur
permettent :
- Didentifier leur clientle et den avoir une connaissance approfondie ;
- Dassurer le suivi et la surveillance des oprations de la clientle notamment celles
prsentant un degr de risque important ;
- De conserver et de mettre jour la documentation affrente la clientle et aux
oprations quelle effectue.
Ils doivent, en outre, sensibiliser leur personnel et le former aux techniques de dtection et de
prvention des oprations caractre inhabituel ou suspect.
Article 2
Les procdures vises larticle premier ci-dessus sont consignes dans un manuel qui doit tre
approuv par lorgane dadministration de ltablissement de crdit. Ce manuel doit tre
priodiquement mis jour en vue de ladapter aux dispositions lgales et rglementaires en vigueur et
lvolution de lactivit de ltablissement de crdit.
I - IDENTIFICATION DE LA CLIENTELE
Article 3
Les tablissements de crdit sont tenus de recueillir les lments dinformation permettant
lidentification de toute personne qui :
- Souhaite ouvrir un compte, quelle que soit sa nature, ou louer un coffre fort ;
- Recourt leurs services pour lexcution de toutes autres oprations, mme ponctuelles, telles que
le transfert de fonds.
Article 4
Pralablement louverture de tout compte, les tablissements de crdit doivent avoir des entretiens
avec les postulants et, le cas chant, leurs mandataires, en vue de sassurer de leur identit et de
recueillir tous les renseignements et documents utiles relatifs aux activits des titulaires des comptes et
lenvironnement dans lequel ils oprent notamment lorsquil sagit de personnes morales ou
dentrepreneurs individuels.
262

__________________________________________________________________________________________
Les compte rendus de ces entretiens doivent tre verss aux dossiers des clients, prvus aux articles 5
et 6 ci-aprs.
Article 5
Une fiche douverture de compte doit tre tablie au nom de chaque client personne physique, au vu
des nonciations portes sur tout document didentit officiel. Ce document doit tre en cours de
validit, dlivr par une autorit marocaine habilite ou une autorit trangre reconnue et porter la
photographie du client.
Sont consigns dans cette fiche les lments suivants :
- Le(s) prnom(s) et le nom ;
- Le numro de la carte didentit nationale, pour les nationaux ainsi que sa dure de
validit ;
- Le numro de la carte dimmatriculation, pour les trangers rsidents ainsi que sa
dure de validit ;
- Le numro du passeport ou de toute autre pice didentit en tenant lieu, pour les
trangers non rsidents et sa dure de validit ;
- Ladresse exacte ;
- La profession ;
- Le numro dimmatriculation au registre de commerce, pour les personnes physiques
ayant la qualit de commerant ainsi que le centre dimmatriculation.
Les lments didentification ci-dessus doivent galement tre recueillis des personnes qui
pourraient tre amenes faire fonctionner le compte dun client en vertu dune procuration.
La fiche douverture de compte ainsi que les copies des documents didentit prsents doivent tre
classes dans un dossier ouvert au nom du client.
Article 6
Une fiche douverture de compte doit tre tablie au nom de chaque client personne morale dans
laquelle doivent tre consigns, selon la nature juridique de ces personnes, lensemble ou certains des
lments didentification ci-aprs :
- La dnomination ;
- La forme juridique ;
- Lactivit ;
- Ladresse du sige social ;
- Le numro de lidentifiant fiscal ;
- Le numro dimmatriculation au registre du commerce ainsi que le centre
dimmatriculation.
Cette fiche doit tre conserve dans le dossier ouvert au nom de la personne morale concerne ainsi
que les documents complmentaires, ci-aprs prciss, correspondant sa forme juridique.
Les documents complmentaires devant tre fournis par les socits commerciales incluent
notamment :
- Les statuts mis jour ;
- La publicit lgale relative la cration de la socit et aux ventuelles modifications
affectant ses statuts ;
- Les procs-verbaux des dlibrations des assembles gnrales ou des associs ayant
nomm les administrateurs ou les membres du conseil de surveillance ou les grants ;
- Les noms des dirigeants et les personnes mandates pour faire fonctionner le compte
bancaire.
Dans le cas de socits en cours de constitution, ltablissement de crdit doit exiger la
remise du certificat ngatif, le projet des statuts et recueillir tous les lments didentification des
fondateurs et des souscripteurs du capital.
Les documents complmentaires devant tre fournis par les associations incluent :
- Les statuts mis jour ;
- Le certificat ou rcpiss de dpt lgal du dossier juridique de lassociation auprs
des autorits administratives comptentes ;
263

__________________________________________________________________________________________
Les procs-verbaux de lassemble gnrale constitutive portant lection des membres

du bureau, du prsident et la rpartition des tches au sein du bureau ;
Les noms des dirigeants et les personnes mandates pour faire fonctionner le compte
bancaire.
Les documents complmentaires devant tre fournis par les coopratives
incluent :
Les statuts mis jour ;
Le procs-verbal de lassemble constitutive ;
Lacte portant nomination des personnes habilites faire fonctionner le compte ;
La dcision portant agrment de la constitution de la cooprative.
Les documents complmentaires devant tre fournis par les tablissements et autres
entits publics incluent :
Lacte constitutif ;
Les actes portant nomination des reprsentants ou fixant les pouvoirs des diffrents
organes de ltablissement ;
Les noms des personnes habilites faire fonctionner le compte.
Pour les autres catgories de personnes morales (groupement dintrt conomique,
groupement dintrt public, socit anonyme simplifie, etc), les tablissements de
crdit exigent les lments complmentaires didentification spcifiques en se rfrant
aux textes lgislatifs qui les rgissent.
Article 7
Les tablissements de crdit recueillent des personnes qui ne disposent pas de comptes ouverts sur
leurs livres et souhaitent louer un coffre fort ou effectuer des oprations ponctuelles auprs de leurs
guichets les lments ncessaires leur identification et celle des personnes qui en sont les
bnficiaires.
Article 8
Sont soumises aux mmes exigences vises aux articles 4, 5 et 6 ci-dessus, les demandes douverture
de comptes distance (par voie dInternet, par exemple).
Article 9
A dfaut des originaux, les photocopies des documents didentit viss larticle 5 et celles des
statuts, des procs verbaux et des documents dlivrs par une autorit administrative prvus larticle
6 ci-dessus doivent tre dment certifies conformes par les autorits comptentes.
Dans le cas des personnes morales ayant leur sige social ltranger, ces documents doivent, sauf
dispositions particulires prvues par une convention internationale, tre certifis conformes auprs
des services consulaires marocains installs dans leur pays ou auprs des reprsentations consulaires
de leur pays au Maroc.
Les documents rdigs dans une langue autre que lArabe ou le Franais doivent tre traduits dans
lune de ces deux langues par un traducteur asserment.
Article 10
Les documents viss aux articles 5 et 6 ci-dessus doivent faire lobjet dun examen minutieux pour
sassurer de leur rgularit apparente et, le cas chant, tre rejets si des anomalies sont dtectes.
Lorsque les informations fournies par le client ne concordent pas avec celles figurant sur les
documents prsents, des justificatifs complmentaires doivent tre exigs.
Article 11
En vue de sassurer de lexactitude de ladresse donne par tout nouveau client, une lettre de
bienvenue lui est adresse. En cas dadresse errone, ltablissement de crdit doit sassurer par tous
moyens de ladresse exacte. A dfaut, il peut dcliner lentre en relation et procder la clture du
compte.
Article 12
Les tablissements de crdit doivent tre en mesure de connatre, lors de louverture dun compte, si le
postulant, dispose dj dautres comptes ouverts sur leurs livres et si cest la cas, lhistorique de ces
comptes.
Ils se renseignent sur les raisons pour lesquelles la demande douverture dun nouveau compte est
formule.
264

__________________________________________________________________________________________
II - SUIVI ET SURVEILLANCE DES OPERATIONS DE LA CLIENTELE

Article 13
Les tablissements de crdit doivent classer leurs clients par catgories, selon leur profil de risque.
A cet effet, les fiches douverture de compte doivent retracer le profil de risque du client, tabli sur la
base des documents reus en application des dispositions des articles 5 et 6 ci-dessus, des rsultats des
entretiens viss larticle 4 ci-dessus et en tenant compte de certains indicateurs tels que le pays
dorigine du client, lorigine des fonds, la nature de lactivit exerce, la nature des oprations
effectues et lhistorique du compte.
Article 14
Les tablissements de crdit doivent instituer, pour chaque catgorie de clients, des limites au del
desquelles des oprations pourraient tre considres comme inhabituelles ou suspectes.
Article 15
Les oprations inhabituelles ou suspectes vises larticle 14 ci-dessus, incluent notamment les
oprations qui :
- Ne semblent pas avoir de justification conomique ou dobjet licite apparent ;
- Portent sur des montants sans commune mesure avec celles habituellement effectues
par le client ;
- Se prsentent dans des conditions inhabituelles de complexit.
Article 16
Les tablissements de crdit doivent porter une attention particulire aux oprations financires
effectues par des intermdiaires professionnels (tels que les notaires, les avocats, les entreprises qui
effectuent, titre de profession habituelle lintermdiation, le conseil et lassistance en matire de
gestion de patrimoine) pour le compte de leurs clients personnes physiques ou morales.
Article 17
Les tablissements de crdit doivent prter une attention particulire aux oprations excutes par des
personnes dont le courrier est domicili chez un tiers, dans une bote postale, aux guichets de
ltablissement ou qui changent dadresse frquemment.
Article 18
Les conditions douverture de nouveaux comptes et les mouvements de fonds dimportance
significative doivent faire lobjet de contrles centraliss en vue de sassurer que tous les
renseignements relatifs aux clients concerns sont disponibles et que ces mouvements nimpliquent
pas doprations caractre inhabituel ou suspect.
Toute opration considre comme ayant un caractre inhabituel ou suspect doit donner lieu
llaboration dun compte rendu lintention du responsable vis larticle 19 ci-aprs.
Article 19
Chaque tablissement de crdit doit dsigner un responsable et un supplant chargs dassurer les
relations avec Bank Al-Maghrib en ce qui concerne les questions ayant trait au devoir de vigilance.
Ce responsable a galement pour tches :
- De centraliser et examiner les comptes rendus des agences sur les oprations ayant un
caractre inhabituel ou suspect ;
- Dassurer un suivi particulier des comptes qui enregistrent des oprations considres
comme inhabituelles ou suspectes ;
- De tenir la direction de ltablissement continuellement informe sur les clients
prsentant un profil de risque lev.
Article 20
Les tablissements de crdit doivent se doter de systmes dinformation qui leur permettent, pour
chaque client :
- De disposer de la position de lensemble des comptes dtenus ;
- De recenser les oprations effectues ;
- Didentifier les transactions caractre suspect ou inhabituel vises larticle 14 ci-dessus.
III - CONSERVATION ET MISE A JOUR DE LA DOCUMENTATION
Article 21
Les tablissements de crdit conservent pendant dix ans les justificatifs relatifs :
- A l'identit de leurs clients et ce, compter de la clture des comptes de ces derniers ;
265

__________________________________________________________________________________________
A lidentit des personnes vises larticle 7 ci-dessus ;

Aux oprations effectues avec leurs clients et ce, compter de leur date dexcution.
Article 22
L'organisation de la conservation des documents doit notamment permettre de reconstituer les
transactions individuelles (montant et nature de l'opration) et de communiquer dans les dlais requis,
les informations demandes par toute autorit habilite.
Article 23
Les tablissements de crdit veillent la mise jour rgulire des informations relatives leurs clients.
Article 24
Les tablissements de crdit doivent veiller, autant que possible et progressivement, mettre jour les
dossiers relatifs lidentification de leurs clients avec lesquels ils sont en relation avant lentre en
vigueur des dispositions de la prsente circulaire.
IV - FORMATION DU PERSONNEL
Article 25
Les tablissements de crdit doivent veiller ce que leur personnel, directement ou indirectement
concern par la mise en uvre des dispositions de la prsente circulaire, bnficie dune formation
approprie.
Ils doivent sensibiliser le personnel aux risques auxquels pourraient tre confronts leurs
tablissements sils viendraient tre utiliss des fins illicites.
V - AUTRES DISPOSITIONS
Article 25
Les tablissements de crdit ayant des filiales ou des succursales, installes dans des zones offshore ou
dans des pays ne disposant pas de rglementation en matire de vigilance, au moins quivalente
celle applicable au Maroc, doivent veiller ce que ces entits soient dotes dun dispositif de
vigilance similaire celui prvu par la prsente circulaire.
Article 26
Les tablissements de crdit incluent, dans le cadre du rapport sur le contrle interne quils sont tenus
dadresser la Direction du Contrle des Etablissements de Crdit conformment larticle 20 de la
circulaire n 6/G/2001 prcite, un chapitre consacr la description des dispositifs de vigilance mis
en place et des activits de contrle effectues en la matire.
Article 27
Les dispositions de la prsente circulaire entrent en vigueur compter du 1er janvier 2004.
Sign : A.JOUAHRI
266

__________________________________________________________________________________________
Annexe N9
Circulaire Relative A L 'Audit Externe
Des Etablissements De Crdit
BANK AL-MAGHRIB
LE GOUVERNEUR
C N 9/G/2002
Rabat, 05 Joumada I 1423
16 Juillet 2002
CIRCULAIRE RELATIVE A L 'AUDIT EXTERNE

DES ETABLISSEMENTS DE CREDIT
Les dispositions des articles 38 41 du dahir portant loi n 1-93-147 du 15 moharrem 1414 (6 juillet
1993) relatif lexercice de lactivit des tablissements de crdit et de leur contrle stipulent
respectivement ce qui suit :
Article 38
Les tablissements de crdit recevant des fonds du public sont tenus de faire procder, par des
auditeurs externes, la rvision et au contrle annuels de leur comptabilit afin de sassurer que cette
dernire reflte fidlement leur patrimoine, leur situation financire et leur rsultat.
Les auditeurs externes vrifient, galement, la demande de Bank Al-Maghrib, que lorganisation de
ltablissement de crdit prsente les garanties requises usuellement pour prserver le patrimoine et
prvenir les fraudes et les erreurs.
Article 39
Le gouverneur de Bank Al-Maghrib peut, sil le juge utile, demander aux tablissements de crdit ne
recevant pas de fonds du public de procder des audits externes.
Article 40
Les auditeurs externes sont agrs par le gouverneur de Bank Al-Maghrib.
Ils ne doivent avoir, ni directement ni indirectement, aucun lien de subordination ou aucun intrt de
quelque nature que ce soit avec ltablissement de crdit, ou un rapport de parent ou dalliance avec
ses dirigeants.
Article 41
Les rapports et les rsultats des audits sont communiqus au gouverneur de Bank Al-Maghrib. Celui-ci
peut, sil le juge utile, en tenir informs les membres du conseil dadministration de ltablissement
concern.
Les rapports et les rsultats des audits sont galement communiqus aux commissaires aux comptes de
ltablissement de crdit .
La prsente circulaire a pour objet de prciser les modalits dapplication des dispositions
susvises.
Article premier
Les dispositions de la prsente circulaire sappliquent :
- lensemble des banques
- et aux socits de financement recevant des fonds du public.
Leur champ dapplication peut, toutefois, tre tendu aux autres tablissements de crdit, si Bank AlMaghrib le juge utile.
TITRE I : AGREMENT DES AUDITEURS EXTERNES
Article 2
Les tablissements de crdit adressent la Direction du Contrle des Etablissements de Crdit de
Bank Al-Maghrib (DCEC) les demandes dagrment relatives aux auditeurs externes quils envisagent
dengager pour assurer la mission daudit dfinie par la prsente circulaire.
Article 3
267

__________________________________________________________________________________________
Les demandes dagrment relatives aux auditeurs externes exerant titre indpendant doivent tre
accompagnes de dossiers comportant les documents suivants :
1) un document attestant de linscription de lauditeur externe sur le tableau de lordre des expertscomptables et de lexercice effectif de la fonction dexpert-comptable ;
2) le curriculum vitae, dment dat et sign, de lauditeur externe et de chacun de ses collaborateurs
susceptibles de prendre part aux travaux daudit des tablissements de crdit ;
3) une dclaration sur lhonneur, conforme au modle joint en annexeI, date et signe par chacune
des personnes vises au point 2 ci-dessus, par laquelle le signataire atteste, notamment, quil ne tombe
pas sous le coup de lune des incompatibilits prvues par :
- la loi n 15-89 rglementant la profession dexpert-comptable et instituant un ordre des expertscomptables, promulgue par le dahir n 1-92-139 du 14 rajeb 1413 (8 janvier 1993),
- le dahir portant loi n 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif lexercice de
lactivit des tablissements de crdit et de leur contrle
- et la loi n 17-95 relative aux socits anonymes, promulgue par le dahir n 1-96-124 du 14 rabii
II 1417 (30 aot 1996) ;
4) une note faisant ressortir lexprience professionnelle de lauditeur externe, les moyens techniques
et humains dont il dispose et, le cas chant, lappui dont il pourrait bnficier de la part dautres
partenaires qualifis, nationaux ou trangers, ainsi que les rfrences des missions daudit antrieures
ralises auprs des tablissements de crdit et les services de consultation et de conseil, rendus par
lauditeur, y compris par le biais de filiales spcialises.
Article 4
Les demandes dagrment concernant les auditeurs externes exerant en qualit de socits dexpertscomptables doivent comprendre, outre les informations vises larticle 3, les documents ci-aprs :
- une fiche de renseignements, conforme au modle joint en annexeII, dment date et signe par le
reprsentant statutaire de la socit ;
- une copie certifie conforme des statuts de la socit mis jour ;
- le curriculum vitae de chacun des associs appels participer aux missions daudit des
tablissements de crdit.
Article 5
Toute demande dagrment doit tre accompagne dune attestation, conforme au modle joint en
annexeIII, dment date et signe par un responsable habilit le faire, par laquelle ltablissement de
crdit certifie que le choix de lauditeur externe a t effectu dans le respect des dispositions prvues
par la prsente circulaire.
Article 6
Dans le cas o lauditeur externe fait appel, dans le cadre de sa mission, des experts ne faisant pas
partie de son effectif pour effectuer des travaux ponctuels, il est tenu de sassurer que ces personnes
nenfreignent pas les dispositions lgales relatives aux incompatibilits vises au point 3 de larticle 3
ci-dessus.
Article 7
La DCEC peut demander communication de tous autres renseignements quelle estime ncessaires
pour linstruction des demandes dagrment.
Article 8
Les auditeurs externes sont agrs pour un mandat de 3 ans renouvelable.
Les demandes de renouvellement des agrments doivent tre adresses la DCEC selon les modalits
prvues aux articles 2 5 ci-dessus.
Article 9
Le renouvellement de lagrment des auditeurs externes ayant exerc leur mission, auprs dun mme
tablissement, durant deux mandats conscutifs ne peut intervenir :
- qu lexpiration dun dlai de trois ans, dans le cas des auditeurs externes exerant titre
indpendant,
- que sous rserve du remplacement de lassoci responsable de la mission daudit, en ce qui
concerne les auditeurs externes exerant en qualit de socits dexperts-comptables.
Article 10
268

__________________________________________________________________________________________
La dcision doctroi de lagrment ou, sil y a lieu, de refus de lagrment dment motive, est notifie
ltablissement de crdit concern, 30 jours maximum compter de la date de rception dfinitive du
dossier de demande dagrment.
Article 11
Bank Al-Maghrib peut adresser un avertissement tout auditeur externe qui ne sacquitte pas de sa
mission avec la comptence et la diligence requises ou faillit ses engagements.
Article 12
Bank Al-Maghrib peut suspendre ou, le cas chant, retirer lagrment un auditeur externe,
lorsque celui-ci :
- se trouve, en infraction au regard des dispositions lgislatives relatives aux incompatibilits
prvues par la loi 15-89, le dahir portant loi n 1-93-147 ou la loi 17-95 prcits,
- fait lobjet de mesures disciplinaires de la part de lordre des experts-comptables ou de sanctions
pnales en application des dispositions de la loi n 15-89 susvise,
- ne tient pas compte de lavertissement qui lui a t adress par Bank Al-Maghrib, en application
des dispositions de larticle 11 ci-dessus.
Article 13
La dcision de suspension ou de retrait de lagrment est notifie ltablissement de crdit concern
qui doit soumettre la DCEC une demande dagrment dun nouvel auditeur externe, selon les
modalits prvues aux articles 2 5 ci-dessus.
Article 14
La dcision de rvocation du mandat dun auditeur externe, par ltablissement de crdit lui-mme,
doit tre pralablement notifie Bank Al-Maghrib et dment motive.
Lauditeur externe peut, sa demande, tre entendu par Bank Al-Maghrib.
Article 15
Les tablissements de crdit communiquent, chaque anne, la DCEC, copie de la lettre de mission
prcisant notamment ltendue des travaux devant tre entrepris par lauditeur externe ainsi que les
moyens humains quil prvoit cet effet.
TITRE II : MISSION DES AUDITEURS EXTERNES
Article 16
La mission de lauditeur externe consiste tablir :
- un rapport dans lequel il formule une opinion sur la rgularit et la sincrit de la comptabilit et
atteste que celle-ci donne une image fidle du patrimoine, de la situation financire et des rsultats
de ltablissement de crdit,
- un rapport dtaill dans lequel sont consignes :
* ses apprciations sur ladquation et lefficience du systme de contrle interne de ltablissement de
crdit, eu gard sa taille, la nature des activits exerces et aux risques encourus,
* les observations et anomalies releves au cours de ses investigations dans les diffrents domaines
prvus par a prsente circulaire.
Article 17
Les travaux ncessaires laccomplissement de la mission daudit doivent tre planifis et excuts
sur la base dun programme qui tient compte de la qualit du systme de contrle interne de
ltablissement de crdit et des normes professionnelles prvues en la matire.
CHAPITRE I : EVALUATION DU SYSTEME DE CONTROLE INTERNE
Article 18
Lauditeur externe procde lvaluation de la qualit du systme du contrle interne de
ltablissement de crdit eu gard aux dispositions de la circulaire de Bank Al-Maghrib n
6/G/2001 relative au mme objet.
Article 19
Lauditeur externe procde lapprciation de lorganisation gnrale et des moyens mis en uvre
pour assurer le bon fonctionnement du contrle interne, compte tenu de la taille de ltablissement de
crdit, de la nature des activits exerces et des risques encourus.
269

__________________________________________________________________________________________
Lvaluation de lorganisation gnrale et des moyens du contrle interne est faite loccasion du
premier rapport tabli dans le cadre de la prsente circulaire. Les rapports ultrieurs peuvent ne
comporter que les changements qui affectent les domaines susviss.
Article 20
Lauditeur externe value la qualit et ladquation du dispositif mis en place pour la mesure, la
matrise et la surveillance du risque de crdit en procdant notamment lanalyse :
- des modalits de dcision, dexcution et de gestion des crdits ;
- des procdures de recouvrement des crances et des modalits de classification des crances en
souffrance et de leur provisionnement ;
- des procdures de centralisation des risques, de reporting interne et de surveillance du respect des
limites rglementaires et de celles fixes par les organes comptents de ltablissement de crdit.
Article 21
Lauditeur externe apprcie la qualit et lefficience du dispositif de mesure, de matrise et de
surveillance des risques de march, en procdant notamment lexamen :
- des modalits de dcision, dexcution et denregistrement des oprations de march ;
- des procdures de mesure de lexposition aux risques inhrents ces oprations ;
- de la mthode de calcul des rsultats oprationnels et de leur rapprochement avec les soldes
comptables ;
- des procdures dapprhension du risque de rglement ;
- des mcanismes de reporting interne et des mthodes de surveillance du respect des limites
rglementaires et de celles fixes par les organes comptents de ltablissement.
Article 22
Lauditeur externe apprcie la qualit et ladquation du dispositif de mesure, de matrise et de
surveillance du risque global de taux dintrt et de liquidit, en procdant, en particulier,
lvaluation :
- des procdures dapprhension de lexposition globale au risque de taux dintrt ;
- des procdures de mesure et de suivi des principaux dterminants de la liquidit ;
- des mcanismes de reporting interne et des modalits de surveillance du respect des limites
rglementaires et de celles fixes par les organes comptents de ltablissement.
Article 23
Lauditeur externe apprcie ladquation des dispositifs mis en place pour :
- prvenir les fraudes, manipulations et erreurs susceptibles dengager la responsabilit de
ltablissement de crdit ou de porter atteinte lintgrit de ses actifs ou de ceux de la clientle ;
- empcher que ltablissement ne soit impliqu, son insu, dans des oprations financires lies
des activits illicites ou de nature entacher sa rputation ou de porter atteinte au renom de la
profession ;
- garantir la scurit des personnes et des biens.
Article 24
Lauditeur externe apprcie la fiabilit et lintgrit du systme de traitement de linformation
comptable et de gestion en procdant notamment lvaluation :
- du dispositif de scurit du systme dinformation
- de la fiabilit de la piste daudit ;
- des procdures comptables et de contrle de linformation.
Article 25
Les lacunes significatives releves dans les diffrents dispositifs du contrle interne doivent tre
portes, ds leur constatation, la connaissance de lorgane de direction et du Comit daudit de
ltablissement de crdit.
Article 26
Lauditeur externe fait tat dans son rapport dtaill des insuffisances significatives constates au
niveau :
- de lorganisation gnrale du contrle interne ;
- des dispositifs de contrle viss aux articles 20 23 ci-dessus, tout en prcisant le nombre et les
montants des dpassements des limites rglementaires et/ou internes ;
- du systme de traitement de linformation.
270

__________________________________________________________________________________________
Il signale si ces anomalies sont portes de manire rgulire la connaissance des organes
dadministration et de direction de ltablissement et si elles donnent lieu aux mesures de redressement
appropries.
Il fait, galement, tat des recommandations susceptibles de pallier les faiblesses et insuffisances
releves.
Article 27
Lauditeur externe est tenu de signaler Bank Al-Maghrib, dans les meilleurs dlais, tout fait ou
dcision dont il a eu connaissance au cours de lexercice de sa mission et qui est de nature constituer
une violation des dispositions lgislatives ou rglementaires applicables aux tablissements de crdit,
affecter la situation financire de ltablissement audit ou porter atteinte la renomme de la
profession.
CHAPITRE II : REVISION DE LA COMPTABILITE
Article 28
Lauditeur externe vrifie que les comptes annuels de ltablissement de crdit sont labors dans le
respect des principes comptables et des mthodes dvaluation prescrites par le plan comptable des
tablissements de crdit (PCEC) et quils sont prsents conformment aux rgles prvues par ce plan.
Article 29
Lauditeur externe vrifie par sondage, sur la base dun chantillon reprsentatif, la rgularit et la
correcte comptabilisation des oprations ainsi que la conformit et la cohrence des soldes comptables.
il procde galement, lexamen des mouvements des comptes et lanalyse des pices justificatives.
Article 30
Lauditeur externe procde lexamen des principes comptables et mthodes dvaluation adoptes
par ltablissement de crdit et ayant trait notamment :
- la classification des crances en souffrance et leur couverture par les provisions ainsi qu la
comptabilisation des agios y affrents ;
- lvaluation des garanties prises en considration pour le calcul des provisions ;
- la comptabilisation et au traitement des crances restructures et des provisions et agios y
affrents ;
- limputation des crances irrcouvrables au compte de produits et charges ;
- la comptabilisation et lvaluation lentre et en correction de valeur des diffrents portefeuilles
de titres ;
- lvaluation des lments libells en devises et la comptabilisation des carts de conversion ;
- la constitution des provisions pour risques et charges ;
- la prise en compte des intrts et des commissions dans le compte de produits et charges ;
- lvaluation et lamortissement des immobilisations corporelles et incorporelles ;
- la rvaluation des immobilisations corporelles et financires.
Article 31
Lauditeur externe apprcie la qualit des actifs et des engagements par signature de ltablissement de
crdit leffet notamment didentifier les moins-values et les dprciations, relles ou potentielles, et
de dterminer le montant des provisions ncessaires leur couverture, compte tenu des dispositions
rglementaires en vigueur.
Article 32
Lvaluation de la qualit du portefeuille de crdits se fait sur la base dun chantillon reprsentatif
tenant compte de la nature de lactivit, de la taille et de la qualit du systme de contrle interne de
ltablissement de crdit ainsi que des dispositions prcises ci-aprs.
Lexamen des risques est effectu en donnant la priorit :
- aux crdits dont lencours, par bnficiaire tel que dfini par la circulaire n 3/G/2001 relative au
coefficient maximum de division des risques, est gal ou suprieur 5 % des fonds propres de
ltablissement de crdit ;
- aux concours consentis aux personnes physiques et morales apparentes ltablissement, telles
que dfinies par le PCEC ;
- aux autres dossiers de crdit prsentant un risque anormal (crances ayant enregistr des impays
ou fait lobjet de consolidation, crdits consentis des clients oprant dans des secteurs
connaissant des difficults, etc).
271

__________________________________________________________________________________________
Les critres au vu desquels est dtermin lchantillon susvis doivent tre prciss et justifis dans le
rapport dtaill, en indiquant la part examine dans lencours total des crdits.
Article 33
Les anomalies et insuffisances significatives releves dans la comptabilit ou dans les tats financiers
ainsi que les omissions dinformations essentielles pour la bonne apprciation du patrimoine, de la
situation financire et des rsultats de ltablissement, doivent tre portes la connaissance de
lorgane de direction en vue de leur redressement.
Article 34
Lauditeur externe fait tat dans ses rapports des ajustements, considrs comme significatifs au regard
des normes de la profession en vigueur, qui doivent tre apports aux tats de synthse en prcisant en
particulier :
- le montant des crances en souffrance non classes ;
- le montant de linsuffisance des provisions ncessaires pour la couverture des crances en
souffrance ;
- le montant de linsuffisance des provisions ncessaires pour la couverture des dprciations du
portefeuille titres ;
- le montant de linsuffisance des provisions pour dprciations des autres actifs ;
- le montant de linsuffisance des provisions pour risques et charges ;
- le montant des soldes injustifis ;
- tout autre cart matriel constat par rapport aux normes comptables et mthodes dvaluation
prescrites par le PCEC.
Il mentionne galement les autres ajustements qui, son avis, doivent tre apports aux dclarations
adresses Bank Al-Maghrib, en particulier, celles ayant trait la rglementation prudentielle et aux
emplois obligatoires.
TITRE III : DISPOSITIONS DIVERSES ET TRANSITOIRES
Article 35
Les rapports viss larticle 16 ci-dessus, dment dats et signs par lauditeur externe, doivent tre
adresss, par celui-ci, la DCEC au plus tard :
- 15 jours, avant la date de la runion de lassemble gnrale ordinaire des actionnaires de
ltablissement de crdit concern ou de lorgane social en tenant lieu, en ce qui concerne le
rapport dopinion ;
- le15 juin de lexercice suivant celui au titre duquel laudit est effectu, pour ce qui est du rapport
dtaill.
Article 36
La DCEC peut saisir les auditeurs externes pour leur demander tous claircissements et explications
propos des conclusions et opinions exprimes dans leurs rapports et, le cas chant, de mettre sa
disposition les documents de travail sur la base desquels ils ont formul ces conclusions et opinions.
Elle peut galement, cette fin, tenir des runions de travail avec les auditeurs externes.
Article 37
Les tablissements de crdit sont tenus de mettre la disposition des auditeurs externes tous les
documents et renseignements que ceux-ci estiment ncessaires pour laccomplissement de leur
mission.
Article 38
Les tablissements de crdit organisent des runions priodiques entre leurs auditeurs externes et leurs
auditeurs internes, leffet dexaminer les questions ayant trait au systme de contrle interne et aux
autres questions dintrt mutuel.
Article 39
Les tablissements de crdit communiquent la DCEC, sa demande et dans les dlais fixs par elle,
les mesures prises et celles quils envisagent de mettre en uvre pour remdier aux lacunes, erreurs et
insuffisances releves par lauditeur externe.
Article 40
Les demandes dagrment relatives aux auditeurs externes qui, la date de publication de la prsente
circulaire assurent la mission daudit auprs des tablissements de crdit, doivent tre adresses la
272

__________________________________________________________________________________________
DCEC dans un dlai de 60 jours maximum compter de cette date, accompagnes de la lettre de
mission vise larticle 15 ci-dessus.
Article 41
Les dispositions de la prsente circulaire entrent en vigueur compter de la date de sa publication.
273

__________________________________________________________________________________________
Bibliographie
274

__________________________________________________________________________________________
275

__________________________________________________________________________________________
BIBLIOGRAPHIE
Ouvrages.
Antoinne Sardi, Audit et inspection bancaires - l'audit interne- Editions Afges, Septembre
2002.
Antoinne Sardi, Pratiques de la comptabilit bancaire, Editions Afges, 1999.
Coopers & Lyberland, IFACI, La nouvelle pratique du contrle interne - Editions des
organisations, Octobre 1994.
Michel Rouach, Grard Nauleau, Le contrle de gestion bancaire et financier - Edition
Economica, Septembre 1999.
Jean-Michel Errera, Christian Jimenez, Pilotage bancaire et contrle interne - Edition les
Eska, Juillet 1999.
Amine Tarazi, Risques bancaires, drglementation financire et rglementation
prudentielle : Une analyse en terme d'esprance-variance.
Siruwet, Jean Luc, Roessler, Lydia, Le contrle comptable bancaire, un dispositif de
maitrise des risques : normes, techniques et mise en uvre.
Azedine Berrada, Techniques de banques et de crdit. Edition 2000.
COBIT (Gouvernance, Contrle et Audit de lInformation et des Technologies Associes)
Brokers and dealers in securities : Guide daudit publi par lAmerican Institute of
Certified Public Accountant.
R.VATIER, "L'audit : Qu'est-ce que c'est?", Personnel, n362, juillet 1995.
R.VATIER, "L'audit social", Personnel, n365, dcembre 1995.
A.AUBERT, "L'audit : Des reprsentations clates", Education Permanente,
n132/1997-3, 1997.
"Audit social au service du management des ressources humaines : professionnalisme
des consultants", ISEOR, Economica, Paris, 1994.
Thses & mmoires.
Gestion des risques bancaires : enjeux rglementaires et oprationnels, Hamid Atide,

Mmoire d'Expertise Comptable Marocain, Session Mai 2004.
Evaluation du risque de crdit en matire bancaire, Ilhame Loubna Lahlou, Mmoire
d'Expertise Comptable Marocain, Session Novembre 1999.
Le suivi des risques d'une banque : approche mthodologique et outils d'analyse, Lorin
Christophe, Mmoire d'Expertise Comptable Franais, Session Mai 2000.
Publications des organismes professionnels.
Principes fondamentaux pour un contrle bancaire efficace- Comit de Ble sur le

contrle bancaire- Septembre1997.
Note de Stratgie du Secteur Financier, Rapport de la Banque Mondiale sur le Maroc,
Septembre 2000.
Rapport de la Banque Mondiale sur le respect des normes et codes (RRNC) Royaume
du Maroc Comptabilit et Audit 25 juillet 2002.
North African Banks Lack Momentum Amid Turbulent Regional Environment , Standard &
Poor's, September 2003.
Bank Industry Risk Analysis : Morocco (Kingdom of) , Standard & Poor's, November
2003.
Value and Reporting in the Banking Industry, Edition PricewaterhouseCoopers.
Challenges of the new Basel Accord - Actions for senior management, Edition
PricewaterhouseCoopers.
Implementation the New Basel Accord, Edition PricewaterhouseCoopers.
276

__________________________________________________________________________________________
Operational Risk Management, Basel Committee on Banking Supervision , September

1998.
Nouvel accord de Bale sur les fonds propres : note explicative, Secrtariat du Comit de
Bale sur le Contrle bancaire, Janvier 2001.
Nouvel accord de Bale sur les fonds propres : Comit de Bale sur le Contrle bancaire,
Janvier 2001.
Internal Control and Audit Weakness for Foreign Banks US Branches, GAO, September
1997.
Principes fondamentaux pour un contrle interne efficace, Comit de Bale sur le contrle
bancaire, Septembre 1997.
Internal control Management and Evaluation Tool, GAO (United States General
Accounting Office), August 2001.
Rapports de Bank Al Maghrib 2003,2002 et 2001.
Publications rglementaires.
Rapport annuel sur le contrle, lactivit et les rsultats des tablissements de crdit,
exercice 2004.
Circulaires de Bank Al Maghrib N6,N9,N19.
Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke, ratio de
division des risques, ratio de liquidit, rserve montaire"
Rglement Franais N97-02 sur le contrle interne bancaire.
Loi bancaire marocaine de 1993.
Livre blanc de la commission bancaire franaise relatif la scurit des systmes
d'information 1995.
Circulaire D1/EB/2002/6 : sur le contrle interne ainsi que sur la fonction daudit interne
et la fonction de Compliance des entreprises dinvestissement. Commission bancaire et
financire Bruxelles, le 14 novembre 2002.
Publications spcialises.
Le secteur bancaire au Maroc MINEFI DREE/TRSOR Prestation ralise sous

systme de management de la qualit certifi AFAQ ISO 9001, le 26 juillet 2004.
Le rle du contrle interne, Georges Ravet ( de la caisse d'epargne) - Revue Banque
Magazine N616, Juillet-Aout 2000.
Bale II - Plus de rgles, moins de fonds propres? Yves Burger (Standard & Poor's) Revue Banque Magazine N654, 01/01/2002.
Le Contrle interne des systmes dinformation. Revue Banque Magazine N558,
01/09/1998.
Une mthode pour les procdures de contrle. Revue banque Magazine N598,
01/12/1998.
Risques de march : la construction des modles internes. Revue Banque Magazine
N592 01/05/ 1998.
Le systme de Contrle interne des tablissements de crdit - Institut Montaire
Europen - Revue dconomie financire n48 (juillet 1998).
Banque et Risque - Revue Horizons bancaire du Crdit Agricole N313 Mai 2002.
Gestion des risques : Comptabilit et valuation des risques bancaires, Etienne Boris
(PricewaterhouseCoopers) - Revue Banque Magazine N654, 01/01/2002, Revue
Banque magazine - (N616)- (ISBN/ISSN)- 01/07/2000.
La chronique du risk management avec PricewaterhouseCoopers - Systmes
d'information - Technologie XBRL : une relle opportunit pour Bal II, Jimmy Zou
(PricewaterhouseCoopers) - Marie-Jeanne Deverdun (PricewaterhouseCoopers),
Banque Magazine - (N656) - 01/03/2004.
277

__________________________________________________________________________________________
Risque oprationnel : l'apport des outils automatiss de gestion des risques, Marie
Agns Nicolet (Deloitte Touche Tohmatsu) - Banque magazine - (N654) - 01/01/2004.
Mthodologie : le suivi du risque oprationnel, Sylvie Lpicier (LGB Finance) - Yann Le
Tallec (LGB Finance) - Banque magazine - (N652) - 01/11/2003.
Mtiers de la banque - IAS/Bale II : quels nouveaux profils ? , Anne Drif (Revue Banque)
- Banque magazine - (N652) - 01/11/2003.
Dbat : Bale II et la stabilit financire, Michel Dietsh (Institut d'tudes politiques de
Strasbourg) - Dominique Garabiol (Groupe Caisse d'Epargne) - Pierre-Yves Thoraval
(Commission Bancaire) - Alain Duchteau (Secrtariat gnral commission bancaire) Banque magazine - (N651) - 01/10/2003.
Bale II- Asset managers et risque oprationnel : les nouveaux paradoxes, Didier Bentre
(PricewaterhouseCoopers)- Isaak Look (PricewaterhouseCoopers) - Banque magazine(N651) - 01/10/2003.
Audit Committee and Governance Survey Results. Deloitte and Touche , Avril 2003
Global Internal Audit : The New Reality , Deloitte Touche Tohmatsu 2003.
Global Banking Industry Outlook : Top 10 Issues , Deloitte Touche Tohmatsu 2004.
Doyon, M. (1996) Tuned in Management, Internal Auditor, december.
Hopkins, D. (1996) The Auditing Business, Internal Auditor, october.
Audit Committee Newsletter KPMGs Audit Committee Institute Edition 1, avril 2003
Laudit et le contrle internes - Mise niveau en Audit - Mounim Zaghloul, Consultant CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Rseau BKR
International, 12 au 14 Septembre 2002.
Bale II : Gense et enjeux Confrence-dbat association d'conomie financire Commission Bancaire, Banque de France et Eurosysteme
jeudi 27 mai 2004.
Lapproche risque au centre de laudit bancaire par Barbara Lambert Partner, Ernst &
Young SA/Switzerland et Antonio Mira Senior Manager, Ernst & Young SA/Switzerland Revue LAGEFI Haute Finance Novembre 2003.
Analyse, mesure et contrle des risques dans le monde bancaire Pierre-Yves Thoraval
(Secrtariat gnral de la Commission bancaire), Directeur de la Surveillance gnrale
du Systme bancaire 1res Rencontres Internationales Institut Europlace de Finance - 4
juillet 2003
Evaluation du risque de crise bancaire - Rapport trimestriel BRI (Banque des Rglements
Internationaux) , dcembre 2002.
Basel Committee on Banking Supervision Internal audit in banks and the supervisors
relationship with auditors - A survey August 2002 Bank For International Settlements
(BRI).
Le systme bancaire dans la tourmente - Par Ibrahim Warde Chercheur au Center for
International Studies, Massachusetts Institute of Technology (Cambridge), auteur de The
Financial War on Terror (IB Tauris, Londres, paratre) - Le Monde Diplomatique
novembre 1998.
L'analyse des risques oprationnels : un enjeu qui dpasse le secteur bancaire - Par
Jean-Franois Pirus PDG de la socit de conseil Internet Business Services, et
responsable du site BPMS.info, deux entits spcialises dans le management des
processus. (19/03/2004).
Le nouveau mtier de "Responsability Manager" par Yves Medina, dontologue de
PricewaterhouseCoopers, conseiller-matre la Cour des comptes et vice-prsident de
l'Observatoire sur la responsabilit socitale des entreprises (ORSE). Les Echos, L'Art
de la gestion des risques 13 dcembre 2000.
Vers une nouvelle approche de risque par Dominique Chesneau, associ chez
PricewaterhouseCoopers, Les Echos, L'Art de la gestion des risques 13 dcembre 2000.
278

__________________________________________________________________________________________
Sites Internet.
http://www.federalreserve.gov/boardocs/supmanual :
http//pwc.com
http//bpms.info
http://www.iviq.org
http://www.nbb.be
http://www.monde-diplomatique.fr
279

Audit Bancaire

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Bancaire

Transféré par

Droits d'auteur :

Formats disponibles

INSTITUT SUPERIEUR DE COMMERCE ET

D'ADMINISTRATION DES ENTREPRISES

MEMOIRE PRESENT EN VUE DE L'OBTENTION DU

L'audit systmique, un outil defficacit

Premire partie : L'audit interne dans le systme bancaire

Chapitre 2 : Spcificits de l'audit bancaire

Chapitre 3 : Les systmes daudit interne bancaire marocain

Partie II : L'audit systmique, un nouvel outil au service du

Chapitre 2 : Mission d'audit de la Direction des Systmes d'Information.

Chapitre 3 : Mission d'audit de la Salle des Marchs.

Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.

Chapitre 5 : Mission d'audit de la Direction Comptable.

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

'audit systmique, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

ensemble d'indicateurs plutt gnraux et a pass sous silence un aspect fondamental

Laudit systmique bancaire, un outil defficacit du risk management.

Si les normes prudentielles et rglementaires demeurent un point d'ancrage essentiel, il

L'impulsion du march avec la monte en puissance des thmatiques de

La pression forte et continue des rgulateurs bancaires, en premier lieu le Comit

Laudit systmique bancaire, un outil defficacit du risk management.

La dclinaison au niveau du secteur bancaire du principe de responsabilit finale

La dfinition dun cadre complet et prcis sur le mode d'organisation, de gestion

L'affirmation constante de la ncessit de transparence vis--vis du march.

Laudit systmique bancaire, un outil defficacit du risk management.

Le cadre rglementaire du secteur bancaire a connu rcemment de nouvelles volutions

Le management bancaire est-il sensible tous les risques : oprationnels,

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit interne au sein du systme bancaire marocain, jouit-il de l'indpendance, du

Le systme d'audit bancaire marocain est-il efficient ?

La cartographie des risques permet-elle d'identifier les risques (par

Permet-elle au management de la banque de dcider des actions mener

Fournit-elle au management une synthse dgageant les risques majeurs

Le champ daudit des tablissements bancaires est-il exhaustif ?

Son primtre couvre-t-il tous les risques (marchs, systme d'information,

Les directions d'audit interne disposent-elles de ples de comptence

Disposent-elles de manuels de procdures ou de modes opratoires pour

Enfin, peut on amliorer lefficience du systme daudit interne bancaire marocain

Le contexte en forte volution, caractris par diverses mutations conomiques

Laudit systmique bancaire, un outil defficacit du risk management.

financire et explicite dornavant le rle majeur du top management dans ce

L'intrt du travail que je me propose de dvelopper dans le cadre du prsent thme de

Laudit systmique bancaire, un outil defficacit du risk management.

daudit de risques performant, efficace et susceptible de mieux matriser et de prvenir

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

Ensuite, elle souligne les principes fondamentaux relatifs l'audit interne en

La seconde partie est consacre l'approche mthodologique de l'audit

Laudit systmique bancaire, un outil defficacit du risk management.

Trois thmes ont t mis en vidence, la sensibilit du management l'audit, le

La seconde partie est consacre l'approche mthodologique de l'audit

Laudit systmique bancaire, un outil defficacit du risk management.

Laudit systmique bancaire, un outil defficacit du risk management.

Chapitre prliminaire : Le systme bancaire marocain : vue

Laudit systmique bancaire, un outil defficacit du risk management.

SYSTEME FINANCIER MAROCAIN - CADRE INSTITUTIONNEL

Rseau Trsor (collecte de la petite pargne)

Laudit systmique bancaire, un outil defficacit du risk management.

1. Le paysage bancaire marocain