Vous êtes sur la page 1sur 280

INSTITUT SUPERIEUR DE COMMERCE ET

D'ADMINISTRATION DES ENTREPRISES

CYCLE SUPERIEUR DE GESTION (C.S.G)

MEMOIRE PRESENTÉ EN VUE DE L'OBTENTION DU


DIPLOME DU CYCLE SUPERIEUR DE GESTION

L'audit systémique, un outil d’efficacité


du risk management
Application aux systèmes d'information, aux
activités de marché, aux ressources
humaines et à la comptabilité.
Cas du système bancaire marocain.

Par : M. Badr FIGUIGUI

Membres du Jury :

• M. Mostafa MELSA : Professeur à l’ISCAE, Président du jury;


• M. Abdellatif MAZOUZ : Directeur de recherche, suffragant ;
• M. Mohammed HDID : Expert comptable Associé Saaidi-consultants,
suffragant ;
• M. Hassan BOUBRIK : Secrétaire Général de la Caisse de Dépôt et
de Gestion (CDG), suffragant ;
• M. Omar BOUNJOU : Directeur Général d’Attijari Wafa Bank, suffragant.

- Septembre 2007 -
Sommaire simplifié

1
SOMMAIRE SIMPLIFIE
Partie introductive
Introduction ………………………………………..…………………………………………………………………………….……………6

Problématique générale………………………………………..…………………………………………………………….…………9
Intérêt du sujet………………………………………..……………………………………………………………………………………12
Hypothèse centrale………………………………………..……………………………………………………………………………..13
Propos méthodologiques ………………………………………..………………………………………………..……….………..16
Chapitre préliminaire : Le système bancaire marocain : vue d’ensemble…………………..………19

Première partie : L'audit interne dans le système bancaire


marocain : des pratiques limitées aux fonctions classiques.
Chapitre 1 : Typologie et évaluation des risques bancaires
Section 1 : Typologie des risques bancaires………………………………………..……………...…………………..39
Section 2 : Critères d'évaluation et dispositifs de contrôle………………………………………….…………56
Chapitre 2 : Spécificités de l'audit bancaire
Section1 : Principes d'audit en général………………………………………..………………………………..………….77
Section2 : Particularités de l'audit bancaire………………………………………..……………………….…….……..89

Chapitre 3 : Les systèmes d’audit interne bancaire marocain


et leur efficience : enquête sur le terrain
Section 1 : Le guide d’entretien………………………………………..………………………………….…………………..103
Section 2 : les conclusions de l’enquête………………………………………..…………………………..…………...106

Partie II : L'audit systémique, un nouvel outil au service du


risk management pour maîtriser davantage les risques des
métiers.
Chapitre 1 : Les particularités de l'approche d'audit systémique.
Section 1 : L'audit du système de contrôle interne global………………………………………..………….122
Section 2 : L'approche par les risques………………………………………..…………………………………………..126
Section 3 : L’approche systémique………………………………………..…………………………...…………………...128

2
Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information.
Section 1 : Organisation et management………………………………………..………………………..……………138
Section 2 : Sécurité………………………………………..…………………………………………………………..……………...148
Section 3 : Etudes et développements………………………………………..……………………..………………..…163
Section 4 : Exploitation informatique………………………………………..……………………………..………………168

Chapitre 3 : Mission d'audit de la Salle des Marchés.


Section 1 : Front-Office Trading & ventes………………………………………..….…………………………………175
Section 2 : Middle-Office………………………………………..……………………………………………………..…………..183
Section 3 : Back Office………………………………………..…………………………………………..……….………………..191
Section 4 : Risque de contrepartie………………………………………..…………………………………………………199
Section 5 : Risque Juridique………………………………………..……………………………………………………………201
Section 6 : Sécurité Physique………………………………………..………………………………………………...……….203

Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.


Section 1 : Organisation générale de la fonction RH………………………………………..……….…..……..208
Section 2 : Administration………………………………………..………………………………………………………..………211
Section 3 : Gestion des carrières………………………………………..…………………………………………..……….213
Section 4 : Recrutement………………………………………..………………………………………………………………..215
Section 5 : Formation………………………………………..………………………………………………………………...……..217
Section 6 : Relations et activités sociales………………………………………..…………………………………..…218

Chapitre 5 : Mission d'audit de la Direction Comptable.


Section1 : Audit systémique du service comptable………………………………………..…………………..…226
Section 2 : Les reportings réglementaires………………………………………..…………………...…………….....233
Section 3 : Risques fiscaux………………………………………..…………………………………………………………......235
Section 4 : Consolidation………………………………………..…………………………………………………………….…...236

Conclusion générale……………………………………………………………..………………………………...………..239
Annexes ………………………………………..……………………………………………………………………………………...246
Bibliographie…………………………………………………………………...…………………………………………………....276

3
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Partie introductive

4
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Partie introductive
Introduction
Problématique générale
Intérêt du sujet
Hypothèse centrale
Propos méthodologiques
Chapitre préliminaire : Le système bancaire
marocain : vue d’ensemble

5
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

'audit systémique, un outil d’efficacité du risk management.


Application aux systèmes d'information, aux activités de marché, aux ressources
humaines et à la comptabilité.
Cas du système bancaire marocain

Introduction.
Le secteur bancaire est en mutation : déréglementation, désintermédiation, risques
accrus, pour n’en citer que les éléments les plus courants.
Les banques font face à un environnement socioéconomique mouvant et de plus en
plus complexe.
En effet, les banques marocaines comme les banques étrangères ont vécu de profonds
bouleversements dans les années quatre vingt se traduisant par la décentralisation et
l'internationalisation des activités, la croissance des volumes d’opérations, le
développement des produits sophistiqués et la prise de risques dans un contexte de
baisse des marges.
Depuis le début du troisième millénaire, en Europe, on constate une accélération des
fusions et des acquisitions dans le secteur bancaire. Phénomène qui semble se
propager pour toucher ainsi le paysage bancaire marocain.
Si, historiquement, la restructuration du secteur bancaire n'est pas un phénomène
nouveau, comment expliquer l’accélération actuelle ? Quelles en sont les conséquences
sur les fonctions exercées par les banques et les risques qui en découlent ? Le paysage
bancaire mondial y compris celui marocain sera-t-il dominé par quelques méga banques
dans quelques années ?
Ainsi, avec les évolutions qui marquent le secteur bancaire et qui se caractérisent
notamment par la rapidité de renouvellement des process, l'automatisation accélérée
des traitements ainsi que par la technicité et la diversité croissantes des produits, les
risques auxquels les banques sont confrontées sont devenus plus nombreux, plus
significatifs et plus complexes.
Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle
des risques, de protection des investisseurs et de transparence des marchés et d'autre
part, des exigences toujours plus élevées à la gestion des risques et à l’organisation des
établissements bancaires. De même, elles accroissent le risque de contrôles inadaptés
voir défaillants.

Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour tirer
les conclusions de ces évolutions.
L’axe de progrès le plus évident est la mise en place d’un système interne de
connaissance de leur exposition aux risques, quelle que soit l’origine du risque (crédit,
marché, système d'information...).

Le pilotage des risques bancaires via le risk management et l'audit interne est une
problématique largement d'actualité, depuis déjà quelques années dans beaucoup de
pays occidentaux (Etats Unis, Japan, Grande Bretagne, France,…). Ceci n'est pas le

6
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

fruit du hasard, mais une conséquence des problèmes économiques importants que
soulève la question, ayant abouti dans certains cas à des situations dramatiques.

Les pertes importantes qu'ont subies plusieurs banques et établissements financiers


sur leur activité de trading illustrent par ailleurs, de manière assez pragmatique, les
conséquences de "break-down " dans le processus de maîtrise des risques. De
nombreuses affaires sur plusieurs grands marchés tels que Barings, Fleming et Morgan
Grenfell, Daïwa et Sumitomo, Orange country et Metallgesellschaft, ne sont que des
exemples de cette liste noire (Cf. Annexe 1) et ont montré que l’existence de
procédures adaptées était nécessaire mais pas suffisante.
A la suite de ces affaires et des menaces que fait peser une faillite bancaire sur le
système financier tout entier, et sur la confiance qu’il doit inspirer à tous, les exigences
des instances de régulation vont en croissant, les contrôles se renforcent et les
sanctions deviennent plus dissuasives.
Ces instances ont, à leur tour, élaboré des doctrines dont l’objet principal est de
soumettre les banques à des règles permettant de minimiser le risque de les voir
manquer à leurs obligations vis-à-vis de leurs déposants.

Le développement de ces règles dites « prudentielles » est en train de converger vers


une approche de plus en plus similaire à celle résultant des analyses de la théorie
financière : le projet du nouveau ratio de solvabilité dit « Mc Donough » a pour principal
objectif de mieux prendre en compte la réalité des risques pour la définition des
exigences de fonds propres auxquelles sont soumises les banques.
Il y a quelques années, le Maroc a lui aussi failli tomber sous le coup d'une instabilité
financière causée par les difficultés financières de deux grandes banques publiques de
la place. Sans l'intervention des pouvoirs publics, cette crise aurait pris un tournant
dangereux.

S'il est vrai que ces accidents n'ont pas mis le système financier en danger, ils n'en
sont pas moins porteurs d'un avertissement pour tous : des systèmes déficients en
matière de gestion et d'audit des risques dans le secteur financier peuvent rapidement
provoquer des pertes financières considérables lesquelles, si elles ne sont pas
contenues adéquatement par des tampons solides aptes à endiguer le risque
systémique, sont susceptibles d'engendrer un effet de domino auprès d'autres
opérateurs sur les marchés avec des conséquences difficilement calculables pour le
système financier.
Cette préoccupation est réelle, comme en témoigne l'actualité internationale : les crises
récentes de l'Argentine, la Turquie et la crise asiatique d'il y a quelques années n'en
sont que des exemples.

Ces turbulences financières qui ont secoué les marchés financiers internationaux en
général et celui marocain en particulier, ont mis en évidence certaines faiblesses dans la
gestion et l'audit des risques au sein des établissements bancaires. Cette gestion
longuement assimilée à une simple conformité à des règles prudentielles s'est révélée
inefficace dans la mesure où celle-ci s’est limitée pour la plupart au respect d'un

7
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ensemble d'indicateurs plutôt généraux et a passé sous silence un aspect fondamental


de la gestion des risques bancaires : l'implication du top management et du conseil
d'administration dans le contrôle des organisations bancaires.
Il est évident que dans ces conditions, les banques ne peuvent plus se contenter pour
leur gestion de s'appuyer sur une approche limitée de gestion des risques bancaires, un
pilotage plus fin devient alors vital. En effet, la solidité et la santé de tout établissement
bancaire est une responsabilité qui incombe en premier lieu au management de celui-ci:
il n' y a aucun système spécifique de surveillance bancaire qui puisse remplacer une
gestion saine et efficace d'une banque. Celle-ci passe désormais par une implication
plus importante du management dans le choix d'outils pertinents les mieux adaptés au
profil de risque de l'établissement bancaire.
S'il est vrai que l'audit bancaire comporte des coûts élevés, il s'est avéré qu'un
audit déficient ou insuffisant coûte encore plus cher.

Dans ce répertoire, Il n'existe pas encore de théorie d'audit bancaire standard et


globalement acceptée. Nous n'avons à l'heure actuelle, qu'un ensemble de pratiques de
l'audit, qui ont évolué au cours des années, avec les besoins et les métiers de la
banque.

L'audit bancaire présente quelques spécificités de part les particularités de


l’environnement analysé. En effet, en s’appliquant au système de gestion et de contrôle
des risques bancaires, il en découle une pluridisciplinarité des champs observés :
ressources humaines, système d'information, comptabilité, activités de marché …..

De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer,
l’interprétation des résultats et les difficultés d’élaboration d’un système de référence.
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil à même
de limiter les risques inhérents à ses activités, de rendre l'organisation existante plus
performante et plus généralement, d'accroître l'efficacité de celle-ci.
En effet, l’audit interne peut jouer un rôle non négligeable en matière d’efficacité du
management d’une banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien
apte à accomplir la mission qui lui est assignée.
Des conditions sont à remplir pour que l'audit interne puisse être un véritable outil
d'efficacité. A l'évidence, quelle que soit la nature des missions confiées à l'audit interne,
le niveau d'efficacité sera fonction d'un certain nombre de paramètres tels que la
pertinence de l'approche empruntée, l'exhaustivité du périmètre audité, le savoir-faire
technique et qualités intrinsèques de l'auditeur, …etc.
Ainsi, face aux évolutions des métiers bancaires, qui ont généré de nouvelles variantes
de risques et modifié les facteurs de fragilité financière, il devient de plus en plus
impératif de développer des outils d'audit spécifiques dans le but de détecter et de
couvrir tous les risques inhérents à l'activité bancaire.

8
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel, il


est de plus en plus pressant que les établissements bancaires puissent s'investir dans le
développement d'instruments complémentaires d'analyse fondés sur des méthodes à la
fois quantitatives et qualitatives voir systémiques.
Le Comité de Bâle II impose la mise en œuvre de méthodes plus strictes pour
l’évaluation et la gestion du risque de crédit, du risque de marché et du risque
opérationnel.
Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences
réglementaires serait possible avec l'approche de l'audit systémique. Celle-ci a modifié
profondément les pratiques utilisées jusque là par l'auditeur bancaire. Instaurée en
globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un
système existant, une telle approche permet aux établissements bancaires de disposer
d'un outil précieux pour mieux gérer et contrôler leurs risques.

Problématique générale.

Contexte international

La problématique de gestion et d'audit des risques apparaît donc comme une donnée
omniprésente et essentielle dans l'appréciation de la qualité des établissements de
crédit. Une rétrospective sur l'évolution des normes et des pratiques en la matière
souligne toutefois le caractère récent de cette préoccupation avec les premières
réflexions d'ensemble qui remontent seulement à une vingtaine d'années.
C'est en effet en 1988 que le premier texte international visant à réguler l'exposition aux
risques des banques a vu le jour, avec la publication par le Comité de Bâle de l'accord
sur l'adéquation des fonds propres qui, rappelons-le , ne traitait à l'époque que les
risques de crédit ( cette norme est à la base de la décision réglementaire de Bank Al-
Maghrib (BAM) N°96 du 25 décembre 1992 relative à l'instauration du ratio de solvabilité
imposé à l'ensemble des opérateurs dans le secteur bancaire).
L'évolution spectaculaire des référentiels de gestion des risques découle de deux
phénomènes qui sont venus se cumuler.
- L'impulsion du marché avec la montée en puissance des thématiques de
gouvernement d'entreprise et de transparence, phénomène qui n'est d'ailleurs
pas spécifique au secteur bancaire mais concerne l'ensemble des sociétés et, en
particulier celles cotées;
- La pression forte et continue des régulateurs bancaires, en premier lieu le Comité
de Bâle, pour améliorer les dispositifs de gestion et de contrôle des risques dans
l'objectif de garantir la stabilité économique au niveau mondial et d’éviter la
survenance de risques systémiques.

9
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

L'analyse des textes qui émanent des autorités prudentielles bancaires, au niveau
international, montre une attention croissante portée depuis quelques années par ces
autorités à ces thèmes, avec en particulier :
- La déclinaison au niveau du secteur bancaire du principe de responsabilité finale
des administrateurs dans le fonctionnement du contrôle interne et de la mise en
place de comités d'audit ;
- La définition d’un cadre complet et précis sur le mode d'organisation, de gestion
et d'encadrement des différents risques avec le développement du concept de
"Risk Management" notamment à travers des textes réglementaires sur le
contrôle interne;
- L'affirmation constante de la nécessité de transparence vis-à-vis du marché.
Celle-ci passe notamment par une communication adaptée sur l'organisation
interne de la gestion des risques, les expositions et les incidences passées et
futures, ainsi que sur la rentabilité des activités autour de différents indicateurs de
création de valeur.

Une autre tendance de fond observée depuis 1998 réside dans l'élargissement des
référentiels de gestion et de maîtrise des risques, vers une conception étendue à
l'ensemble des risques banacires, alors qu'ils étaient concentrés initialement sur les
risques financiers (crédit, marché,..). En particulier, des travaux approfondis ont été
entrepris par le Comité de Bâle sur le thème du risque opérationnel.

Dans ce contexte de foisonnement et de progression continue des textes sur la gestion


des risques des banques, les rapports annuels des grandes banques internationales
comportent actuellement des présentations de plus en plus importantes sur les
dispositifs globaux de "risk management", et une communication désormais spécifique
sur la gestion du risque opérationnel.

La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un
"going concern".

Cette problématique générale étant précisée, Qu'en est-il de la question au Maroc?

Contexte marocain

Le paysage bancaire marocain se caractérise par un cadre prudentiel qui a fait l'objet
d'une refonte profonde dès 1993 coïncidant avec la promulgation de la nouvelle loi
bancaire. Dans le prolongement de cette nouvelle loi bancaire, plusieurs règlements se
sont succédés, dont le plus important est la circulaire N°6 relative au contrôle interne
des établissements de crédit diffusée par Bank Al Maghrib (BAM) en février 2001.
Avant la diffusion de cette nouvelle circulaire, un débat fragmenté a été soulevé depuis
quelques années avec pour toile de fond les dysfonctionnements vécus ces derniers
temps par certains établissements de crédit ; jusque-là considérés comme pionniers
dans le pilotage bancaire et le contrôle interne.

10
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Le cadre réglementaire du secteur bancaire a connu récemment de nouvelles évolutions


et a ainsi subi plusieurs aménagements notamment à travers la refonte de deux textes
fondateurs à savoir : les nouveaux statuts de Bank Al-Maghrib, adoptés par le
Parlement le 13 janvier 2005, conférant à cette institution l’autonomie en matière
d’élaboration et de conduite de la politique monétaire et la nouvelle loi bancaire du 14
février 2006 ayant renforcé les prérogatives de Bank Al-Maghrib dans le domaine de la
supervision bancaire.
Actuellement, au-delà des causes des mutations que connaît le paysage bancaire
marocain (les mouvements de fusion absorption, la disparition des petites banques, la
rude course concurrentielle, la recrudescence des fraudes ….), ce sont leurs
conséquences – notamment la fragilité financière accrue – qui attirent l’attention.
Comment peut-on expliquer que certains établissements bancaires aient connu autant
de difficultés financières ? Est-ce seulement dû à un management « irresponsable »
ou s’agit-il d’un problème d’efficience de leur système d'audit interne?
La circulaire N°6 de BAM arrive donc à point nommé pour rappeler aux établissements
de crédit leurs responsabilités et la nécessité de maîtriser leurs risques majeurs pour
protéger leurs clients, leurs actionnaires et l'ensemble de leurs partenaires. Afin d'inciter
les établissements de crédit à se conformer à la réglementation en vigueur, des
sanctions pécuniaires applicables aux différentes infractions ont, en outre, été édictées.
Ce renforcement du dispositif prudentiel et son alignement sur les normes
internationales visent à prévenir les différents risques liés à l'exercice de l'activité des
établissements de crédit.
Ces actions entreprises par les autorités monétaires traduisent une volonté ferme des
organes de tutelle en vue d'éradiquer toutes les sources potentielles pouvant entraver
un fonctionnement normal de l'ensemble du système financier.
La gestion des risques bancaires revêt encore plus d'importance auprès des autorités
monétaires qui se sont démarquées ces derniers temps par la diffusion d'un ensemble
de règles et de recommandations visant à mettre en place une nouvelle approche de
surveillance de risque basée sur un renforcement des systèmes de contrôle interne.
Toujours est-il qu'une question demeure posée à ce sujet, celle-ci porte non seulement
sur l'efficacité des mesures réglementaires instituées par les autorités monétaires, mais
aussi sur la capacité des établissements de crédit à intégrer efficacement les nouvelles
règles de contrôle interne, découlant à la fois des pratiques internationales et des
nouvelles approches fondées sur une gestion interne des risques.
Dés lors, des interrogations majeures s'imposent sur l'efficacité des dispositifs d'audit
interne, actuellement pratiqués par le système bancaire marocain :

• Le management bancaire est-il sensible à tous les risques : opérationnels,


financiers, stratégique et de réputation ?

11
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

• Comment a-t-il réparti les rôles entre les divers acteurs de son entité (Risk
management, Audit interne et Compliance en termes de gestion, de contrôle et de
prévention de ces risques ?
• L’audit interne au sein du système bancaire marocain, jouit-il de l'indépendance, du
pouvoir et de l'efficacité nécessaires pour mener à bien sa mission ?
• Le système d'audit bancaire marocain est-il efficient ?
ƒ La cartographie des risques des établissements bancaires est-elle fiable et
exhaustive ?
ƒ La cartographie des risques permet-elle d'identifier les risques (par
métiers, domaines, ou processus), de qualifier ces risques (fréquence,
niveau de criticité,…) et de les rattacher aux éléments concernés (tâche,
acteur, système,...) ?
ƒ Permet-elle au management de la banque de décider des actions à mener
pour gérer ces risques : assumer, éviter, prévenir (réduire la fréquence ou
la probabilité de survenance), atténuer (réduire l’impact financier ou
d’image) ou transférer (assurance)?
ƒ Fournit-elle au management une synthèse dégageant les risques majeurs
et/ou les processus les plus sensibles, lesquels seront à surveiller à l’aide
d’indicateurs des risques clés "Key Risk Indicators" ?
ƒ Le champ d’audit des établissements bancaires est-il exhaustif ?
ƒ Son périmètre couvre-t-il tous les risques (marchés, système d'information,
comptables, ressources humaines, ..) et les entités de la banque (Réseau,
Directions centrales, filiales et succursales) ?
ƒ Les directions d'audit interne disposent-elles de pôles de compétence
aptes à mener des missions d'audit dans des métiers spécifiques (salle
des marchés, systèmes d'information, ressources humaines, finance et
comptabilité, gestion actifs-passifs, logistique.…) ?
ƒ Disposent-elles de manuels de procédures ou de modes opératoires pour
piloter les missions d’audit réalisées dans tous les métiers ?

• Enfin, peut on améliorer l’efficience du système d’audit interne bancaire marocain


par une nouvelle Approches d’audit systémique ?

Intérêt du sujet.

Plus pratiquement, l’intérêt du sujet découle de trois considérations principales :

• Le contexte en forte évolution, caractérisé par diverses mutations économiques


et réglementaires importantes ( forte tendance concurrentielle , pression
réglementaire) qui souligne l'importance de l’audit bancaire pour la stabilité

12
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

financière et explicite dorénavant le rôle majeur du top management dans ce


processus de pilotage et de contrôle.
• L'objectif de cerner et de prévenir tout risque de perte de valeur qui nécessite des
outils adéquats en termes de développement, de reporting et de maîtrise des
risques qui passent incontournablement par un renforcement du dispositif de
contrôle interne et par conséquent de l'approche d'audit.
• Eu égard à cette volonté aussi bien publique que privée, et dans le cadre même
du processus naissant d'alignement sur les standards internationaux à la fois
comptables et financiers, les établissements de crédit marocains offrent-ils un
environnement propice pour une mise en œuvre dans les délais souhaités par les
autorités monétaires des nouvelles recommandations formulées dans les
nouvelles dispositions réglementaires ?

L'intérêt du travail que je me propose de développer dans le cadre du présent thème de


recherche se veut tout d'abord pragmatique compte tenu à la fois des réalités
économiques et organisationnelles des établissements de crédit marocains, mais aussi
critique et précurseur d'une nouvelle approche d'audit bancaire.

L'objectif primordial de cette étude est donc de fournir une esquisse des pratiques
d'audit dans le système bancaire et de démontrer l'incapacité des systèmes classiques
d'audit de couvrir seuls l'ensemble des métiers bancaires et particulièrement ceux
réputés comme "inauditables" de part leur complexité et/ou de leur technicité, tels que :
le système d’information, les activités de marché, les ressources humaines et la
comptabilité.
Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion
des risques. Disposer d'une visibilité globale sur les risques, tout en répondant aux
exigences réglementaires, demande beaucoup d’implication, de temps, d’efforts et de
ressources de la part des banques.
Devant les difficultés majeures de mise en place d'un dispositif efficace de contrôle
interne au regard des tendances internationales et des nouvelles exigences
réglementaires, l’audit systémique, développé dans le présent thème de recherche, a
pour objectif ultime de proposer aux établissements bancaires un outil précieux pour
mieux gérer et auditer leurs risques.

Ainsi, sera développée une démarche méthodologique d'audit systémique illustrée via
quatre lignes métiers (système d'information, activités de marché, comptabilité et
ressources humaines) et qui pourrait ainsi être étendue à d'autres métiers.

Hypothèse centrale.

Face à un environnement socioéconomique de plus en plus difficile marqué par la


multiplicité et la complexité des risques et l'accroissement du risque d’audits inadaptés
ou défaillants, les banques doivent plus que jamais disposer d’un système de gestion et

13
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

d’audit de risques performant, efficace et susceptible de mieux maîtriser et de prévenir


l’apparition de nouveaux risques.
Depuis plusieurs années, les autorités de réglementation et de contrôle bancaire ont pris
de nombreuses initiatives en vue de développer et de renforcer le contrôle interne dans
les établissements de crédit.
Cet environnement de plus en plus complexe et mouvant dans lequel évoluent les
établissements de crédit, a donc nécessité l’existence des systèmes d’analyse, de
mesure, de maîtrise des risques performants qui complètent ainsi le dispositif prudentiel.
L’objectif est de s’assurer d’une part que les risques de toute nature sont analysés et
surveillés et de contribuer d’autre part à la prévention ou à la détection précoce de ces
risques. Ces exigences ont entraîné pour certains établissements de crédit des
réflexions sur leur organisation, leur système d’information ainsi qu’une révision de leur
dispositif d'audit interne.
La fonction d’audit interne est un instrument incontournable pour vérifier le bon
fonctionnement, l’efficacité et l’efficience du système de contrôle interne. Dans le cadre
de ses travaux, l’audit interne fournit au top management des analyses, des évaluations,
des recommandations, des avis sur les activités examinées et contribue ainsi à un
meilleur pilotage de la banque.
Un système de contrôle interne adéquat requiert un ensemble efficace de mesures
intégrées, adaptées à l’organisation et au fonctionnement de l’établissement bancaire
et conformes aux principes d’une gestion prudente et saine.
Or, le monde bancaire doit faire face à de nouveaux enjeux : disposer d’informations
précises, provenant de sources internes éparses et de divers partenaires externes,
gérer et consolider différents types de risques provenant de plusieurs localisations
géographiques ou domaines fonctionnels, ou bien adopter une politique globale de
gestion du risque en conformité avec la nouvelle réglementation Bâle II.

De nombreux établissements financiers ont encore un mode de fonctionnement


compartimenté, avec des silos d’informations, d’analyses et d’hypothèses parfois
incohérents entre les entités de la banque. Il leur est donc difficile d’obtenir une vision
d’ensemble fiable des multiples risques rencontrés et d’en mesurer le niveau global.
Sur le plan réglementaire, Bâle II impose la mise en œuvre de méthodes plus strictes
pour l’évaluation et la gestion du risque de crédit, du risque de marché et du risque
opérationnel.
Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences de
Bâle II, demande beaucoup d’implication, de temps, d’efforts et de ressources de la part
des banques.

Dans ce contexte, une méthodologie d’audit des risques appelée "audit systémique "
est primordiale pour en étudier les principales causes et conséquences, ainsi que les
mécanismes de propagation. Elle permettra de déterminer les indicateurs et mesures de
gestion puis les plans d’actions les mieux adaptés pour les maîtriser.

14
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Elle aboutira notamment à mieux connaître le profil de risque des activités exercées
(cartographie des risques), à développer et alimenter les outils nécessaires au pilotage
de ces risques (référentiel de risques par activité, indicateurs de veille et de suivi).
Elle vise également à améliorer et coordonner les processus de gestion existant en
intégrant, en particulier, les problématiques de contrôle interne, de sécurité des
systèmes d’information, de déontologie, dans le cadre d’un dispositif d’évaluation
globale des risques.
Enfin, elle permettra d’accroître la responsabilité, la vigilance et la réactivité des unités
fonctionnelles et de répondre aux exigences du risk-management.

En instaurant une nouvelle approche d'audit systémique, les établissements bancaires


seraient aptes à mieux évaluer et gérer leur risque.
L’audit systémique présente une approche intégrée capable d’identifier les facteurs de
risque et qui inclut toutes les analyses appropriées à la mesure de tous les types de
risques : crédit, marché et opérationnel.
Une telle approche permet d'avoir une vision globale et maîtrisée des risques, quelle
que soit la complexité des organisations ou des processus à auditer, de vérifier
l'efficacité du dispositif de contrôle interne par ligne métier, et enfin, d’accroître la
responsabilité, la vigilance et la réactivité des unités opérationnelles et ainsi des risk
managers dans la maîtrise, la gestion et la prévention des risques.

Instauré en globalité pour tous les métiers ou intégré individuellement pour compléter un
système existant, l'audit systémique contribuerait inévitablement à améliorer l'efficience
du système d'audit interne bancaire marocain en mettant en œuvre une politique globale
de gestion des risques.

Ainsi, une démarche méthodologique d'audit systémique est développée, à titre


illustratif, dans le présent travail pour quatre lignes métiers (systèmes d'information,
salle des marchés, ressources humaines et comptabilité), et qui pourrait d'ailleurs être
étendue à d'autres métiers, illustre parfaitement l'originalité et la pertinence de
l'approche.

Un audit systémique devient aujourd’hui un instrument efficace à la conduite raisonnée


du métier de banquier.
Il ne s’agit donc pas simplement d’un audit classique, mais d’une étape dans un
processus permanent d’analyse et d’évaluation des risques bancaires, sur la base
duquel le management pilote les différentes activités.
C’est d’ailleurs l’objectif principal recherché par le Comité de Bâle : le fait de pousser les
banques à moderniser leurs systèmes internes de pilotage des risques devrait en effet
conduire à une sécurisation accrue et donc à une amélioration globale de la qualité du
système de contrôle interne et de la bonne gouvernance bancaires.

15
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Propos méthodologiques.
La méthodologie du traitement du présent sujet s'inscrit en trois étapes:

• D'abord, au travers d'un travail d'enquête approfondie sur le terrain auprès d'un
échantillon représentatif des banques marocaines, dresser un constat de la
problématique et des enjeux de la question et les difficultés pragmatiques de sa
mise en œuvre. L'orientation de mon travail découlera en grande partie des
résultats de cette analyse qualitative, qui se veut tout d'abord un outil permettant
de mettre en exergue les difficultés à la fois techniques et méthodologiques dans
l'audit interne des risques bancaires.

• Si les concepts et les méthodes font l'objet d'un large consensus, l'organisation
des systèmes et des structures gérant les modèles internes est
incontournablement différente d'un établissement à l'autre. Mon propos à ce sujet
est d'étudier les difficultés de mise en place de dispositifs internes efficaces
d'audit en s'appuyant sur une analyse approfondie de la stratégie et de
l'organisation des différentes activités des établissement de crédit marocains.
Tout en s'alignant sur les nouvelles dispositions découlant du comité de Bâle sur
le contrôle bancaire ainsi que les nouvelles règles instituées par la circulaire N°6
relative au contrôle interne des établissements de crédit au Maroc, ce travail se
veut aussi un diagnostic de la réalité des établissements de crédit marocains eu
égard à cette nouvelle tendance réglementaire et leur capacité à pouvoir s'y
conformer dans les délais souhaités. On ne manquera pas à cet effet, de rappeler
quelques expériences étrangères sur les meilleures pratiques "Best practices" de
la profession d'audit.

• Enfin, par une mise en perspective de la fonction d’audit interne auprès du top
management, à travers un benchmarking et un raccordement de synergie entre
d'une part les enseignements tirés de mon expérience personnelle en audit
bancaire, et d'autre part par les nouvelles approches d'audit interne pratiquées, à
l’échelon mondiale, par plusieurs banques de renom. Ces dernières constitueront
via leur Approches d’audit systémique, un repère incontournable de la conduite
de ce travail.
Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle
approche d'audit systémique dans le dispositif de maîtrise globale des risques.

Pour étudier tous ces aspects, mon travail s'articule en deux parties:

• La première partie traite des pratiques d'audit interne dans le système bancaire
marocain. Elle présente d'abord, un examen typologique des risques bancaires et
leurs critères d'évaluation comme étant l'étape la plus importante et surtout la
plus difficile à apprivoiser dans le processus de management des risques et un
aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain.

16
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Ensuite, elle souligne les principes fondamentaux relatifs à l'audit interne en


général et les particularités de l'audit bancaire de part la pluridisciplinarité des
champs observés (ressources humaines, système d'information, activités de
marché…) et la multiplicité et la complexité des risques qui en découlent.

Enfin, une présentation des résultats de l'enquête sur l'efficience du système


d'audit bancaire marocain, à travers un échantillon de cinq banques privées
marocaines, choisies parmi les établissements les plus représentatifs de l'activité
bancaire à l'échelon national.

Trois thèmes ont été mis en évidence, la sensibilité du management à l'audit, le


positionnement et le rôle des acteurs du système de contrôle interne et le
dispositif d'audit pratiqué pour quatre métiers hétrogènes choisis de part leur
haute technicité.

• La seconde partie est consacrée à l'approche méthodologique de l'audit


systémique bancaire en exposant d'abord sa particularité en la situant dans le
contexte d'audit du système de contrôle interne global. Ensuite, sera développé
l’apport d'une telle démarche dans la maîtrise, la gestion et la prévention des
risques et sa contribution dans l’amélioration de l'efficience du système d'audit
interne bancaire marocain.

Enfin, sera développée en détail une démarche méthodologique d'audit


systémique pour quatre lignes métiers à savoir les systèmes d'information, la
salle des marchés, la comptabilité et ressources humaines) pour illustrer
concrètement l'approche.
Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle
approche d'audit systémique dans le dispositif de maîtrise globale des risques.

Pour étudier tous ces aspects, mon travail s'articule en deux parties:

• La première partie traite des pratiques d'audit interne dans le système bancaire
marocain. Elle présente d'abord, un examen typologique des risques bancaires et
leurs critères d'évaluation comme étant l'étape la plus importante et surtout la
plus difficile à apprivoiser dans le processus de management des risques et un
aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain.
Ensuite, elle souligne les principes fondamentaux relatifs à l'audit interne en
général et les particularités de l'audit bancaire de part la pluridisciplinarité des
champs observés (ressources humaines, système d'information, activités de
marché…) et la multiplicité et la complexité des risques qui en découlent.

Enfin, une présentation des résultats de l'enquête sur l'efficience du système


d'audit bancaire marocain, à travers un échantillon de cinq banques privées
marocaines, choisies parmi les établissements les plus représentatifs de l'activité
bancaire à l'échelon national.

17
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Trois thèmes ont été mis en évidence, la sensibilité du management à l'audit, le


positionnement et le rôle des acteurs du système de contrôle interne et le
dispositif d'audit pratiqué pour quatre métiers hétrogènes choisis de part leur
haute technicité.

• La seconde partie est consacrée à l'approche méthodologique de l'audit


systémique bancaire en exposant d'abord sa particularité en la situant dans le
contexte d'audit du système de contrôle interne global. Ensuite, sera développé
l’apport d'une telle démarche dans la maîtrise, la gestion et la prévention des
risques et sa contribution dans l’amélioration de l'efficience du système d'audit
interne bancaire marocain.

Enfin, sera développée en détail une démarche méthodologique d'audit


systémique pour quatre lignes métiers à savoir les systèmes d'information, la
salle des marchés, la comptabilité et ressources humaines) pour illustrer
concrètement l'approche.

18
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre préliminaire :

Le système bancaire marocain,


vue d'ensemble.

19
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre préliminaire : Le système bancaire marocain : vue


d'ensemble.

Réformes et évolutions du système bancaire marocain et sa position


macro économique.

Depuis le début des années 90, le secteur financier au Maroc a connu une période de
libéralisation marquée par des réformes appuyées par une série d’initiatives de la
Banque Mondiale. Ces réformes portaient sur le secteur bancaire (1991-1995), le
développement du marché des capitaux et la poursuite de la libéralisation du secteur
financier (1996).

Parmi les principales reformes mises en œuvre pendant cette période, il faut souligner
l'élimination de l'encadrement du crédit, la libéralisation des taux d’intérêt, la refonte du
cadre législatif de l'activité des établissements de crédit par l'adoption en 1993 d'une
nouvelle Loi Bancaire, la suppression progressive des emplois obligatoires (Plancher
d’Effets Publics) et le renforcement de la réglementation prudentielle des banques en
s’inspirant des normes internationales.

Plus récemment, la refonte des nouveaux statuts de Bank Al-Maghrib en janvier 2005
et la nouvelle loi bancaire en février 2006 ont renforcé les prérogatives de la Banque
Centrale dans le domaine de la supervision bancaire et de la politique monétaire.

L’intermédiation financière des banques marocaines s’est développée par rapport à la


taille de l’économie, mais à un rythme qui ne menace pas de déstabiliser l’équilibre
financier des principales banques commerciales.

Avec la réduction de la présence de l’Etat dans le système bancaire, une part nettement
plus importante des crédits est destinée au financement du secteur privé. Néanmoins, la
croissance relative des crédits à moyen et long terme et de l’épargne bancaire à terme
ne s’est pas sensiblement améliorée. Le financement du Trésor continue de représenter
une partie non négligeable des emplois du secteur bancaire.

Réglementation et supervision bancaires.


La revue de la réglementation et de la supervision bancaires au Maroc a été fondée sur
les vingt-cinq principes formulés par le Comité de Bâle. Ces principes ont été proposés
à la fin de l’année 1997 en vue de rehausser la qualité de la réglementation et de la
supervision bancaires.

Ainsi, on peut schématiser le positionnement du système bancaire dans le système


financier marocain comme suit :

20
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

SYSTEME FINANCIER MAROCAIN - CADRE INSTITUTIONNEL

AUTORITES DE
REGLEMENTATION OPERATEURS
ET DE SUPERVISION
BANQUES SOCIETES DE FINANCEMENT
- Banques commerciales - Crédits à la consommation
Banque Centrale - Banques spécialisées - Crédits bail
BANK AL MAGHRIB - Filiales de banques étrangères - Autres
- Succursale de banque étrangère

ASSOCIATIONS PROFESSIONNELLES
GPBM, APSF, APSB, ASFIM

Ministère des Réseau Trésor (collecte de la petite épargne)


- Réseau comptes chèques postaux (CCP)
Finances - Caisse d'Epargne Nationale (CEN)
Epargne Institutionnelle
- Caisse de Dépôts et Gestion (CDG)
- Compagnies d'assurances, caisse de retraite et de prévoyance
- Banques offshores
Conseil
Déontologique des
Valeurs Mobilières Marché des Capitaux
- Bourse de Casablanca
(CDVM) - Sociétés de bourse
- Organismes de Placement Collectif des Valeurs Mobilières (OPCVM)

Le Ministère des Finances n’est pas impliqué dans le contrôle des opérations courantes
des établissements de crédit, mission dévolue exclusivement aux services de Bank Al-
Maghrib qui trouve ses prérogatives renforcées par la nouvelle loi bancaire du 14 février
2006 en particulier dans le domaine de la supervision bancaire.

Le Groupement Professionnel des Banques du Maroc (GPBM) est l’instance


professionnelle des banques. Il communique notamment les décisions et positions
communes de la profession en matière d’environnement opérationnel des banques et
publie régulièrement des recommandations sur les taux de base bancaire. Les autres
associations professionnelles incluent l’Association Professionnelle des Sociétés de
Financement (APSF) et l’Association Professionnelle des Sociétés de Bourse (APSB) et
des OPCVM (ASFIM).

21
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

1. Le paysage bancaire marocain

Présentation du système bancaire marocain

Le secteur des établissements de crédit se composait au terme de l'année 2004 de 17


banques1, au lieu de 18, consécutivement à une opération de fusion-absorption, et de
40 sociétés de financement contre 44 en 2003. Quant à l'implantation bancaire, elle
s'est élargie avec l'ouverture de 94 guichets permanents, ce qui a porté leur nombre, à
fin 2004, à 2043 unités, soit un guichet pour près de 15.000 habitants (1 pour 2 500 en
France) ce qui représente encore un réel potentiel de développement.
S'agissant des six banques off-shore, installées à Tanger, cinq étaient en activité à fin
décembre 2004, avec un total bilan de 834,4 millions de dollars, en progression de 53%,
au lieu de 40% en 2003.
Une présence marquée des banques étrangères : les grandes banques privées du
Royaume comptent dans leur actionnariat des banques étrangères plus ou moins
impliquées dans leur gestion. La part du capital étranger dans les banques marocaines
atteint 20,7% des actifs des banques commerciales à fin 2004. Sur les trois dernières
années, plusieurs banques internationales ont augmenté leur participation dans le
capital des grandes banques marocaines. On recense:
• Des filiales françaises :
• BNP Paribas contrôle 63,12% de la Banque Marocaine pour le Commerce et
l’Industrie (BMCI),
• La Société Générale contrôle 51,9% de la Société Générale Marocaine de
Banque (SGMB),
• Le Crédit Agricole contrôle 51% du Crédit Du Maroc (CDM).

• Des participations étrangères minoritaires mais significatives et s’accompagnant


d’accords commerciaux :
• Le CIC, depuis juin 2004, avec 10% dans le capital de la Banque Marocaine du
Commerce Extérieur (BMCE),
• Santusa Holding (Espagne) avec 14,48% du capital de AttijariWafa Bank,
• Le Crédit Agricole avec1,44% du capital de AttijariWafa Bank, mais présent à
hauteur de 34% dans les filiales stratégiques que sont Wafasalaf (2ème société
de crédit à la consommation de la place, après EQDOM, la filiale du groupe
Société Générale) et Wafagestion.
• Le secteur bancaire marocain se partage en quatre catégories d’établissements :
• Les banques de dépôts classiques, aujourd’hui au nombre de sept : parmi elles,
on trouve les cinq grandes banques privées qui réalisent près des deux
tiers de la collecte des dépôts bancaires, à savoir : AttijariWafa Bank, la Banque
Marocaine du Commerce Extérieur (BMCE) et les trois filiales françaises, en
l’occurrence la SGMB, la BMCI et le CDM.
1
Dix-sept, à compter de 2004, suite au rachat fin 2003 de Wafabank par la Banque Commerciale du Maroc, devenue à cette occasion Attijariwafa Bank.

22
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

• Le Crédit Populaire du Maroc, constitué de la Banque Centrale Populaire


(BCP) et son réseau des Banques Populaires Régionales (BPR), qui est un
organisme public à caractère mutualiste, concerné en particulier par la
collecte de la petite épargne.

• Les anciens organismes financiers spécialisés (OFS) dans le financement de


secteurs d’activités particuliers : il s’agit du Crédit Immobilier et Hôtelier (CIH),
de la Caisse Nationale de Crédit Agricole (CNCA) et de la ex Banque
Nationale pour le Développement Economique (BNDE), qui ont vécu un
processus de restructuration qui s’est traduit par un plan de redressement
pour les deux premières et par un démembrement en mars 2003 de la BNDE
entre la Caisse de Dépôts et de Gestion qui récupère l’agrément bancaire et
la CNCA qui récupère le réseau d’agences. L’Etat a participé à la
recapitalisation nécessaire (325 millions d’euros depuis 1998) sans qu’à ce
jour la situation soit pleinement assainie.

• Diverses autres banques dont la création répond à des besoins spécifiques et


dont l’objectif initial n’est pas de remplir la fonction de banque de dépôt. On
recense dans cette catégorie Bank Al Amal2, Médiafinance3, Casablanca
Finance Markets3, et le Fonds d’Equipement Communal (FEC)4.

Chiffres-clés du système bancaire Structure du système bancaire au


31/12/2004.

Nombre d’établissements de crédit : 57.


Nombre de banques : 17.
Sociétés de financement : 40 dont 22 sociétés de crédit à la
consommation et 8 sociétés de crédit-bail.
Nombre de banques offshore : 6.
Implantation des banques : 2.043 guichets au Maroc, 4 filiales, 13
succursales et agences bancaires ainsi que 64 bureaux de représentation
à l’étranger.
Implantation de Barid Al-Maghrib : 1.653 guichets au Maroc.
Effectif des établissements de crédit : 26.251 dont 24.000 environ pour les
banques.

2
BANK AL AMAL , créée en 1989, a pour mission le financement de projets d’investissement visant la réinsertion dans leur pays d’origine des Marocains résidant à l’étranger.
3
MEDIAFINANCE (créée en 1996) et CASABLANCA FINANCE MARKETS (créée en 1998) interviennent sur le marché des titres négociables de la dette.
4
Le FEC est un établissement public créé en 1959, devenu banque en DECEMBRE 1996. Le FEC a pour mission de concourir au développement des collectivités locales, en
leur accordant des concours techniques et financiers.

23
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

LISTE DES ETABLISSEMENTS DE CREDIT


ET DES BANQUES OFFSHORE

Raison sociale Sigle


ARAB BANK PLC (ARAB BANK PLC)
ATTIJARIWAFA BANK (ATTIJARI WAFA BANK)
BANK AL-AMAL (BANK AL-AMAL)
BANQUE CENTRALE POPULAIRE (B.C.P)
BANQUE MAROCAINE DU COMMERCE EXTERIEUR (BMCE BANK)
BANQUE MAROCAINE POUR L'AFRIQUE ET L'ORIENT (BMAO)
BANQUE MAROCAINE POUR LE COMMERCE ET L'INDUSTRIE (BMCI)
BANQUE NATIONALE POUR LE DEVELOPPEMENT (BNDE)
ECONOMIQUE
BANQUE POPULAIRE D'EL JADIDA - SAFI
BANQUE POPULAIRE D'OUJDA
BANQUE POPULAIRE DE CASABLANCA
BANQUE POPULAIRE DE FES-TAZA
BANQUE POPULAIRE DE LAAYOUNE
BANQUE POPULAIRE DE MARRAKECH - BENI MELLAL
BANQUE POPULAIRE DE MEKNES
BANQUE POPULAIRE DE NADOR - AL HOCEIMA
BANQUE POPULAIRE DE RABAT
BANQUE POPULAIRE DE TANGER-TETOUAN
BANQUE POPULAIRE DU CENTRE SUD
CASABLANCA FINANCE MARKETS (CFM)
CITIBANK MAGHREB (CITI BANK)
CREDIT AGRICOLE DU MAROC (CAM)
CREDIT DU MAROC (CDM)
CREDIT IMMOBILIER ET HOTELIER (CIH)
FONDS D'EQUIPEMENT COMMUNAL (FEC)
MEDIAFINANCE (MDF)
SOCIETE GENERALE MAROCAINE DE BANQUES (SGMB)
UNION MAROCAINE DE BANQUES (UMB)
Source : BAM

2. Environnement institutionnel et réglementaire en pleine mutation


Les établissements de crédit sont régis par la loi N°1-93-147 du 6 juillet 1993, relative à
l’exercice de l’activité des établissements de crédit et de leur contrôle. Ce texte définit
les opérations bancaires, les conditions de leur exercice et les contrôles auxquels sont
assujettis les établissements de crédit.
En 2004, le cadre légal et réglementaire régissant le secteur financier a connu plusieurs
évolutions qui visent la modernisation de ce secteur et le renforcement de sa stabilité.

24
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Elles ont concerné aussi bien le système bancaire que les autres compartiments du
secteur financier.

2.1 - Dispositif de contrôle interne


Les établissements de crédit ont été appelés à renforcer leur dispositif de contrôle
interne suite à l’institution de règles minimales par la circulaire n°6/G/2001 du 19 février
2001.
Aux termes de ce texte, ils sont tenus de se doter d’un système de contrôle interne leur
permettant de s’assurer que les opérations réalisées sont conformes aux dispositions
légales et réglementaires en vigueur ainsi qu’aux orientations des organes de gestion et
que les limites fixées par ces organes pour la prise de risques sont strictement
respectées.
Ce dispositif doit également garantir la fiabilité des conditions de collecte, de traitement,
de diffusion et de conservation des données comptables et financières.
Les instances dirigeantes doivent être directement impliquées dans la conception, la
mise en œuvre (organe de direction) et l’approbation du système de contrôle interne
(conseil d’administration ou de surveillance).
L’organe d’administration doit se faire assister par un Comité d’audit constitué, en partie,
d’administrateurs non dirigeants, chargé notamment d’évaluer la cohérence et
l’adéquation des dispositifs de contrôle mis en place ainsi que la pertinence des
mesures préventives, détectives ou correctrices adoptées pour maîtriser les risques
constatées.
De plus, les établissements de crédit, d’une certaine taille, sont tenus de désigner un
responsable du contrôle interne, indépendant des entités opérationnelles, chargé du
suivi de l’efficacité du dispositif de contrôle interne.

2.2 - Nouvel Accord sur les fonds propres (Bâle II)

2.2.1- Rôle du Comité de Bâle


Le Comité de Bâle sur le contrôle bancaire sert de forum pour la coopération entre les
pays membres et non membres en matière de supervision bancaire. Il a pour vocation,
notamment :
• de renforcer, à l’échelle mondiale, la solidité et la stabilité du secteur bancaire et de
réduire les disparités entre les réglementations nationales ;
• de faciliter les échanges d’informations sur les activités des banques à vocation
internationale ;
• d’améliorer les techniques de contrôle bancaire.

Dans le prolongement de ses efforts de consolidation de la stabilité du système


bancaire international, le Comité de Bâle avait publié, en 1988, un cadre d’adéquation
des fonds propres des banques, dit ratio Cooke, reposant sur une couverture minimale
de 8% des risques de contrepartie par les fonds propres.

25
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Ce ratio, conçu au départ pour les banques d’envergure internationale, a été adopté par
l’ensemble des autorités bancaires. En 1996, le Comité de Bâle a amendé ce ratio en
élargissant l’assiette des risques à ceux associés aux activités de marché.
S’agissant du Maroc, les autorités monétaires ont transposé le dispositif de 1988 dans
la réglementation nationale dès 1993, ce qui s’est traduit par un accroissement
significatif des fonds propres des banques.
Le ratio Cooke a montré ses limites sous l’effet, notamment, de la globalisation
financière qui s’est accompagnée de l’apparition de nouveaux risques et qui a entraîné
de nombreuses crises financières.
En outre, la sophistication des pratiques, développées par les banques pour l’évaluation
et la maîtrise de leurs risques, a rendu nécessaire la mise en place d’un nouveau
dispositif plus adapté au contexte des marchés internationaux.
Ainsi, en juin 1999, le Comité de Bâle a proposé un amendement à l’accord de 1988
censé introduire une plus grande sensibilité aux risques et permettre d’appréhender de
manière plus exhaustive l’ensemble des risques encourus.
Après de larges consultations auprès des instances de supervision, des banques et
d’autres parties intéressées, le Comité de Bâle a publié, en juin 2004, la version
définitive du nouvel Accord sur les fonds propres sous l’appellation « convergence
internationale de la mesure et des normes de fonds propres ».

Le nouvel Accord repose sur les trois piliers suivants :

• des exigences minimales de fonds propres qui sont une extension des règles définies
dans l’accord de 1988 ;
• un processus de gestion des risques et de surveillance prudentielle renforcé ;
• une discipline de marché moyennant la publication, par les banques, d’informations
périodiques sur la nature et le volume des risques ainsi que sur les méthodes de leur
gestion.

2.2.2- Travaux menés pour la transposition de Bâle II au Maroc


La démarche adoptée par Bank Al-Maghrib, pour la transposition du nouvel Accord, tient
compte de la réalité et de la structure du système bancaire marocain. C’est une
démarche structurante et incitative, en vue d’adopter les meilleures pratiques en matière
de gestion des risques, et ouverte sur les différentes approches de calcul des fonds
propres réglementaires prévues par le Comité de Bâle.
Elle s’inscrit dans un cadre de concertation continue avec la profession bancaire qui a
montré sa disposition à adopter le nouvel Accord.
En vue d’une bonne transition vers ce nouveau dispositif, Bank Al-Maghrib s’est fixée
comme priorités de mettre le système de supervision en conformité avec l’ensemble des
principes du Comité de Bâle, de renforcer le cadre réglementaire et la transparence
financière.

26
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

• Mise en conformité du système de supervision bancaire avec les 25 principes


du Comité de Bâle
La mise en conformité du système de supervision bancaire avec les principes
fondamentaux édictés par le Comité de Bâle constitue une condition préalable pour
réussir la transition vers Bâle II. D’après les résultats du rapport d’évaluation du secteur
financier (FSAP) réalisé conjointement par le FMI et la Banque Mondiale au cours de
l’année 2002, le Maroc satisfaisait à plus de la moitié de ces principes.

• Mise à niveau du cadre légal et réglementaire


De nouvelles dispositions ont été introduites dans la nouvelle loi bancaire pour
permettre au système de supervision d’être en conformité avec les 25 principes
fondamentaux du Comité de Bâle, en particulier, l’application des ratios prudentiels en
fonction du profil de risque de chaque établissement, la mise en place d’une
commission de coordination des organes de supervision du secteur financier et la
conclusion d’accords de coopération et de coordination avec les autorités de
supervision des autres pays.

• Renforcement de la transparence financière


La mise en place de Bâle II repose sur un environnement de communication financière
sain et la disponibilité d’informations fiables qui revêtent une importance capitale,
notamment dans le cadre de la notation des contreparties. A cet égard, plusieurs
actions ont été initiées par Bank Al-Maghrib pour le renforcement et l’assainissement
des pratiques de communication financière à la charge des entreprises marocaines.
Par ailleurs, Bank Al-Maghrib a engagé, au cours de 2004, des travaux avec différents
partenaires pour définir les éléments d’information minimums devant être requis par les
établissements de crédit dans le cadre de l’instruction des dossiers de crédit, qui ont
abouti à la publication d’une directive le 1er avril 2005.
De son côté, le GPBM mène un projet de création d’une Centrale d’Information Client
(CIC) qui a pour objet d’assurer la collecte et la diffusion d’informations auprès des
banques adhérentes afin d’améliorer la sélection et l’acceptation des risques et
d’accélérer la prise de décision d’octroi de crédits.

3. Activité et résultats du système bancaire.


La structure des bilans des banques a connu des changements significatifs avec le
processus de libéralisation du secteur financier mené depuis la fin des années 80.
Pour les banques commerciales, ces changements ont concerné davantage leurs actifs.
Ainsi, la suppression des emplois obligatoires a permis à ces banques d’une part,
d’accroître la proportion des crédits dans le bilan, tout en développant leur fond de
commerce lié à des segments de la population jusque-là non bancarisés et d’autre part,
de diversifier leurs portefeuilles titres tout en augmentant le volume des opérations de
marché et en investissant de nouveaux créneaux des autres compartiments du secteur
financier en pleine évolution.
De leur côté, les banques publiques spécialisées ont modifié la composition de leurs
passifs en recourant davantage à la collecte des dépôts et au marché de la dette privée

27
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

pour financer leur activité de crédit qui a été étendue, de manière plus significative, à la
distribution de concours à court terme.

3.1.- Les emplois des banques ont connu une hausse couvrant des évolutions
différenciées de leurs différentes composantes
Appréhendé à travers l’activité sur base sociale, qui intègre celle exercée par les
succursales et les agences installées à l’étranger, le total cumulé des bilans5 des
banques a atteint en 2004, 417 milliards de dirhams en progression de 8,6% par rapport
à 2003. Le volume de leur activité réalisé au Maroc s’est élevé à 411,5 milliards de
dirhams, en hausse de 8,4%, représentant 98,7% de l’activité sur base sociale.

2 : Les rubriques des l’actif sont présentées nets des provisions


3 : Cette rubrique regroupe les opérations effectuées notamment avec les banques, les sociétés de financement, les établissements de crédit
étrangers, Bank Al-Maghrib, le Trésor public, la Caisse de Dépôt et de Gestion, la Caisse Centrale de Garantie, les services financiers de
Barid Al-Maghrib, les banques offshore et les associations de micro-crédit.
4 : Y compris les intérêts courus

3.2 - L’évolution des ressources des banques reflète un renforcement des


ressources en provenance de la clientèle
L’évolution des ressources des banques, durant 2004, a induit un léger changement au
niveau de leur structure. Ainsi, par rapport au total du passif, la part des dettes envers
les établissements de crédit et assimilés et celle des titres de créance émis a baissé
respectivement de 1,7 et 0,6 point. Celles des dépôts de la clientèle et les fonds propres
ont augmenté de 0,6 point et 0,5 point.

5
Etablis depuis l’exercice 2000 nets de provisions pour dépréciation d’actifs.

28
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

3.3 - Les résultats des banques se sont inscrits en nette amélioration


A fin 2004, le résultat net de l’ensemble des banques s’est inscrit en sensible
augmentation pour dépasser le niveau de l’année 2000, rompant ainsi avec le faible
résultat de l’année 2002 et le résultat négatif de l’année 2003.

29
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

4. Evaluation du système bancaire marocain.


Une récente étude6 de l'agence de notation internationale Standard & Poor's (S&P) a
classé les banques marocaines dans une gamme étroite d'évaluations variant
généralement entre 'B' et 'BB'. Ces évaluations à caractère spéculatif reflètent
principalement l'environnement économique relativement risqué dans lequel ces
banques opèrent.
Dans son analyse du secteur, l’agence de notation opère une différenciation claire entre
la performance des banques privées et celle publiques. Ce gap est dû aux difficultés
rencontrées par le passé par les ex-OFS. S&P cite la mauvaise gestion et la politique
défaillante d’octroi des crédits. Mais le gouvernement avec l’aide de divers partenaires,
et au travers d’une approche au cas par cas, est en train de rectifier le tir de façon
équilibrée, prudente mais lente.
Les banques marocaines sont orientées presque uniquement sur le marché intérieur et
souffrent en conséquence de la faible sophistication de leurs marchés respectifs. Elles
disposent d'une gamme de produits étroite avec des opportunités toutes aussi réduites
pour l'octroi de crédit à des contreparties de bonne qualité.
Dans l'ensemble, les crédits aux particuliers servent comme relais aux crédits aux
entreprises considérés plus risqués et moins profitables. Cela dit, ce changement de
stratégie vers la banque de détail n'a pas encore mené à l'amélioration des profits
financiers des banques. De plus, le développement rapide des activités détail n'a pas
encore été évalué par un cycle économique prolongé.
Dans l'ensemble, les banques du secteur public font face à des problèmes de qualité
d'actifs nuisibles, tandis que les banques privés ont affiché des performances plus ou
moins équilibrées sur plusieurs fronts, grâce notamment à des pratiques gestionnaires
plus professionnelles s'inspirant pour certaines de leur maison mère dotées de
systèmes de contrôle plus sophistiqués.
Des quatre institutions publiques, le Crédit Populaire du Maroc représente, selon
l’agence, la seule institution à avoir un profil comparable à celui des banques privées.
Selon l’étude, l’une des faiblesses du secteur qui polarise 339 milliards de DH de dépôts
dont 25% provenant des MRE, est la qualité des actifs qui n’a pas arrêté de se
détériorer pendant sept ans.
Ce n’est qu’en 2005 qu’ils ont commencé à s’améliorer, avec un taux de créance en
souffrance estimé à 16,2% cette année-là. En excluant celles des ex-OFS, ce taux
ressort à 10,3% à fin 2005. S&P prévoit une baisse de ce taux à l’avenir. Dans le pire
des cas, il devrait se stabiliser si les créances en souffrance des PME croissent à
moyen terme du faite d’une augmentation des crédits qui leur sont accordés.
Si les crédits sont généralement couverts par des garanties suffisantes, S&P estime que
le code de commerce place les banques dans une position relativement faible dans la
négociation avec les mauvais payeurs.

6
Rapport de l’agence de notation internationale Standard and Poor’s du 20 avril 2006.

30
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Ce texte limite le pouvoir des banquiers à récupérer les actifs des sociétés défaillantes.
Le rapport souligne toutefois que l’adossement de plusieurs établissements à des
banques étrangères leur permet de bénéficier d’un transfert de technologie et d’un
savoir-faire. En outre, le niveau de rentabilité du secteur résiste, malgré une forte
pression sur les marges d’intérêt. Cette rentabilité est préservée grâce à une
consolidation dans le secteur et l’adoption d’une politique de niche. L’une des ambitions-
clés des banques est de devenir universelles. Pour ce faire, elles élargissent leur palette
de services, notamment dans le crédit à la consommation.

Contraintes d'environnements bancaires et structurels.


Les banques du secteur privé dominent le secteur bancaire marocain. Des 17 banques
dans le système, 10 sont des établissements financiers privés. Les opérations des
banques marocaines sont orientées vers l'économie domestique, avec la présence très
limitée d'opérations avec l'étranger, elles-mêmes s'expliquant en grande partie par la
dépendance significative aux dépôts de marocains résidents à l'étranger.
L'expérience des banques du secteur public dans la sphère des banques commerciales
est relativement limitée (situation succédant à celle d'organisme financier spécialisé où
les établissements publics bénéficiaient d'un statut juridique privilégié les plaçant à l'abri
de toute concurrence privée ou étrangère et bénéficiant en outre d'une dispense de
l'application intégrale des dispositions prudentielles).
La mise en œuvre du processus de libéralisation a mis en évidence des défaillances de
fond qui se sont révélés principalement à travers la qualité dégradante de leur actif
d'engagement fortement pénalisé par le poids des créances en souffrance. Ces
déséquilibres ont eu un impact significatif non seulement sur la rentabilité de ces
établissements, mais même sur leur existence fortement compromise par le poids des
pertes importantes occasionnées par une mauvaise gestion du risque de crédit.
A l'opposé, les établissements du secteur privé semblent plus résistants à la volatilité et
la lenteur de croissance de l'économie marocaine. Mais ils ne sont pas tout aussi moins
vulnérables que les établissements publics, à juger par le poids des créances en
souffrance qui dépassent de loin les normes observées chez d'autres pays.
Le système bancaire marocain semble ouvert à une concurrence démesurée par
rapport aux opportunités de financement d'activités économiques prometteuses,
s'accompagnant par une pression agressive sur les marges et l'engagement dans les
relations créditées d'un niveau de risque élevé.

Demande et offre peu sophistiquées.


Dans l'ensemble, les banques marocaines manquent de modèles de développement
économique cohésifs, s'expliquant en grande partie par le faible niveau de bancarisation
de la population et l'existence d'une économie parallèle traitant généralement en dehors
du système bancaire. L'activité bancaire n'est ni grande dans sa taille, ni sophistiquée
en terme d'offre de produits. Quelques banques du secteur privé de renommée
supérieure ont néanmoins la capacité technique pour fournir des produits bancaires plus
avancés, toutefois, le marché demeure tiré par une demande cantonnée dans les

31
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

services de base. C'est vrai même dans segment des entreprises, où prêter consiste
typiquement en des opérations de financement de trésorerie à court terme et à taux fixe.
Par conséquent, les banques dans leur ensemble accusent un retard relativement
considérable dans la mise à niveau des activités de support en particulier les fonctions
de risk management et de management des systèmes d'information.

Dans ce contexte, le développement de la distribution de crédit au Maroc a été


étroitement corrélé au rythme de la croissance de l'activité macro-économique pendant
les cinq derniers exercices et est resté modeste compte tenu des besoins de
financement modérés de l'économie. Ainsi :

• La diversification limitée de l'activité économique reflète le faible niveau de


sophistication de la demande domestique ;
• La croissance de banque de détail semble des plus prometteuses, à condition que les
outils de gestion du risque et des procédures soient mis en place.

Faible niveau de rentabilité.


La rentabilité globale du secteur bancaire marocain demeure relativement faible
comparée à d'autres pays; elle affiche une ROE stabilisée autour de 7%. Le niveau bas
de cette performance est beaucoup plus inhérent aux banques spécialisées en phase
de redressement et affichant par la même occasion une rentabilité négative tirant vers le
bas la performance globale du secteur bancaire. Hormis les banques spécialisés, le
niveau de la ROE se situerait entre 10% et 11% en retrait par rapport aux performances
atteintes au cours des années précédentes (une moyenne de 14% - 15% durant ma
période 1996-2000).

L'ensemble du secteur semble par ailleurs de plus en plus orienté vers le financement
d'engagements de qualité au détriment du volume, dans un contexte sectoriel de plus
en plus concurrentiel caractérisé notamment par un double phénomène d'effritement
des marges et d'accroissement des impayés.
Si ces banques continuent par ailleurs à étendre et à diversifier leurs revenus pour
surmonter la pression sur les marges d'intérêt, leur performance financière future devrait
rester relativement stable. Les banques marocaines semblent profiter à cet effet d'un
niveau relativement élevé des marges d'intérêt et d'un coût réduit de leurs ressources
(comme plus de 50% de leurs dépôts sont des dépôts à vue non rémunérés).

Sur les années à venir, le taux d'intermédiation moyen ne devrait que légèrement
décliner pour atteindre un niveau moyen allant de 4% à 6%. A l'inverse de la marge
d'intermédiation, les marges sur trésorerie et commissions devraient voir leurs
contributions dans le PNB7 augmenter dans les années à venir et compenser ainsi la
baisse prévisible des revenus tirés de l'activité de crédit.

7
PNB : Produit Net Bancaire.

32
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Situation financière faible pour certains établissements.


Conscientes du caractère risqué de leur activité dans un environnement économique
volatil, les banques marocaines ont globalement réussi à bâtir, à travers plusieurs
années, un niveau adéquat de capitalisation. Le rapport des capitaux propres sur le total
bilan est resté relativement stable autour d'une moyenne de 10% pendant les cinq
dernières années, grâce notamment à une politique modérée de paiement de dividende
et une rentabilité relativement stable.

Cela dit, le niveau de liquidité satisfaisant dans le système bancaire marocain reflète le
manque d'opportunités d'engagements à faible risque, en particulier dans le segment
fortement concurrentiel des entreprises.
• La capitalisation de certaines banques publiques reste faible eu égard à leur structure
financière nécessitant des appels de fonds importants pour les recapitaliser;
• La rentabilité reste en-dessous des standards des marchés émergeants, affectée en
grande part le niveau élevé de provisionnement des créances en souffrance.

Créances en souffrance des banques commerciales


Le montant des créances en souffrance des banques commerciales a enregistré, entre
2002 et 2004, un accroissement annuel moyen de 15,7%, à 23,7 milliards de dirhams. Il
a représenté 12,4% de l’encours des crédits qu’elles ont distribués.
Parallèlement, les provisions constituées en couverture de ces créances ont enregistré
un accroissement annuel moyen de 16%, à 17,1 milliards de dirhams, permettant un
taux de couverture de 72,2 % en 2004 contre 71,5% en 2003 et en 2002.

Le rapport entre les créances en souffrance nettes des provisions et l’encours net des
crédits des banques commerciales s’est établi à 3,8 %, au lieu de 3,9% en 2003 et 3,5%

33
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

en 2002. Rapportées aux fonds propres, ces créances ont représenté 20,5% en 2004,
contre 22,4% en 2003 et 18,7% en 2002.
Les réaménagements des règles de classification et de provisionnement des créances
en souffrance, intervenus à la fin des années 2002 et 2004, ont eu un impact différent
sur les banques commerciales, certaines d’entre elles ayant vu leurs créances en
souffrance s’accroître plus rapidement, notamment en 2003, pour se mettre en
conformité avec ces dispositions.

En général, les plus grandes banques disposent d'avantages compétitifs plus


étroits. Ces établissements ont développé une solide notoriété sur le marché et
affichent une bonne santé financière susceptible d'endiguer, mieux que les banques à
dominante publique, toute aggravation du risque de contrepartie comme étant la
principale cause d'insolvabilité. Leurs comptes de prêts aux entreprises affichent
toutefois des concentrations élevées sur différents secteurs.
En outre, ces concentrations ont augmenté davantage lorsque les banques se sont
désengagées des secteurs considérés comme risqués (l'agriculture, le tourisme, le
textile et les importateurs de céréale). Etant donné le manque d'opportunités de prêt aux
grandes entreprises, les banques tendent à être largement exposées à des petites et
moyennes entreprises.
• Le problème de qualité des actifs a empiré au cours des deux précédentes années
s'expliquant en grande partie par le ralentissement et le caractère volatile de la
croissance économique ainsi qu'une exposition de risque moins diversifiée.
• Les banques du secteur public accusent des déficiences importantes en matière de
gestion du risque et de contrôle de crédit, aboutissant ainsi à des problèmes de
qualité d'actif devenant de plus en plus sévères.
• Très peu de banques ont mis de côté les niveaux adéquats de capitaux propres
contre les mauvaises créances.

Faible niveau de gouvernement d'entreprise.


Les banques marocaines affichent des résultats mitigés quand il s'agit de parler du
gouvernement d'entreprise. D'un coté positif, les pratiques bancaires au Maroc sont
relativement conservatrices, en particulier dans le secteur privé. De plus, les banques
marocaines peuvent se prévaloir d'un antécédent satisfaisant en matière de stabilité du
système bancaire marocain. Pendant les deux dernières décennies, aucune crise de
banque principale ne s'est produite au Maroc.
Néanmoins, la communication financière accuse toujours un retard au regard des
meilleures pratiques internationales et se compare défavorablement avec les standards
observés dans d'autres pays émergeants. Ce n'est pas directement lié aux méthodes
comptables, qui s'alignent dans leur ensemble sur le modèle européen - un modèle
basé sur des règles qui accordent une place importante au coût historique au détriment
de la valeur économique.

34
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Un héritage si historique n'est pas un facteur de contrainte en soi, mais limite des
comparaisons avec d'autres banques émergeantes, qui appliquent de plus en plus des
Standards Internationaux de Comptabilité.
Le principe de gouvernement d'entreprise était quasiment absent dans la plupart des
établissements de crédit à dominante publique :
• La communication financière ainsi que les pratiques comptables ont besoin d'être
adaptés dans le sens d'une meilleure information sur la situation financière des
établissements de crédit. Le faible niveau de gouvernement d'entreprise est une
question récurrente.
• Les participations de l'Etat dans le secteur bancaire ont approuvé son inefficacité,
notamment à travers les multiples cas de mauvaise gestion et de fraude.
• La réglementation ainsi que la surveillance s’améliorent, mais à une allure lente, qui
place les établissements de crédit à la traîne des standards internationaux.

35
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Première partie :

L'audit interne dans le système


bancaire marocain : des pratiques
limitées aux fonctions classiques.

36
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 1 :

Typologique et évaluation des


risques bancaires.

37
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 1 : Typologie et évaluation des risques bancaires.

Introduction.
Il est d’usage de dire que le métier de banquier est le métier du risque. Les risques sont
inhérents à l'activité bancaire. L'absence ou l'insuffisance de leur maîtrise provoque
inévitablement des pertes qui affectent la rentabilité et les fonds propres.

L'identification des risques est sans doute l'étape la plus importante et surtout la plus
difficile à apprivoiser dans le processus de management des risques.
Le risque peut se définir comme « tout événement ou toute situation, interne ou
externe, pouvant compromettre la réalisation d’un objectif de la Banque ».

Il s’agit d’un incident éventuel plus ou moins prévisible. La caractéristique propre du


risque est donc l’incertitude temporelle d’un évènement ayant une certaine probabilité
de survenir et de mettre en difficulté la banque. Le risque inhérent au secteur bancaire
se distingue par sa multiplicité et par son caractère multidimensionnel ne pouvant être
mesuré par un seul indicateur.
Les risques eux mêmes sont multiples par leur nombre et leur probabilité. Ils sont
parfois difficiles à cerner aussi bien en terme d'intensité que de fréquence, mais on
s'accorde souvent de les répertorier sous des catégories communément admises afin
de faciliter la définition de modèles ou scénarii unifiés de gestion et de management des
risques.

En dépit de la diversité et du degré de complexité des risques auxquels les


établissements de crédit peuvent être amenés à faire face, leur solidité et leur bonne
santé financière est avant tout une responsabilité qui incombe en premier lieu au
management de la banque.

Position partagée également par les organes de régulation qui s'accordent désormais
d'une façon unanime à attribuer plus de responsabilités au management et aux organes
délibérants des banques dans la gestion et la prévention des risques.

Ces divers aspects seront développés par référence aux trois questions clefs suivantes :
• Quels risques doivent être couverts par le risk management ?
• Quels critères peuvent être affectés à leur identification et à leur évaluation ?
• Quelles en sont les pratiques pour le système bancaire marocain ?

38
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Section 1 : Typologie des risques bancaires.


Le métier de la banque comme toute activité à but lucratif implique la prise de positions
risquées. L'inventaire des risques associés à l'activité bancaire fait état d'une variété de
risques considérable.

Des divergences existent néanmoins sur leur nature et leur étendue. Toutefois, au delà
des diversités d'appréciation, du périmètre restreint ou étendu que l'on entend donner à
chaque type de risque, une tendance se dégage .

La première phase de toutes les démarches actuelles de gestion et de suivi des risques
bancaires consiste dans la délimitation précise de ces derniers et dans une définition
claire de ces risques, commune et applicable à l'ensemble d'un établissement bancaire.

Toute activité bancaire expose l'établissement à des risques stratégiques, des risques
réputationnels, des risques financiers et des risques opérationnels.
Afin d'apprécier et d'analyser chaque risque, le risk manager et/ou l’auditeur bancaire
procède à une estimation des risques inhérents (voir graphique ci-dessous) à chaque
domaine d’activité. Ces risques peuvent être classés en trois catégories :

• Les risques financiers découlant du marché (impact de la variation des prix), du


défaut des contreparties (crédit) et de la liquidité (difficulté de la banque d’honorer
ses engagements);

• Les risques opérationnels qui ont leur source dans les risques que l’organisation,
ses acteurs et l’environnement externe font courir à la banque. Ils intègrent les
risques liés aux systèmes d’information, aux procédures, aux personnes et à
l’environnement externe.

• Le risque de réputation découlant de tout événement susceptible d'entacher la


réputation de la Banque ou de porter atteinte à la confiance qu‘elle doit inspirer au
public. Il se manifeste suite à une publicité ou un événement négatif ou à des erreurs
de communication externe.

39
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques stratégiques

Risques inhérents à l'activité


Bancaire

Risques financiers Risques opérationnels

Liquidité Compliance

Crédit Juridique
Marché Sécurité & SI

Comptabilité
Fiscalité
RH & Fraudes

Exécution des
transactions

Risques de réputation

1. Les risques financiers.

1.1- Le risque de crédit


Le risque de crédit est défini comme étant "la perte potentielle consécutive à l'incapacité
par un débiteur d'honorer ses engagements. Cet engagement peut être de rembourser
des fonds empruntés, cas le plus classique et le plus courant, risque enregistré dans le
bilan. Cet engagement peut être aussi de livrer des fonds ou des titres à l'occasion
d'une opération à terme ou d'une caution ou garantie donnée; risque enregistré dans le
hors bilan " 8.
La notion de risque de crédit est immédiatement associée au risque de contrepartie,
pour un dossier donné, il est en effet clair que le risque premier réside dans la volonté,
mais aussi dans la capacité de l’emprunteur de faire face à ses engagements. Les
8
Antoine SARDI : "Audit et Contrôle Interne bancaires " Ed Afges septembre 2002 .

40
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

risques que l’on pourrait qualifier d’additionnels ou de connexes au risque de


contrepartie doivent également être maîtrisés et donc préalablement évalués. Au
nombre de huit, ils prennent naissance lors de l’initiation des transactions et le plus
souvent perdurent jusqu’à l’échéance finale. On distingue alors :
Le risque de garantie : la banque peut devoir supporter une perte si elle ne peut
exercer la garantie attachée à un prêt en défaut ou si le produit de cette action
s’avère insuffisant pour couvrir les engagements accumulés par le débiteur.
Le risque de concentration : une diversification insuffisante du portefeuille de
concours en termes de secteurs économiques, de régions géographiques, ou de
taille d’emprunteur peut provoquer des pertes importantes.
Le risque pays : bien connu des grands établissements, il se manifeste lorsqu’un
pays étranger ne dispose plus de réserves suffisantes pour faire face aux
engagements en monnaie étrangère de ses ressortissants.
Le risque de change : il naît chaque fois que l’établissement accorde un crédit dans
une monnaie qui n’est pas celle de l’expression de ses capitaux propres; si les
ressources utilisées pour financer cet emploi sont libellées dans la même devise, le
risque ne porte que sur la marge de l’opération; dans le cas contraire, le montant en
principal est également exposé.
Le risque de fraudes : multiforme, il peut s’agir par exemple de concours consentis
à de faux clients, donc, bien évidemment irrécouvrables.
Le risque d’initiés : il s’agit de concours accordés à des conditions hors marché, ou
selon des procédures exceptionnelles à des dirigeants de la banque, à des
entreprises dans lesquelles ils ont des intérêts ou à des sociétés liées à des
actionnaires importants de l’établissement.
Le risque légal et réglementaire : l’activité de crédit est étroitement réglementée et
le non-respect de nombreuses dispositions peut conduire l’établissement à supporter
des pertes soit directement, soit en raison de l’impossibilité de mettre en œuvre une
garantie.
Le risque opérationnel : cette notion recouvre toutes les erreurs de traitement qui
peuvent survenir au cours de la vie d’un dossier tels que déblocage des fonds avant
que toute la documentation requise n’ait été réunie, saisie erronée des conditions de
crédit dans les systèmes de gestion, mauvaise identification des concours
compromis…
Le risque de crédit classique reste toujours la cause principale des problèmes
bancaires. Les pertes consécutives aux défaillances des clients sont malheureusement
inévitables et inhérentes au métier de banquier.
Les problèmes de risque de crédit sont souvent liés à des imperfections dans l'audit
interne et le risque management. Il y a un peu plus de cinq ans, le sous-comité Bancaire
de Surveillance de l'Institut Monétaire Européen a mené une enquête sur les causes

41
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

principales des pertes supportées par des banques en difficulté dans l'Union
Européenne.
La première analyse des 68 établissements de crédit confrontés à des problèmes
financiers a clairement mis en évidence que le risque de crédit était dans 75% des cas
la principale cause des situations graves vécues par le secteur bancaire.
Par conséquent, ce facteur était prépondérant comparé aux autres sources de risques,
comme par exemple les pertes sur les opérations de marché, les problèmes de liquidité
et la mauvaise gestion.
L'évidence de ce constat a été par ailleurs parfaitement illustrée au Maroc à travers les
déboires de certains établissements financiers publics, sur lesquels le gouvernement
avait pourtant beaucoup misé pour appuyer plusieurs secteurs économiquement et
socialement très sensibles.
En effet, le poids des créances en souffrance s’est hissé à 19,4% en 2004, contre
18,7% en 2003 et 17,7% en 2002. (Compte non tenu des banques spécialisées, ce taux
est respectivement de 12,4% en 2004, contre 12,3% en 2003 et 11,2% en 2002) du
portefeuille global des engagements des banques. Cette situation est inhérente
principalement à l'aggravation des créances malsaines dans les secteurs agricoles et
immobiliers fortement représentatifs de l'encours global des engagements bancaires
tous secteurs confondus.
L'on observe également depuis quelques années un accroissement sans précédent des
crédits individuels, en particuliers ceux assortis de gages hypothécaires au détriment
des crédits aux entreprises ou aux professionnels.
Ces changements traduisent de temps en temps un renouveau de négligences sur des
standards élémentaires de prudence. Cela a été parfaitement illustré par la baisse
progressive des taux d'intérêt sur certaines opérations de crédit en comparaison avec
ce qui était pratiqué il y a deux à quatre ans. De plus, nul ne peut ignorer les facilités qui
ont accompagnées l'octroi des crédits et la constitution de garanties.
Dans ce contexte, BAM n'a pas hésité à exprimer publiquement son souci et a rappelé
toute la profession bancaire à la raison suite à des baisses successives de taux d'intérêt
sur des crédits hypothéqués pratiqués par certaines grandes banques de la place.

En définitive, le risque de crédit demeure la première cause des difficultés et des faillites
des banques. Les cas douloureux des situations difficiles vécues par certains
établissements bancaires spécialisés du secteur bancaire marocain en sont une parfaite
illustration.

1.2 - Les risques de marché


On entend par risques de marché, les risques pouvant résulter, pour un établissement
de crédit, d’une évolution défavorable des données de marché ou de leur volatilité. Ce
sont les risques de pertes qui peuvent résulter des fluctuations des prix des instruments
financiers qui composent le portefeuille de négociation ou des positions susceptibles
d’engendrer un risque de change, notamment les opérations de change à terme et au
comptant.

42
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Le portefeuille de négociation susvisé comprend :


ƒ les titres acquis, dès l’origine, avec l’intention de les revendre à brève échéance
en vue de tirer bénéfice des écarts entre les prix d’achat et de vente, et ce dans
le cadre d’une activité de marché, y compris les titres à livrer ou à recevoir,
ƒ les titres à recevoir et à livrer dans le cadre de transactions sur le marché
primaire ou le marché gris,
ƒ les produits dérivés destinés à maintenir des positions ouvertes isolées pour
tirer avantage de l’évolution des prix ou à couvrir les risques de marché encourus
sur les instruments visés aux tirets précédents.
Même si sur le plan local, les activités de marché ont été relativement moins ouvertes
sur les innovations caractérisant les nouveaux marchés avec notamment la création de
nouveaux instruments financiers, elles demeurent toutefois un enjeu qui préserve toute
son importance pour les établissements de crédit marocains, et ceci pour au moins deux
raisons :
ƒ les marges sur les opérations de placement et de trésorerie devraient voir leur
contribution dans le PNB augmenter dans les années à venir et compenser ainsi
la baisse prévisible des revenus tirés de l'activité de crédit;
ƒ les imbrications de plus en plus fortes entre les activités de marché et celles de
crédit et de liquidité.

Dans ce contexte, de nouvelles entités appelées " salle des marchés " ont ainsi été
créées pour répondre justement à cette contrainte croissante des risques de marché.
Les activités traditionnelles et les activités nouvelles ont été réunies dans cette nouvelle
entité qui regroupe désormais l'ensemble des activités financières ;
ƒ Marché des changes;
ƒ Marché monétaire;
ƒ Marché des titres et fonds;
ƒ Marché obligataire.
Un aspect spécial de gestion de risque est le contrôle des activités de marché. Les
évènements fortement médiatisés impliquant Bankers Trust, Barings et Daiwa Banks
ainsi que les pratiques douteuses sont venues pour rappeler à cet égard l'enjeu
grandissant sur les questions du professionnalisme et d'intégrité.
En réalité, ces événements constituent une parfaite illustration des pertes importantes
qui pourraient résulter de négligences dans la gestion et la couverture des risques au
sein de la banque.
Les causes de ces accidents convergent généralement vers les mêmes faiblesses : la
confusion du front office et du back office, des marges de manœuvre excessives et non
contrôlées entre les mains de certains commerciaux combinée à une approche bénigne
du management n'ayant aucune vue sur les positions risquées engagées par les

43
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

commerciaux et leur adéquation par rapport à la politique de risque retenue par


l'établissement de crédit.

Cela dit, qu'en est-il au Maroc ?


Nous pouvons considérer à ce stade que le risque de marché demeure relativement
limité, aussi bien pour l'activité de placement que pour l'activité de change.
Activité de change
L'exposition au risque de change des banques marocaines est limitée, moins de 1 pour
cent des crédits et dépôts bancaires étant libellés en devises. Les banques ont des
positions en devises qui se situent nettement en dessous des limites prudentielles sur
les positions globales en devise et les positions par devise. 9
Cependant, une part importante des opérations en devises est traitée par les filiales des
banques marocaines à l'étranger qui ne sont pas soumises aux limites fixées par BAM
mais à celles du pays hôte. Néanmoins, les banques transmettent régulièrement à BAM
les états financiers de leurs filiales à l'étranger.
L'introduction du marché des changes depuis mai 1996, a fortement diminué le volume
des ventes directes de dirhams par la Banque Centrale aux banques étrangères
s'ajoutant à la baisse des dépôts en devises des banques auprès de Bank Al Maghrib
de plus de moitié et leur réorientation vers les correspondants étrangers, à la suite de
l'autorisation donnée aux banques d'effectuer des placements en devises à l'extérieur.
Cependant, les positions de change sont restées à un niveau nettement en deçà des
ratios réglementaires. Le marché des changes à terme affiche toutefois, un
développement important10.

Activité de placement
L'impact de la baisse des taux d'intérêt sur les marges nettes d'intérêt a été plus que
compensé par des revenus croissants générés par l'activité de placement, elle-même
tirant profit d'un niveau exceptionnel de liquidité que la majorité des banques a dû placer
en bons de trésor qui représente fin 2004 déjà 18% des actifs totaux du système.
Ceci représente une exposition significative au risque de crédit souverain domestique,
et créé aussi une source de sensibilité élevée des banques à la variation des taux
d'intérêt alors que les taux d'intérêt poursuivent leur tendance à la baisse.
Au niveau opérationnel, l'exercice des activités de marché par les banques marocaines
fait courir à celles-ci, comme partout ailleurs, un risque de contrepartie ou de livraison.
Ce risque est associé à la défaillance temporaire ou permanente de la contrepartie qui
pourrait résulter soit d'un différent entre les parties sur l'exécution de la transaction, soit
d'une simple défaillance de la partie adverse, ce qui est d'ailleurs le cas le plus fréquent

9
Bank Al Maghrib a autorisé les banques à conserver les positions à la fois longues et courtes en prévoyant toutefois des limitations et des mesures à même de prévenir des
dérapages spéculatifs .Ainsi une banque ne peut dépasser :
- Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets ;
- Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets ;
Les établissements bancaires doivent, par ailleurs, déclarer à BAM les pertes de change de plus de 3% enregistrées sur toute position dans une devise donnée et ce ,
immédiatement après le constat de la perte , BAM peut alors , s'il le juge utile , demander à l'établissement bancaire concerné de procéder à la liquidation de la position en
question .
10
L'encours mensuel moyen des contrats de couverture à terme est passé de 7,1 milliards en 2001 à 7,9 milliard de dirhams en 2002, dont 6,5 milliards pour la couverture des
risques de change liés aux importations et 1,4 milliards au titre des exportations.

44
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

et aux conséquences les plus dommageables pour les établissements bancaires


marocains.

Toutefois, au stade de développement actuel des salles de marché au niveau du


secteur bancaire marocain, l'exercice des activités de marché est beaucoup plus
générateur de risques opérationnels liés en particulier au dysfonctionnement aussi bien
technique qu'humain (cf. risques opérationnels ci-dessous).

1.3 - Le risque de liquidité


Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas
pouvoir s’acquitter, dans des conditions normales, de ses engagements à leur
échéance. Il résulte de l’incapacité d’une banque de faire face à une réduction de son
passif ou de financer un accroissement de son actif.
Lorsqu’un établissement ne dispose pas d’une liquidité adéquate, il ne peut obtenir des
fonds suffisants à un coût raisonnable, soit en augmentant son passif, soit en
convertissant rapidement des actifs, ce qui affecte sa rentabilité. Dans des cas
extrêmes, une liquidité insuffisante peut conduire à une situation d’insolvabilité.
L'exposition actuelle des banques marocaines au risque de liquidité est relativement
limitée (exclusion faite bien évidemment des ex-OFS). Elles bénéficient à cet effet d'un
financement quasiment gratuit constitué dans une large mesure de dépôts à vue (à très
faible taux de rémunération).
Les statistiques sur le comportement des dépôts et des crédits montrent effectivement
que les ressources varient à la hausse selon une cadence plus forte que celle des
emplois, d'où un excédent de liquidité que les banques jugent structurel compte tenu de:
- la distribution de crédits de plus en plus verrouillée, ce qui limiterait l'octroi de
crédits à des clients notés d'un niveau de risque élevé;
- le comportement positif des dépôts dont une partie considérable provient des
marocains résidents à l'étranger.
La majeure partie des dépôts bancaires est d'une durée inférieure à un an. Les banques
bénéficient toutefois de la stabilité de leurs dépôts à vue et ont une faible dépendance
vis-à- vis de gros dépôts à terme institutionnels ou commerciaux.
En plus de la forte proportion des dépôts à vue, l'autre particularité importante des
dépôts des banques commerciales marocaines est que près du quart de ces dépôts
provient des MRE. Le risque de liquidité associé à ces dépôts a été faible au cours des
dernières années, la part des dépôts MRE dans l’ensemble des dépôts des banques est
restée relativement stable au tour de 25 à 28%.
Néanmoins, vu que ces dépôts sont mobiles, ils représentent la source la plus
importante du risque de liquidité du système bancaire marocain. " Cette dépendance par
rapport à cette manne d'argent est dangereuse, soulignent les analystes de S&P dans
un récent rapport sur la solvabilité des banques nord-africaines. N'importe quelle

45
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

variation radicale dans les tendances d'outre mer de dépôt de liquidités représenterait
une menace importante pour le secteur bancaire".

1.4 - Le risque de taux


Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir
une évolution défavorable des taux d’intérêt sur la situation financière de l’établissement
de crédit. Le risque de taux d’intérêt concerne à la fois les positions de taux prises en
salles de marchés ainsi que l’exposition au risque de transformation qui est inhérent à
l’activité bancaire par définition.
Ce risque affecte à la fois les bénéfices d’un établissement et la valeur économique de
ses créances, dettes et instruments du hors-bilan.
Les principales formes du risque de taux d’intérêt auxquelles les banques sont
généralement exposées sont les suivantes :
- risque de révision de taux, qui résulte de différences dans l’échéance (pour les taux
fixes) et le renouvellement des conditions (pour les taux variables) des positions de
l’actif, du passif et du hors-bilan;
ƒ risque de déformation de la courbe des taux, qui provient de modifications de la
pente et de la configuration de la courbe;
ƒ risque de base, qui est dû à une corrélation imparfaite dans l’ajustement des taux
reçus et versés sur des produits différents, dotés par ailleurs de caractéristiques
de révision de taux analogues;
ƒ risque de clauses optionnelles, qui est lié aux options explicites ou implicites dont
sont assortis nombre de créances, dettes et positions du hors-bilan des banques.
Les activités bancaires de dépôt et de crédit impliquent un risque significatif en cas de
variation importante des taux d'intérêt. Ses effets peuvent se révéler préjudiciables à
l'avenir d'un établissement de crédit.
Dans l'ensemble, les banques commerciales ont une faible vulnérabilité immédiate aux
fluctuations à court terme des taux d'intérêt. Il est évident en contrepartie que, vue
l'importance des dépôts à vue dont le rendement implicite augmente avec la hausse des
taux, la marge nette des banques résultant des produits et des charges d'intérêt
diminuera sensiblement dans un contexte de baisse continue des taux d'intérêt alors
qu'elle augmentera dans la situation inverse.
Il faut toutefois souligner que la source principale du risque de taux d'intérêt est la
conséquence du non-adossement des ressources aux emplois ou le décalage, des
emplois et des ressources quant aux échéances de révision des taux.

46
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

2. Les risques opérationnels.

Présentation du concept.

La masse et la diversité des opérations traitées quotidiennement par une banque sont
toujours considérables. Des erreurs, négligences, retards et fraudes se produisent
inévitablement. Ils engagent, non seulement la responsabilité pécuniaire de
l'établissement, mais également contribuent à détériorer son image de marque.
L'inefficacité est aussi un risque important, qui se traduit par un coût excessif des
services qui obèrent la rentabilité. A cette inefficacité, s'ajoute en général une mauvaise
qualité des services, qui là encore est un facteur de détérioration de l'image de marque
de l'établissement.
Or, autant les pertes consécutives à des risques mesurés, et consciemment assumés et
contrôlés, sont normales car inhérentes au métier de banquier, autant les pertes par
négligence, par inadvertance, par inconscience ou par l'insuffisance d'organisation sont
intolérables. Elles sont toujours la conséquence d'une carence dans le système de
contrôle interne.
Ce sont là quelques aspects du risque opérationnel sans que cette liste soit exhaustive
ou limitative. En effet, le concept du risque opérationnel n'est pas bien défini et ne fait
pas l'objet d'un consensus. Il correspond également à une série de pertes occasionnées
par la gestion des opérations qui ne sont pas reliées aux risques parfaitement
identifiables, appelés parfois risques financiers, tels que le risque de marché, de crédit,
de liquidité, de taux d'intérêt. Certains d'ailleurs définissent le risque opérationnel
comme tout risque autre que les risques financiers.
La circulaire BAM N°6 donnait un sens plutôt restrictif au risque opérationnel, défini, à
l'article 8, comme '' tous les risques qui pourraient être engendrés par des procédures
inefficientes, des contrôle inadéquats, des erreurs humaines ou techniques , des
fraudes ou par toutes autres défaillances".
Le risque opérationnel n'est pas un sujet nouveau. Durant les dix dernières années, les
faillites bancaires, les pertes liées à des erreurs de valorisation ou à un mauvais suivi
des risques ont défrayé la chronique : parmi les incidents les plus récents, Barings,
Daiwa ou Sumitomo et la liste n'est pas exhaustive. Les pertes y afférents sont estimées
à 12 milliard de dollars sur les dix dernières années.
La gestion des risques opérationnels commence à préoccuper de plus en plus les
établissements, de même que les actionnaires et les régulateurs. Les propositions
récentes du comité de Bâle en sont la preuve.
En juin 1999, le comité de Bâle dans son projet de réforme du ratio Cooke intègre
explicitement l'importance des risques autres que les risques de crédit et de marchés et
insiste sur la nécessité d'un environnement de contrôle interne rigoureux, essentiel pour
la gestion des risques opérationnels.
Il faut toutefois souligner que les problèmes financiers vécus par certains
établissements financiers sont souvent la combinaison de la survenance d'un risque de

47
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

crédit ou de marché et d'un risque opérationnel. Ainsi la cause de la faillite de la Barings


était due à un risque de marché qui était la cause directe. La cause indirecte était
l'absence de supervision et de séparation des tâches et des fonctions.
Le comité de Bâle remarque, par ailleurs que la globalisation, la dérégulation, la
sophistication des nouvelles technologies, les fusions rendent l'activité bancaire, et le
profil de leurs risques, plus complexes et plus diversifiés. Les tendances actuellement
observées sont les suivantes :
ƒ Le développement des systèmes automatisés transforme le risque d'erreurs
manuelles en risque de défaillance de système;
ƒ Les fusions à large échelle posent le problème de l'intégration de nouveaux
systèmes;
ƒ Le développement de réducteurs de risques tels que les garanties, dérivés de
crédits, titrisation réduisent le risque de crédit et de marché mais font naître de
nouveaux risques opérationnels.

Les quatre composantes du risque opérationnel.

Le Comité de Bâle définit le risque opérationnel comme étant « le risque de perte


résultant d’une inadéquation ou d’une défaillance attribuable à des procédures
internes, des personnes, des systèmes internes ou résultant d’évènements
extérieurs ».
Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et
l’environnement externe font courir à la banque. Ils se décomposent en 4 sous-
ensembles :
ƒ Le risque lié au système d’information : défaillance matérielle, bug logiciel,
obsolescence des technologies (matériel, langages de programmation,…) ;
ƒ Le risque lié aux processus (saisies erronées, non respect des procédures,…) ;
ƒ Le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais
aussi capacité de l'entreprise à assurer la relève sur les postes clés) ;
ƒ Le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle,
environnement réglementaire,…).

Une notion précisée par le comité Bâle II :

Les travaux de normalisation menés dans le secteur bancaire ont remis au goût du jour
la notion de risque opérationnel. Si ce risque en soi n’est pas nouveau, l’évolution de la
réglementation bancaire le replace au premier rang des préoccupations au travers de
normes que l’on désigne communément sous le terme de « Bâle II ».

L’appréciation de la solvabilité bancaire, jusqu’ici mesurée au travers du ratio Cooke, va


devoir prendre en compte les risques opérationnels, en sus des risques de crédit et des

48
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

risques de marché. Ceci se fera au travers d’un nouveau ratio, baptisé « Mc Donough»
du nom de l’ancien président du Comité de Bâle.
Le Comité Bâle II a mené une analyse quantitative de ces risques sur près d’une
centaine d’établissements. Les résultats démontrent la fréquence et le coût global
élevés des incidents opérationnels : ils génèrent en moyenne près de 90 millions
d’euros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés
sont aussi les mieux couverts (incendie, dégâts des eaux), c’est finalement la diversité
des risques non couverts qui explique l’importance du coût final.
Le nouvel accord sur les fonds propres a pour but de mieux aligner l’évaluation de
l’adéquation des fonds propres sur les principales composantes des risques bancaires
et d’encourager les banques à renforcer leurs procédures de mesure et de gestion du
risque.

Les trois piliers du ratio McDonough :


Pilier I : exigences minimales en fonds propres pour couvrir les actifs
pondérés en fonction du risque.
• des normes renouvelées pour mieux tenir compte des risques mais
sans modification du niveau global des fonds propres (8% en
moyenne);
• une meilleure prise en compte des techniques de réduction des
risques;
• une prise en compte des risques opérationnels.
Pilier II : contrôle accru par le régulateur, avec possibilité d’un
examen individualisé des établissements.
• l’analyse du profil global de risque des établissements par les
régulateurs ;
• le contrôle des procédures et de la méthode interne d’affectation des
fonds propres ;
• la possibilité de fixer des exigences individuelles supérieures au
minimal réglementaire.
Pilier III : plus grande discipline de marché avec une exigence accrue
de transparence sur la structure des fonds propres et les risques
encourus.
Les fonds propres doivent couvrir les risques de crédit et de marché et les
risques opérationnels.

Ratio McDonough = Fonds propres/Risques crédit + marché + opérationnels ≥ 8%

49
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les innovations de la réforme McDonough :


En 1988, le Comité de Bâle I a proposé la mise en place du ratio Cooke, qui impose aux
banques de disposer d’un montant de fonds propres proportionnel à leur encours de
crédit. Après avoir intégré les risques de marché au ratio Cooke en 1996, le comité de
Bâle présidé par W.McDonough en a décidé la refonte en 1999.
La logique de cette réforme est simple : elle suggère le passage d’une méthode
purement quantitative et forfaitaire à une méthode ajoutant le qualitatif au quantitatif et
partant plus sensible à la qualité intrinsèque des risques. Plus précisément, elle vise à
réconcilier le capital économique et le capital réglementaire.
Les consultations soumises à la profession bancaire par le comité de Bâle, en vue de la
mise en place d’un nouveau ratio de solvabilité Mcdonough insiste sur les points
suivants :

Une plus grande différenciation dans le traitement des risques de crédits : l’incitation
à adopter un nouveau système de notation interne concernant le risque de crédit
permettant aux banques d’estimer par elles-mêmes, aux moyens de leurs
informations internes, la charge en capital, c’est à dire le montant des fonds propres
nécessaires pour couvrir ce risque de crédit.
Cette note dérivera du calcul de la perte attendue définie comme étant le produit de
la probabilité de défaut (qui sera estimée par la banque), la perte en cas de défaut et
de l’exposition au moment du défaut.

EL = PD x LGD x EAD
EL : Expected Loss ou perte attendue.
PD : Default Probability ou probabilité que le débiteur ne veuille pas ou ne puisse pas
remplir ses engagements contractuels. La probabilité de défaut mesure le risque défaut du
débiteur.
LGD : Loss Given Default ou perte occasionnée en cas de défaut du débiteur : il s’agit du
pourcentage de perte que la banque subirait par rapport au montant du crédit ouvert au
moment du défaut.
EAD : Exposure At Default ou montant du crédit qui est exposé au moment du défaut.

Dans le cadre de l’approche IRB (Internal Rated Basing) de base, la banque estimera
uniquement la probabilité de défaut et utilisera les données, concernant la perte en cas
de défaut et l’exposition au moment du défaut, fournies par l’autorité de tutelle.
Dans l’approche IRB avancée, la banque estimera elle-même tous ces facteurs de
risque, auxquels on peut ajouter le facteur M ou Maturity c’est à dire la durée restante
du crédit dont l’ampleur influence le risque de non-remboursement.

Le futur régime donnera aussi un rôle plus important aux autorités de surveillance.
Conformément aux dispositions prévues par le pilier 2, et pour tenir compte du
« profil risque » de chaque établissement, ces autorités seront habilitées à imposer
des exigences de fonds propres supérieures à celles résultant de la seule application
des formules réglementaires.

50
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

L’importance de la discipline de marché reposant sur la communication régulière


d’informations par les banques au marché, ce qui accentue le pouvoir des autorités
de contrôle de ces banques. La diffusion d’informations significatives par les
banques apporte des éléments aux intervenants et facilite l’exercice d’une discipline
de marché efficace.

2.1 - Le risque de système d'information.


Le risque de système d’information s’entend comme le risque de survenance de
dysfonctionnements ou de ruptures dans le système de traitement de l’information,
imputables à des défaillances dans le matériel ou à des erreurs, des manipulations ou
autres motifs (virus) affectant les programmes d’exécution.
L’utilisation de l’informatique fait courir des risques supplémentaires aux établissements
de crédit :
• perte de données et de programmes en cas de dispositifs de sécurité inadéquats, de
défaillances de l’équipement ou des systèmes et des procédures de sauvegarde et
de récupération des données;
• informations de gestion erronées résultant de procédures imparfaites de
développement de systèmes;
• absence d’installations de remplacement compatibles dans le cas d’interruptions
prolongées de fonctionnement des équipements.
De telles pertes et interruptions peuvent entraîner de graves difficultés pour un
établissement et risquent, dans des circonstances extrêmes, de compromettre sa
capacité de continuer à poursuivre ses activités.
Le danger que des décisions soient fondées sur des informations non fiables ou
trompeuses produites par des systèmes d’information mal conçus ou insuffisamment
contrôlés est vraisemblablement plus grave.
Pour toutes ces raisons, les établissements de crédit devraient disposer du savoir faire,
des contrôles organisationnels et internes nécessaires pour détenir et traiter
l’information sous forme électronique.

2.2 - Le risque juridique.


Le risque juridique s’entend comme le risque de survenance de litiges susceptibles
d’engager la responsabilité de l’établissement de crédit du fait d’imprécisions, de
lacunes ou d’insuffisances dans les contrats et autres actes de nature juridique le liant à
des tiers.
Les banques sont soumises à des formes diverses du risque juridique. C’est le cas, par
exemple, si, à cause de conseils ou documents juridiques inadéquats ou incorrects, il
s’avère que la valeur de l’actif est inférieure, ou la hauteur du passif est supérieure, aux
prévisions.

51
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

En outre, les lois existantes peuvent être impuissantes à résoudre des problèmes
juridiques rencontrés par une banque. Une action en justice impliquant un établissement
donné peut avoir des conséquences plus vastes pour l’activité bancaire et entraîner des
coûts, non seulement pour lui-même mais pour de nombreuses autres banques ou pour
l’ensemble du système bancaire; par ailleurs, les lois concernant les banques et autres
entreprises commerciales peuvent changer.

2.3 - Le risque comptable.

Le risque comptable s’entend comme le risque de non fiabilité, de non exhaustivité des
données comptables et financières et/ou de non disponibilité de l’information au moment
opportun conformément aux prescriptions du plan comptable des établissements de
crédit (PCEC). Il s’agit, pour la Banque, des risques résultant :

• d’insuffisances de conception, d’organisation et de mise en œuvre des procédures


d’enregistrement dans le système comptable,
• d'absence de procédures comptables et de pistes d'audit ayant pour objet la
reconstitution chronologique des opérations, la justification de l’information par une
pièce d’origine, l’explication des évolutions de soldes et le respect des règles
d’évaluation applicables aux opérations de marchés,
• de défaillance du système d'information comptable au regard des objectifs généraux
de prudence, de sécurité et de conformité aux normes comptables en vigueur,
• de dysfonctionnements du système de contrôle comptable garantissant l’adéquation
des méthodes et des paramètres retenus pour l’évaluation des opérations dans les
systèmes de gestion ainsi que la pertinence des schémas comptables et leur
conformité aux règles de comptabilisation en vigueur.

2.4 - Le risque des ressources humaines.


Les risques liés aux ressources humaines concernent principalement les risques de
management, juridiques, de déontologie, de compliance, opérationnels et fiscaux. Ces
risques peuvent être synthétisés en :
• Risque de non respect des textes réglementaires;
• Risque d’inadaptation des politiques sociales aux attentes du personnel;
• Risque d’inadéquation des besoins aux ressources humaines;
• Risque d’envahissement des préoccupations sociales.
Concrètement, il s’agit, pour la Banque, des risques résultant :
• d’insuffisances de couverture des fonctions Ressources Humaines (RH) :
administration, gestion, recrutement, formation et relations sociales;
• de non réponse aux besoins, en ne fournissant les ressources humaines adaptées
(le recrutement, l’orientation, la formation, la motivation);

52
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

• de la non adaptation au marché, connaissance insuffisante des données de base


pour la gestion à moyen terme des effectifs;
• du non respect des règles de confidentialité (paie, dossiers personnels) et de
sécurité (back up) et de divulgation d’informations sensibles;
• d'absence d'une gestion optimisée des coûts des RH (les rémunérations, le contrôle
de gestion);
• d'absence d'un système de rémunération objectif, connu et dont la révision est
formalisée;
• d'une mauvaise gestion des avantages sociaux;
• d'une non sensibilisation du personnel aux risques de fraude interne et externe;
• du non respect des règles de prise de congés;
• de l'absence, de l'inadéquation ou du non respect du plan de formation;
• d'une défaillance de gestion des mouvements sociaux garantissant la continuité du
fonctionnement de la banque (le dialogue social, l’environnement du travail);
• de la multiplication des absences injustifiées, retards, heures supplémentaires
systématiques, …
• d'une démotivation du personnel créant un mauvais climat social.

2.5 - Les autres risques.


Ces risques englobent tous les risques qui ne peuvent être répertoriés dans la liste des
risques développés plus haut. A la différence de la circulaire N°6 qui a qualifié les
risques opérationnels d'autres risques, nous avons regroupé ci-dessous d’autres
catégories de risques :

2.5.1 - Le risque de règlement.


Le risque de règlement s'entend comme le risque de survenance, au cours du délai
nécessaire pour le dénouement de l'opération de règlement, d'une défaillance ou de
difficultés qui empêchent la contrepartie d'un établissement de crédit de lui livrer les
instruments financiers ou les fonds convenus, alors que ledit établissement à déjà
honoré ses engagements à l'égard de ladite contrepartie.

2.5.2 - Le risque stratégique.


La stratégie adoptée par un établissement de crédit dans différents domaines engage
toujours des ressources significatives. A titre d'exemples ces stratégies peuvent être : la
pénétration d'un marché, le lancement de nouveaux produits ou de nouvelles activités,
la refonte du système d'information, une croissance externe par fusion ou
acquisition…etc. Un échec stratégique peut s'avérer lourd de conséquences car les

53
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ressources engagées deviennent sans valeur et la perte causée sera d’une substance
significative.

2.5.3 - Le risque systémique.


C'est le risque de contagion généré par les liens interbancaires nationaux et
transfrontaliers des banques. Les établissements de crédit sont interdépendants les uns
par rapport aux autres. Les pertes consécutives à la défaillance d'un établissement sont
supportées, par effet de contagion, essentiellement par le système bancaire, sous trois
formes :
Les opérations interbancaires, conclues avec l'établissement défaillant, se
traduiront par une perte pour l'établissement prêteur;
La solidarité de la place oblige fréquemment tous les établissements à participer
à l'apurement du passif de l'établissement défaillant;
Les actionnaires d'un établissement de crédit sont fréquemment ceux d'autres
établissements qui devront, conformément à leur rôle, participer au sauvetage
de l'établissement défaillant.
La défaillance d'un établissement de crédit, comme un jeu de dominos, peut donc
déclencher les difficultés dans d'autres établissements et risquer de mettre en péril tout
le système bancaire.
Il s'agit d'évaluer si une réaction en chaîne à travers le marché interbancaire - c'est-à-
dire une situation dans laquelle le défaut d'une banque entraînerait la défaillance d'un
ou de plusieurs de ses créanciers interbancaires - pourrait créer un risque systémique
plus étendu.

2.5.4- Le risque Pays.


C'est une composante du risque de contrepartie ou du risque émetteur. Pour avoir une
vision plus claire du risque pays, il faut étudier ses composantes, à savoir le risque de
défaillance du souverain, le risque de change, le risque de non-transfert et le risque
systémique d’effondrement d’une économie.
Avec les premières crises des pays alors dits en « voie de développement », puis à la
fin des années 90, crises dans l’Asie du sud-est, de la Russie, du Brésil, de l’Argentine
qui est un cumul de l’ensemble de ces risques, constitue un exemple extrême du risque
pays au sens « moderne » du terme. Il ne s’agit plus du risque de non-transfert mais
bien de l’effondrement général du système monétaire et financier d’un pays.
Le risque-pays peut surtout apparaître lorsqu’il s’agit de prêts à des gouvernements
étrangers ou à des organismes qui en dépendent, de tels crédits n’étant généralement
pas assortis de garanties, mais il est important de le prendre en compte lors d’un prêt ou
d’un investissement à l’étranger, que l’emprunteur soit public ou privé.
Il existe aussi une composante du risque pays appelée «risque de transfert», qui
survient lorsque l’obligation d’un emprunteur n’est pas libellée dans la monnaie locale. Il

54
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

peut arriver que l’emprunteur, quelle que soit sa situation financière, ne puisse disposer
de la devise dans laquelle l’obligation est libellée.

2.5.5 - Le risque de non-conformité ‘‘Compliance Risk’’


Le risque de non-conformité « Compliance Risk » peut être défini comme un risque de
non respect des dispositions réglementaires applicables aux activités bancaires et
financières, y compris celles relatives à la prévention du blanchiment et du financement
du terrorisme, des normes et usages professionnels et déontologiques et de protection
des intérêts des investisseurs et des clients.
Par ce risque, on entend également le risque de préjudices qu'un établissement peut
subir suite au fait que les activités ne sont pas exercées conformément aux normes en
vigueur. Il peut comporter une variété de risques tels que le risque de réputation, le
risque légal, le risque de contentieux, le risque de sanctions ainsi que certains aspects
du risque opérationnel, ceci en relation avec l’intégralité des activités de l’établissement.
Par normes en vigueur, il faut entendre dans ce contexte toutes les règles auxquelles
l'établissement bancaire est soumis dans l'exercice de ses activités dans les différents
marchés, notamment :
• les lois, règlements et circulaires régissant l'accès au secteur financier et l'exercice
des activités bancaires;
• les lois et circulaires traitant des obligations professionnelles, c'est-à-dire les règles
de lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que
les règles de conduite du secteur financier et de protection des investisseurs.
Pour les besoins de l’évaluation du risque de Compliance et afin de déterminer le
périmètre de la fonction Compliance, les codes de conduite ou de déontologie internes
ainsi que les codes d‘associations professionnelles et de marchés financiers sont à
considérer également. Il appartient à l’établissement de décider si, compte tenu des
particularités des activités exercées, sa fonction Compliance couvre le contrôle du
respect des règles n'ayant pas directement trait aux activités bancaires et financières à
proprement parler, telles que les règles relevant du droit de travail, du droit social, du
droit des sociétés ou du droit de l'environnement.

La fonction Compliance a pour objet de :


• organiser, de coordonner et de structurer les contrôles en matière des diverses
réglementations à différents niveaux de l'organisation bancaire,
• protéger l’établissement de tout préjudice qui pourrait résulter du non-respect des
normes en vigueur,
• assister la direction dans la gestion efficace des risques de non-conformité.
La Compliance n’est pas du ressort exclusif de la fonction qui lui est dédiée. Elle
concerne également le conseil d’administration, la direction ainsi que tous les membres
du personnel. Elle est dès lors à considérer comme un élément important de la culture
véhiculée d’un établissement laquelle doit être promue à tous les niveaux de la banque.

55
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Dans ce contexte, une réflexion a été engagée au niveau international, notamment au


sein du Comité de Bâle11, afin, d’une part, de mieux appréhender, dans le calcul des
exigences de fonds propres, les risques autres que les risques de crédit et de marché
et, d’autre part, de formuler des propositions spécifiques quant aux modalités de
contrôle du risque de non-conformité.
En France, le principe du respect de la conformité a été inscrit, dès 1997, dans le
règlement n° 97-02 du Comité de la réglementation bancaire et financière relatif au
contrôle interne. Du fait de l’importance et de la spécificité du risque de non-conformité
aux lois et règlements, celui-ci paraît devoir être pris en charge par une fonction dédiée
et, comme l’ensemble des risques encourus par les établissements de crédit, être
pleinement intégré dans le champ d’exercice du contrôle interne.
Au Maroc, la notion de conformité n’a pas été inscrite dans la circulaire N° 6/G/2001 sur
le contrôle interne des établissements de crédit et ne fait à ce jour l’objet d’aucune
réglementation particulière.

3. Le risque de réputation.
Le risque de réputation est l'atteinte de la confiance qu'une banque doit inspirer à sa
clientèle et au marché à la suite d'une publicité ou d’un événement. Cette perte de
confiance peut alors avoir des effets désastreux : retraits massifs des déposants, perte
de clientèle, méfiance des marchés qui est suivie généralement par une crise de
liquidité.
Le risque de réputation résulte également de dysfonctionnements opérationnels et de
l’incapacité de satisfaire aux lois et réglementations en vigueur. Ce risque est
particulièrement préjudiciable aux banques, étant donné que la nature de leur activité
nécessite le maintien de la confiance des déposants, des créanciers et du marché en
général.
L’organe d’administration et l’organe de direction doivent prendre les précautions et les
mesures adéquates pour empêcher que leur établissement bancaires ne soit impliqué, à
leur insu, dans des opérations financières liées à des activités non autorisées par la loi
et plus généralement pour éviter la survenance de tout événement susceptible
d'entacher la réputation de cet établissement ou de porter atteinte au renom de la
profession.

Section 2 : Critères d'évaluation et dispositifs de contrôle des risques.

L'organisation, les processus et les outils de mesure et de quantification constituent les


critères fondamentaux d'appréciation et de suivi des risques bancaires. Nous ne
pouvons que constater à ce sujet l'enrichissement progressif des méthodes de mesure
et d'évaluation des risques, développées par la majeure partie des banques
commerciales marocaines, bien que des marges de progrès existent encore sur

11 Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques - Consultative Document on the Compliance Function in Banks -

56
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

plusieurs aspects pour se conformer aux standards aussi bien nationaux


qu'internationaux. Plusieurs facteurs éclairent cette évolution positive :
• Une prise en compte accrue de ces risques par les dirigeants des banques. Cette
prise de conscience peut s'expliquer par la relative maturité acquise dans la gestion
des risques qui a mobilisé l'attention au cours des cinq dernières années,
• La mise en évidence accrue des risques financiers et récemment opérationnels qui a
entraînée une réflexion accrue sur leur maîtrise et leurs méthodes de prévention,
• La pression des régulateurs pour une meilleure information sur les risques
bancaires.
Dans ce contexte, plusieurs établissements bancaires marocains se sont lancés, avec
des degrés d'avancement différents, dans la mise en place d'outils permettant d'assurer
une surveillance permanente devant aboutir in fine à une couverture optimale contre les
risques jugés significatifs et prioritaires.

1. Au niveau de la gestion du risque de crédit.


C’est le risque encouru en cas de défaillance d’une contrepartie.
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre,
entre autres, de :
• s’assurer que les risques auxquels peut s’exposer l’établissement de crédit, du fait
de la défaillance de la clientèle, sont correctement évalués et régulièrement suivis ;
• veiller à ce que les dossiers de crédit comportent toutes les informations
quantitatives et qualitatives relatives au demandeur et veillant à ce que ces
informations soient régulièrement mises à jour;
• prendre en considération, notamment, la nature des activités exercées par le
demandeur, sa situation financière, la surface patrimoniale des principaux
actionnaires ou associés, sa capacité de remboursement et, le cas échéant, les
garanties proposées;
• prendre également en compte toutes autres informations permettant une
appréciation plus complète du risque tels que la compétence des dirigeants et
l'environnement économique dans lequel le demandeur de crédit exerce son activité;
• pouvoir identifier de manière centralisée tous les risques bilan et hors bilan à l’égard
d’une même contrepartie ou d’un groupe de contreparties, d’un même secteur
économique, d’un pays ou d’une zone géographique;
• appréhender différentes catégories internes d’appréciation du niveau de risque de
crédit à partir d’informations qualitatives et quantitatives « rating »;
• disposer d’un système de délégations clairement formalisé. A l’intérieur de ce cadre,
les décisions d’engagements concernant des opérations importantes, devront être

57
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

prises par au moins deux personnes et ce, après analyse d’une unité spécialisée
indépendante d’étude de risques;
• mesurer et encadrer le risque de livraison (risque de règlement) c’est-à-dire le risque
que la contrepartie ne règle ou ne livre pas les titres à l’occasion d’une opération de
marché;
• déterminer les conditions financières des opérations à partir d’une analyse
prévisionnelle aussi exhaustive que possible des produits (marges d’intérêt,
commissions, variation de la valeur de marché des opérations) ainsi que des coûts
(coût opérationnel, coût de refinancement, coût de rémunération des fonds propres,
coût lié au risque de défaillance);
• effectuer une revue trimestrielle des opérations supérieures à un certain seuil en
procédant, si nécessaire, au reclassement des engagements au sein des catégories
internes de rating et, en tant que de besoin, aux affectations dans les rubriques
comptables de créances douteuses, le niveau de provisionnement adopté devant
tenir compte d’une évaluation récente des garanties détenues.

Les critères retenus pour l'appréciation du risque de crédit se basent pour l'ensemble
des établissements bancaires marocains sur une analyse systématique de la situation
économique et financière de la contrepartie. Cette analyse se traduit, dans certains cas,
par l'affectation d'une note de signature qui concerne dans un premier temps les
grandes entreprises puis les PME/PMI.
Les clients particuliers ne font toutefois pas l'objet de notation, ils sont néanmoins
segmentés selon les critères commerciaux pouvant servir à définir l'offre de crédit
notamment. L'évaluation du risque pour cette catégorie de clientèle est basée sur le
revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes
entourant son caractère à la fois véridique et permanent.
De manière générale, la surveillance des risques repose sur un contrôle à deux
niveaux:
• contrôle à priori;
• contrôle à posteriori.
Contrôle à priori.
Ce contrôle repose sur le principe selon lequel les principales opérations des clients
doivent faire l'objet de l'accord d'un délégataire dès lors que celles-ci mettent la position
de la contrepartie en anomalie (notamment les dépassements) ou concourent à la mise
en place d'un nouveau crédit.
Ce traitement est centralisé généralement au niveau de la Direction des Crédits qui
prend en charge toute la fonction d'octroi de crédits relative aux clients d'une certaine
taille.
Un tel contrôle suppose la nécessité de disposer d'outils permettant de connaître
individuellement et en temps réel les autorisations et les utilisations de chaque client à
la demande et au cas par cas.

58
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Néanmoins, les outils disponibles actuellement pour analyser finement les risques de
contrepartie par nature et par secteur, sont encore insuffisants. Les banques se sont
engagées dans un programme d'investissement considérable en système d'information
en vue de contribuer à l'élaboration d'une cartographie des risques fiable notamment
pour ce qui concerne la nature des risques ainsi que les risques liés aux dépassements
par rapport aux limites démarquant les clients sains de ceux douteux.

Contrôle à posteriori.
Le principe de contrôle à posteriori repose principalement sur la surveillance des
dépassements et des impayés, qui s'exerce néanmoins selon des périodicités variant
entre un mois, un trimestre voire un semestre.
Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques, ce
qui diminue de la qualité des contrôles en terme d'exhaustivité et de réactivité.
La pertinence de ce système repose par ailleurs sur une vigilance accrue des
opérationnels qui sont le plus à même d'attirer l'attention sur des risques sensibles ou
naissants. C'est justement la raison pour laquelle ce système peut se révéler inefficace
étant donné le contexte à la fois manuel et non formalisé qui entoure tout le processus
d'identification.

• Rating.
L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note
(appelée aussi "cotation", "rating") par référence à un échelle de notation interne.
Certaines banques, surtout celles dépendant de groupes étrangers, sont parvenues
néanmoins à mettre en place un système de rating.
La cotation des dossiers est revue généralement une fois tous les ans à l'occasion du
renouvellement des dossiers.
• Rentabilité
Les décisions d'octroi des crédits prennent en considération la rentabilité globale des
opérations effectuées avec le client et ce, à travers l’analyse prévisionnelle des charges
et produits y afférents.
En l'état actuel, la rentabilité des opérations n'est le plus souvent obtenue qu'au travers
un PNB agrégé. Elle ne prend pas en compte tous les coûts et notamment le coût du
risque.
Certaines banques sont parvenues depuis peu à établir un RBE par client et par
opération. Cependant, ce calcul reste approximatif dans la mesure où les charges
affectées à chaque relation sont attribuées sur la base de clés de répartition qui restent
empreintes d'arbitraire en l'absence d'un système de comptabilité analytique permettant
de décliner finement les coûts par client.
• Suivi des provisions
Les concours qui, au regard de la réglementation en vigueur, sont considérés comme
créances en souffrance doivent être enregistrés dans les comptes appropriés du plan
comptable des établissements de crédit et donner lieu à la constitution des provisions
requises.

59
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les encours des créances en souffrance ainsi que les résultats des démarches,
amiables ou judiciaires, entreprises pour leur recouvrement doivent être régulièrement
portés à la connaissance de l’organe d’administration.
Les banques possèdent à intervalles de temps réguliers, pour certaines
trimestriellement pour d'autres semestriellement, à l'identification des créances éligibles
aux critères de classification de BAM.

2. Au niveau de la gestion du risque de marché.


Le contrôle interne n’est justifié le plus que dans les salles de marchés de par
l’importance des volumes traités, la sophistication des techniques de transaction, le
caractère souvent instantané des prises de décision, l’évolution quasi permanente des
instruments et des stratégies....
Or, si la réglementation prévoit une parfaite intégration du contrôle interne dans
l’organisation, les méthodes et les procédures de chaque activité, il semble que l’univers
de la salle de marchés soit peu propice à une telle démarche en raison :
du recours fréquent à des instruments télématiques;
de la nécessité de réagir rapidement en toutes circonstances;
des délais souvent très courts impartis pour déboucler une position.
Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les
risques auxquels peut s’exposer l’établissement de crédit, du fait des fluctuations qui
pourraient affecter les prix des instruments financiers, font l’objet d’une évaluation
appropriée et d’une surveillance régulière.
La mesure des risques de marché doit être effectuée de façon à en cerner les diverses
composantes et ce, par le recours à des procédés qui permettent une agrégation, aussi
bien sur une base individuelle que consolidée, de l’ensemble des positions relatives à
des instruments financiers ou à des marchés différents.
Des évaluations régulières, notamment en cas de fortes variations affectant un marché
ou l'un de ses segments, doivent être effectuées pour suivre l’évolution des risques
susvisés.
Les modèles d'analyse retenus pour ces évaluations doivent, eux aussi, régulièrement
faire l’objet de révisions, à l’effet d’en apprécier la validité et la pertinence au regard de
l’évolution de l’activité, de l’environnement des marchés et des techniques d’analyse.

Le système de mesure des risques de marché.


La mesure des risques de marché représente un aspect sensible de l’ensemble du
dispositif. Les opérations qui génèrent ces risques correspondent, en effet, à une part
importante de l’activité des banques.
Il s’agit, pour une opération donnée, du risque de taux d’intérêt pris dans toutes ses
composantes ainsi que du risque de change.
Les systèmes et procédures mis en place pour en assurer la maîtrise devront
permettre, entre autres, de:

60
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ appréhender quotidiennement les positions détenues en chaque instrument et en


calculer les résultats;
ƒ mesurer le risque de taux d’intérêt, le risque de change et le risque sur titres de
propriété liés à ces positions;
ƒ réaliser un suivi quotidien et une évaluation au prix du marché de toutes les
opérations de change ou de taux et mesurer l’adéquation des fonds propres de la
Banque aux risques résultant des opérations portant sur le portefeuille de
négociation (calcul d’une « Value At Risk » fondée sur la notion de perte potentielle
maximale « worst case »);
ƒ agréger sur une base homogène toutes les positions, quels que soient les produits et
les marchés, cette mesure globale étant fondée elle aussi sur la notion de perte
potentielle maximale « worst case »;
ƒ élaborer régulièrement des scénarios catastrophes ou de crise (« stress case »)
mesurant les conséquences des situations exceptionnelles. Les résultats en sont
communiqués au Directoire qui en informera le Conseil de Surveillance;
ƒ procéder au moins une fois par mois au rapprochement des résultats comptables et
des résultats de gestion et analyser les écarts constatés.
ƒ s’assurer du respect des limites et des procédures internes mises en place pour la
maîtrise de ces risques.

Le système de surveillance et de maîtrise des risques.


Ce système exige la mise en place de limites internes pour l’ensemble des risques
mesurables. Ces limites permettent d’encadrer a priori les expositions et de vérifier a
posteriori leur bonne utilisation. Elles doivent faire l’objet d’une revue au minimum
annuelle et doivent être complétées par un système de déclaration de franchissement
de seuil.
Une distinction s'opère entre deux types de limites qui doivent, en tout état de cause,
couvrir toutes les natures de risques et permettre leur agrégation :
ƒ Les limites globales : accordées au niveau de la direction générale, elles sont
généralement exprimées, en ce qui concerne les activités de marché, en termes
d’exigences de fonds propres ou de Value At Risk.
ƒ Les limites opérationnelles : qui peuvent être exprimées en nominal, en terme de
stop-loss, de sensibilité….
Il faut que ces deux systèmes de limites soient cohérents.
Le suivi des expositions doit être permanent; chaque échelon de surveillance doit
disposer d’un système de reporting, clair et efficace, dans le respect des formats définis
par écrit, afin d’informer l’ensemble des niveaux hiérarchiques.
Tout manquement constaté aux règles doit être identifié et analysé. Ces travaux doivent
déboucher sur la prise de mesures correctrices qui devront être effectivement mises en
œuvre; elles devront avant tout faire l’objet de tests.

61
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les mesures correctrices pourront comporter soit l’octroi de limites supplémentaires


accordées selon une procédure prédéfinie par la hiérarchie, soit le débouclement des
positions permettant le retour à l’intérieur des limites notifiées.
3. Au niveau de la gestion du risque global de taux d'intérêt.
Le risque de taux d’intérêt global pour une banque se définit comme le risque encouru
en cas de variation des taux d’intérêt du fait de l’ensemble de ses opérations bilan et
hors bilan ainsi que celles de ses filiales.
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre,
entre autres de :
s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif,
du passif et du hors bilan de l’établissement de crédit, du fait d’une évolution
défavorable des taux d’intérêt, sont correctement mesurés et font l’objet d’une
surveillance régulière et adéquate,
disposer d’une gestion actif/passif (ALM: Asset Liability Management) permettant
d’appréhender les positions et les flux certains et prévisibles résultant de ces
opérations ainsi que les différents facteurs de risques de taux d’intérêt global en
découlant et d’évaluer l’impact des facteurs significatifs sur les résultats et les fonds
propres de la Banque,
choisir des paramètres et des hypothèses pour l’évaluation du risque global de taux
d’intérêt en tenant compte du niveau d’activité de l’établissement de crédit sur les
différents marchés,
réexaminer périodiquement ces hypothèses pour s’assurer de leur cohérence et de
leur validité au regard de l’évolution de la structure des activités exercées et des
conditions du marché,
évaluer, à partir de scénarios catastrophes «stress case» revus périodiquement, les
conséquences des situations exceptionnelles sur les résultats et les fonds propres
de la banque. Les résultats en sont communiqués au Directoire qui en informera le
Conseil de Surveillance.
Les indicateurs de mesure du risque de taux regroupent :
L'assiette du risque est constituée des actifs et passifs à taux fixes et des actifs
et passifs à taux variables, de la duration et sensibilité ainsi que des écarts
correspondants;
Les calculs de marges basés sur les encours précédents, notamment les marges
acquises sur les encours à taux fixe et variable ainsi que la marge totale en
fonction du taux moyen de l'actif et du passif;
Les analyses de sensibilité de la marge d'intérêt en fonction des scénarii
d'évolution des taux.
Ces indicateurs nécessitent toutefois de connaître l'échéance de toutes les opérations.
Chose qui se révèle néanmoins inaccessible pour les banques marocaines vu que les
outils mis en place pour appréhender le risque de taux, pour celles qui en disposent

62
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

déjà, sont tenus sur des supports manuels et se révèlent impuissantes à opérer des
modélisations de séries statistiques complexes, volumineuses et multicritères.
Le risque de taux est évoqué généralement en tant que risque de marché. Ce ci pourrait
être partiellement vrai, mais, il serait tentant d'englober dans le même cadre le risque de
taux global ou structurel et le risque de marché.
Les modèles de risque de marché sont fondés généralement sur trois principes : le
portefeuille peut être valorisé à tout moment de façon incontestable (valeur de marché,
market-to-market). Les positions peuvent être rapidement soldées. Un historique de
quelques années décrit suffisamment des variations de marché pour se faire une bonne
idée des risques futurs.
Or aucun, des trois principes de marché n'est transposable au "portefeuille bancaire"
des dépôts et crédits de la clientèle : la valeur du portefeuille bancaire est celle à
laquelle on trouve un acquéreur. Rien n'implique qu'elle corresponde à la juste valeur
actuarielle qui fait si souvent foi sur les marchés. Aucun lien simple et objectif n'existe
entre cette valeur du portefeuille bancaire et le niveau présent ou anticipé des taux
d'intérêt.
Si une forte baisse des taux advenait, aucun réseau bancaire ne pourrait
raisonnablement, ni en dix jours, ni même en dix mois, se défaire de ses dépôts. Le stop
Loss (variable statistique permettant de déterminer le montant maximum de perte
tolérée) n'est pas un concept applicable aux réseaux bancaires.
C'est pourquoi, la circulaire N°6 sépare le risque de taux des activités de marché du
risque de taux global.
La position structurelle de taux recèle des risques majeurs surtout en cas de très forte et
très durable variation des taux d'intérêt. Pour une banque de dépôt, par exemple, le
scénario fâcheux serait une forte baisse des taux suivie d'une longue période de taux
bas. Quel historique indique aujourd'hui ce que pourrait être l'ampleur statistique d'un tel
phénomène, et quelle serait sur plusieurs années l'attitude de ses clients ?
Une bonne partie des difficultés à appréhender concernant le risque de taux structurel
réside dans les innombrables options cachées vendues (implicitement ou non) aux
clients : dépôts ou retrait des fonds sur les comptes à vue, remboursement par
anticipation des crédits, modification des taux réglementés, options diverses de
l'épargne logement….
Mêmes parfaitement modélisées, ces options ne pourraient pas être parfaitement
couvertes. En effet, toutes les couvertures d'option partent du principe que le client
auquel on a vendu ces options aura un comportement financièrement rationnel.
Par exemple, le jour où ses droits à prêt d'épargne-logement seront moins chers que les
taux de crédit normaux, il devrait immédiatement emprunter le maximum via ses droits.
Il apparaît dès lors que la modélisation des options cachées passe par une modélisation
comportementale des clients, ce qui est loin d'être un indicateur efficace d'une
couverture parfaite contre le risque de taux global.
Compte tenu de ces difficultés, un risque de taux global persiste, même après
couverture éventuelle, et il est légitime d'envisager une exigence en fonds propres pour

63
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

couvrir ce risque résiduel. L'objectif d'une exigence en fonds propres est de couvrir un
risque de perte extrême.
Les banques qui se sont dotées d'une gestion actif-passif ont eu à fixer les modalités de
leur couverture (montants, durées, instruments utilisés). Si les montants ont vocation à
ressembler à ceux des postes couverts, et si les instruments disponibles ne sont pas
innombrables, les choix d'horizon de temps pour les couvertures sont moins évidents à
établir; Ils peuvent être étayés par des études statistiques (lois d'écoulement du passif à
vue), des hypothèses de déformation à venir du bilan (nouvelle production) ou autres
considérations financières ou commerciales.

4. Au niveau de la gestion du risque de liquidité.


Le risque de liquidité se définit comme le risque de ne pas pouvoir faire face à ses
engagements ou de ne pas pouvoir dénouer ou compenser une position en raison de la
situation du marché.
Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que
l’établissement de crédit est en mesure de faire face, à tout moment, à ses exigibilités et
d’honorer ses engagements de financement envers la clientèle.
La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à
des échéances déterminées doivent être évaluées de manière correcte, en tenant
compte notamment de l'incidence des fluctuations des marchés de capitaux.
Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement, en
particulier les lignes de crédit ouvertes par les correspondants, doivent être revues
périodiquement afin de tenir compte des éventuels changements qui pourraient affecter
la situation ou la renommée de l’établissement lui-même ou la situation financière ou
juridique de ces correspondants.
A l'instar du calcul des indicateurs de risque de taux, le suivi du risque de liquidité
repose sur des analyses simplifiées menées pour certains établissements sur des
prototypes ALM permettant le calcul des indicateurs de risque de liquidité, notamment
l'impasse de liquidité.
De manière générale, les banques contrôlent leur aptitude à faire face à leurs exigibilités
et à leurs engagements de financements envers la clientèle à travers le calcul et
l'analyse du coefficient de liquidité.
Le principe de mesure de la liquidité est basé sur un flux à recevoir et à payer sur le
court terme pour identifier tout problème potentiel. La méthodologie est proche de celle
de la mesure du risque de taux d'intérêt par la construction d'un échéancier faisant
ressortir les impasses.
Mais l’échéancier doit être construit en tenant compte des échéances de
remboursement et non des échéances de renouvellement de taux. Les bandes doivent
être beaucoup plus étroites pour les prévisions à très court terme.

64
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

La construction de cet échéancier va poser des difficultés liées à la date de


remboursement de certaines créances et dettes : dépôts à vue de la clientèle,
découverts, comptes d'épargnes etc. La problématique des options cachées va s'ajouter
au remboursement anticipé des crédits et dépôts à terme.
Les actifs négociables sur un marché liquide, tels les bons du Trésor et les actions
faisant partie d'un indice boursier, peuvent être considérés comme des réserves de
liquidités. Leur degré de liquidité doit être soigneusement évalué, de même que le prix
probable de vente sachant qu'une vente "forcée" ou "catastrophe", pour faire face à une
crise de liquidité, risque fort de se traduire par une perte. Il est d'usage, pour tenir
compte de cette perte probable, d'appliquer une décote à la valeur de marché des titres.

5. Au niveau de la gestion du risque de règlement.


Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les
différentes phases du processus de règlement sont identifiées et font l’objet d’une
attention particulière, notamment l'heure limite pour l'annulation unilatérale de
l'instruction de paiement, l'échéance de la réception effective des fonds relatifs à
l'instrument acheté et le moment où la réception de ces fonds ou instruments est
confirmée.

6. Au niveau de la gestion du risque du système d’information.


Le dispositif de contrôle des risques liés au système d’information doit assurer un
niveau de sécurité jugé satisfaisant par rapport aux normes technologiques et aux
exigences du métier.
Le niveau de sécurité des systèmes d'information est évalué en fonction de :
la disponibilité, c'est-à-dire la continuité du service et la mise en place de
procédures d'urgence ainsi que du matériel et des logiciels de secours
informatiques en cas de difficultés graves ou de dysfonctionnement du système
d'information ou à la survenance d'événements pouvant le rendre inopérant.
l'intégrité, c'est-à-dire la fiabilité des informations et des traitements;
la confidentialité des informations;
la piste d’audit ou la possibilité de contrôle et de preuve qui s’applique à la
conservation des informations dans des conditions présentant le maximum de
sécurité contre les risques de détérioration, de manipulation ou de vol et à la
documentation relative aux analyses, à la programmation et à l'exécution des
traitements.
La conformité aux exigences réglementaires.

65
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

7. Au niveau de la gestion du risque juridique.


Il s’agit, pour la banque, du risque de tout litige avec une contrepartie résultant de toute
imprécision, lacune ou insuffisance de nature quelconque susceptible d’être imputable à
la banque au titre de ses opérations.
Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats
et les autres actes de nature juridique liant l’établissement de crédit à toute contrepartie
sont rédigés et conclus dans le respect des dispositions légales et réglementaires en
vigueur et sont soumis à un contrôle strict en vue de parer à toutes insuffisances,
imprécisions ou lacunes.

8. Au niveau de la gestion du risque comptable.


Le dispositif de contrôle de la comptabilité doit permettre aux établissements de crédit
de s'assurer de la fiabilité et de l'exhaustivité de leurs données comptables et
financières et de veiller à la disponibilité de l’information au moment opportun.
La mise en place de ce dispositif doit se faire dans le respect notamment des
prescriptions du plan comptable des établissements de crédit.
Les modalités d’enregistrement comptable des opérations doivent prévoir un ensemble
de procédures, appelé piste d'audit, qui permet :
• de reconstituer les opérations selon un ordre chronologique;
• de justifier toute information par une pièce d'origine à partir de laquelle il doit être
possible de remonter par un cheminement ininterrompu au document de synthèse et
réciproquement;
• d'expliquer l'évolution des soldes d'un arrêté à l'autre par conservation des
mouvements ayant affecté les postes comptables.
Les opérations qui comportent des risques de marché doivent donner lieu, à tout le
moins à la date d'arrêté de fin de mois, à un rapprochement entre les résultats calculés
par les unités opérationnelles et les résultats comptables obtenus sur la base des règles
d'évaluation en vigueur.
Les écarts significatifs constatés doivent être justifiés et portés à la connaissance de
l’organe de direction.

Des évaluations régulières du système d'information comptable et de traitement de


l’information doivent être effectuées en vue de s’assurer de sa pertinence au regard des
objectifs généraux de prudence et de sécurité et de la conformité aux normes
comptables en vigueur.

9. Au niveau de la gestion du risque pays.


C’est le risque qu’un emprunteur public ou privé d’un pays donné ne soit plus en mesure
de remplir ses obligations en devises étrangères ou à l’égard de ses créanciers

66
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

étrangers ou que la valeur des actifs détenus par ces mêmes créanciers étrangers
diminue soudainement et substantiellement.
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre,
entre autres, de:
• mesurer le niveau du risque par pays en fonction de la nature des opérations, de leur
durée et de la classification des pays,
• encadrer ces risques par un jeu de limites,
• suivre l’évolution de l’utilisation de ces limites.

10. Au niveau de la gestion des autres risques opérationnels.


Il s’agit, pour la banque, des risques résultant d’insuffisances de conception,
d’organisation et de mise en œuvre des procédures d’enregistrement dans le système
comptable ou d’information, de l’ensemble des événements relatifs aux opérations des
établissements bancaires.
Par définition, ces risques se distinguent des risques générés normalement par l’activité
(marchés, contreparties, pays ...) ou à caractère spécifique (juridique, informatique,...).
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre
de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances,
de quelque ordre que ce soit, sont identifiés et font l’objet de mesures de nature à en
limiter la survenance et l’impact sur le fonctionnement global de l’établissement.
A travers plusieurs situations catastrophes dont on a cité quelques exemples, les
risques opérationnels se sont révélés plus dangereux que prévus. L'organe délibérant
doit de ce fait, être conscient que le risque opérationnel est une catégorie de risque à
part entière, surtout que les fonds propres de la banque peuvent ne pas permettre de
couvrir des pertes démesurées dues à une déficience en matière de contrôle.
La gestion des risques opérationnels aussi bien en interne que conformément aux
exigences prudentielles, en est encore à ses débuts. Des efforts ont été néanmoins
entrepris par certaines banques marocaines en vue de se doter d'outils pertinents
capables de renseigner sur la survenance de tout risque de nature opérationnelle, et ce
quelle que soit son origine ou sa localisation. Ce nouveau système est en cours de mise
en place et sa fiabilité ne pourrait toutefois être suffisamment appréciée qu'au cours des
années ultérieures.
Le système d'information paraît dans ce sens jouer un rôle clé pour communiquer les
objectifs de la banque en matière de risque. Il est évident que l'efficacité d'un bon
contrôle interne dans ce domaine repose sur la fiabilité du système d'information pour
maintenir une culture de contrôle et pour s'assurer que l'ensemble du personnel adhère
à ces objectifs.
Certaines banques ont eu l'idée de constituer une base de données interne incluant tous
les événements de pertes occasionnées dans le cadre de l'exercice des activités de la
banque. Ces événements doivent néanmoins être identifiés de manière exhaustive et

67
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

intègre. D'où le rôle déterminant qu'aura à jouer aussi bien l'inspection générale et
l'audit interne que les reporting en interne.
Le système de collecte et de reporting doit être une partie intégrante des procédures
opérationnelles. A cet effet, la notion de contrôle de deuxième niveau devrait être bien
développée et communiquée à tous les responsables opérationnels, étant donné qu'une
bonne maîtrise de ce risque passe par la qualité de contrôle opéré à ce niveau.
Ces exigences ne peuvent que renforcer le rôle indéniable du "risk manager" chargé du
suivi et de l'analyse de tous les événements de pertes identifiés à travers le système
interne d'information.

L’intégration du risque opérationnel dans la cartographie des risques.

Le risque opérationnel est intimement lié à l’organisation au sens large de l’entreprise.


Dans la mesure où les outils de modélisation des processus intègrent déjà les tâches,
les acteurs (internes comme externes), les moyens informatiques. Un référentiel ou une
cartographie de processus fournit une structure d’accueil naturelle à la cartographie des
risques opérationnels.
Il était donc logique d'intégrer cette approche risque. Ce ci revient à définir dans un
premier temps des modèles de cartographie des risques (de type famille, sous-famille
de risque), de qualifier ces risques (fréquence, niveau de criticité,…) et de les rattacher
aux éléments concernés du référentiel (tâche, acteur, système, processus...).
Cette photographie permet ensuite de s'attaquer à la réduction de l'exposition : on
pourra par exemple croiser la cartographie des risques avec les polices d’assurance en
vue d’optimiser la couverture ou encore y intégrer les actions préventives afin de mettre
en évidence leur incidence sur le niveau de risque.

Cartographie des risques opérationnels.

Conformément aux pratiques issues des travaux du Comité de Bâle, les banques sont
tenues de cartographier leurs unités métier, fonctions organisationnelles ou processus
par catégorie de risque.
Le système interne de mesure du risque opérationnel doit être étroitement associé à la
gestion quotidienne des risques de l'établissement. Les données produites doivent faire
partie intégrante de ses processus de surveillance et de contrôle de son profil de risque
opérationnel.
L'exposition au risque opérationnel et les pertes subies doivent être régulièrement
notifiées à la direction de la banque concernée, à la direction générale et au conseil
d'administration.

ƒ Principes directeurs :
Obligations des directions : chaque direction de la banque est tenue de produire
et de tenir à jour la cartographie des risques opérationnels attachés à la mise en
œuvre de ses activités ou processus.
Le Risk Manager est responsable de la réalisation et des résultats de sa

68
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

cartographie, qu’il fait valider par le Comité des Risques Opérationnels ou le


Comité de Contrôle Interne.
Cartographie des risques opérationnels : élaborer une cartographie des risques
opérationnels consiste, par une approche essentiellement qualitative, à évaluer
l’exposition d’une entité à ses risques, dans l’ensemble des métiers et fonctions
(opérationnelles et support) exercés, afin de focaliser les dispositifs de
prévention et de surveillance sur les processus / fonctions les plus sensibles de
l’entité.
Elle est une composante du Tableau de Bord Risques de la banque, destiné au
management. Elle lui permet de décider des actions à mener pour gérer ces
risques : assumer, éviter, prévenir (réduire la fréquence), atténuer (réduire
l’impact) ou transférer (assurance).

ƒ Finalités :
La cartographie des risques opérationnels a pour objectifs de :
Identifier les risques opérationnels par métiers, domaines, ou processus, selon
deux natures :
Les risques à fréquence importante et à faible impact (risques
récurrents ou attendus “Expected Losses”).
Les risques rares à fort impact (risques exceptionnels “Unexpected
Losses”).
Evaluer périodiquement et hiérarchiser les risques opérationnels portés par les
processus au sein des métiers, selon une approche structurée et formalisée,
s’appuyant sur une méthodologie et des nomenclatures communes à l’ensemble
de la banque;
Etablir une synthèse dégageant les risques majeurs et/ou les processus les plus
sensibles, lesquels seront à surveiller à l’aide d’indicateurs des risques clés "Key
Risk Indicators" (à définir par les Directions);
Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des
risques;
Satisfaire aux critères qualitatifs d’éligibilité édictés par Bâle II, pour être autorisé
à appliquer les méthodes avancées de calcul des fonds propres économiques.

ƒ Démarche

Les résultats attendus : la cartographie fournit, processus par processus,


l’exposition aux risques opérationnels pour chaque catégorie de risque de la
typologie Bâle II, et permet ainsi au management de l’entité de connaître ses
principales zones de vulnérabilité et d’appliquer une gestion différenciée par
nature de risque.

69
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Composants de l’évaluation.
Cette exposition est évaluée par une cotation prospective des risques, en fréquence et
en impact, basée sur le niveau de perte potentielle. Elle est décrite par trois
composants:
le risque récurrent, ou attendu (fréquence élevée, faible impact unitaire): est
évalué, en tenant compte du niveau des contrôles permanents, par le montant
des pertes récurrentes attendues à horizon d’un an et / ou par le niveau de
nuisance des impacts non financiers (risque d’image, risque réglementaire,
sanctions pénales). Exemples : risque d’erreurs de bourse, risque de fraude à la
carte bancaire, intérêts de retard pour paiements tardifs.12

le risque exceptionnel (fréquence faible, impact élevé) : est évalué, en cas de


défaillance grave des contrôles permanents ou d’événement(s) externe(s)
exceptionnel(s), par le montant de la perte potentielle maximale et / ou par
l’importance de l’impact non financier, dont la fréquence varie de moins d’une
fois par an à une fois tous les dix ans. Exemples : dissimulations de position,
départ de personne clé, pannes informatiques sérieuses, amendes
réglementaires majeures …

12
“Sound practices for the management and supervision of operational Risk” (février 2003) - Risk Management :
Identification, Assessment, Monitoring and Mitigation/ Control…

70
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

analyse de scénario : pour être complet, un troisième type de risque


opérationnel est à prendre en compte. Il s’agit d’un risque particulièrement rare
ou sévère, mais plausible, ou transverse à un ensemble de métiers et de
processus. Destiné notamment à préciser le profil de la queue de distribution de
pertes, il est évalué par des professionnels expérimentés ou des groupes
d’experts du risque à partir de méthode d’analyse de scénario 13 Exemple :
terrorisme, défaillance complète des systèmes de place, …
le niveau de maîtrise des risques 14 : est évalué par une appréciation de
l’ensemble des dispositifs de contrôles permanents (1er et 2ème degré
uniquement) que les établissements de crédit sont tenus de mettre en œuvre
pour assurer la maîtrise de leurs risques.

11. Au niveau de la gestion du risque de non-conformité.

11.1 - Les établissements de crédit ont d’ores et déjà pris des dispositions
pour réduire le risque de non-conformité.

Les banques, ont amélioré depuis plusieurs années leurs dispositifs de veille
réglementaire afin d’approfondir la connaissance de la réglementation par leurs salariés
et de formaliser davantage les procédures de contrôle de la conformité de leurs
décisions à la réglementation ou aux lois.
Comme le relève le Comité de Bâle, le risque de non-conformité fait désormais l’objet
d’une gestion plus formalisée et identifiée de la part des établissements15.
Ce constat rejoint l’appréciation qui peut être portée sur la situation des banques à
l’échelon international en la matière.
En effet, il ressort que ces banques ont toutes engagé, à des degrés divers, une
réflexion quant aux modalités d’organisation d’un dispositif permettant de s’assurer de la
conformité de leurs activités à la réglementation, à la loi, aux normes ou aux usages
professionnels. La quasi-totalité des grands établissements se sont déjà dotés d’un
responsable de la conformité (le titre étant variable selon les établissements :
responsable de la conformité ou « compliance officer », déontologue…).
Les établissements de crédit apparaissent cependant avoir des définitions hétérogènes
de la conformité. Chez un certain nombre d’entre eux, le champ d’intervention du
responsable désigné de la compliance se limite à la supervision du dispositif de
prévention du blanchiment et à la déontologie.
Plusieurs de ces établissements ont élaboré des procédures précisant les modalités du
suivi de ce risque, voire une charte de la conformité.

13 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 675 “Scenario analysis”
14 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 676« Business environment and internal control factor »
15 1 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques « Consultative Document on the Compliance Function
in Banks ». « Sound Practices for the Management and Supervision of Operational Risk » – « Saines pratiques de gestion et de contrôle du risque opérationnel » (février 2003)
point 2.

71
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Enfin, quelques établissements, plus avancés encore, ont d’ores et déjà construit un
état spécifique pour le suivi du risque de non-conformité. Ceci permet d’informer
régulièrement les niveaux les plus élevés de l’établissement du niveau de maîtrise de ce
risque ainsi que de tout événement significatif relevant de cette problématique.

11.2 - Un contexte international et réglementaire en évolution.


Si l’on reprend la définition du risque opérationnel « risque de pertes résultant de
carences ou de défaillances attribuables à des procédures, personnels et systèmes
internes ou à des événements extérieurs, y compris le risque juridique mais à l’exclusion
des risques stratégiques et d’atteinte à la réputation »16, on peut considérer que le
risque de non-conformité en relève, à tout le moins en partie.
Le Comité de Bâle a entrepris des travaux spécifiques sur la conformité. En effet, un
groupe de travail consacré à la fonction de conformité dans les banques a été constitué
et a publié en octobre 2003 un document consultatif. Ce texte, qui a pour objet
d’identifier les meilleures pratiques dans ce domaine et d’en favoriser la diffusion,
énonce onze principes concernant la conformité.
L’objectif du Comité de Bâle, en publiant pour consultation un tel document, est de
favoriser la diffusion, au sein des établissements de crédit, d’une «culture de
conformité» afin qu’elle se traduise, formellement (charte de conformité), par une
attention accrue portée à ce risque.
L’intention du Comité de Bâle est de veiller à ce que cette fonction soit bien assurée.
L’attention des établissements est attirée sur le fait qu’il s’agit - par nature - d’une
fonction indépendante des activités opérationnelles, dont le rattachement hiérarchique
doit être très élevé, mais dont le fonctionnement est inclus dans le champ d’investigation
de l’audit interne.
11.3 - Pistes possibles pour limiter le risque de non-conformité.
À partir des travaux engagés par le Comité de Bâle et de la pratique de nombreux
établissements bancaires en la matière, il est possible de définir des pistes de réflexion
sur les caractéristiques que pourrait présenter une fonction en charge de la mesure, de
la maîtrise et du contrôle du risque de non-conformité.
ƒ La supervision bancaire contribue fortement à la mise en œuvre d’une fonction
interne de contrôle de la conformité dans le cadre du dispositif général du contrôle
interne permanent des opérations.
ƒ Un champ exhaustif d’exercice de la fonction couvrant tous les secteurs, toutes
les zones géographiques et tous les contextes réglementaires du groupe.
ƒ Une contribution générale au renforcement d’une culture de la conformité.
ƒ Une activité de conseil et de contrôle ex ante.

16
formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003

72
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ La mise en œuvre d’une information interne fiable et synthétique afin de


hiérarchiser les risques et de s’assurer que la politique de conformité mise en oeuvre
permet de détecter les éventuelles anomalies et surtout de les prévenir.
ƒ Une indépendance à assurer.
ƒ Une fonction qui devra être adaptée à la nature de chaque établissement.
ƒ Une implication des plus hautes instances de l’établissement.
ƒ La fonction de conformité doit disposer de moyens suffisants.
ƒ Une fonction « auditable ».

73
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Conclusion du chapitre 1.
Depuis quelques années, les risques bancaires sont devenus plus nombreux et leur
nature a évolué : les produits bancaires sont de plus en plus diversifiés, les
contreparties évoluent et la volumétrie des opérations s’est considérablement accrue.

Ce constat suggère en outre, trois évolutions majeures :

• Il y a quelques années, seul le risque de crédit faisait l’objet d’un véritable suivi par
les autorités de contrôle. En 1995, la réglementation internationale a imposé un suivi
spécifique des risques de marché. Le Comité de Bâle demande aujourd’hui aux
banques une démarche identique pour les risques opérationnels.

• L’apparition de ce qu’on a appelé la « nouvelle économie », la mondialisation de la


sphère financière et la rapidité croissante des modes de diffusion des informations
ont eu comme conséquence une sensible augmentation de la volatilité des marchés,
et par contagion, de l’économie réelle.

• La gestion des risques n'est évidemment pas nouvelle : son existence coïncide avec
celle de l'activité bancaire même. L'élément nouveau est la complexité croissante qui
la caractérise, rendant ainsi le secteur plus vulnérable. Les instruments classiques
de couverture ne semblent par ailleurs plus adaptés face aux nouvelles donnes de
l'environnement financier.

Dans l'ensemble, le secteur bancaire souffre encore de quelques lacunes qui pourraient
témoigner d'une certaine fragilité de leur structure de contrôle et d'audit interne. Certes,
les efforts consentis jusqu'ici témoignent d'une volonté commune et sans équivoque
visant à mieux cerner les risques bancaires.

En même temps, cet effort ne sera vraisemblablement salutaire que s'il dépasse le
stade de l'analyse statique des risques en portefeuille pour accéder à une vision plutôt
dynamique et évolutive de la gestion des risques bancaires.

Une fois que le niveau des risques inhérents a été ainsi estimé, l’auditeur en
collaboration avec le risk manager doit comprendre comment ceux-ci sont gérés et
contrôlés. Autrement dit, il doit apprécier l’adéquation et l’efficacité des mesures prises
par la banque en vue de minimiser les risques encourus.

Si donc l’importance du risque se définit par le risque inhérent, la capacité de gérer ce


risque se définit par le risque de contrôle. La conjonction des niveaux estimés du risque
inhérent et du risque de contrôle permet ensuite à l’auditeur de déterminer l’étendue, la
périodicité et les méthodes de vérification qu’il doit entreprendre, en accord avec les
principes de la profession.

Ainsi, la mise en place d’un audit systémique des multi risques bancaires est à
tout point de vue reconnu comme un préalable, entre autres, au développement sain
des activités bancaires.

74
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

75
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 2 :

Spécificités de l'audit bancaire.

76
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 2 : Spécificités de l'audit bancaire.

Introduction.
La complexité de la gestion moderne, les exigences requises pour le maintien de la
bonne organisation et le désir des dirigeants de s'assurer des vertus des systèmes de
contrôle interne, ont favorisé l'épanouissement des activités de l'audit.
Le vocable d'audit, d'origine anglaise, décrivant la perception par le sens de l’ouie, est
une activité dont la signification recouvre, à la fois, celles de vérification, d'examen, de
contrôle, de conseil, d'inspection et de révision et les dépasse même.
On peut ainsi définir l’audit comme une démarche spécifique d’investigation et
d’évaluation à partir d’un référentiel, incluant un diagnostic et conduisant éventuellement
à des recommandations. Ce dernier aspect est en quelque sorte une extension de la
notion puisque l’audit consiste en un éclairage sur une situation à risque, un instrument
d’aide à la décision.

La notion d’audit est large, d’une part parce que la méthode est définie par l’auditeur lui
même (la qualité repose sur le savoir-faire), et d’autre part parce que la nature et le type
de l’audit sont diverses.

Selon la nature de la situation, correspondra un type d’audit (comptable, financier…).


Nous nous attacherons, dans ce chapitre à la présentation de l’audit bancaire qui
présente quelques spécificités de part les particularités de l’environnement analysé. Il
en découle une pluridisciplinarité des champs observés : ressources humaines, système
d'information, comptabilité, activités de marché … .

De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Ceci entraîne des particularités pour l’auditeur concernant la manière d’observer,
l’interprétation des résultats et les difficultés d’élaboration d’un système de référence.

Nous allons tenter de cerner le contenu du concept d'audit en général, et celui d'audit
bancaire en particulier. L'audit systémique quant à lui, sera présenté au chapitre suivant.

Section1 : Principes d'audit en général.

1. Définitions de l’audit interne.


Le mot audit nous vient du latin par l'anglais ! En latin : audio - audire signifie : écouter
entendre, et, par extension : donner audience.
Dans l'utilisation anglaise du mot, au XIX siècle et dans le domaine de la comptabilité et
de la gestion financière, c'est le sens de vérification et contrôle par une observation
attentive et minutieuse qui domine. L'auditeur est, dans ce cas, un "commissaire aux
comptes" qui, par des procédures adéquates, "s'assure du caractère complet, sincère et

77
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

régulier des comptes d'une entreprise, s'en porte garant auprès des divers partenaires
intéressés de la firme et, plus généralement, porte un jugement sur la qualité et la
rigueur de sa gestion" (dictionnaire La rousse en cinq volumes).

Dès cet emploi, on a trois caractéristiques de ce qu'est un audit quels que soient le
domaine où il s'applique et l'évolution des pratiques :
une activité spécialisée et comportant une certaine distance, une marge d'extériorité
par rapport à la chose examinée,
« C’est l’activité qui appliquée, en toute indépendance des procédures cohérentes et
des normes d’examen en vue dévaluer l’adéquation et le fonctionnement de toute ou
partie des actions menées dans une organisation par référence à des normes» (M.
Gervais).
« L’audit interne est un dispositif interne à l’entreprise qui vise à :
Apprécier l’exactitude et la sincérité des informations notamment comptables,
Assurer la sincérité physique et comptable des opérations,
Garantir l’intégrité du patrimoine,
Juger de l’efficacité des systèmes d’informations »
« Réalisé par un service de l’entreprise, l’audit interne consiste à vérifier si les règles
édictées par l’entreprise elle-même sont respectées ».
« L’audit interne est le département d’une entreprise chargé d’examiner et d’évaluer
le contrôle interne dans tous les domaines et à tous les niveaux. Au delà de ce rôle
traditionnel, il peut aussi assumer une fonction de conseil».
« L’audit interne est une fonction d’expertise indépendante au sein de l’entreprise,
assistant la direction de celle-ci pour le contrôle général de ses activités »
(L’IFACI)17.
« L’audit interne est à l’intérieur d’une organisation une fonction indépendante
d’évaluation périodique des opérations pour le compte de l’organisation.
Audit ne signifie pas inspection : inspecter c’est observer, examiner et rendre
Compte;
Audit ne signifie pas contrôle : contrôler c’est inspecter par rapport à une
norme imposée ou une règle non remise en cause.
Auditer c’est :
ƒ contrôler par rapport à une norme à (re)bâtir et justifier,
ƒ identifier les cause de l’écart,
ƒ et proposer ce qu’il faut faire ».
L’audit interne est une activité indépendante et impartiale menée pour produire de la
valeur ajoutée pour une organisation en lui apportant assurance sur son fonctionnement
et conseils pour l’améliorer. Il aide cette organisation à atteindre ses objectifs par une
approche systématique et méthodique d’évaluation et d’amélioration des processus de
maîtrise des risques, de contrôle et de gouvernement d’entreprise, et en faisant des

17
IFACI : Institut Français de l’Audit et du Contrôle Interne.

78
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

propositions pour renforcer leur efficacité. ( Version française de la définition internationale,


approuvée le 21 mars 2000 par le Conseil d’Administration de l’Institut de l’Audit Interne).

Analyse de la définition de l’audit interne l’IIA.18


Chaque responsable doit mettre en place une organisation qui doit permettre en
permanence:
la pertinence des objectifs,
l’adéquation moyens-objectifs,
la bonne mise en œuvre des moyens,
la qualité et fiabilité des moyens,
le respect des principes, politiques et règles,
la protection et sauvegarde du patrimoine.
La déclaration des responsables de l'audit interne de l'I.I.A indique que :
L'audit interne est à l'intérieur d'une entreprise, une activité indépendante d'appréciation
du contrôle des opérations. C'est, dans ce domaine, un contrôle qui a pour fonction
d'estimer et d'évaluer l'efficacité des autres contrôles.
Son objectif est d'assister les membres de l'entreprise dans l'exercice efficace de leurs
responsabilités. Dans ce but, l'audit interne fournit des analyses, des appréciations, des
recommandations, des avis et des informations concernant les activités examinées.
Ceci inclut la promotion du contrôle efficace à un coût raisonnable.

2. Principes Fondamentaux.
Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes
fondamentaux suivants:
Intégrité.
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité
accordées à leur jugement. Les auditeurs internes :
• doivent accomplir leur mission avec honnêteté, diligence et responsabilité,
• doivent respecter la loi et les règles de la profession,
• ne doivent pas prendre part à des activités illégales ou déshonorant la profession
d’audit interne ou leur organisation,
• doivent respecter et contribuer aux objectifs éthiques de leur organisation.
Objectivité.
Les auditeurs internes doivent montrer le plus haut degré d’objectivité professionnelle
en collectant, évaluant et communiquant les informations relatives à l’activité ou au
processus examiné. Les auditeurs internes doivent évaluer de manière équitable tous
les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs
propres intérêts ou par autrui.

18
IIA : The Institute of Internal Auditors.

79
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Confidentialité.
Les auditeurs internes doivent respecter la valeur et la propriété des informations qu’ils
reçoivent. Ils ne divulguent ces informations qu’avec les autorisations requises, à moins
qu’une obligation légale ou professionnelle ne les oblige à le faire. Les auditeurs
internes :
• doivent utiliser avec prudence et protéger les informations recueillies dans le
cadre de leurs activités ;
• ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou
d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice
aux objectifs éthiques et légitimes de leur organisation.

Compétence.
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les
expériences requis pour la réalisation de leurs travaux :
• ils ne doivent s’engager que dans des travaux pour lesquels ils ont les
connaissances, le savoir faire et l’expérience nécessaires ;
• doivent réaliser leurs travaux d’audit interne dans le respect des normes pour la
pratique professionnelle de l’audit Interne19 ;
• doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de
leurs travaux.

Indépendance et impartialité.
L’auditeur n’a pas d’autorité et de responsabilité à l’égard des activités auditées. Il est
indépendant mais autocratique et doit être rattaché à une personne ou une instance
dont l’autorité lui assure la liberté de ses opinions, la liberté d’action et d’investigation et
la prise en compte de ses recommandations.

3. Positionnement de l’audit interne au sein de l’organisation.

19
Standards for the Professional Practice of Internal Auditing

80
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

La structure d’organisation des normes pour la pratique professionnelle de l’audit interne


est composée des éléments suivants :
• La déclaration des responsabilités de l’audit interne,
• Le code de déontologie,
• Les normes pour la pratique professionnelle de l’audit interne,

4. Rôle de l'audit interne et son interaction avec les acteurs du


système de contrôle interne.
Afin de sécuriser les actifs, de fiabiliser les informations, d'assurer l’efficacité des
opérations et l’efficience de l’organisation, l’audit interne doit :
• évaluer le contrôle interne et proposer des améliorations,
• établir un diagnostic sur le fonctionnement de l’entreprise,
• dresser un pronostic pour la direction et préconiser une thérapeutique.
L'audit interne joue un double rôle aussi bien pour le comité de direction que pour les
Risk managers :
Pour la direction, l'audit interne joue un rôle d'assurance sur l’application des
directives et politiques et sur la qualité du contrôle interne ;
Pour les Risk managers, l'audit interne joue un rôle de conseil pour se contrôler
et contrôler leurs entités et pour améliorer le fonctionnement de leurs entités.

Ainsi, Il en découle des attentes à deux niveaux :


L’audité attend de l’audit interne une évaluation, qu’il remonte ses problèmes et
ses contraintes et qu’il fasse preuve de pédagogie à son égard ;
La Direction, quant à elle, attend de l’audit interne l’assurance que le contrôle
interne fonctionne correctement, une appréciation sur la qualité du système
d’information et de pilotage et un jugement sur la rigueur de gestion.

4.1 - Lever la confusion : audit interne et inspection.

Caractéristiques Audit interne Inspection


Contrôle le respect des règles Contrôle le respect des
Régularité/ efficacité et leur pertinence, caractère règles sans les interpréter ni
suffisant,…… les remettre en cause.
Remonte aux causes pour S’en tient aux faits et
Méthode et objectifs élaborer des identifie les actions
recommandations pour éviter nécessaires pour les réparer
la réapparition du problème. et remettre en ordre.
Evaluation Considère que le responsable Détermine les
est toujours responsable et responsabilités : évalue le
donc critique les systèmes et comportement des hommes,
non les hommes : évalue le parfois leurs compétences et

81
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

fonctionnement des systèmes. qualités.


Service - police Privilégie le conseil et donc la Privilégie le contrôle et donc
coopération avec les audités. l’indépendance des
contrôleurs.
Sélection - sélectivité Répond aux préoccupations Investigations approfondies
du manager soucieux de et contrôles très exhaustifs,
renforcer sa maîtrise, sur éventuellement sous sa
mandat de la D.G. propre initiative.

4.2 - Lever la confusion : audit interne et risk management.

Caractéristiques Audit interne Risk management


Risques visés Risques de dysfonctionne - Risques purs : aléatoires,
-ment : transgression des accidentels, sans espérance
règles, désordres inefficacités. de gain.
Risques portant sur l’ensemble Risques portant sur les
des ressources. biens et les personnes.
Traitement des risques Identification, démonstration, Identification, résolution.
recommandation.
Contrôle interne, pratique Chiffrage coût des mesures /
Référentiel d’organisation communément fréquence (probabilité) et
adoptées. gravité (impact) des risques.
2ème : s’assure que les 1er : détecte et traite
« Niveau» responsables maîtrisent leurs (prévention, détection et
risques. correction) les risques purs.

L'audit interne doit :


aider l'organisation en identifiant et en évaluant les risques significatifs et
contribuer à l'amélioration des systèmes de management des risques et de
contrôle interne,
surveiller et évaluer l'efficacité du système de management des risques de
l'organisation,
évaluer les risques afférents au gouvernement d’entreprise, aux opérations et
aux systèmes d'information de l'organisation au regard :
ƒ de la fiabilité et l’intégrité des informations financières et opérationnelles ;
ƒ de l’efficacité et l’efficience des opérations ;
ƒ de la protection du patrimoine ;
ƒ du respect des lois, règlements et contrats.
Au cours des missions de conseil, les auditeurs internes considèrent l’ensemble des
risques rencontrés, y compris ceux qui n’entrent pas dans le périmètre de la mission,
dans la mesure où ils sont significatifs.

82
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les auditeurs internes doivent intégrer dans le processus d’identification et d’évaluation


des risques significatifs de l’organisation (cartographie des risques) les risques révélés
lors de missions de conseil.

4.3 – Interaction audit interne / contrôle interne.


L'audit interne doit aider l'organisation à maintenir un dispositif de contrôle interne
approprié en évaluant son efficacité et son efficience et en encourageant son
amélioration continue.
Sur la base des résultats de l'évaluation des risques, l'audit interne doit évaluer la
pertinence et l'efficacité du dispositif de contrôle portant sur le gouvernement
d’entreprise, les opérations et les systèmes d'information de l'organisation. Cette
évaluation doit porter sur les aspects suivants :
• la fiabilité et l’intégrité des informations financières et opérationnelles ;
• l’efficacité et l’efficience des opérations ;
• la protection du patrimoine ;
• le respect des lois, règlements et contrats.

Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle et


apprécier si les objectifs et les buts ont été atteints par le management.
Les auditeurs internes doivent prendre en compte dans le processus d’identification et
d’évaluation des risques significatifs de l’organisation, le dispositif de contrôle interne
dont ils ont eu connaissance lors de leurs missions de conseil.

4.4 – Interaction audit interne / gouvernement d’entreprise.


L'audit interne doit évaluer le processus de gouvernement d’entreprise et formuler les
recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le
processus répond aux objectifs suivants :
• promouvoir des règles et des valeurs d’éthique au sein de l’organisation ;
• garantir une gestion efficace des performances, assortie d’une obligation de rendre
compte ;
• bien communiquer au sein de l’organisation, les informations relatives aux risques et
aux contrôles ;
• fournir une information adéquate au Conseil, aux auditeurs externes et au
management, et assurer une coordination efficace de leurs activités.
• évaluer la conception, la mise en œuvre et l’efficacité des objectifs, des programmes
et des activités de l'organisation liés à l’éthique.
• veiller sur la cohérence des objectifs des missions réalisées avec les valeurs et les
objectifs généraux de l’organisation.

83
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

5. Les différents niveaux de l’audit.


Audit de conformité ou de régularité : il s’agit de contrôler la régularité par
rapport aux règles internes de l’entreprise (normes et procédures) et la
conformité avec les dispositions légales et réglementaires. Il s’agit également de
comparer la règle et la réalité, ce qui «devrait être» et «ce qui est» par rapport à
un référentiel. Le travail de l’auditeur consiste à :
• signaler les irrégularités,
• analyser les causes et conséquences,
• formuler les recommandations.
Audit de d’efficacité et de management : permet d’évaluer :
• la pertinence de l’organisation et l’efficacité de son fonctionnement,
• la pertinence des objectifs et la cohérence des actions entreprises par
rapport à la stratégie de l’entreprise.

6. La démarche l’audit interne.


Alain Meignant, consultant précise que « la spécificité de l’audit, c’est la comparaison et
la mesure d’écarts entre une pratique et un référentiel, c’est-à-dire la vérification qu’un
système est bien conforme à ce qu’il est supposé être, et l’explication des écarts
éventuels ».
La mission de l’audit c’est :
• comparer les résultats et les objectifs pour faire apparaître des écarts,
• envisager la réalité de plusieurs points de vue complémentaires.
6.1 - Objectifs opérationnels.
Pour Raymond Vatier, l’objectif de principe c’est « se prononcer sur la qualité du
système de gestion, sur les risques qu’il encourt, sur les potentialités qu’il recèle et sur
sa capacité d’anticipation ».
L’audit est un instrument de préparation aux décisions : il sert à l’information, la
vérification des données, l’objectivation, au transfert de méthodes et d’outils de pilotage
au responsable qui a un rôle pédagogique.
Définir les objectifs opérationnels de l’audit, c’est expliquer sur quoi l’audit va porter, et
comment vont s’articuler les différentes actions ou degrés d’intervention.

6.2 - Critères de l'évaluation.


L'audit s'oriente de plus en plus vers une approche intégrée globale de l'entreprise.
Chaque audit particulier doit permettre de déboucher sur un audit de direction. L'audit
de stratégie couronne l'édifice en permettant de vérifier que chacune des fonctions de
l'entreprise est efficace dans la réalisation du résultat final.

84
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

L'audit devient alors un audit de la performance et les normes d'audit se situent dans la
réalisation des quatre notions suivantes : notions d’efficacité, notion d'efficience, notion
de pertinence et notion d’économie.
Notion d'efficacité.
Une réponse positive à la question " est-ce que l'objectif est atteint ? " souvent donne
naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour
atteindre les mêmes résultats ?
L'efficacité examine le rapport entre l'effort et la performance.
L'efficacité est définie comme étant "la mesure dans laquelle un programme atteint les
buts visés ou les autres effets recherchés. 20
Notion d'efficience.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part,
et les ressources utilisées pour les produire, d'autre part.
Dans une opération basée sur l'efficience, pour tout ensemble de ressources utilisées le
produit obtenu est maximum, ou encore les moyens utilisés sont minimaux pour toute
qualité et quantité données de produits ou de services.
Notion de pertinence.
La notion de pertinence reste très subjective et difficile à mesurer. Toutefois, on pourra
admettre que la pertinence est la conformité des moyens et des actions mis en oeuvre
en vue d'atteindre un objectif donné. Autrement dit, être pertinent c'est atteindre
efficacement et d'une manière efficiente l'objectif fixé.
Notion d'économie.
Par économie, on entend les conditions dans lesquelles on acquiert des ressources
humaines et matérielles. Pour qu'une opération soit économique, l'acquisition des
ressources doit être faite d'une qualité acceptable et au coût le plus bas possible.

En résumé, on peut schématiser par une représentation triangulaire les relations entre
objectifs, moyens et résultats.

Objectifs

Pertinence Efficacité

Moyens Résultats

20
Par le "Bureau du vérificateur général du Canada".

85
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

6.3 - Les différents degrés d’intérêt de l’audit.

• Degré de réalité ou d’exactitude : comparer les faits rapportés aux pièces


existantes et vérifier que l’institution a bien réalisé ce qu’elle dit avoir fait.
• Degré de conformité aux règles : comparer les pratiques effectives avec les
procédures prescrites (législation, impératifs techniques).
• Degré de cohérence et de pertinence : vérifier que l’institution est capable de
faire ce qu’elle dit vouloir faire en comparant les objectifs visés avec les moyens
mis en œuvre.
• Degré d’efficacité : comparer les objectifs visés avec les résultats atteints.
• Degré d’efficience : vérifier l’optimisation des moyens mis en œuvre.
• Degré de potentialité et de flexibilité : savoir si l’institution peut connaître et
estimer les risques et si elle peut anticiper sur son évolution et maîtriser les
changements.

Le regroupement des degrés d’intervention permet de construire des typologies d’audit,


sachant que ces différents degrés ne sont pas toujours tous mis en œuvre.
On peut les regrouper en 3 grands groupes selon Vatier, selon le degré d’exactitude et
de conformité, les comparaisons dans le temps et l’espace (benchmarking), et enfin
l’efficacité et l’efficience. Ce qui aboutit sur l’audit de conformité, l’audit d’efficacité et
l’audit stratégique ou de management.

Pour autant, chaque audit suit le même déroulement : constat du fonctionnement et


qualité de gestion, risques et préconisations.

6.4 – Démarche méthodologique.


La démarche méthodologique de l’audit doit suivre quelques consignes, quelque soit le
type d’audit réalisé :
constat-interrogation-hypothèse-constat ;
approche systémique et examen multidisciplinaire (Cf. Partie 2) ;
constituer les repères et les systèmes de référence;
opérer des comparaisons susceptibles de mettre en évidence des écarts
significatifs et d’en apprécier la valeur;
partir des faits pour remonter vers les causes : démarche inductive;
introduire la quantification.
Quelle que soit l’approche adoptée, l’audit doit être rigoureux et répondre à des
exigences précises. Cela exige des techniques et des outils qui vont permettre à la fois
de préparer l’investigation et de formuler, analyser et interpréter des constats. Ainsi, 3
phases se distinguent : étude, vérification et conclusion.

86
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

LA DEMARCHE D’UNE MISSION D’AUDIT

Phase étude • Découvrir le sujet de l’entité à auditer


• Définir le champ de la mission

• Programmer et spécifier les vérifications


Phase vérification • Vérifier, évaluer, mesurer
• Analyser, conclure, valider et prescrire

• Valider l’ensemble et informer


Phase conclusion • Obtenir des actions et dresser un bilan des
progrès accomplis

6.4.1. La phase étude.


Cette phase permet d’observer, d’écouter, d’identifier les symptômes, de décomposer
les symptômes, les faits et les phénomènes, d’identifier les inter-relations, de les classer
et de les situer par rapport à un référentiel.
La finalité d'une telle phase est de former une vision d’ensemble de l’organisation objet
de la mission et des contrôles internes mis en place. Il s’agit, à travers l’analyse des
risques, de concentrer l’attention sur les points essentiels pour ne pas perdre le temps
sur les détails inutiles. Elle permet d'organiser et de planifier la mission en fonction des
objectifs définis par l’auditeur et de renforcer l’image de l’auditeur chez les audités en
tant que professionnel rigoureux.
La démarche adoptée durant cette phase est la prise de connaissance générale,
l'identification des risques et la définition des objectifs.

La prise de connaissance
Son objectif est double, d'abord disposer de la culture nécessaire pour comprendre
l’activité de l’organisation auditée et pouvoir « poser » les bonnes questions pour
ensuite maîtriser le sujet audité.
La prise de connaissance se fait suivant un plan d’approche organisé permettant de
prévoir les moyens les mieux appropriés pour l’atteinte des objectifs.
Pour mener à bien cette étape, l'auditeur dispose de divers moyens tels que le
questionnaire de prise de connaissance, la documentation collectée auprès de l’audité
et les entretiens avec les responsables.

87
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

L’identification des risques


Son objectif est d’identifier les risques potentiels à partir de données générales et de la
connaissance préalable de l’entité auditée, et de repérer les risques réels à partir d’un
examen attentif de l’activité et des observations relevées.
La prise de connaissance se fait suivant la "note d’orientation" qui définit les objectifs
généraux, les objectifs spécifiques et le champ d’action.
Parmi les moyens dont dispose l'auditeur, on trouve le découpage fonctionnel et
géographique de l’entité à auditer et les entretiens et investigations.
Définition des objectifs
Elle permet de formaliser les axes d’investigation de la mission et de définir ses limites,
d'exprimer les objectifs à atteindre pour le donneur d’ordre et les audités.
Elle constitue la synthèse des forces et faiblesses de l'entité, des priorités et des
préoccupations du management.
La note d’orientation permet de confirmer l’existence des forces et d’évaluer l’impact des
faiblesses. Elle ne mentionne pas les travaux d’audit qui seront répertoriés dans le
programme de vérification.

6.4.2. La phase réalisation


La feuille de révélation et d’analyse de problème (FRAP) : permet de formuler le
raisonnement de l’auditeur, de mettre en évidence les dysfonctionnements et les
solutions proposées, de conclure chaque section de travail de terrain et de
communiquer avec l’audité.
Elle doit reprendre le but de l’action prévue dans le programme de vérification et
préciser les modalités d’exécution, permettre à tout auditeur de comprendre et
d’exécuter de manière fiable et objective les actions prévues.
Les conclusions dressées doivent répondre de manière précise, concise et contrôlable
aux buts assignés à l’action.
La supervision d’une FRAP, permet de déterminer :
l’énoncé du problème : est-il immédiatement compréhensible ?
les conséquences : motiveront-elles les audités ?
les recommandations : sont-elles réalisables ?
La reformulation d'un constat en un « problème », le constat doit être :
bref et directement compréhensible : synthétique,
complet et donc redondant avec la trouvaille : Autonome,
net et facile à mémoriser : percutant.
La validation de la FRAP, il s’agit de préparer l’audit à reconnaître le problème, à
s’y faire, à l’admettre, l’avertir en premier et l’associer activement pour l’élaboration
de la recommandation : ainsi elle sera acceptée avant même d’être émise.

88
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

6.4.3. La phase conclusion

Ossature du rapport
L’ossature du rapport élaborée à partir des « problèmes » figurant sur les FRAP et des
conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est
l’enchaînement des messages que l’auditeur veut livrer lors des présentations et dans le
rapport concluant la mission. L’ossature du rapport constitue :
Le guide de rédaction du rapport d’audit interne ;
Le guide de rédaction du résumé du rapport ;
Le support de présentation.

Compte rendu final, mise au point ou débriefing


Le compte rendu final au site, appelé également mise au point ou débriefing, est la
présentation orale par le chef de mission, au principal responsable de l’entité auditée,
des observations les plus importantes. Il est effectué à la fin du travail sur le terrain.
Le compte rendu final sur site répond au souhait légitime du principal responsable de
l’entité auditée d’être informé. Il incite le responsable à agir immédiatement, en cas
d’irrégularité sans attente du rapport et peut être utilisé pour mettre en valeur la qualité
de la démarche de l’audit.
Le débriefing doit être programmé dans le cadre du travail sur le terrain. Sa préparation
se fait en tenant une réunion de synthèse de l’équipe d’audit avant d’effectuer les
dernières vérifications du travail sur le terrain.

Section2 : Particularités de l'audit bancaire.

Hier contrôleur de la régularité des traitements et des opérations, l'auditeur bancaire est
aujourd'hui un expert du diagnostic des processus opérationnels et de contrôle des
risques, un chef de projet évoluant dans un environnement complexe et un spécialiste
du métier bancaire. Ce profil en fait également un acteur majeur en matière de gestion
des risques et de création de valeur ajoutée pour la banque.

1. Principes édictés par le comité de Bâle en matière d’audit bancaire.


ƒ Surveillance des activités et correction des déficiences.
L’efficacité globale des contrôles internes de la banque devrait être surveillée en
permanence. Le suivi des principaux risques devrait faire partie des activités
quotidiennes de la banque de même que les évaluations périodiques effectuées par les
secteurs d’activité et l’audit interne.
Comme l’activité bancaire est un secteur dynamique, où tout évolue rapidement, les
banques doivent en permanence surveiller et évaluer leurs systèmes de contrôle interne

89
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

en fonction des modifications des conditions internes et externes et les renforcer, au


besoin, pour en garantir l’efficacité.
Surveiller l’efficacité des contrôles internes est une tâche qui peut être accomplie par du
personnel de plusieurs secteurs différents, dont celui en charge des opérations elles-
mêmes, le contrôle financier et l’audit interne.
Pour cette raison, il est important que la direction générale désigne clairement les
auditeurs en précisant leurs fonctions de surveillance. La surveillance devrait faire partie
des activités quotidiennes de la banque mais commande également de procéder à des
évaluations périodiques spécifiques de l’ensemble du processus de contrôle interne.
La fréquence de la surveillance des différentes activités devrait être fonction des risques
encourus ainsi que du rythme et de la nature des changements affectant
l’environnement opérationnel.
Un processus de surveillance en continu peut permettre de découvrir et de corriger
rapidement les déficiences du système de contrôle interne. Il atteint son efficacité
maximale lorsque le système de contrôle interne est intégré à l’environnement
opérationnel et donne lieu à des rapports réguliers qui font l’objet d’un examen.
Dans le cadre de la surveillance en continu figurent, par exemple, l’examen et
l’approbation des enregistrements courants ainsi que la consultation et l’approbation par
la direction des rapports sur des faits exceptionnels.
En revanche, les évaluations spécifiques ne détectent généralement les problèmes
qu’après coup; elles permettent cependant à une organisation d’avoir un aperçu récent
et global de l’efficacité du système de contrôle interne et des activités de surveillance.
Les évaluations du système de contrôle interne prennent souvent la forme d’auto-
évaluations, lorsque les personnes chargées d’une fonction précise déterminent le
degré d’efficacité des contrôles pour leurs activités.
Les documents et résultats concernant les évaluations sont ensuite soumis à l’attention
de la direction générale. Les examens effectués à tous les niveaux devraient être étayés
par une documentation adéquate et communiqués dans les meilleurs délais à l’échelon
de la direction appropriée.

ƒ Un audit interne efficace et exhaustif du système de contrôle interne.


Cet audit devrait être effectué par un personnel bien formé et compétent bénéficiant
d’une indépendance opérationnelle. La fonction d’audit interne, en tant qu’élément de la
surveillance du système de contrôle interne, devrait rendre compte directement au
conseil d’administration, ou à son comité d’audit, ainsi qu’à la direction générale.
La fonction d’audit interne constitue un élément majeur de la surveillance en continu du
système de contrôle interne, parce qu’elle fournit une évaluation indépendante du
caractère adéquat des politiques et procédures établies et du respect de la conformité à
ces dernières. Il est essentiel que la fonction d’audit interne soit indépendante du
fonctionnement de la banque au quotidien et qu’elle ait accès à l’ensemble des activités
conduites par l’organisation bancaire, y compris dans ses succursales et filiales.

90
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

En rendant compte directement au conseil d’administration ou à son comité d’audit ainsi


qu’à la direction générale, les auditeurs internes procurent des informations objectives
sur les différentes activités.
En raison de l’importance de cette fonction, l’audit interne doit être assuré par un
personnel compétent et bien formé ayant une parfaite compréhension de son rôle et de
ses responsabilités.
La fréquence et l’ampleur des examens et tests des contrôles internes effectués au sein
d’une banque par les auditeurs internes devraient correspondre à la nature et à la
complexité des activités de l’organisation et aux risques associés.
Le rattachement de la fonction d’audit interne au plus haut niveau de l’organisation
bancaire, permet à la gouvernance d’entreprise de s’exercer correctement.
Le conseil bénéficie d’informations qui ne peuvent être aucunement adaptées par les
niveaux de direction couverts par ces comptes rendus. Le conseil devrait également
renforcer l’indépendance des auditeurs internes, en faisant en sorte que des questions
ayant trait, par exemple, à leur rémunération ou aux affectations budgétaires les
concernant soient traitées par le conseil ou par les niveaux de direction supérieurs plutôt
que par des responsables qui sont affectés par les travaux des auditeurs internes.

ƒ Notification par l’audit interne des déficiences des contrôles internes au


conseil.
Les déficiences des contrôles internes, qu’elles soient détectées par un secteur
d’activité, l’audit interne ou un autre personnel de contrôle, devraient être notifiées dans
les meilleurs délais au niveau de la direction appropriée et faire l’objet d’un traitement
rapide. Les déficiences importantes devraient être signalées à la direction générale et
au conseil d’administration.
Les auditeurs internes doivent assurer un suivi ou toute autre forme appropriée de
surveillance et informer immédiatement la direction générale ou le conseil de toute
insuffisance non corrigée. Pour faire en sorte que toutes les déficiences soient traitées
au plus tôt, la direction générale devrait être responsable de l’instauration d’un système
destiné à suivre les faiblesses du contrôle interne ainsi que les actions destinées à y
remédier.
Le conseil d’administration et la direction générale doivent recevoir périodiquement des
rapports recensant les problèmes de contrôle décelés. Des points qui apparaissent peu
importants lors de contrôles individuels peuvent fort bien révéler des tendances
susceptibles, sous un angle global, de représenter une déficience de contrôle majeure si
une action n’est pas entreprise à temps.

2. Des évolutions durables.

ƒ Vers la généralisation des meilleures pratiques.


Vers la fin des années 80, on commence à parler beaucoup de contrôle interne : il s'agit
de l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrôle bien
ses opérations, qu'il n'y ait pas de problèmes de sécurité ou de fiabilité.

91
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Dans les années 90, quelques faillites célèbres alertent les autorités de tutelle
internationales. Une globalisation qui change tout. Auparavant, les banques ne
dépendaient que de la supervision des autorités nationales. Mais le système bancaire
s'est mondialisé et les autorités de tutelle se sont regroupées dans le fameux Comité de
Bâle, pour édicter des règles générales valables pour tous les pays. Et tout
naturellement, on se cale alors sur les meilleures pratiques.
Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une
règle commune beaucoup plus exigeante que les règles habituelles. Il leur faut donc se
mettre à niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent
tirer avantage de ces contraintes nouvelles en termes de productivité et de compétitivité.
Quand on maîtrise mieux ce qui se passe, on gaspille moins, on a moins de sinistres, on
connaît mieux ses clients, on sait mieux définir ses prix etc.
Dans ce contexte plus sécurisé, l'auditeur peut donc s'attacher, non plus uniquement à
tester des soldes ou des transactions ou à valider des procédures courantes, mais de
plus en plus à effectuer un diagnostic du dispositif de contrôle et de pilotage sur lequel
s'appuie la direction de la banque pour maîtriser ses risques.
Parallèlement, les sujets auxquels s'intéresse l'auditeur évoluent et sont de plus en plus
perçus comme stratégiques par ses clients en l'occurrence le top management et les
risk managers.

ƒ Les exigences croissantes des marchés financiers.


Un autre phénomène a bouleversé le métier : ce qu'on appelle aujourd'hui l'exigence de
création de valeur actionnariale. Auparavant, les banques étaient nationalisées.
L'information financière avait donc relativement peu d'importance,personne n'investissait
dans leur action.
Aujourd'hui, la situation s'est totalement inversée, la plupart des banques sont cotées et
parallèlement, les investisseurs deviennent de plus en plus exigeants. Ils réclament des
investissements plus intéressants et veulent pouvoir comprendre comment la banque
gère sa rentabilité dans le temps et quels risques elle prend.
La pression du marché pour obtenir une information pertinente est permanente. Le
périmètre de l'information fournie s'élargit donc, et dans le même temps, le champ
d'intervention de l'auditeur bancaire, qui, là encore, touche des domaines de plus en
plus stratégiques de l'entreprise tels que le contrôle des risques, les problématiques de
rentabilité ajustée des risques, la répartition des fonds propres entre les différentes
activités, etc.

3 - Contrôle interne et audit interne bancaires.

ƒ Contrôle interne bancaire.


“ Le contrôle interne est le processus mis en œuvre par le conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir l’assurance raisonnable

92
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

quant aux objectifs suivants : la réalisation et l’optimisation des opérations, la fiabilité


des opérations financières, la conformité aux lois et aux réglementations en vigueur ”. 21
Le contrôle interne se définit généralement comme l’ensemble des mesures qui, sous la
responsabilité de la direction de l’entreprise, doivent assurer, avec une certitude
raisonnable, la réalisation des éléments suivants : une conduite des affaires ordonnée et
prudente, encadrée d’objectifs bien définis; une utilisation économique et efficace des
moyens engagés; une connaissance et une maîtrise adéquate des risques en vue de
protéger le patrimoine; l’intégrité et la fiabilité de l’information financière et de celle
relative à la gestion; le respect des lois et règlements ainsi que des politiques générales,
plans d’actions et des procédures internes.
Une partie de ces mesures est axée sur la vérification et l’encouragement du respect,
par l’entreprise, des règles qui ont trait à l’intégrité de la fourniture de services
financiers. Elle porte, en d’autres termes, sur la fonction dite de compliance.
Enfin, la fonction d’audit interne est un instrument important pour vérifier le bon
fonctionnement, l’efficacité et l’efficience du contrôle interne et ce compris la fonction de
compliance.
Dans le cadre de ses travaux, l’audit interne fournit à la direction de l’entreprise des
analyses, des évaluations, des recommandations, des avis et des informations sur les
activités examinées et contribue ainsi à une meilleure gestion de l’entreprise.
Un système de contrôle interne adéquat requiert un ensemble efficace de mesures
intégrées, adaptées à l’organisation et au fonctionnement de l’établissement et
conformes aux principes d’une gestion prudente et saine.
L’objectif principal du contrôle interne est d’analyser, surveiller, détecter et prévenir les
risques auxquels les établissements bancaires sont confrontés. Les principaux risques
sont : le risque de crédit, de marché, de taux, de liquidité, de règlement, opérationnel et
juridique.
Le contrôle bancaire doit se concevoir à travers une approche préventive pour que
l’établissement exerce ses activités de manière saine et sûre. Ce contrôle ne se limite
pas au seul examen du respect des normes quantitatives, mais repose aussi sur la
qualité des dirigeants, sur la discipline de marché (par une meilleure transparence
financière) et sur la qualité du contrôle et de la maîtrise des risques par les
Etablissements bancaires.
Le contrôle interne est un système qui fonctionne en continu à tous les niveaux de la
banque. A ce titre, il constitue une composante essentielle de la gestion d’un
établissement et un élément de la culture de celui-ci en faisant partager à l’ensemble du
personnel l’importance du contrôle.
Le contrôle interne doit permettre à l’établissement de conserver sa capacité
d’identification, de réaction et d’adaptation lors de la survenance de risques.
Ainsi, le système de contrôle interne doit prévoir quatre niveaux de contrôle :

21 [Définition du C.O.S.O. : committee of sponsoring organizations of the treadway commission.

93
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

contrôles quotidiens réalisés par les exécutants (contrôle premier niveau,


premier degré);
contrôles critiques continus assurés par les personnes chargées du
traitement administratif des opérations(contrôle premier niveau,
deuxième degré) ;
contrôles réalisés par les membres de la direction sur les activités ou
fonctions qui tombent sous leur responsabilité directe (contrôle premier
niveau, troisième degré);
contrôles réalisés par le service d’audit interne (contrôle deuxième
niveau).

ƒ Audit interne bancaire.


Rappelons que : « L’audit Interne est une activité indépendante et objective qui donne à
une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte
ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité. »
L'audit interne, chargé de veiller à la cohérence et à l’efficacité du contrôle interne, est
au cœur du système de contrôle interne bancaire. Pour garantir son efficacité, des
exigences doivent être vérifiées:
Caractère permanent;
Indépendance;
Charte d’audit;
Objectivité;
Compétence professionnelle.
Empruntant la démarche d'audit interne décrite supra pour l’exécution de ses travaux,
l'audit bancaire repose en plus sur quelques particularités :
Plan annuel d’audit;
Programmes de missions;
Documents de travail;
Rapports de synthèse et détaillé;
Suivi de missions.
Le plan annuel d’audit est déterminé selon la méthodologie « ANA » (Audit Needs
Assessment) en déterminant les priorités d’audit et la fréquence des audits qui doit être
en fonction du degré de risque.
Pour l'élaborer, un plan d’audit est déterminé en plusieurs étapes :
Analyse des flux et activités;
Hiérarchiser selon l’impact et la probabilité;

94
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Elaboration de la cartographie des risques.


De ce fait, la cartographie des risques est considérée comme :
Un outil de planification, de gestion et de monitoring des risques
bancaires;
Un instrument d'aide à la maîtrise adéquate des risques;
Un outil pour gérer le système de contrôle interne.
Ainsi pour mener à bien sa mission et contribuer à créer de la valeur ajoutée pour la
banque, l'audit bancaire doit adopter une approche simple, pragmatique et efficace.

ƒ Dispositif de l'audit interne bancaire.


L’audit interne, directement rattaché au top management de l’établissement bancaire,
est indépendant de toute entité, de tout métier et de toute unité opérationnelle. Il n’est
donc, de quelque manière que ce soit, pas impliqué dans le fonctionnement au
quotidien des activités qu’il contrôle.
L’audit interne effectue périodiquement et autant que de besoin, des missions, surplace
et ou sur pièces et dont l’objectif est la vérification :
du respect des réglementations externes;
du respect des règles internes;
du respect des décisions du management et de la mise en place de
moyens adaptés à leur application;
de l’identification et de la maîtrise des risques de toute nature, tant avant
qu’après l’initiation des opérations;
de la fiabilité et de la pertinence des informations, mesures ou méthodes
utilisées au niveau local à des fins de gestion financière ou de contrôle des
risques;
de la fiabilité et de l’exhaustivité des informations reportées au niveau
central en vue de leur consolidation;
de l’existence, de la pertinence et de la correcte application des
procédures opérationnelles;
de la qualité ainsi que de la juste évaluation et comptabilisation des
éléments d’actif et de passif;
de la mise en place des procédures et moyens suffisants pour assurer la
continuité de l’activité;
de la traçabilité des opérations et de leurs traitements;
de l’efficacité et de la cohérence du dispositif de contrôle interne.

95
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

4 - Un périmètre d'intervention élargi.


Hier, l'auditeur se préoccupait d'un périmètre limité avec une démarche pour l'essentiel
très proche des détails. Aujourd'hui, de fait, son champ d'intervention est beaucoup plus
large : il est chargé de réaliser le diagnostic de systèmes de reporting et de dispositifs
de pilotage très sophistiqués, des systèmes utilisés par la direction générale, ce qui
signifie que les auditeurs sont en contact avec l'état-major de la banque, dans une
approche qui n'a rien à envier à celle du consultant.
Ainsi, pour mettre en œuvre cette démarche de manière efficace et crédible, il faut faire
intervenir uniquement des auditeurs spécialistes et lorsque nécessaire, leur apporter
l'appui d'experts très pointus pour les aspects les plus techniques.

ƒ Audit tous Risques.


Exemple parmi d'autres : les risques de marché, risques de système d'information et les
moyens mis en œuvre pour y faire face. Aujourd'hui, on demande aux banques de
maîtriser, de gérer et de contrôler ces risques. A partir du moment où elles entrent dans
la cartographie des risques de la banque, cela signifie qu'il faut avoir les compétences
nécessaires pour avoir un regard critique sur ces risques.
Ce sont des horizons nouveaux pour le métier de l'audit bancaire, on doit donc avoir des
équipes compétentes formées et de spécialistes qui peuvent comprendre en détail tout
ce qu'il y a derrière et parler d'égal à égal avec les audités.
Pour ce type de risques, on recrute notamment des ingénieurs financiers ayant des
connaissances mathématiques extrêmement poussées, parfois complétées par une
expérience de trading ou de contrôle des risques dans une banque.

ƒ Une démarche globale.


Un empilement de solutions techniques (informatiques mais aussi comptables,
juridiques, fiscales, financières...) ne saurait assurer la sécurité d'un système
d'information sans une cohésion d'ensemble de ces différents éléments. Celle-ci passe
par la mise en place d'une véritable organisation efficace au sein de la banque.
Pour l'audit bancaire, il s'agit donc de mettre en place une approche structurée intégrant
les composantes stratégiques, organisationnelles et humaines mais aussi les facteurs
risques, coûts et efficacité.

5 - Finalité, rôle et approche de l'audit bancaire.

ƒ Finalité de l'audit bancaire.


Les banques font face à un environnement socioéconomique de plus en plus difficile.
Les risques auxquels elles sont confrontées sont devenus plus nombreux, plus
significatifs et plus complexes.
Dans le contexte économique actuel, les banques doivent plus que jamais disposer d’un
système de gestion de risque efficace et élaboré, susceptible d’assurer une réaction

96
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

rapide face à l’apparition de nouveaux risques. La finalité d'un tel système serait de
préserver leur solidité financière, de continuer de croître et d’apporter la confiance au
marché.
La fonction d’audit interne est un instrument important pour vérifier le bon
fonctionnement, l’efficacité et l’efficience du contrôle interne, en ce compris la fonction
de compliance.
Dans le cadre de ses travaux, l’audit interne fournit au management de la banque des
analyses, évaluations, recommandations, avis et informations sur les activités
examinées et contribue ainsi à une meilleure gestion de la banque.
Les autorités de tutelle, en l'occurrence BAM exige pour chaque banque l’existence
d’une organisation interne adéquate par rapport à l’activité exercée et aux risques
encourus. D’où la nécessité d’un système d’audit et de gestion de risques performant.

ƒ Rôle : vérification du bon fonctionnement du contrôle interne.


Pour tenir compte de l’importance de la gestion de risque dans une banque, un certain
nombre de principes ont été clairement définis, notamment le rôle et les responsabilités
du management (conseil d’administration et direction générale), les activités de contrôle
et la séparation des fonctions, la nécessité de disposer des informations actualisées,
fiables, cohérentes et accessibles.
Le conseil d’administration doit veiller à la mise en place et au maintien d’un contrôle
interne conséquent, établir des limites à l’intérieur desquelles les risques sont encourus
et garantir la mise en place des mesures d’identification, d’évaluation, de surveillance et
de contrôle des risques. Il appartient, par la suite, à la direction générale de mettre en
œuvre ces principes et notamment de développer des procédures de contrôle y
relatives.
L'audit interne, cellule indépendante directement rattachée au conseil d’administration, a
comme premier rôle de vérifier le bon fonctionnement du contrôle interne.
En parallèle, on assiste à un développement des comités d’audit, émanation du conseil
d’administration, composés de plus en plus de spécialistes dans les différents domaines
concernés (comptabilité, réglementation, juridique, private banking, etc.).
Le comité d’audit assure la communication régulière avec l’audit externe et l’audit
interne, veille à la qualité et l’indépendance de leurs travaux et informe l’ensemble du
conseil d’administration, par des rapports synthétisés sur les constats et
recommandations majeurs relevés.

ƒ L’approche risque au centre de l’audit bancaire.


Dans le cadre du concept de surveillance dualiste au Maroc, BAM exerce une
surveillance des établissements bancaires et ce de manière indirecte. C’est-à-dire en se
basant sur les travaux des auditeurs internes et externes.

Ainsi, dans son rôle d’organe de vérification du bon fonctionnement du contrôle interne,
l'auditeur bancaire se voit attribuer un rôle beaucoup plus étendu. Il ne vérifie pas

97
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

seulement la régularité de traitement des opérations. Il doit également prendre position,


dans un rapport adressé au conseil d’administration de la banque sur le respect des
conditions d’autorisation d’une banque.
Par ailleurs, il doit aussi constater le (non)-respect de la réglementation bancaire, se
prononcer sur la situation financière et notamment présenter des indications
quantitatives et qualitatives sur la situation des risques (adéquation de la politique des
risques, gestion et contrôle).
Pour remplir leur rôle, les auditeurs utilisent des méthodologies basées sur l’analyse de
l’environnement, des risques existants ou potentiels et de l’organisation interne d’une
banque.
• Compréhension de l’environnement.
En premier lieu, un diagnostic est posé sur l’interaction de la banque dans son
environnement. Quels sont les clients? Quels sont les produits proposés? Sur quels
marchés et quelles régions géographiques la banque intervient-elle? Qui sont les
stakeholders et quelles sont leurs attentes? Quelle est la conjoncture économique?
Quels sont les changements réglementaires? etc.
Cette première étape permet d’identifier les risques découlant des activités bancaires
(business risks), comme par exemple: sensibilité à l’évolution des indicateurs
économiques (taux de change, taux d’intérêt, etc); concurrence; tendance et
développement de l’environnement (par exemple, de la taxation de l’épargne, de la
nouvelle ordonnance sur le blanchiment d’argent de BAM); technologie (e-business,
fournisseurs informatiques, disponibilité et sécurité de l’information…).
• Appréciation de la culture de risque.
La deuxième étape consiste à apprécier la culture de risque de la banque et le degré
d’élaboration du système de gestion de risque et du contrôle interne. Son point de
départ se situe au niveau de la politique de risque qui reflète la compréhension, la
mesure et le contrôle de risque par l’établissement bancaire.
Face à chacun d’eux, les établissements adoptent certains comportements: éviter un
risque (par exemple, ne pas rentrer sur un nouveau marché ou offrir tel type de
services); réduire ou transférer un risque (par exemple, utilisation des dérivés de
crédit), et enfin, accepter un risque. Une fois ce cadre posé, la banque doit identifier,
définir et mesurer les risques et attribuer un risk owner pour chacun d’eux.
Ensuite, il est nécessaire de fixer des tolérances aux risques (limites), puis d’établir un
suivi et un reporting de l’évolution de l’exposition aux risques, et ceci de manière
individuelle et globale.
• Appréciation et analyse de chaque risque.
L’auditeur procède à une estimation des risques inhérents à chaque domaine d’activité
(crédit, ressources humaines, système d'information, etc.). les risques peuvent être
d'ailleurs classés en trois catégories (cf. chapitre 2) :
Une fois que le niveau des risques inhérents a été ainsi estimé, l’auditeur doit
comprendre comment ceux-ci sont gérés et contrôlés.

98
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Autrement dit, il doit apprécier l’adéquation et l’efficacité des mesures prises par la
banque en vue de minimiser les risques encourus. Si donc l’importance du risque se
définit par le risque inhérent, la capacité de gérer ce risque se définit par le dispositif de
contrôle interne mis en place.
La conjonction des niveaux estimés du risque inhérent et du risque de contrôle permet
ensuite à l’auditeur de déterminer l’étendue, la périodicité et les méthodes de vérification
qu’il doit entreprendre, en accord avec les principes de la profession.
• Le respect des conditions d’autorisation.
L’analyse des risques inhérents et les contrôles internes mis en place permet de
s’assurer que les risques sont bien identifiés et correctement reflétés dans les comptes
annuels. Ces travaux permettent également de se prononcer sur le respect des
conditions d’autorisation et des règles de comportement.
Enfin, l’application d’une telle méthodologie permet également d’identifier des
opportunités d’amélioration et d’optimisation du système de contrôle interne et de les
communiquer à la banque sous forme de recommandations ou de plans d’actions.
Dans le contexte économique actuel, une gestion de risque efficace se révèle plus que
jamais capitale, pour préserver la solidité financière d’une banque et apporter la
confiance au marché. Les autorités bancaires de surveillance doivent intégrer cette
nécessité dans la réglementation en vigueur, qui va toutefois encore se renforcer avec
l’introduction des nouveaux accords de Bâle II.
Le développement récent du corporate governance, à l’image des fondements du
contrôle interne récemment redéfinis par BAM, gagne en importance dans la gestion de
risque.

ƒ La gestion des risques : un processus continu.


La gestion de risque et le contrôle interne doivent ainsi être entendus en tant que
processus continu dont l’application doit être garantie en permanence. Ce processus
doit assurer l’identification des déficiences et la prise de mesures de correction
adéquates.
L’analyse de ce processus dynamique est au cœur de l’approche et des travaux d’audit
bancaire. Il ne s’agit pas seulement d’une appréciation figée des risques à un instant
donné.
L’analyse des risques et les approches d’audit bancaire en découlant doivent être
communiquées et validées avec le conseil d’administration ou le comité d’audit. La
communication et la compréhension des rôles des différents acteurs dans la
surveillance des banques s’en trouveront certainement facilitées et améliorées. Quant à
la transparence des informations déterminantes sur la situation des risques, elle
contribuera à renforcer la confiance et améliorer la bonne gouvernance bancaire.

99
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Conclusion du chapitre 2.
Dans un environnement changeant, l'auditeur interne peut jouer un rôle dépassant
largement celui de "contrôleur" pour devenir un "catalyseur" encourageant les dirigeants
d'entreprise à agir...
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue
de limiter les risques, de rendre l'organisation existante plus performante et plus
efficace.
L’audit interne peut jouer un rôle non négligeable en matière d’efficacité de la banque.
Ainsi, dans le cadre de l’exercice de sa mission, l’auditeur est bien placé pour identifier,
outre les problèmes de contrôle, les domaines dans lesquels les contrôles sont inutiles,
inefficaces et coûteux.
L’auditeur peut également identifier les inefficacités des opérations et peut se voir
charger, au-delà de sa mission habituelle, de mission de conseil.
Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission
qu'on lui a assignée. Des conditions sont à remplir pour que l'audit interne puisse être
un véritable outil d'efficacité.
L'efficacité, et donc le résultat pour la banque, seront d'autant plus grands, que chacun
de ses critères aura pu être optimisé, apportant ainsi une contribution significative à
l'ensemble. Cette optimisation a toutefois ses limites, qui peuvent être classées en
quatre grandes catégories, selon leur nature :
• Une première limite est liée aux hommes, aux auditeurs bien sûr, compte tenu de
leurs aptitudes à assumer la fonction, de leurs connaissances, de leur formation, de
leurs qualités intrinsèques, mais aussi aux audités et à leur comportement ou à la
remise en cause éventuelle de leur façon de travailler et de leurs habitudes.
Enfin, l'attitude des dirigeants et le soutien qu'ils apportent à leur structure d'audit
interne, est un gage majeur de réussite.
• Une deuxième limite est constituée par le rapport efficacité/coût. L'existence d'une
structure performante d'audit coûte cher en termes de salaires, de frais de
déplacements, de frais de structure. Il faut donc que l'équipe se rentabilise et il n'est
pas toujours évident de mesurer concrètement sa productivité.
• La troisième limite est liée au fait que la mise en place du contrôle interne vient
souvent à l'encontre de l'efficacité immédiate.
• Le quatrième type de limite concerne l'évolution rapide des techniques et des
méthodes de travail. L’exemple de l'informatique qui permet désormais de travailler
en temps réel, va tout à fait dans le sens de l'efficacité, mais par contre, conduit
souvent à des systèmes inauditables.
Par ailleurs, avec l'audit systémique qui sera présenté et développé en détail à la
deuxième partie, nous verrons que des systèmes réputés auparavant comme
inauditables pour l' auditeur bancaire, le seront désormais avec la méthodologie
présentée.

100
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

101
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 3 :

Les systèmes d’audit interne


bancaire marocain et leur
efficience : enquête sur le terrain

102
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur


efficience : enquête sur le terrain

Introduction.
L’enquête sur l’efficience de l’audit interne au sein du système bancaire marocain a été
réalisée avec les inspecteurs généraux et les responsables d’audit interne de cinq
banques privées de la place. Elles ont été choisies parmi celles les plus représentatives
de l'activité bancaire à l'échelon national à savoir :

3 filiales de banques françaises :


Banque Marocaine pour le Commerce et l'Industrie, BMCI (BNP- Paribas);
Société Générale Marocaine de Banques, SGMB (Société Générale);
Crédit du Maroc, CDM (Crédit Agricole).
2 banques marocaines :
Attijariwafa Bank (AWB);
Banque Marocaine du Commerce Extérieur - BMCE BANK.

Nos interlocuteurs ont répondu favorablement aux entretiens sollicités, donnant ainsi
aux résultats de l’enquête la légitimité que nous voulons.
Le guide d'entretien s'est articulé autour de la sensibilité du management à l'audit
intenre, le positionnement et rôle des départements de contrôle et le dispositif d'audit
adopté pour les quatre métiers choisis à savoir le système d’information, les activités de
marché, la gesion des ressources humaines et la comptabilité.

Section 1 : Le guide d'entretien.

Le guide d'entretien adopté lors de l’enquête sur l’efficience de l’audit interne au sein du
système bancaire marocain avait comme objectif d’identifier :
Le degré de sensibilité du management à toutes les catégories de risques:
opérationnel, financier et de réputation;
Le rôle des risk - managers dans la gestion et le contrôle des risques;
L'indépendance et l'efficacité de l'audit interne dans la mesure et la
prévention des risques;
L'efficience du système d'audit interne existant et l’étendue de ses travaux;
L'exhaustivité de la cartographie des risques et du périmètre d'audit;
La réalisation de missions spécifiques pour les lignes métiers : Direction
du Système d'Information, Salle Des Marchés, Direction des Ressources
Humaines et Direction de la Comptabilité;

103
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

L'existence au sein de l'audit interne de pôles de compétence aptes à


mener des missions d'audit dans ces lignes métiers;
La disponibilité de manuels de procédures ou des modes opératoires pour
piloter les missions d’audit réalisées et particulièrement celles citées ci-
dessus ( DSI, DRH, DC et SDM);
L'exhaustivité des points de contrôle par ligne métier formalisés par le
mode opératoire d’audit.

1. Sensibilité du management à l'audit interne.


Le management est-il sensible à tous les risques : opérationnels, financiers et
de réputation ?
Quelles dispositions pratiques a-t-il pris face à ces risques ?
Comment le management a-t-il réparti les rôles entre les divers acteurs de
son entité (Risk management, Audit interne et Compliance) en terme de
prévention de ces risques?
Comment est-organisée la supervision de la prévention des risques
opérationnels et la remontée de l’information ?

2. Positionnement et Rôle des départements de contrôle.

2.1 - Risk Management.


Le positionnement des Risk managers dans l’organigramme assure-t-il
l’indépendance nécessaire à l’accomplissement de leur mission ?
Leur mission est-elle définie par une lettre de mission et celle-ci est-elle émise
par une autorité appropriée ?
Le risk manager est-il consulté lors de la mise en place de nouveaux produits
et procédures, pour rendre un avis sur les risques induits ?
2.2 - Audit interne.
L’audit interne est-il rattaché hiérarchiquement au Top management (voir au
Conseil d’Administration, Directoire) de la banque ?
L’audit interne est-il mobilisé et soutenu par le comité de direction ?
Les recommandations de l’audit interne sont-elles suivies par le management
en terme de prévention des risques ?
Les rapports de missions d'audit sont-ils transmis directement à cette
hiérarchie ?
Le périmètre ou champs d’audit est-il exhaustif et couvre-t- il tous les risques
et toutes les entités (réseau, directions centrales, filiales, succursales et
fonctions dont le contrôle interne et la compliance) ?
Le plan annuel d'audit des 3 dernières années listant les missions menées
couvre-t- il la totalité des risques (crédit, marché, opérationnels) et des unités
(opérationnelles et fonctionnelles)?

104
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Existe-t- il une cartographie des risques ? est-elle fiable et exhaustive? Est -


elle constamment mise à jour ?
Inclut-elle les risques financiers (crédit, marché, liquidité), les risques
opérationnels (Système d’Information, Ressources Humaines, Comptable,
non conformité, fiscal, ..) et le risque de réputation (ou d’image) ?
Les missions réalisées couvrent-elles l'ensemble de ces risques ?
Si oui, quelle est leur fréquence dans le plan triennal d'audit ?
Dans quelle mesure les recommandations formulées par les missions d’audit
ont participé à l'amélioration des processus de gestion et à la prévention des
risques ?
L'audit interne dispose -t- il de compétences spécifiques aptes à mener des
missions à haute technicité (Direction des Systèmes d’Information, Salle Des
Marchés, Direction des Ressources Humaines, Direction de la Comptabilité) ?
Y a -t- il un auditeur par pôle de compétence ou bien des auditeurs
« polyvalents » ?
Y a -t- il des manuels de procédures ou des modes opératoires pour piloter
les missions d’audit réalisées?
Ces manuels de procédures intègrent-ils des missions d’audit (Direction des
Systèmes d’Information, Salle Des Marchés, Direction des Ressources
Humaines, Direction de la Comptabilité) ?
Si oui, sont-ils exhaustifs explicites et conformes à la réglementation en
vigueur ?

2.3 - Compliance et Déontologie.


Un « Compliance Officer » a-t-il été désigné ?
Si oui, quel est son poids réel dans l’organigramme et quelle est son
indépendance ?
Travaille-t-il avec des outils fiables et exhaustifs ?
Existe-t-il un code de déontologie spécifique à la banque ?
Est-il diffusé à l’ensemble des collaborateurs ?
Les collaborateurs ont-ils signé un engagement au respect du secret
bancaire, à la lutte contre le blanchiment et ont-ils pris connaissance de leurs
devoirs rappelés dans le Règlement intérieur de l’entité ?

3. Dispositif d'audit par ligne métier.

Dans une mission de la Direction du Système d'Information, les 4 domaines


sont-ils couverts :

Organisation et management,
Sécurité,
Etudes et développements,
Exploitation informatique ?

105
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Dans une mission de la Salle Des Marchés, les 3 fonctions sont-elles couvertes :
Front Office,
Middle Office,
Back Office ?
Les risques qui en découlent sont ils également couverts :
opérationnels,
de contrepartie,
juridique,
de sécurité ?

Dans une mission de la Direction des Ressources Humaines, les cinq domaines
d’activité du métier sont-ils couverts :
Administration,
Gestion des carrières,
Recrutement,
Formation,
Relations Sociales ?

Dans une mission de la Direction Comptable, les domaines relevant de l'activité


comptable et financière sont-ils couverts :
Structure et organisation générale,
Séparation des fonctions,
Contrôles exerces par le service comptable,
Les outils de pilotage,
Connaissance et respect des règles de déontologie,
Reportings réglementaires,
Risques fiscaux,
Consolidation ?

Section 2 : Les conclusions de l'enquête.

Cette section présente l’analyse des résultats et restitue dans les grandes lignes les
pratiques d’audit interne bancaire, les tendances convergentes et les spécificités
apparentes. Elle met en lumière les éléments marquants qui s’en dégagent.
Ceux-ci viennent corroborer nos constats à travers notre exercice sur le terrain du
métier d’auditeur des multi métiers bancaires et confirmer aussi les enjeux et les
évolutions majeures de la profession au niveau du système bancaire marocain.
Cette enquête constitue ainsi un support d’analyse qualitatif auquel tout responsable
d’audit interne ou risk manager est invité à se reporter, d’autant que la deuxième partie
de ce mémoire présente en détail les bonnes pratiques en la matière à travers
l’approche de l’audit systémique.

106
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Cette enquête reflète l’image d’un audit interne indépendant au service tant de la
direction générale que du comité d’audit mais non parfaitement à même de prévenir
correctement avec le risk management toutes les familles de risques.
En particulier, l’audit interne apparaît de plus en plus comme un outil puissant de
détection des risques mais se limite toutefois aux risques classiques (de contrepartie, de
traitements opérationnels, ..) sans pour autant se focaliser sur d’autres risques tels que
les risques marché, les risques du système d’information, les risques liés aux
ressources humaines,...
Ce faisant, la non maîtrise de certains risques peut induire à la destruction de valeur au
sein de l’organisation et de limiter le rôle essentiel de l’audit interne, à savoir d’apporter
une contribution déterminante à la bonne gouvernance de l’établissement bancaire.

Principaux enseignements et réflexions.


La présente étude a été menée dans un contexte marqué notamment par l’entrée en
vigueur des normes bâloises, de la nouvelle loi bancaire et des nouveaux statuts de
BAM.
Afin d’améliorer la gouvernance au sein des banques marocaines, de nombreuses
dispositions ont été adoptées, notamment par les circulaires de BAM sur le contrôle
interne des établissements de crédit, sur l’audit externe des établissements de crédit et
par la refonte des textes de base relatifs à la loi bancaire et les statuts de BAM, réforme
qui n’est pas sans conséquences pour l’audit interne bancaire.
Dans le même temps, la profession, prenant acte des attentes renouvelées des
organisations, a défini de nouvelles normes professionnelles qui centrent l’activité de
l’audit interne sur l’évaluation des processus de management des risques, de contrôle
interne y compris ceux de la conformité et de gouvernement d’entreprise.
Quels en sont les impacts pour les pratiques de l’audit interne ?
Quel est le niveau de participation de l’audit interne avec le Risk
Management au processus de gestion des risques ?

1 - Sensibilité du management à l'audit interne.

Le rattachement direct de l’audit interne au top management de la banque confirme


l’importance du positionnement de l’audit interne dans l’organisation.
Les responsables d’audit interne affirment tous la prise de conscience par le
management de la banque de l’ensemble des risques opérationnels, financiers et de
réputation mais à part la diligence de missions classiques (respect des procédures de
traitements opérationnels et de crédit), rares sont les dispositions pratiques adoptées
pour y faire face.
Ces dispositions se limitent par la création de cellules pour la gestion du chantier Bâle 2
ou celui de la Compliance. Les réflexions relatives aux structures de Risk management

107
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

et de prévention des risques opérationnels, excepté pour les filiales des banques
françaises, ne semblent pas être encore à l’ordre du jour.
En termes de prévention de ces risques, il n’y a pas une claire répartition des rôles entre
les différentes structures à savoir : le Risk management, l’Audit interne et la
Compliance.
La supervision de la prévention des risques par le management se limite au suivi des
rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée
pour piloter l’évolution de tous les risques par ligne métier et par entité.
Seule une banque (filiale française) dispose d’un progiciel d’autoévaluation du système
de contrôle interne sur une périodicité trimestrielle, renseigné et validé par le
responsable de chaque entité. La remontée de l’information sur le dispositif du contrôle
interne par métier est centralisée au niveau de la Direction de Contrôle Interne.

2 - Positionnement et rôle des départements de contrôle.

2.1 - Risk Management.


Les réflexions relatives aux structures de Risk management et de prévention des
risques opérationnels, excepté pour les filiales françaises, ne semblent pas être encore
dans l’ordre du jour.
La désignation des Risk Managers par métier est pratiquée dans une seule banque de
la place.
Un système de risk management doit être mis en place pour s’assurer que les risques
qui pourraient découler de défaillances ou d’insuffisances, de quelque ordre que ce soit,
sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact
sur le fonctionnement global de l’établissement bancaire.
La gestion des risques ou le risk management aussi bien en interne que conformément
aux exigences prudentielles, en est encore à ses débuts. Des efforts ont été néanmoins
entrepris par deux banques marocaines en vue de se doter d'outils pertinents capables
de renseigner sur la survenance de tout risque de nature opérationnelle, et ce quelle
que soit son origine ou sa localisation. Ce nouveau système est en cours de mise en
place et sa fiabilité ne pourrait toutefois être suffisamment appréciée qu'au cours des
années ultérieures.
Le système d'information paraît dans ce sens jouer un rôle clé pour communiquer les
objectifs de la banque en matière de risque. Il est évident que l'efficacité d'un bon
contrôle interne dans ce domaine repose sur la fiabilité du système d'information pour
maintenir une culture de contrôle et pour s'assurer que l'ensemble du personnel adhère
à ces objectifs.
A titre d’exemple la BMCE et la SGMB ont eu l'idée de constituer une base de données
interne incluant tous les incidents ou les événements de pertes occasionnées dans le
cadre de l'exercice des activités de la banque. Ces événements doivent néanmoins être
identifiés de manière exhaustive et intègre. D'où le rôle déterminant qu'aura à jouer
aussi bien l'audit interne que les reporting en interne.

108
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Le système de collecte et de reporting doit être une partie intégrante des procédures
opérationnelles. Ces exigences ne peuvent que renforcer le rôle indéniable du "risk
manager" chargé du suivi et de l'analyse de tous les événements de pertes identifiées à
travers le système interne d'information.
Même si les banques utilisent des moyens préventifs contre l’exposition aux risques, les
résultats de l’enquête mettent en évidence l’insuffisance de ces moyens. En cela, la
prise de conscience des dirigeants apparaît insuffisante à ce jour. Au delà de cette prise
de conscience, c’est l’évolution de la gestion des risques qui doit être repensée au sein
des banques. Par conséquent, un pré -requis s’impose : la fonction de l’audit interne doit
contribuer à la prévention des risques bancaires à travers l’identification des risques et
l’évaluation de l’efficacité du dispositif de contrôle interne mis en place.

2.2 - Audit interne.


Le rattachement de l’audit interne au plus haut niveau de l’organisation (président du
Conseil ou du directoire) favorise son indépendance et réduit les risques d’interférences
implicites ou explicites sur le choix des missions ou la formulation des
recommandations.
Ce rattachement donne à une grande majorité d’auditeurs internes une liberté
importante, voire totale, pour la réalisation de leurs missions. L’audit interne doit pouvoir
exercer sa mission de sa propre initiative et s’exprimer librement.
Les contacts avec la direction générale sont d’ailleurs nombreux : la quasi-totalité des
banques sondées confirment avoir au moins une réunion formelle par mois. Ceci
confirme le positionnement de la fonction d’audit interne et son importance dans
l’organisation.
Les banques sont munies de comités d’audit et les relations de l’audit interne avec ces
comités sont étroites et permanentes. Les responsables d’audit interne assistent à
toutes les réunions du comité d’audit.
En apportant à la direction générale et aux administrateurs, par l’intermédiaire du comité
d’audit, un regard impartial sur les risques de la banque et son contrôle interne, l’audit
interne participe grandement à l’amélioration du gouvernement d’entreprise.
La plupart des banques ont adopté une structure hiérarchique semblable à celle des
cabinets d’audit ; deux d’entre elles ont cependant opté pour une hiérarchie interne
souple, avec moins de niveaux et des rotations au poste de chef de mission.
Les recommandations de l’audit interne sont suivies par le management qui reçoit
systématiquement les rapports de missions d'audit.

L’audit interne largement tourné vers les missions classiques au


dépend des missions complexes.
La part des missions classiques relatives au contrôle de conformité aux procédures
internes (traitements opérationnels et procéduraux et risques de crédit) et à la

109
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

réglementation est largement prédominante par rapport à des missions à expertise


élevée (Système d’Information, Salle des marchés...) ou à des audits systémiques.
Les missions s’exercent en priorité autour de l’analyse du contrôle interne de tous les
processus opérationnels puis autour de l’évaluation du contrôle interne des processus
financiers et comptables. Les audits de conformité aux lois et réglementations et les
audits des systèmes d’information, des activités de marché ou de la gestion des
ressources humaines restent peu significatifs.
La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits
systémiques comptables et financiers reste minoritaire, même si plus de la moitié des
responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce
type.
L’évaluation des processus de management des risques est quasiment absente mais
tend à prendre une part significative avec la prise de conscience progressive du rôle
déterminant de cette fonction au sein de la banque.
En revanche, l’évaluation du processus de gouvernement d’entreprise reste également
absente en comparaison avec les autres missions et ceci, bien qu’elle soit inscrite dans
la définition de l’audit interne. Il est probable que la mise en oeuvre souvent récente de
ce processus, est à l’origine de ce constat.
En matière d’activités « de conseil », l’audit interne réalise des missions classiques :
conseil en organisation, actions de formation et apporte sa contribution à des projets de
l’entreprise. Toutefois, les missions d’assurance restent toujours majoritaire.

L’audit interne se professionnalise mais sur une cadence variée.


Plan annuel d’audit et cartographie des risques :
Même si le critère majeur reste les demandes spécifiques de la direction générale, le
plan d’audit est désormais construit en s’appuyant fortement sur une analyse des
risques. Cette approche par les risques reste toutefois non généralisée et représente le
critère cité en deuxième lieu par les responsables d’audit pour élaborer le plan d’audit.
L’analyse des évolutions particulières de l’environnement de la banque est également
un critère de poids dans l’établissement du plan annuel d’audit.
Par ailleurs ; la pratique de la cartographie des risques ne concerne pas toutes les
banques. Deux seulement ont hiérarchisé les risques en fonction de leur impact
possible et de leur fréquence (probabilité de survenance). Pour les filiales françaises
disposant d’une cartographie des risques, cette dernière n’est toutefois pas exhaustive
et ne concerne que quelques risques classiques (des traitements opérationnels, des
risques de crédit et parfois des risques marché..), les risques opérationnels cités par
Bâle II et le risque de réputation restent quasiment absents. Sa fréquence de mise à
jour reste aléatoire.

110
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Le périmètre d’audit n’est pas très exhaustif et ne couvre pas toujours toutes les entités
d’une banque.
L’audit du réseau d’agences occupe le premier rang (70% du budget temps alloué au
plan annuel d’audit) en se focalisant sur le risque des traitements opérationnels et le
risque de crédit.
Par ailleurs, l’audit des filiales, des services centraux, des banques offshore reste peu
fréquent voire absent pour certaines entités. Les métiers les moins audités sont : la salle
des marchés, le système d’information, les ressources humaines, la gestion Actifs
Passifs (ALM), le contrôle de gestion, le contrôle interne, la compliance…
L’examen du plan annuel d'audit des 3 dernières années de certaines banques listant
les missions menées ne couvre pas la totalité des risques des unités opérationnelles et
fonctionnelles même s’il est approuvé parfois par le comité d’audit.
Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou
inefficaces. Très souvent, les audits effectués ne sont pas suffisamment rigoureux pour
déceler et notifier les insuffisances du contrôle dans les banques. Dans d’autres cas,
même si les auditeurs ont fait part des problèmes détectés, aucun mécanisme, excepté
celui de suivi des recommandations par l’audit interne, n’est prévu pour faire en sorte
que la direction remédie immédiatement aux déficiences relevées.
Manuels de procédures d’audit.
Pour piloter les missions d’audit réalisées, les directions d’audit interne disposent en
général de manuels de procédures mais se limitant aux procédures internes de
traitement et du risque de contrepartie. La mise à jour de ces manuels reste une
pratique non systématique.
Les modes opératoires d’audit (DSI, SDM, DRH, DC, ALM22, gestion d’actifs,
Compliance, activités de bourse) s’avèrent très peu fréquents.

Auditeurs internes.
Même si l’audit interne apparaît comme une fonction plutôt attractive, les responsables
d’audit interne rencontrent des difficultés à recruter, pour des raisons de compétences
principalement. L’une des conséquences probables de ces difficultés est le recours à
des ressources extérieures au service, qu’elles soient internes ou externes à la banque,
pour rechercher certaines compétences et de l’expertise complémentaire en faisant
notamment appel à des prestataires externes.
Les entretiens menés auprès des responsables d’audit interne, confirment que sont
exclues de leur périmètre d’intervention certaines missions exigeant une expertise
pointue et une haute technicité telles que l’audit des systèmes d’information ou l’audit de
la salle des marchés et ce pour le manque de compétences en audit interne aptes à
mener ce genre de missions.

22
DSI (Direction du Système d’Information), SDM (Salle des Marchés), DRH (Direction des Ressources Humaines), DC ( Direction
Comptable), ALM (Asset Liability Management)

111
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Dans ce cadre, les filiales des banques françaises font appel à l’audit interne de leurs
maisons mères ayant l’expertise et les outils adéquats (modes opératoires spécifiques,
outils élaborés d’audit) pour aborder ces missions.
Par ailleurs, les banques marocaines recourent aux prestations d’experts externes ou
de cabinets spécialisés d’audit.
La pratique des pôles de compétence en audit interne ne semble en général pas être
pratiquée du fait de la nature des profils généralistes pour les auditeurs. Une seule
distinction a toutefois été relevée entre l’équipe chargée du volet inspection, celle de
l’audit des opérations et des procédures et enfin celle chargée d’auditer le risque de
crédit.
L’audit interne dispose généralement de moyens humains adéquats ce qui est
révélateur de la prise de conscience de l’importance de cette fonction par le
management des banques.
Le niveau de qualification des auditeurs internes reste très disparate d’une banque à
une autre avec une prédominance d’équipes hétérogènes dont une partie est issue des
grandes écoles de commerce avec une expérience professionnelle ne dépassant pas
les deux ans et un autre lot composé de profils ayant déjà eu une expérience
opérationnelle dans la banque.
La volonté de former des cadres à haut potentiel ayant une vision sur l’ensemble des
processus pour l’organisation semble être prioritaire par rapport à la fidélisation des
auditeurs au sein du service.
La compétence professionnelle doit aussi être appréciée au niveau du service d’audit
interne dans son ensemble, qui doit avoir en son sein toute la gamme des compétences
techniques nécessaires pour pouvoir examiner l’ensemble des domaines dans lesquels
l’établissement opère.
Le service d’audit interne doit maintenir à jour les connaissances acquises et assurer
une formation continue et actualisée à chacun des auditeurs.
Lorsque dans des domaines spécifiques, le service d’audit interne ne dispose pas d’une
compétence suffisante pour procéder à un audit, il peut recourir aux services d’un expert
externe, sous condition toutefois que l’expert soit placé sous la dépendance du chef du
service d’audit interne qui conserve la supervision de l’opération.
La compétence, et en particulier les connaissances et l’expérience, de chaque auditeur
sont essentielles pour le bon fonctionnement du service d’audit interne. Il est important
que le service d’audit interne dispose de personnes ayant reçu une formation de niveau
élevé et disposant de compétences techniques adéquates. Lors de la sélection de ces
personnes il sera tenu compte également de la nature et de la diversité des activités
conduites par l’établissement.

112
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

2.3 - Compliance & Déontologie.


La création de la fonction de conformité ou « compliance » reste récente, non
généralisée et ne jouit pas encore de l’autonomie nécessaire, elle reste en général
diluée avec d’autres fonctions telles que le contrôle interne, la déontologie, l’inspection
générale ou l’audit interne.
La désignation d’un « Compliance Officer » reste une pratique peu fréquente, elle ne
concerne que deux banques ce qui ne nous a pas permis d’apprécier le poids réel de
cette fonction dans l’organigramme.
Les outils mis à la disposition de l’entité conformité ne permettent pas encore d’avoir
une vision exhaustive et fiable sur tous les traitements réalisés, des réflexions dans ce
sens sont entamées pour quatre banques sondées.
Chaque banque dispose d’un code de déontologie spécifique ayant pour principal
objectif de doter celle-ci d’un texte de référence visant à promouvoir en son sein une
forte rigueur déontologique et à renforcer ainsi la confiance et la crédibilité qu’elle doit
en permanence inspirer à l’ensemble de ses partenaires à savoir les pouvoirs publics, la
clientèle, les opérateurs et, d’une manière générale, l’opinion publique.

3 - Dispositif d'audit par ligne métier.

3.1 - Mission de la Direction du Système d’Information.


L'audit des Systèmes d’Informations dans son ensemble a fait l’objet d’une mission au
sein de deux grandes banques de la place. L’une est une filiale française ayant
bénéficié de l’expertise d’une mission diligentée par l’inspection générale de sa maison
mère ayant l’expertise et les outils adéquats (modes opératoires spécifiques, référentiel
COBIT, progiciels élaborés d’audit) pour aborder cette mission. Cette mission a en effet,
couvert tous les domaines de la fonction informatique : l'Organisation et le management,
la Sécurité, les Etudes et développements et l'Exploitation informatique.
L’autre banque, pour mener cette mission, a compté sur son propre audit interne mais
elle n’a pas couvert que deux domaines à savoir la sécurité et les développements
informatiques.
Les autres banques affirment ne pas avoir les compétences nécessaires pour mener
une telle mission.
Dans ce cas, la mission d’audit du Système d’Information devrait apprécier comment
sont couverts les risques liés à la fonction Système d'information principalement les
risques d'efficacité, d'efficience, de confidentialité, d'intégrité, de disponibilité, de
conformité, Juridique et d'image.
L’audit du Système d’Information devra mesurer le niveau des risques, leur évolution, et
l’avancement des plans d’actions correcteurs.

113
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

3.2 - Mission de la Salle des marchés.


De part l’importance des risques inhérents à l’activité de marché, trois banques (dont 2
françaises et une marocaine) ont réalisé une mission d’audit de la Salle Des Marchés
mais sans pour autant en couvrir les 3 fonctions du Front Office, du Middle Office et du
Back Office ainsi que tous les risques qui en découlent opérationnels, de contrepartie,
juridique et de sécurité.
Les missions réalisées se limitent à :
L'examen des principales procédures de traitement (Back office);
L'analyse du respect dispositif de contrôle interne ;
Les missions n’ont pas procédé au recoupement avec les travaux des autres missions
(système d’information, comptabilité, ..).
Elles n’ont pas analysé :
La totalité des risques liés à l’activité de marché à savoir les risques de gestion,
opérationnels, déontologiques, de fraude, d’image, de crédit, commerciaux et
juridiques.
Les risques, sur des sondages, transverses à plusieurs fonctions, sur un ou
plusieurs échantillons d’opérations.
Le mode d'élaboration des résultats comptables et de gestion, ainsi que la procédure
de rapprochement de ces deux résultats.
L'inventaire des différents états de reporting et de leur mode d'élaboration.
La qualité et la fiabilité des informations véhiculées sur la nature des opérations
traitées, des positions prises et de leur rentabilité tant en interne qu'en externe.
La qualité de la maîtrise des risques financiers et les techniques générées par les
opérations.
L'ensemble des activités, stratégies et instruments traités par la salle auditée.
L'inventaire des applications de gestion et de traitement de ces activités et
instruments.

3.3 - Mission de la Direction des Ressources Humaines.


De part la sensibilité du domaine à auditer, la Direction des Ressources Humaines est
une fonction rarement auditée au sein des banques. Seulement deux banques ont mené
une mission d’audit Ressources Humaines ces trois dernières années mais n’ont
toutefois pas couvert les cinq domaines de la gestion des ressources humaines à
savoir : l’administration, la gestion des carrières, le recrutement, la formation et les
relations Sociales.
Se trouvent ainsi exclus le recrutement, la gestion des carrières et les relations sociales.
Les missions menées se sont en effet limitées à couvrir les risques de traitements
administratifs, de déclarations sociales (CNSS, CIMR,…), fiscales (IGR) et d’assurance
et parfois le volet formation (OFPPT).
Parmi les familles de risques n’ayant pas été abordées, on trouve les risques de
management, juridiques, de déontologie, de compliance et opérationnels.

114
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

De ce fait, un nombre de zones à risques n’ayant pas été couverts tels que :
Les règles de confidentialité (paie, dossiers personnels) et de sécurité (back up);
Le processus de révision des rémunérations individuelles ;
La gestion des avantages annexes;
Le provisionnement des engagements sociaux (retraites, prévoyance, indemnités) ;
La sensibilisation du personnel aux risques de fraude interne et externe
(consignation du code de déontologie);
Le processus d’appréciations annuelles ;
La rationalisation des mouvements sociaux.

3.4 - Mission de la Direction Comptable.

Les objectifs d’une mission d’audit de la Direction Comptable sont les suivants :
S’assurer de la fiabilité de l’information financière et de sa conformité aux normes
définies par les autorités de tutelle. On entend par information financière à la fois les
comptes sociaux, consolidés et fiscaux ainsi que les états réglementaires.
Identifier les dysfonctionnements éventuels du dispositif de contrôle interne.
Apprécier la fiabilité du système d’information comptable.
Porter une appréciation sur les résultats et la rentabilité de l’entité auditée.
S’assurer de la connaissance et du respect des règles de déontologie.

Les deux premiers objectifs sus - visés sont atteints par les cinq banques sondées. Par
ailleurs, rares sont les missions comptables ayant abordé les trois autres objectifs.
Différents de ceux des auditeurs externes ayant un caractère légal, les objectifs de
cette mission sont étendus et ne peuvent être atteints qu’avec une analyse approfondie
des zones les plus risquées. C’est pourquoi une mission d’audit de la fonction
comptable doit mettre l’accent sur :
l’identification des risques et le recoupement avec les travaux des autres missions
(système d’information ; ressources humaines, ..) concernant les « clignotants
comptables »;
l’analyse des risques transverses à plusieurs fonctions, sur un ou plusieurs
échantillons d’opérations ;
l’examen des risques de non exhaustivité, de non qualité et de non fiabilité de
l’information comptable, de non fiabilité des comptes et des états financiers, de non
fiabilité de l’information financière consolidée, réglementaire et fiscale.
La mesure du niveau des risques, leur évolution, et l’avancement des plans d’actions
correcteurs.
Cette mission doit couvrir quatre domaines : l’audit systémique du service comptable
(appréciation du contrôle interne), les reportings réglementaires, les risques fiscaux et la
consolidation.

115
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les missions comptables au sein des banques sondées s’exercent en priorité autour de
l’analyse du contrôle interne de tous les processus de traitements comptables et
financiers.
La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits
systémiques comptables et financiers reste minoritaire, même si plus de la moitié des
responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce
type.
L’évaluation des processus de management des risques comptables est quasiment
absente mais tend à prendre une part significative avec la prise en conscience
progressive du rôle déterminant de cette fonction dans la gestion des risques.

116
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Conclusion du chapitre 3.
L’audit interne tel que pratiqué actuellement dans de nombreuses grandes
banques marocaines, relève encore quelques insuffisances. En outre, cet audit doit
aller dans le sens de l’importance accrue conférée par les autorités de contrôle
bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de
contrôle interne dans une organisation bancaire.

Il importe de souligner qu’il incombe au conseil d’administration et à la direction


générale de s’assurer de l’existence d’un audit interne adéquat et de promouvoir un
environnement dans lequel les individus comprennent et assument leurs
responsabilités dans ce domaine.
Nous avons relevé des insuffisances dans la surveillance de certains risques et une
absence d’une forte culture de contrôle et/ou de risque particulièrement au sein des
banques marocaines. Les cas de pertes importantes reflètent tous, sans exception,
un manque d’attention et de rigueur de la direction envers la culture de contrôle
dans la banque, une orientation et une surveillance insuffisantes de la part du conseil
d’administration et de la direction générale ainsi que l’absence d’un exercice clair des
responsabilités de la direction dans l’attribution des rôles et des tâches entre l’audit
interne, le risk management et la conformité.
La supervision de la prévention des risques par le management se limite au suivi des
rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée
pour piloter l’évolution de tous les risques par ligne métier et par entité.

Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou
inefficaces. Très souvent, les audits effectués ne sont pas suffisamment rigoureux
pour déceler et notifier les insuffisances du contrôle dans les banques. Dans d’autres
cas, même si les auditeurs ont fait part des problèmes détectés, aucun mécanisme,
excepté celui de suivi des recommandations par l’audit interne, n’est prévu pour faire
en sorte que la direction remédie immédiatement aux déficiences relevées.

Ces cas révèlent également l’absence d’incitations appropriées pour que l’audit
interne exerce une surveillance hiérarchique rigoureuse et maintienne un niveau
élevé de conscience du contrôle au sein du système bancaire.
L’audit interne n’a pas achevé sa mutation et continuera d’évoluer pour apporter aux
banques toujours plus de valeur ajoutée. Les résultats de cette enquête permettent
d’entrevoir les contours de l’audit interne de demain et de définir les défis et les
enjeux futurs de la profession :
affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la
faveur d’un rattachement hiérarchique à la direction générale et de liens
fonctionnels avec le comité d’audit, lorsqu’il existe ;
se positionner, plus encore que par le passé, comme un outil majeur de
détection, de prévention et de maîtrise des risques, en coordination avec
toute autre fonction concernée (Risk management, compliance,..);
maintenir son indépendance, son objectivité et son impartialité ;
accroître sa professionnalisation par :

117
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

une formation permanente;


une méthodologie et des outils adaptés et performants basés et sur les
risques et sur les systèmes (l’Audit Systémique);

En relevant ces défis, l’audit interne apportera aux banques encore plus de valeur
ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation
bancaire.

118
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Partie 2 :

L'audit systémique, un nouvel outil


au service du risk management
pour maîtriser davantage
les risques des métiers.

119
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 1 :

Les particularités de l'approche


d'audit systémique.

120
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 1 : Les particularités de l'approche d'audit systémique.

Introduction.
Les évolutions des métiers bancaires, ont généré de nouvelles variantes de
risques et modifié les facteurs de fragilité financière susceptibles d'affecter la qualité de
la situation des acteurs bancaires. Ainsi, il devient de plus en plus impératif de
développer des outils d'analyse spécifiques dans le but de prévenir, de détecter et de
couvrir le plus rapidement possible les risques susceptibles d'engendrer une défaillance
bancaire qui ne pourrait être que préjudiciable à la stabilité du secteur financier dans
son ensemble.
De nombreux établissements bancaires ont encore un mode de fonctionnement
compartimenté, avec des silos d’informations, d’analyses et d’hypothèses parfois
incohérents entre les entités de la banque. Il leur est donc difficile d’obtenir une vision
d’ensemble fiable et cohérente des multiples risques rencontrés et d’en mesurer le
niveau de criticité.
Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel, il
est de plus en plus pressant que les établissements bancaires puissent s'investir dans le
développement d'instruments complémentaires d'analyse fondés sur des méthodes à la
fois quantitatives, qualitatives voire systémiques.
« Bâle II » impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la
gestion du risque de crédit, du risque de marché et du risque opérationnel. Disposer de
cette visibilité globale sur le risque, tout en répondant aux exigences réglementaires,
demande beaucoup d’implication, de temps, d’efforts et de ressources de la part des
banques. Avec l'audit systémique, les établissements bancaires disposent d'un outil
précieux pour mieux gérer et contrôler leurs risques.

Par conséquent, trois aspects méritent d'être développés :

ƒ Approches de l'audit du système de contrôle interne;

ƒ L'approche par les risques;

ƒ L'approche par les systèmes ou l'approche systémique.

121
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Section 1 : Approches de l'audit du système de contrôle interne.


L'audit du système de contrôle interne est une nécessité éprouvée par les différents
acteurs. Plusieurs approches complémentaires sont possibles dont une approche par
les risques, qui se complète d'ailleurs avec une approche par les systèmes.

Le contexte.
L'audit, ou la revue du système de contrôle interne, d'une banque peut constituer une
mission spécifique mandatée par la direction générale ou le conseil d'administration qui
éprouve le besoin d'avoir un diagnostic sur la qualité du système de contrôle interne et
des recommandations pour en améliorer l'efficacité.
Pour l'auditeur bancaire, ce travail constitue un préalable à sa mission générale car la
qualité du contrôle interne conditionnera son programme de travail : étendue des
contrôles, profondeur des contrôles, budget temps. L'auditeur s'appuiera sur un système
de contrôle interne dont il aura vérifié l'efficacité. Un système de contrôle interne faible
conduira à renforcer les tests, les sondages et les contrôles pour pallier cette faiblesse.
Cette alternative demeure toutefois difficilement applicable pour le cas spécifique des
établissements de crédit, ce pour la simple raison que le contrôle interne est un élément
incontournable de la sécurité des opérations financières. Un contrôle interne défaillant
ne saurait être compensé par des tests étendus, compte tenu du volume des
opérations, de la complexité et de la diversité des métiers et de la taille des
établissements financiers dotés généralement d'une organisation largement
décentralisée.
Ce travail exige en revanche un personnel hautement qualifié car il se fera
essentiellement à base d'entretiens, d'analyse de l'organisation, d'examen des rapports
et documents importants et éventuellement de quelques tests destinés à vérifier la
réalité et l'efficacité des dispositifs et des procédures existantes.
Un questionnaire, un guide de contrôle interne, ou un mode opératoire d’audit par ligne
métier peut constituer un outil précieux pour mieux "encadrer" la mission. (Cf. 2ème
Partie).
A l'issue de cette revue, l'auditeur pourra établir son diagnostic soulignant les forces et
les faiblesses du système de contrôle interne et ses recommandations pour en
améliorer l'efficacité.
Plusieurs approches sont possibles pour réaliser cette revue du système de contrôle
interne. Ainsi, on distingue, l'approche par les risques et l'approche par les systèmes.
Actuellement, il y a une tendance à privilégier davantage l'approche par les risques.
Par ailleurs, l'approche systémique permet d'avoir une vision plus globale et maîtrisée
des risques et d’optimiser ainsi l’efficacité de l’audit, quelle que soit la complexité des
organisations ou des processus à auditer.
L’auditeur bancaire doit se poser les questions suivantes avant de définir sa démarche
d'audit :

122
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Comprenons-nous les implications des engagements pris par la banque vis-à-vis


des marchés financiers?
Comprenons-nous pleinement le modèle économique de la banque et les risques
qui y sont attachés? Le Conseil d'Administration lui-même les appréhende-t-il ?
Les équipes ont-elles les compétences nécessaires au vu des activités ou
opérations de la banque ? Avons-nous recours aux expertises requises?
Prenons-nous bien la mesure des impacts potentiels de pratiques comptables
"agressives" ?
Appréhendons-nous vraiment la substance des opérations réalisées au delà de
leur forme?
Avons-nous une communication transparente avec le Conseil d'Administration ou
le Directoire et/ou le Conseil de Surveillance?
Les outils de reporting de la banque sont-ils adaptés pour une bonne appréciation
des risques? …

Pour une meilleure appréhension des risques d'un établissement financier, L’auditeur
bancaire est tenu de :
Améliorer la compréhension de l'activité et de la performance de la banque et de
son environnement/marché;
Elargir son champ d'investigation;
Ne pas se cantonner à la fonction financière;
Evaluer la qualité du pilotage de l’entreprise et les impacts éventuels de l'activité
sur les comptes;
Identifier et évaluer également ce qui n'est pas dans les comptes ;
Renforcer l'analyse de l'activité, des engagements et des opérations des
différentes fonctions;
Renforcer la qualité et l'efficacité de l'audit;
Renforcer l'utilisation dans son approche des indicateurs de pilotage de l'activité
utilisés par le management;
Prendre en compte les améliorations rapides des outils et du contrôle des
processus du client;
Accroître sa capacité à produire des conclusions à forte valeur ajoutée,
répondant aux préoccupations du management.

Le référentiel de contrôle interne : COSO


Cette approche, est conceptuellement simple et logique. Elle s'inspire dans sa
conception de l'approche COSO (Committee of Sponsoring Organizations of the
Treadway Commission) qui représente un référentiel international en matière de
contrôle interne.

123
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Quelques concepts clés du COSO :


Les contrôles sont plus efficaces quand ils sont intégrés aux activités
opérationnelles;
Chaque individu à tous les niveaux de l'organisation a une responsabilité en
terme de contrôle interne ;
Le contrôle interne ne peut pas fournir une assurance absolue;
Le contrôle interne est une composante essentielle d'une bonne gouvernance
d'entreprise.
Eléments à considérer pour chaque domaine :
ƒ Environnement de contrôle
Code de conduite (intégrité, déontologie et éthique);
Philosophie et style de management des dirigeants;
Compétences;
Gouvernement d'entreprise : conseil d'administration, comité d'audit;
Délégations de pouvoir et domaines de responsabilité;
Politique en matière des ressources humaines.
ƒ Evaluation des risques
Processus d'évaluation des risques;
Mécanismes pour anticiper, identifier et réagir aux événements significatifs;
Processus et procédures pour identifier les changements dans les pratiques
comptables, métier et de contrôle interne.
ƒ Informations et communication
Production de rapports de performance répondant aux critères définis par
l'entreprise;
Alignement des systèmes d'information et de communication avec la stratégie
de la banque;

124
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Engagement de l'entreprise pour développer, tester et superviser les systèmes


d'information;
Plan de secours et plan de continuité informatique.
ƒ Activité de contrôle
Existence de procédures et de normes;
Définition précise des activités de contrôle intégrant une supervision active;
Intégration des activités de contrôle à l'évaluation des risques;
Séparation des tâches;
Mise en place de procédure de sauvegarde des documents et des actifs;
Procédures d'autorisation.
ƒ Pilotage
Evaluation périodique des contrôles internes;
Mise en place des recommandations pour amélioration;
Fonction d'audit interne structurée pour superviser les activités de contrôle.

Approche d'évaluation du système de contrôle interne.


La première étape consistera à identifier les risques majeurs et la deuxième à analyser
les dispositifs en vigueur pour maîtriser ces risques.
L'identification des risques peut s'appuyer sur l'inventaire des risques
traditionnels et bien connus tels que présentés dans le 1er chapitre de la
première partie. Elle peut également s'appuyer sur un inventaire, ou
"cartographie", établi par l'établissement lui-même (via le risk management). Il
conviendra ensuite de l'affiner pour l'adapter au profil spécifique de
l'établissement : ajouter de nouveaux risques, enlever ceux que n'encourent pas
l'établissement et de les hiérarchiser selon leur typologie.
La deuxième étape consiste à répondre à la question : quel est le degré de
maîtrise de ce risque? Il conviendra pour répondre à cette question d'examiner
soigneusement les dispositifs de contrôle interne, les procédures, les moyens, les
outils de mesure et de gestion.

Ebauche d'une démarche d'évaluation du système de contrôle interne.


Le système de contrôle interne ne doit pas être confondu avec l'audit interne qui est
l'organe dont la mission est de s'assurer en permanence que le dispositif de contrôle
interne est efficace. Dans le cas contraire, l’audit interne doit détecter rapidement les
faiblesses pour y porter remède. A ce titre, il fait partie intégrante du système de
contrôle interne. Un système de contrôle interne efficace est caractérisé par :

Des objectifs clairement exprimés et des moyens appropriés;


Une forte implication des organes délibérant et exécutifs;
Une organisation cohérente des organes de contrôle;
Des systèmes de mesure, de limites et de surveillance des risques rigoureux;
Une stricte séparation des fonctions et des tâches;
Le contrôle permanent des opérations et la supervision;
Des procédures qui mettent en application la politique de contrôle interne;
Un système comptable fiable pour traduire une image fidèle;

125
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Un système d'information performant et sécurisé;


Une entité d’audit interne forte et indépendante.

Toute démarche de revue du système de contrôle interne viserait les objectifs suivants:

Etablir une vue à la fois précise et globale de l'ensemble des risques de la


banque;
Discuter et valider avec tous les responsables impliqués dans le processus
d'identification des risques, le niveau de risque associé à chaque activité.
L'auditeur devra dans ce cas précis faire appel à ses connaissances
approfondies du secteur bancaire et particulièrement de l'établissement
audité;
Identifier les contrôles mis en place afin d'assurer une couverture des risques;
Evaluer l'appropriation du contrôle interne par les responsables opérationnels.

Section 2 : L'approche par les risques.


L'approche d'audit est en générale basée sur les risques et peut être résumée comme
suit :

Approche par les risques


Application renforcée des principes Changements dans la mise en œuvre

Une approche partant de l'activité du Une démarche organisée autour des


client pour mieux comprendre et business units et business
valider les comptes. processes.
Une analyse progressive de Des produits finis davantage centrés
l'assurance d'audit. sur les zones de préoccupation du
La prise en compte des risques d'audit management.
traditionnels (exhaustivité, exactitude, Des travaux mieux répartis sur
cut-off, droits et obligations, etc). l'exercice; disparition des phases
traditionnelles (intérim, Final).
Une gestion de mission en mode
projet
Une analyse de "l'assurance" d'audit
à intervalles réguliers en regard des
travaux réellement effectués et non de
façon théorique au moment de la
définition de la stratégie.

Les grandes étapes de cette démarche peuvent être résumées comme suit :

Phase I : Identification des principaux risques pouvant menacer le bon


fonctionnement de l'établissement.
Les principales catégories de risques qui seront analysées sont les suivantes :

126
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

risque de crédit ;
risque de marché ;
risque de taux d'intérêt ;
risque de liquidité ;
risque de règlement;
risques opérationnels;
risques informatiques;
risque juridique;
risque humain;
risque commercial.
Pour ce qui concerne l'identification des principaux risques, ceux-ci devraient être revus
avec les principaux responsables de services de chaque entité lors d'entretiens
individuels. Lors de ces entretiens, il est question de revoir avec eux la probabilité de
survenance et l'impact potentiel de ces risques sur les objectifs de l’entité.
Cette phase débouchera sur la rédaction d'un document d'identification des principaux
risques pouvant menacer les processus de la banque.

Phase II : Mise en évidence des principales faiblesses du système de contrôle


interne de la banque.
Cette phase s'appuie dans un premier temps sur une prise de connaissance de la
politique de gestion des risques au sein de la banque au travers des cinq composants
(reconnus par le COSO Report comme étant les cinq piliers du contrôle interne)
suivants:
l'environnement de contrôle interne ;
l'évaluation des risques;
les activités de contrôle ;
l'information et la communication;
le monitoring du système de contrôle.
Ensuite, il y a lieu d'étudier avec la direction de l’entité et les principaux responsables
opérationnels quels sont les systèmes de contrôle existants au sein de la banque et qui
couvrent les principaux risques identifiés lors de la phase précédente. Cette phase fait
appel à un cumul de connaissances assez important qui pourrait être constitué à travers
des bases de données internes comprenant les meilleures pratiques dans le domaine
des systèmes de contrôle.
Cette deuxième phase mettra en évidence les faiblesses les plus importantes dans le
dispositif du système de contrôle interne.
L'objectif étant de ressortir d’une part, l'écart entre les risques les plus importants
auxquels s'expose la banque et les systèmes de contrôle existants et d'élaborer d’autre
part, un document présentant les principales faiblesses du système de contrôle interne.
Phase III: Elaboration d'un plan d'actions nécessaire à la banque pour
maîtriser ses principaux risques et être en conformité avec la
réglementation.
Cette phase aura pour objectif de prioriser les actions qui devront être initiées et
d'évaluer les moyens à mettre en œuvre pour atteindre un niveau de risque acceptable
par la Direction.

127
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les recommandations seront détaillées et regroupées sous forme de projets, en


précisant la priorité et les ressources devant être engagées. Le plan d'actions proposé
est présenté pour validation à la Direction. Sa mise en place permettra de couvrir les
principaux risques qui menacent les objectifs de la Direction et de répondre aussi aux
exigences de Bank Al Maghrib.
Au cours de cette phase, il est aussi question de déterminer également quelles sont les
procédures qui doivent être élaborées.
Cette phase débouchera sur la rédaction d'un plan d'actions priorisés comprenant les
recommandations détaillées (systèmes de contrôle à améliorer ou à mettre en place)
pour maîtriser les principaux risques qui menacent les objectifs de la banque.

Section 3 : L'approche systémique.

Les différentes définitions d'un système :


Un système est un ensemble d'objets réunis par la relation entre les objets et
leurs attributs (A. HALL et R. FAGEN).
Un ensemble d'éléments en interaction dynamique, organisés en fonction d'un
but (J. ROSNAY).
Un ensemble des parties coordonnées en vue d'atteindre un ensemble de buts
(W. CHURCHMAN).

Il ressort de ces différents éléments que :


un système est constitué d'éléments et de relations entre ces éléments;
un système est finalisé;
un système est un tout non réductible à ces parties;
un système est organisé.

Les caractéristiques principales d'un système.


L'approche systémique permet d'appréhender le fonctionnement d'une entité complexe
qu'est la banque. Elle permet de comprendre la banque comme un ensemble de
variables en interaction ayant un certain degré de finalité. La grille d'analyse de la
banque permet de répertorier les variables pertinentes et leurs liaisons.

Les paramètres du modèle d'analyse de la banque sont :


Sa structure : allocation stable des tâches et des rôles créant un cadre d'activité
inter-relié et permettant à la banque de mener et de coordonner ses activités.
Ses systèmes de gestion : éléments qui donnent vie à l'organisation (système
d'information, prise de décision, évaluation, contrôle).
Sa coalition dominante : petit nombre de décideurs (organes d'administration) ou
managers (risk managers) avec des propositions de pouvoir et d'influence avec : une
personnalité, des valeurs, des expériences professionnelles.

128
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Un environnement à dimensions multiples : caractérisé par la complexité et


l'incertitude. Il concerne les volets : commercial, risque, technologique,
réglementaire, socio-culturel…
Les individus : ou ressources humaines venant d'horizons différents (des
compétences, des attentes, des qualités, des besoins).
Une stratégie : avec des choix de domaine d'activité, d'objectifs et de paramètres
concurrentiels.
Une technologie : c'est à dire un ensemble de moyens matériels et immatériels
nécessaires à la réalisation de l'activité.
Une culture : c'est à dire un ensemble de valeurs, de croyances et de règles plus ou
moins reconnues par les acteurs de l'organisation, plus ou moins formelles ou
informelles qui indiquent le chemin à suivre (ce qui est attendu, ce qui est admis, ce
qui est récompensé).
Des performances : résultats de la banque sous différentes formes
(organisationnelles, économiques, techniques, humaines).
La prise en compte conjointe de ces différentes variables permet d'analyser l'ensemble
des interactions existant dans la banque.

L'approche systémique.
L'approche systémique a modifié profondément les pratiques utilisées jusqu'alors pour
aborder l'étude et la conception des systèmes. L'analyse systémique engendre une
démarche inductive.
Son introduction dans l'audit a imposé une remise en cause profonde de l'approche
utilisée s'accompagnant d'une modification de la nature des outils sur lesquels se fait
son application.
La systémique envisage les éléments d'une conformation complexe, des faits, non pas
isolément mais globalement, en tant que parties intégrantes d'un ensemble dont les
différents composants sont dans une relation de dépendance :
Le principe de totalité exprime l'idée que les interactions entre les différents
éléments d'un système ne peuvent s'appréhender qu'au niveau de la totalité et non
au niveau des éléments pris séparément.
Le principe d'interaction implique que chaque élément peut s'informer et agir sur
l'état des autres.
Le principe d'homéostasie caractérise un système auto-régulé, c'est à dire capable
de réagir à toute modification, d'origine interne ou externe, pour revenir à son état
initial.
Le principe d'équifinalité indique qu'un même résultat peut être obtenu par des
voies et conditions initiales différentes.

Application de l'approche systémique dans l'audit bancaire.

A travers l’approche systémique, les différentes composantes du système de contrôle


interne seront analysées, comme suit, pour en apprécier l'efficacité :

129
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Définition des objectifs de contrôle interne : s’assurer que l'établissement a défini


ses objectifs en matière de contrôle interne et que ceux-ci sont cohérents par rapport
aux normes professionnelles.
L'existence d'un document souvent intitulé « charte de contrôle interne », approuvé
par le conseil d"administration est un point positif. Sa large diffusion et la référence
permanente à ce document sont des facteurs complémentaires indispensables.
Les moyens dont dispose le système de contrôle interne permettent de vérifier que
l'établissement est résolument engagé dans la réalisation de ses objectifs.
Rôle du conseil d'administration : s'assurer qu'il assume pleinement ses
responsabilités en matière de contrôle interne. Les procès verbaux de ses réunions
permettent de s'imprégner de son implication dans ce processus.
Distinguer notamment les résolutions purement formelles destinées à se mettre en
conformité avec les textes réglementaires des résolutions qui mettent en évidence
ses préoccupations réelles d'imposer ses objectifs en matière de contrôle interne.
Des entretiens avec certains membres du conseil d'administration sont un facteur
important pour permettre à l'auditeur de se forger une opinion sur ce degré
d'implication. Notamment avec les membres faisant partie du comité d'audit.
Rôle du comité d'audit : son rôle peut être examiné essentiellement par des
entretiens avec ses membres et l'examen des procès-verbaux ou des documents
qu'il a émis ou approuvé.
Les points suivants sont révélateurs de l'efficacité de son rôle : composition,
pouvoirs, existence et contenu de la charte de contrôle interne, nombre de réunions
tenues décisions prises durant ces réunions, recommandations qu'il a émises,
rapports qu'il a soumis au conseil d'administration, etc.
Rôle de la direction générale : s’assurer que la direction générale est impliquée
dans le système de contrôle interne et remplit son rôle qui est de définir les
stratégies et d'en suivre la réalisation.
Ce travail pourra être réalisé avec les membres de la direction générale. Des
entretiens avec les différentes unités de la banque permettront d'apprécier dans
quelle mesure la direction générale donne les impulsions nécessaires pour imposer
ses objectifs de contrôle.
Culture de contrôle interne : la culture de contrôle interne se constatera également
tout au long de la mission par les entretiens avec les différents responsables
opérationnels et fonctionnels. Le degré avec lequel l'ensemble du personnel est
conscient des risques qu'il assume au quotidien et la manière de les gérer peuvent
alors être évalués.

Audit systémique : audit multidisciplinaire du processus, de l'organisation, du


fonctionnement, des procédures, …
Dans l’exercice de leurs activités, les établissements de crédit supportent différents
types de risques. En fonction de leur taille et de la complexité de leurs activités, les
établissements de crédit devraient mettre en place des systèmes de gestion du risque -
à savoir les processus de détection, de mesure et de contrôle des expositions aux
risques - pour toutes les principales catégories de risques encourus.

130
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les risques bancaires sont liés aux processus de distribution des produits et services,
au traitement des opérations, aux systèmes d’information ou à des modifications de
l’environnement dans lequel opère la banque (juridique, fiscal, contractuel,
réglementaire ou autres). Tout établissement bancaire est confronté à ces risques
susceptibles de porter atteinte à la qualité des services apportés à ses clients, à sa
performance commerciale et, partant, à son développement dans la rentabilité.
Dans ce contexte, une méthodologie d’approche globale des risques serait
indispensable pour en étudier les principales causes et conséquences, ainsi que les
mécanismes de propagation. Une telle approche - appelée audit systémique -
permettra de déterminer les indicateurs et mesures de gestion puis les plans d’actions
les mieux adaptés pour les maîtriser.
L’audit systémique est une approche descriptive, cognitive, prospective, experte et éco
systémique des dispositifs complexes. L’audit systémique tente de répondre aux
besoins de connaissance et de modélisation préparant à la conception de systèmes
complexes (projet et dispositif) ainsi qu’à leur pilotage par le commandement et la
gestion des décisions (management).
Cette approche permet d'avoir une vision globale et maîtrisée des risques et d’optimiser
l’efficacité de la mission d’audit, quelle que soit la complexité des organisations ou des
processus à auditer.
Il s’agit d’une approche globale du risque avec un ensemble de composants modulaires
complets permettant de vérifier l'efficacité du dispositif de contrôle interne par ligne
métier, mais qui peut aussi être intégrée individuellement pour compléter un système
existant.
L'audit systémique aboutit notamment à mieux connaître le profil de risque des activités
exercées (cartographie des risques), à développer et alimenter les outils nécessaires au
pilotage de ces risques (référentiel de risques par activité, indicateurs de veille et de
suivi, incidents opérationnels et pertes consécutives à leur survenance).
Il vise également à améliorer et à coordonner les processus de gestion existants en
intégrant, en particulier, les problématiques de contrôle interne, de sécurité des
systèmes d’information, de déontologie et de plans de continuité des activités dans le
cadre d’un dispositif de maîtrise globale des risques.
Enfin, il permettra d’accroître la responsabilité, la vigilance et la réactivité des unités
opérationnelles et ainsi des risk managers qui bénéficieront notamment des retours
d’expériences et de répondre aux exigences du marché (actionnaires, analystes
financiers et agences de notation) et du régulateur.
Une démarche détaillée d'évaluation du système de contrôle interne par l'audit
systémique est développée pour quatre lignes métiers (système d'information, salle des
marches, comptabilité et ressources humaines) dans la deuxième partie.

Audit systémique : outil de maîtrise et de prévention des risques pour le Risk


manager.
Le Risk Manager d’une unité coordonne et supervise les différents travaux constitutifs
d’un dispositif de surveillance et de maîtrise des risques encourus par cette unité.
Le management des risques concerne toutes les fonctions support ou opérationnelles
existantes de la banque (contrôle interne, ressources humaines, système d’information,

131
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

front office, middle office, back office, finance - comptabilité, conformité - déontologie,
sécurité financière).
L'audit systémique permet au Risk Manager de mener à bien sa mission en matière
d'identification et d'évaluation des risques, de mesure et de suivi du coût de ces
risques, de prévention et de réduction de leurs impacts et enfin, de surveillance et de
maîtrise desdits risques.

1. Identification et évaluation des risques.


La démarche cartographique permet aux unités de détecter les risques dans les
activités ou processus de chaque domaine de leur périmètre et de les hiérarchiser.
Cette analyse passe par l'auto-évaluation des risques et des contrôles permanents de
chaque processus métier ou support par les responsables d'activités (ex : responsables
d'un desk, d'un Back Office,…).
Le Risk Manager fait établir avec le concours des responsables concernés de son unité
la cartographie de risques de son périmètre. Il maintient dans ce cadre les référentiels
du périmètre de la banque / ligne métier (processus, entités …).
Le Risk Manager met à jour cette cartographie annuellement ou après chaque
changement significatif dans l’organisation de son périmètre. Il est responsable de la
réalisation de la cartographie et la fait valider par le Comité de Contrôle Interne ou de
risques de la banque.
2. Mesure et suivi du coût des risques (pertes et alertes).
Le Risk Manager fait recenser auprès des responsables des activités concernées les
incidents importants et les pertes liées à la survenance d'un risque dans son entité.
3. Prévention et réduction des risques.
Le Risk Manager contribue à développer l’implication des responsables de son entité
dans la gestion de leurs risques et promeut les bonnes pratiques en matière de Risk
management.
Lors du lancement de nouvelles activités et / ou nouveaux produits, le Risk Manager
s’assure en liaison avec l'auditeur bancaire que leurs caractéristiques ont été examinées
par les spécialistes compétents sous l’angle des risques opérationnels (déontologie,
juridique, fiscalité, sécurité des systèmes d’information, comptabilité). Il fait mettre à jour
la cartographie de son périmètre pour en tenir compte.
L'audit interne promeut et coordonne avec les autres fonctions risques (crédit et
marché) et les fonctions support (organisation, systèmes d’information,..) les mesures
de prévention et de réduction des risques (optimisation contrôles/risques, amélioration
des procédures, automatisation des processus..).

4. Surveillance et maîtrise des risques.


Le Risk Manager surveille l’évolution des risques à travers un tableau de bord trimestriel
rassemblant au minimum les éléments suivants : faits marquants de la période, risques
sensibles (processus à surveiller), indicateurs clé mis en place, coût du risque et actions
majeures (prévues ou en cours).

132
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Ce tableau de bord est revu par le Comité de Contrôle Interne, puis communiqué à la
Direction Générale. Il appartient à l’entité, le cas échéant, de faire automatiser la
collecte et le traitement des données nécessaires à son alimentation.
En relation avec l’audit interne, le Risk manager établit, suit et coordonne le plan
d’actions global d’amélioration du Contrôle Interne. Les actions d’amélioration de la
maîtrise des risques proviennent des résultats de la cartographie, des recommandations
des auditeurs et des régulateurs, et de l’analyse des dysfonctionnements significatifs.
Ce plan d’actions global est suivi par le Comité de Contrôle Interne.

Adhésion du top management : une condition sine qua none pour l’efficacité
de l’approche d’audit systemique.
Pour garantir l’efficacité de l’approche d’audit systémique, la structure managériale de
l’établissement bancaire doit être suffisamment sensibilisée par rapport à l’apport
indéniable de cette approche et de sa valeur ajoutée en termes d’outil de pilotage de la
stratégie risques, d’efficacité et de sécurité des traitements opérationnels, d’efficience
du risk management et de la bonne gouvernance en général.

Ainsi, le top management se doit de :


répartir clairement les rôles et les responsabilités entre les divers acteurs intervenant
dans le processus de maîtrise des risques (l'audit interne, le contrôle interne, le risk
management, la compliance, la déontologie, …) et favoriser la coordination et la
synergie entre ces acteurs ;
cerner la taxinomie et la particularité de chacun des risques inhérents à l'activité
bancaire et prendre les dispositions nécessaires pour prévenir et maîtriser ces
risques ;
prévoir la mise en place des dispositifs de contrôle interne correctifs en cas de
production ou de manifestation des risques tels que le Plan de Continuité
d'Activité(PCA), les polices d’assurance, la refonte du dispositif de contrôle interne,…
instaurer un système de pilotage stratégique des risques en étant destinataire via un
système de reporting périodique (cartographie consolidée des risques, indicateurs des
risques clés « KRI », rapports sur le contrôle interne, rapports de missions de l’audit
interne), des événements à risques et des incidents survenus en mettant en relief leur
criticité, leur sévérité, leur occurrence, leur (s) cause(s) (défaillance ou insuffisance du
dispositif de contrôle interne en termes d’efficacité ou de pertinence) et enfin, les
mesures prises ou prévues pour soit atténuer l’impact financier et/ou de réputation,
soit réduire la probabilité de survenance de ces risques.

133
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Conclusion du chapitre 1.

L'audit systémique a modifié profondément les pratiques utilisées jusque là par


l'auditeur bancaire. Instaurée en globalité pour toutes les lignes métiers ou intégrée
individuellement pour compléter un système existant, une telle approche permet :

d'avoir une vision globale et maîtrisée des risques, quelle que soit la complexité des
organisations ou des processus à auditer;
de vérifier l'efficacité du dispositif de contrôle interne par ligne métier;
Enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités
opérationnelles et ainsi des risk managers dans la maîtrise, la gestion et la
prévention des risques.

Parallèlement au développent en interne d'outils et techniques de contrôles et de


gestion des risques bancaires, l'auditeur interne apparaît de plus en plus incontournable
dans le processus de supervision bancaire architecturé par les organes de tutelles.
Au delà de sa responsabilité de donner un avis indépendant sur la fiabilité des
dispositifs de contrôle interne, l'auditeur bancaire devient ainsi un acteur incontournable
dans la prévention des risques bancaires.
Ainsi, une démarche opératoire d'audit systémique est développée pour quatre lignes
métiers (système d'information, salle des marches, ressources humaines et
comptabilité) dans la deuxième partie illustrant parfaitement l'originalité et la pertinence
de l'approche.

134
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 2 :

Mission d'audit de la Direction des


Systèmes d'Information.

135
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 2 : Mission d'audit de la Direction des Systèmes


d'Information.

Introduction.
Ce chapitre couvre l'audit de la fonction système d’information (SI) dans son ensemble.
Il a été divisé en quatre domaines correspondant à un découpage logique des axes
d’analyse de ladite fonction : l'organisation et le management, la sécurité, les études
et développements et l'exploitation informatique.
La maîtrise de la fonction système d'information, au sein de toute banque commerciale
comme ailleurs, passe notamment par la maitrise des quatre domaines à savoir :
Une organisation claire et un management adéquat avec des procédures
générales en place visant à maîtriser la fonction SI dans son ensemble,
La maîtrise de la sécurité par une analyse régulière des risques pesant sur le
système d'information de l'entité (sécurité logique, sécurité physique, et la
continuité des services),
L'efficacité, l'efficience et l'intégrité des développements d’applications (en
interne ou en externe), des progiciels ou des systèmes existants ayant été
modifiés,
L'exhaustivité des procédures d’exploitation du SI : indicateurs de qualité,
performance, planification et contrôle des travaux.
Comme pour toutes les fonctions, une mission d’audit SI comprendra une phase de
préparation (collecte de documents et entretiens préparatoires), une phase
d’investigation (entretiens systémiques 23 et sondages) et une phase de rédaction. Il
conviendra de couvrir chacun des quatre domaines lors de chaque phase.
Selon l’importance de la banque auditée, ces quatre thèmes seront déclinés plus ou
moins formellement. Dans tous les cas, la mission aura pour objet d’apprécier comment
sont couverts les risques liés à la fonction SI.
Parmi les familles de risques recensées, seront principalement concernés les risques
d'efficacité, d'efficience, de confidentialité, d'intégrité, de disponibilité, de conformité,
juridique et d'image.
L’audit des systèmes d’information devra mesurer le niveau des risques, leur évolution,
et l’avancement des plans d’actions correcteurs.

Le présent chapitre reprend :

pour la phase de préparation, la liste des documents à recueillir et des


entretiens à mener,
pour la phase d’investigation, dans chacun des 4 domaines, les objectifs, les
points de contrôle, les familles de risques associées et les natures des risques
et enfin les sondages et les documents requis.

23
Audit de processus : organisation, fonctionnement, procédures, …

136
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Pour la phase de synthèse, une liste de sondages qui pourraient être repris
dans le rapport.

Préparation.
Dès le début de la phase préparatoire de la mission, les auditeurs remettent à la
Direction des Systèmes d’Information (DSI) une liste de documents à leur envoyer et/ou
à tenir à leur disposition :
Organigramme de la DSI ;
Liste des comités auxquels participe le responsable SI ;
Description des missions / rôles / responsabilités des principaux départements
de la DSI ;
Liste des sites informatiques (développement, production, back-up,
archivage,…) et des principaux sites « utilisateurs » ;
Liste des principales sociétés externes prestataires de services informatiques,
avec indication de la nature et de l’importance (quantitative/qualitative) des
services rendus ;
Documents budgétaires de synthèse des exercices N et N-1 (données
chiffrées et dossiers d’accompagnement validés) ;
Documents de synthèse récents relatifs aux grandes orientations stratégiques
/ schémas directeurs / principaux projets informatiques (exemple : plan
triennal, notes d’orientation stratégique,…) ;
Documents de synthèse de présentation des architectures matérielles,
logicielles et réseaux (incluant les principales interconnexions avec
l’extérieur);
Documents de synthèse de la cartographie applicative et de présentation des
principales applications sur les différentes plates-formes ;
Comptes-rendus récents (ex : 6 derniers mois) des principaux Comités
informatiques (internes DSI / inter-Directions / de Direction Générale) ;
Rapports de synthèse d’activité récents de la DSI diffusés à la Direction
Générale / aux Directions utilisatrices … (ex : rapport annuel, derniers
rapports mensuels / trimestriels,…).

Accès au système d’information de la banque auditée.


En cas de besoin d’accéder au réseau local de la banque pour des investigations,
demander que les ordinateurs des auditeurs de la mission soient connectés avec des
droits d’accès en lecture uniquement (et pour la durée de la mission) sur les
répertoires de production des serveurs du réseau local.
En cas de besoin pour les membres de la mission de disposer d’un répertoire partagé,
demander la mise à disposition d’un tel répertoire, sur un serveur de fichier de la
banque. Ne pas oublier de « nettoyer » ce répertoire en fin de mission avant de quitter la
banque.
Pour les systèmes de production centraux, demander l’attribution d’un ou plusieurs
comptes utilisateurs ayant toutes les fonctions de consultation et d’impression sur les

137
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

programmes et données de production. Demander expressément de n’avoir aucune


possibilité de création ou de mise à jour des données et programmes de production.

Investigation.
Rappel de l’arborescence de la démarche d’audit systémique :

Mission : nom de la mission objet de l’audit.


Thème : libellé du thème à auditer.
Sous-thèmes : libellé du sous-thème appartenant au thème audité.
Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire.
Risques : risques inhérents au thème/sous-thème audité.
Approches d’audit et sondages : approches d’audit et de sondages à réaliser.

Mission d'audit de la Direction des Systèmes d'Information.

1. Organisation et management.
Ce domaine concerne l'organisation et les procédures générales en place visant à
maîtriser la fonction SI dans son ensemble à travers :
une organisation claire et des définitions de responsabilités précises,
une planification à court, moyen et long terme formalisée des évolutions des
systèmes d'information,
la mise en oeuvre de procédures internes formalisées, notamment en matière
budgétaire et de suivi d’activité,
la formalisation des relations avec les utilisateurs et leurs maîtrises d’ouvrage,
la mise en œuvre de dispositifs de pilotage et de contrôle.

1.1 - Structure et organisation générale

Organisation et responsabilités de la fonction.


Objectifs/points de contrôle.
ƒ Existe-t-il un organigramme hiérarchique et fonctionnel de la fonction informatique, est-il
mis à jour régulièrement ?
ƒ La définition de la fonction Informatique est-elle clairement établie (missions et
responsabilités) et la position de la fonction au sein de l'entité lui permet-elle
d'exercer ses missions de façon satisfaisante ?
ƒ L'organisation de la fonction Informatique est-elle adaptée aux rôles et responsabilités
qui lui ont été attribués par la Direction Générale de la banque ?
Risques.
ƒ Efficacité, Efficience

138
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Pour quelques postes figurant sur l'organigramme informatique, vérifier que le titulaire
effectif du poste au sein de la Direction informatique correspond bien à la personne en
charge du poste sur l'organigramme.
Prendre connaissance de la définition des missions et des responsabilités relatives à
l'exercice de la fonction.
Analyser les relations hiérarchiques, le pouvoir décisionnel et le positionnement par
rapport aux autres fonctions. Le rattachement de la fonction informatique doit être le
plus élevé possible (en principe à la Direction Générale de la banque).
Analyser la structure de la Direction informatique au travers de son organigramme, en le
rapprochant des missions et responsabilités définies par la Direction Générale de la
banque.

Rôles et responsabilités des différents postes.

Objectifs/points de contrôle.
ƒ Existe-t-il une définition de poste précisant les rôles et responsabilités pour chaque
poste figurant sur l'organigramme de la Direction informatique, et est-elle appliquée
dans les faits ?
ƒ Existe-t-il une procédure formalisée précisant les responsabilités des personnes au
sein de la Direction informatique concernant les délégations de signature ?
Risques.
ƒ Efficacité, efficience, conformité.
Approches d’audit & sondages.
Pour un certain nombre de postes de la Direction informatique, vérifier que la description
de poste comporte les éléments suivants : objet du poste, missions, rôles et
responsabilités, rattachements hiérarchiques et fonctionnels, principales relations avec
d’autres postes internes et externes à la Direction informatique. De plus, interroger la
personne qui occupe le poste pour s'assurer qu'il connaît sa description et qu'il
l’applique.
S'assurer notamment de la formalisation des autorisations pour les embauches, la
définition de l'organisation interne, le lancement des projets, les achats et le recours à
des prestations externes.

Séparation des tâches.


Objectifs/points de contrôle.
ƒ L'organisation et le fonctionnement effectif de la fonction informatique respectent-ils
une correcte séparation des tâches incompatibles?
Risques.
ƒ Efficacité, efficience.
ƒ Confidentialité, intégrité.
Approches d’audit & sondages.
Consulter l'organigramme et déterminer la séparation des tâches en vigueur.

139
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Par analyse des travaux effectués par quelques personnes, vérifier qu'elles ne réalisent
pas dans la pratique des tâches d'autres personnes, à l’encontre d’une correcte
séparation des tâches.

Stratégie informatique
Objectifs/points de contrôle.
ƒ Une stratégie claire et cohérente a-t-elle été définie et formalisée en matière de
systèmes d'information, et est-elle respectée ?
ƒ Les décisions clés en matière de systèmes d'information sont-elles soumises à un
Comité réunissant la Direction Générale, les maîtrises d'ouvrage et les maîtrises
d'œuvre de la banque ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Consulter les documents décrivant cette stratégie.
S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas
d’orientations importantes apparaissant comme incohérentes avec la stratégie.
S'assurer que ces orientations stratégiques sont respectées et que les maîtrises
d’ouvrage sont consultées à l’occasion des orientations prises par la banque.
Se faire communiquer la note ou l'instruction de la Direction Générale de la banque
instituant le Comité décisionnel en matière de stratégie informatique.
Examiner par rapport à la structure générale de la banque la représentativité de ce
Comité.
Examiner les procès-verbaux ou les comptes rendus des réunions les plus récentes de
ce Comité et vérifier si les principales décisions stratégiques en matière d'évolution des
SI ont bien été prises dans le cadre de ce Comité.

Schéma directeur / plan informatique :


Objectifs/points de contrôle.
ƒ Les orientations stratégiques, en matière de systèmes d’information, approuvées par
la Direction Générale de la banque, sont-elles déclinées sous la forme d'un schéma
directeur / plan informatique, périodiquement mis à jour, reprenant ces orientations et
recensant les projets envisagés à court et moyen terme dans le cadre de leur mise
en œuvre ?
ƒ Les préconisations du schéma directeur des systèmes d'information font-elles l'objet
d'un suivi (avec un reporting) de mise en oeuvre périodique et formalisé à l'intention de
la Direction Générale de la banque ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Récupérer le schéma directeur / plan informatique.
Analyser son processus d'élaboration et de mise à jour, et notamment le lien avec les
orientations stratégiques approuvées par la Direction Générale de la banque.
Sélectionner quelques projets et s'assurer qu’ils sont en ligne avec ces orientations
stratégiques.

140
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

S'assurer que ce suivi est effectué, soit dans le cadre d'un Comité réunissant les
principaux responsables de la banque, y compris la Direction Générale, soit par un
reporting formalisé à ces responsables.

1.2 - Conduite des activités.


Objectifs/points de contrôle.
ƒ La fonction informatique est-elle dotée des moyens permettant un pilotage efficace
de son fonctionnement et de son évolution ?
ƒ La fonction informatique dispose-t-elle des moyens financiers adaptés à sa mission
et ceux-ci sont-il gérés et contrôlés de façon adéquate ?
ƒ Un budget informatique est-il élaboré en conformité avec le processus budgétaire
global de l'entité, recense-t-il l'ensemble des dépenses et des recettes associées aux
systèmes d'information, et fait-il l'objet d'un suivi formalisé ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Se procurer le budget informatique.
Vérifier en particulier que l'élaboration de ce budget fait l'objet d'une concertation
suffisante entre les Directions de l'entité afin de tenir compte des orientations des
Directions "utilisatrices" de l'informatique.
Se procurer les documents de suivi du budget informatique.
Vérifier en particulier l’adéquation de l’analyse des écarts entre le budgété et le réalisé,
et de la justification du prévisible.

Plans de travail.
Objectifs/points de contrôle.
ƒ Le plan informatique à long terme est-il régulièrement traduit en plans de travail à
court terme qui prévoient l’affectation des ressources humaines et matérielles ? Ces
plans sont-ils périodiquement réexaminés et mis à jour ?
ƒ Les plans de travail sont-ils cohérents par rapport aux budgets informatiques ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Demander la communication des versions successives des plans informatiques à court
terme et vérifier leur cohérence avec le plan à long terme. S'assurer que ces plans
incluent les développements, la maintenance, et qu'une marge de manœuvre est
conservée afin de réaliser des travaux exceptionnels et urgents.
S’assurer que les travaux prévus aux plans de travail sont cohérents par rapport aux
lignes budgétaires approuvées par la Direction Générale de la banque.

141
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Pilotage et suivi de l'activité.


Objectifs/points de contrôle.
ƒ Des instances permanentes ou ponctuelles permettent-elles de piloter de manière
adéquate les activités conduites par la fonction informatique de la banque ?
ƒ Des tableaux de bord de gestion, comportant un ensemble pertinent et complet
d'indicateurs, sont-ils élaborés et exploités pour le pilotage de la fonction
informatique au sein de la banque ?
ƒ Un reporting périodique de l'activité de la fonction informatique de la banque est-il
effectué auprès de la Direction Générale de la banque ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Recenser les instances existantes et analyser leurs modalités de fonctionnement.
Récupérer les traces formelles des réunions de ces instances et vérifier que des
décisions y sont prises et suivies d'effet.
Collecter les différents tableaux existants et analyser leur contenu. Vérifier qu'ils
contiennent des indicateurs relatifs aux différentes activités de la fonction informatique, y
compris les principales évolutions de la structure (effectifs / organisation...), les
principaux développements, la volumétrie en exploitation, les principaux incidents, et
des éléments de suivi budgétaire. Déterminer si ces tableaux de bord sont utilisés pour
des décisions de gestion.
Prendre connaissance de ce reporting et vérifier qu'il reprend fidèlement les principaux
indicateurs relatifs à l'activité de la fonction informatique.

Moyens techniques.
Objectifs/points de contrôle.
ƒ Dispose-t-on d'un inventaire à jour de tous les équipements24 avec leur emplacement
et leurs connexions ?
ƒ Des inventaires physiques périodiques sont-ils effectués et existe-t-il un
rapprochement périodique avec la comptabilité ?
ƒ Existe-t-il une gestion de la performance et de la capacité des équipements ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Apprécier l'exhaustivité, la lisibilité, et les procédures de mise à jour de cet inventaire.
Obtenir les résultats du dernier inventaire physique : apprécier les procédures mises en
oeuvre, y compris l’analyse des écarts et le rapprochement avec la comptabilité.
Obtenir le reporting correspondant : apprécier la couverture des équipements
concernés, et déterminer si ce reporting permet d’anticiper correctement des
modifications de configuration pour améliorer les performances et la capacité de
traitement.

24
Equipements concernés: serveurs, postes de travail, imprimantes, équipements réseau (routeurs, multiplexeurs, concentrateurs, modems...)

142
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Gestion des ressources humaines


Objectifs/points de contrôle.
ƒ La fonction Informatique dispose-t-elle des ressources humaines adaptées à ses
missions ?
ƒ La durée moyenne de formation (interne/externe) du personnel est-elle suffisante par
rapport aux besoins et aux évolutions technologiques ?
ƒ La fonction SI gère-t-elle ses ressources à partir d'un plan de gestion formalisé?
ƒ Le turn-over des collaborateurs est-il limité (de l’ordre de 5 à 15% par an) ?
ƒ Des mesures ont-elles été prises de manière à éviter que toute fonction essentielle
dépende de la présence d'une personne clé unique (back-up des compétences) ?
ƒ A-t-on le sentiment que le climat social est correct et qu'il n'y a pas à redouter
d'action bloquante pour l'exploitation informatique ou d'action interne malveillante?
Risques.
ƒ Efficacité, efficience.
ƒ Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Recenser le personnel de la fonction informatique.
Analyser pour les différents responsables et catégories de personnel, leur formation
initiale et complémentaire, ainsi que leur expérience vis à vis des postes occupés.
S'assurer que la durée de formation est suffisante (supérieure à 5 jours par an et par
personne), notamment dans les domaines évolutifs (net, réseaux / telecom ...) et dans la
conduite de projets,...
S'assurer que la planification de la fonction informatique intègre la gestion des
ressources.
Vérifier que le personnel peut évoluer en fonction de ses aptitudes au sein de la fonction
informatique.
Identifier les raisons d'un éventuel turnover important. S'assurer que des mesures ont
été prises pour le réduire : prime, formation, évolution de carrière, ...
Identifier les personnes clés de la fonction sur lesquelles reposent des responsabilités
ou connaissances importantes (ex: chef de projet, responsable de l'exploitation, ...).
Vérifier l'existence d'une personne susceptible de les remplacer en cas d'absence
temporaire ou définitive.

1.3 - Gestion des projets.

Objectifs/points de contrôle.
ƒ La banque a-t-elle établi une structure générale de gestion de projets qui définit la
méthodologie à appliquer pour chaque projet entrepris ? Cette méthodologie couvre-
t-elle, au minimum, l’attribution des responsabilités entre la Maîtrise d’Ouvrage
(MOA) et la Maîtrise d’œuvre (MOE), le jalonnement des tâches, l’établissement et le
suivi du budget temps et ressources, les points de contrôle et de validation ?
ƒ La MOA des départements utilisateurs participe-t-elle systématiquement à la
définition et à l’autorisation d’un projet de développement, de mise en œuvre ou de
modification ?
ƒ La méthodologie de gestion de projet prévoit-elle l’approbation d’un projet par la
Direction Générale de la banque et l’approbation des différents lots et des différentes
phases par la MOA ?

143
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ La méthodologie de gestion de projet prévoit-elle une méthode et un contrôle du


suivi des charges de travail et des dépenses engagées tout au long de son
développement ?
ƒ Tout projet fait-il l'objet d'une démarche méthodologique et de l'utilisation d'outils de
suivi normalisés ?
ƒ Le suivi des projets se fait-il de manière rigoureuse pour éviter tout dérapage non
contrôlé en termes de délais et de coûts ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Se faire communiquer et apprécier la méthodologie de gestion de projet retenue par la
banque.
Sélectionner un échantillon de projets en fonction de leur taille et de leur criticité.
Pour chacun des projets de l’échantillon, étudier la cohérence et la pertinence de la
méthodologie effectivement appliquée.
Se faire communiquer les documents attestant de la participation de la MOA des
départements utilisateurs (note de cadrage, cahier des charges, avant-projet,...).
Vérifier sur l’échantillon sélectionné que les projets ont été formellement autorisés par la
Direction Générale de la banque et que la MOA approuve chaque lot et chaque phase
du cycle de développement des projets.
Contrôler les documents de suivi des projets (contrôle de gestion).
Vérifier l’existence d’une méthodologie et d’outils de suivi de projet normalisés.
Vérifier sur l’échantillon sélectionné que les projets sont suivis par une instance
adaptée, à partir d'un reporting adéquat des travaux effectués, et vérifier l’utilisation
effective de la méthodologie et des outils de suivi.
Analyser les différences entre les plannings et coûts initialement prévus et effectivement
constatés en fin de projet.

1.4 – Gestion de la qualité.


Objectifs/points de contrôle.
ƒ Une personne est-elle en charge de la qualité interne, ou vis-à-vis des tiers, des
prestations de la fonction informatique de la banque ?
ƒ Des niveaux de services ont-ils été définis et sont-ils régulièrement mesurés pour
évaluer la qualité des prestations fournies à ses clients (internes / externes) par la
fonction informatique de la banque ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Prendre connaissance de la définition de fonction de la personne en charge de la
qualité.
Vérifier que ce poste dispose de moyens nécessaires à la réalisation de ses objectifs.
Recenser les domaines dans lesquels existent des conventions de services.
S’assurer que les indicateurs sont pertinents et mesurables de manière objective, et qu’il
y a eu concertation entre la fonction informatique et ses clients pour leur détermination.

144
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Vérifier que des mesures régulières des niveaux de services sont effectuées à l’aide de
ces indicateurs, et que des actions d’améliorations sont engagées le cas échéant à
partir de ces mesures.

1.5 - Assurances.

Objectifs/points de contrôle.
ƒ Le choix des garanties en matière informatique correspond-il à une stratégie
résultant d'une étude spécifique, validée par la Direction Générale de la banque ?
ƒ Le système informatique est-il couvert par un contrat d'assurance couvrant les
dommages matériels ?
ƒ La banque a-t-elle souscrit un contrat couvrant les frais supplémentaires
d’exploitation en cas de sinistre ?
ƒ La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de
médias25?
ƒ La banque a-t-elle souscrit d'autres contrats liés aux précédents (Globale
informatique, Responsabilité civile, Pertes d'exploitation, etc...) ?
Risques.
ƒ Efficacité, efficience.
Approches d’audit & sondages.
Vérifier que le montant et la nature des risques couverts ont été déterminés par une
étude précise portant notamment sur le matériel (configuration centrale, réseaux...), les
risques de fraude ou de détournement, les coûts de reconstitution de supports, les
pertes d'exploitation éventuelles, etc ...
Vérifier que les risques suivants sont bien mentionnés : la détérioration d'origine externe
mais aussi interne, d'ordre électrique ou mécanique, les phénomènes naturels, le vol ou
la tentative de vol de matériel (s'assurer que le contrat inclut une garantie de vol sans
effraction).
S'assurer que le contrat d'assurance prend bien en charge les frais supplémentaires
d'exploitation, c'est-à-dire ceux qui sont mis en œuvre au moment du sinistre, la
couverture du back-up, les biens et services de remplacement, les frais supplémentaires
de transport et de main d'œuvre.
S'assurer que le contrat couvrant les frais de reconstitution des médias concerne les
programmes développés pour les besoins spécifiques de l'entreprise et les adaptations
des progiciels aux besoins particuliers de l'entreprise.
Vérifier que les sauvegardes correspondantes existent et sont effectuées régulièrement,
pour rendre possible la mise en jeu de la garantie.
Vérifier que les risques couverts par les différents contrats sont complémentaires, non
redondants, et cohérents par rapport à la stratégie d’assurance de la banque.

1.6 – Conformité aux lois / règlements et aux normes.


Objectifs/points de contrôle.
ƒ Des mesures ont-elles été prises pour faire respecter la législation concernant la
protection de la propriété des logiciels 26 ?
25
Il s'agit des moyens de stockage de type "unité disques" contenant programmes et données utilisés pour le fonctionnement des systèmes informatiques
26
Il s'agit essentiellement de la protection contre le piratage informatique (copie, utilisation et diffusion illicites de logiciels).

145
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Conformité.
Approches d’audit & sondages.
Vérifier notamment que les logiciels font l’objet d’une licence.

1.7 - Ethique et déontologie.


Objectifs/points de contrôle.
ƒ Le règlement intérieur comporte-t-il des dispositions spécifiques en matière d'éthique
et de déontologie concernant l'usage du système d'information ?
ƒ Remet-on des documents ad hoc aux nouveaux arrivants dans l'entité et leur fait-on
le cas échéant signer des documents relatifs à leurs obligations en matière d'usage
du système d'information ?
Risques.
ƒ Conformité, disponibilité.
ƒ Intégrité, confidentialité.
ƒ Juridique, image.
Approches d’audit & sondages.
S'assurer qu'il existe une définition claire et précise des droits et devoirs auxquels sont
soumis les intervenants sur le système d'information, et que ces éléments sont dûment
communiqués aux personnes concernées.
Vérifier qu'en cas de non respect, des sanctions sont prévues et appliquées.
Se procurer ces documents (ex : moyens mis en oeuvre par l’entreprise pour contrôler
l’utilisation des services Internet mis à la disposition du personnel).
Si un document est signé par les nouveaux arrivants, s'assurer du caractère
systématique de cette procédure sur un échantillon.

1.8 – Veille et standards technologiques.


Objectifs/points de contrôle.
ƒ Une fonction de « veille technologique » a-t-elle été définie ?
ƒ Quels sont ses objectifs et les moyens qui lui sont alloués ?
ƒ Les travaux effectués font-il l’objet d’une formalisation ?
ƒ La fonction informatique élabore-t-elle et diffuse-t-elle des normes / standards pour
l’ensemble des domaines placés sous sa responsabilité ?
Risques.
ƒ Efficacité, efficience.

Approches d’audit & sondages.


Si cette fonction existe, vérifier qu’elle dispose de suffisamment de moyens pour être
réellement opérationnelle.
Se procurer et analyser les documents produits et diffusés.
Recenser ces standards en matière de sécurité, d’architecture technique / fonctionnelle,
de conduite de projet, de développement, d’exploitation, de micro-informatique, et
vérifier que ces standards sont respectés.

146
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

1.9 - Gestion des services assurés par des tiers.


Objectifs/points de contrôle.
ƒ Chaque prestation confiée en externe est-elle contractualisée et régulièrement suivie et
contrôlée par un responsable de la banque clairement identifié ?
ƒ Les contrats avec les prestataires de services informatiques font-ils l'objet d'une
validation par le département juridique et/ou la Direction des Achats avant signature ?
ƒ Les contrats incluent-ils systématiquement une clause d'auditabilité des prestations
fournies, précisant les modalités d’audit ?
ƒ Les contrats de sous-traitance incluent-ils systématiquement une clause de réversibilité,
précisant les modalités de reprise en interne des prestations ?

Risques.
ƒ Conformité, efficience, efficacité, conformité, juridique.
Approches d’audit & sondages.
Identifier les principales prestations externes, et vérifier pour chacune d’elles l'existence
d’un contrat, d’un responsable du suivi de la prestation et de procédures de suivi et de
contrôle effectives (en principe sur la base de conventions de service).
Interroger le département juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont)
été consulté(s) sur des contrats récemment signés par la fonction informatique avec des
tiers. Vérifier sur un échantillon que les avis émis sont formalisés.
Recenser les contrats et vérifier l'existence d'une telle clause et sa portée effective.
Recenser les contrats de sous-traitance et vérifier l'existence d'une telle clause et son
applicabilité effective.

1.10 - Contrôle indépendant de l’activité informatique.


Objectifs/points de contrôle.
ƒ Des audits internes et externes de la fonction informatique sont-ils effectués de manière
régulière, et donnent-ils lieu à des plans d’actions correctrices ?
Risques.
ƒ Efficacité, efficience, conformité.
ƒ Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Recenser ces audits et vérifier que les recommandations ont fait l’objet de plans
d’actions correctrices.
S’assurer que le périmètre de ces missions couvre l’ensemble de la fonction
informatique (absence de « sanctuaire »).

1.11 - Evaluation des risques.


Objectifs/points de contrôle.
ƒ Existe-t-il une évaluation régulière des risques informatiques qui pourraient mettre en
péril la réalisation des objectifs de la banque ?
ƒ Cette évaluation constitue-t-elle une base afin de déterminer comment gérer les risques
pour les réduire à un niveau acceptable ?
ƒ Existe-t-il un plan d’actions visant à mettre en œuvre des contrôles et des mesures de

147
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

sécurité pour diminuer l’exposition aux risques et ce de façon permanente ?


ƒ Une mise à jour des analyses et des actions et est-elle périodiquement effectuée en
tenant compte notamment des résultats des audits, et des incidents constatés ?
ƒ Existe-t-il une acceptation formelle des risques résiduels (après mise en oeuvre des
plans d’actions correctrices) par le management, en fonction de l’estimation des risques,
de la politique organisationnelle, de l’incertitude inhérente à l’approche même de
l’évaluation des risques et du rapport coût / efficacité de la mise en œuvre des mesures
de protection et de contrôle ?
ƒ Les risques résiduels sont-ils compensés par une couverture d’assurance adéquate ?

Risques.
ƒ Efficacité, efficience, conformité.
ƒ Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Prendre connaissance des résultats des analyses récentes des risques informatiques.
S’assurer que l’évaluation des risques se fait de manière intégrée au niveau général des
activités de la banque et au niveau spécifique des systèmes d’information de la banque.
Prendre connaissance des plans d’actions existants visant à réduire les risques
identifiés.
Déterminer si ces plans d’actions adressent les principaux risques identifiés.
Déterminer si les risques résiduels sont clairement identifiés et formellement acceptés
par les responsables de la banque, sur des bases objectives.
Déterminer si les risques résiduels sont correctement couverts par des assurances.

2. Sécurité.

2.1 - Cadre de la sécurité


Objectifs/points de contrôle.
ƒ La sécurité du système d'information est-elle une préoccupation effective au sein de la
banque ?
ƒ Cette préoccupation s'est-elle traduite par la mise en place d'une organisation, de
procédures et d'outils adaptés, permettant la maîtrise effective des risques auxquels se
trouve exposée la banque en matière d'organisation informatique et de systèmes
d'information ?
ƒ Les aspects de sécurité informatique sont-ils intégrés dans les politiques et procédures
de la banque 27?
Risques.
ƒ Disponibilité, intégrité, confidentialité, efficacité, efficience.
Approches d’audit & sondages.
Interroger des membres du personnel de la banque à tout échelon hiérarchique sur le
sujet.
Rechercher dans les politiques et procédures de sécurité informatique de la banque des
éléments accréditant le caractère effectif de cette préoccupation.

27
Ressources humaines, communication, juridique, déontologie, gestion des risques, ...

148
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Rechercher la présence d'une charte sécurité définissant les rôles et responsabilités,


ainsi que les droits et devoirs, de chaque type d’intervenants de la banque vis à vis de la
sécurité.
Faire de même pour les exigences légales et réglementaires en matière de sécurité des
systèmes d'information.
Procéder par interview et/ou par examen des procédures existantes.

2.2 - Analyse des risques


Objectifs/points de contrôle.
ƒ Une cartographie des risques de la banque liés à la sécurité des systèmes
d’information a-t-elle été réalisée/mise à jour depuis moins d’un an ?
28

ƒ La banque a-t-elle déterminé le niveau de sécurité informatique jugé souhaitable par


rapport aux exigences de ses métiers ? 29

ƒ La banque a-t-elle effectué une classification – selon les critères de la sensibilité /


criticité des processus et des informations en fonction de l’impact qu’un « sinistre » 30

touchant ces processus et ces informations aurait sur la banque ?


ƒ Des missions périodiques de contrôle visant spécifiquement la mise en œuvre de la
31

sécurité des systèmes d’information sont-elles réalisées ?


ƒ Existe-t-il au sein de la banque des tableaux de bord / indicateurs périodiques de
mesure et de pilotage des risques liés à la sécurité des systèmes d’information ?
Risques.
ƒ Disponibilité, intégrité, confidentialité, conformité.
Approches d’audit & sondages.
Analyser la pertinence de cette étude qui doit comprendre un périmètre, une
méthodologie, une évaluation des différents types de risques liés à la sécurité
informatique, et le plan d’actions pour traiter ces risques.
Prendre connaissance de la manière dont ce niveau a été défini (par exemple, par une
étude de vulnérabilité et/ou l’utilisation d’une classification32 déterminée par les
propriétaires des processus / des informations).
S’assurer de la couverture de l’ensemble des processus et des informations de la
banque, notamment dans les domaines transverses (gestion des clients, flux…).
Vérifier que ce travail a été effectué par les propriétaires ou par des responsables
utilisateurs représentatifs et ayant une bonne connaissance de leur activité.
Se procurer les rapports de ces missions.
Analyser l’exhaustivité et la périodicité de ces missions sur le périmètre de la sécurité de
la banque et leur degré d’approfondissement et de pertinence.
Vérifier que leurs conclusions servent à mettre à jour la cartographie des risques au
travers de l’appréciation du contrôle interne.
Se procurer, quand ils existent les tableaux de bord / indicateurs existants, et vérifier le
niveau de couverture des différents types de risques au travers de ces outils.

28
Technologie, sécurité, continuité de service, réglementation, etc
29
Les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers.
30
Incidents, erreurs, indiscrétion, fraude, sabotage
31
Audit interne et externe, contrôles du responsable sécurité, ...
32
Disponibilité, Intégrité, Confidentialité, Preuve

149
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

2.3 - Plan sécurité.


Objectifs/points de contrôle.
ƒ Existe-t-il au sein de la banque un plan sécurité des systèmes d'information remis à jour
périodiquement et dont la mise en œuvre est suivie régulièrement ?
ƒ Ce plan a-t-il été établi à partir d'éléments objectifs ?
ƒ Ce plan couvre-t-il bien l'ensemble des systèmes informatiques de la banque ?

Risques.
ƒ Disponibilité, Intégrité, Confidentialité, Efficacité, Efficience.
Approches d’audit & sondages.
Analyser le contenu du plan sécurité33.
Etudier les modalités de mises à jour du plan : évolution des configurations matérielles
et logicielles / applicatives, recommandations faites sur la sécurité (audit interne ou
externe, responsable sécurité, ...).
S'assurer de la correcte mise en œuvre des actions du plan en termes de contenu et de
délais (consulter notamment les comptes rendus des instances de pilotage et de suivi
de la sécurité).
Vérifier que l'élaboration du plan s'est effectuée à partir d'une évaluation des risques ou
d'audits sécurité.
Vérifier le niveau de couverture des systèmes d’information à partir de l’inventaire
disponible. S'assurer notamment que les micro-ordinateurs (autonomes ou connectés
au réseau) et l'I*net34 sont couverts par le plan.

2.4 - Organisation, responsabilités et instances.


Objectifs/points de contrôle.
ƒ Existe-t-il un Comité chargé d'étudier tous les problèmes liés à la sécurité, se réunissant
périodiquement et dont les travaux sont formalisés ?
ƒ La sécurité informatique dispose-t-elle au sein de la banque d'un poste spécifique
(Responsable de la Sécurité des Systèmes d'Information) sur l'organigramme, avec un
rattachement hiérarchique élevé assorti d'une définition de fonction et d'un budget
spécifique ?
ƒ Existe-t-il des administrateurs de sécurité, distincts du responsable sécurité , chargés 35

de la gestion quotidienne de la sécurité et des accès ?


ƒ Existe-t-il des propriétaires nommément désignés des processus / traitements et des
informations / données, responsables des règles, procédures et autorisations
d'utilisation des processus et des informations dont ils ont la charge ?
ƒ Existe-t-il au sein de la banque une sensibilisation et une information régulière de
l'ensemble des utilisateurs concernant les problèmes de sécurité ?
ƒ Les règles de sécurité informatique à respecter sont-elles intégrées dans les contrats
/Conventions de services signés par les prestataires externes ?
ƒ L'utilisation des postes de travail (autonomes ou connectés à un réseau local) fait-elle
l'objet de procédures de sécurité particulières dont la mise en œuvre est contrôlée ?

33
Il doit comprendre une évaluation quantitative des risques, une définition des risques intolérables (en liaison avec les utilisateurs), les moyens de sécurité existants, ceux à
mettre en place, le planning et les priorités, un budget annuel de la sécurité, les principes et règles de sécurité à mettre en place, ainsi que les responsabilités et dates prévues
de mise en oeuvre
34
Internet, Extranet, Intranet
35 Pour les entités de taille importante, il est recommandé que le responsable sécurité n'administre pas lui-même la sécurité.

150
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Disponibilité, intégrité, confidentialité, efficacité, efficience.
Approches d’audit & sondages.
Se procurer le document décrivant les objectifs et le fonctionnement du Comité.
Analyser sa composition, récupérer les derniers comptes-rendus et évaluer la réalité de
son rôle dans le domaine de la sécurité.
Prendre connaissance de la définition de fonction du responsable sécurité.
Vérifier que le rattachement du poste se fait au moins au niveau du responsable
informatique et de préférence directement à la Direction Générale de la banque (pour
garantir son indépendance).
S'assurer qu'il dispose de véritables moyens pour assumer sa fonction (temps, budget,
compétences, ...).
Prendre connaissance de leur définition de fonction.
S'assurer que leurs travaux sont correctement tracés et contrôlés périodiquement par le
responsable sécurité.
S'assurer de la couverture de l'ensemble des activités de l'entité notamment dans les
domaines transverses (gestion des fichiers clients, flux...) par ces propriétaires.
Prendre connaissance des rôles et responsabilités des propriétaires et de la réalité de
leur action.
Interroger des membres du personnel de la banque à tous les échelons hiérarchiques et
évaluer leur degré de sensibilisation et d'information.
S'assurer de l'existence de supports pour la sensibilisation / l'information36.
Vérifier, dans la manière de travailler du personnel, que la sécurité est une
préoccupation permanente.
Examiner quelques contrats / conventions. Vérifier notamment qu'ils précisent que
toutes les règles37 et procédures de la banque relatives à la sécurité doivent être
respectées et qu'elles ont été portées au préalable à la connaissance des prestataires.

2.5 – Sécurité logique.


Objectifs/points de contrôle.
ƒ L’intégrité des informations enregistrées dans (et restituées par) les systèmes
informatiques est-elle préservée par les dispositifs de sécurité logique mis en place ?
ƒ De même, la confidentialité des informations sensibles est-elle préservée ?
Risques.
ƒ Intégrité, confidentialité.
Approches d’audit & sondages.
S’assurer que les contrôles mis en place a priori (identification / authentification,
habilitations, …) et a posteriori (revue périodique des habilitations, analyse des logs, …)
sont complémentaires et permettent de préserver l’intégrité et la confidentialité des
informations.

36
Par exemple: charte de sécurité, formation / action de sensibilisation (journal interne, ...)
37
Clause de confidentialité, règles d'accès aux matériels, logiciels, données et documentations en plus des procédures applicables à l'ensemble du personnel

151
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

2.6 - Dispositifs / outils de sécurité logique.

Objectifs/points de contrôle.
ƒ La gestion des droits d'accès est-elle prise en charge par un logiciel spécifique et/ou un
composant du système de base ?
ƒ L'accès aux fonctions de gestion / d'administration des habilitations et des paramètres
de sécurité est-il strictement limité ?
Risques.
ƒ Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Analyser l'architecture de la sécurité d'accès et les systèmes de sécurité en place38 pour
accéder aux traitements et données informatiques.
S'assurer qu'elle couvre tous les systèmes : serveurs centraux (mainframe), serveurs
décentralisés, micro-ordinateurs connectés ou connectables, réseaux,...
Lister les utilisateurs ayant accès à ces fonctions. S'assurer que cette liste est limitée
aux personnes en charge de l'administration de la sécurité.
2.7 – Identification et authentification.
Objectifs/points de contrôle.
ƒ Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse,
clé ou carte personnelle, …) effectivement utilisées et conditionnant l’accès aux
systèmes d’information et à leurs données ?
Risques.
ƒ Disponibilité, Intégrité, Confidentialité.
Approches d’audit & sondages.
S’assurer, pour quelques systèmes / données sensibles sélectionnés, que chaque
utilisateur dispose de son propre identifiant (le partage au travers d’identifiants
génériques étant à proscrire) pour y accéder.
Vérifier que les mécanismes d’identification et d’authentification couvrent tous les points
d’accès39 aux systèmes informatiques.
S’assurer que des procédures sont en place afin de préserver l’efficacité des
mécanismes d’authentification par mot de passe.

2.8 - Procédure de gestion des habilitations.


Objectifs/points de contrôle.
ƒ Existe-t-il une procédure de gestion des profils et des habilitations des utilisateurs,
incluant une approbation formelle pour l'octroi des droits d'accès ?
ƒ Chaque utilisateur n'a-t-il accès qu'aux systèmes et aux données qui lui sont
nécessaires à la réalisation des tâches propres à sa fonction ?
ƒ Des précautions sont-elles prises pour la protection de l'accès aux données
confidentielles conservées sur ordinateur personnel, réseau local ou messagerie.

38
Pour les utilisateurs et les informaticiens (interne et externes)
39
Connexion par le réseau commuté et les autres voies d'entrée sur le système (réseau local principalement)

152
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Vérifier si la procédure traite l'ensemble des événements de la gestion des habilitations
(création, modification, suppression) incluant une demande écrite et sa validation
formelle.
Pour quelques utilisateurs sur quelques systèmes sensibles, vérifier l'existence des
demandes et leur validation formelle.
S'assurer également que les ajouts d'accès font l'objet d'une demande et que la
suppression / modification des profils / habilitations est rapide après le départ / la
mutation d’un collaborateur. Pour cela, prendre la liste les derniers départs et mutations
au sein de l'entité.
Sur quelques systèmes sensibles, faire un sondage principalement pour quelques
utilisateurs ayant des accès privilégiés (très étendus). S'assurer que chaque utilisateur
n'a que les accès (en consultation, ajout, modification ou suppression) qui lui sont
nécessaires.

2.9 - Interconnexions avec l’extérieur.


Objectifs/points de contrôle.
ƒ Tous les systèmes informatiques / serveurs de la banque accédés depuis l’extérieur
sont-ils correctement sécurisés ?
ƒ Dans le cadre d’échanges ou de transactions électroniques entre la banque et
l’extérieur, les procédures en place permettent-elles de vérifier l’authenticité de la
contrepartie extérieure, de garantir l’authenticité et la non-répudiation et des échanges
ou des transactions ?
ƒ L’intégrité des échanges ou des transactions électroniques entre la banque et l’extérieur
est-elle garantie par des dispositifs adaptés ?
ƒ Les procédures permettent-elles de garantir la protection des clés de chiffrement (clés
SWIFT notamment) ?
ƒ Face aux virus, des mesures adéquates ont-elles été mises en œuvre pour la
prévention, la détection et la correction ?
ƒ L’utilisation des services Internet par le personnel de la banque est-elle effectuée dans
des conditions sécurisées ?
ƒ Si la banque a mis en œuvre des sites Internet, Intranet ou Extranet, des études de
sécurisation de ces sites ont-elles été menées ?
ƒ Ces sites, comme les connexions des utilisateurs à ceux-ci, ont-ils été correctement
sécurisés –par le biais de l’utilisation de pare-feu (Firewall ) et de DMZ , et de 40 41

protocoles tels que SSL pour les connexions ? 42

ƒ A-t-on recours à des sociétés de services informatiques pour simuler des attaques
externes (tests d’intrusions) afin d’évaluer et d’améliorer le cas échéant le niveau de
sécurité en place ?
ƒ Avant de rendre opérationnel un site, une étude est-elle soumise au service juridique
compétent afin de s’assurer du correct traitement des aspects juridiques, fiscaux,
réglementaires et prudentiels ?

40
Pare-feu: Mécanisme employé pour protéger le réseau interne d’une entreprise des accès ou usages non autorisés tout en permettant aux utilisateurs locaux d’accéder à
l’Internet.
41
DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systèmes informatiques (réseau interne) de l'entité et le réseau externe (Internet).
42
Secure Socket Layer (SSL): protocole de sécurisation des transactions assurant la confidentialité, l'intégrité et en principe l'authentification des parties et la non-répudiation
des transactions par l'usage de la cryptographie à clés publiques, fondé sur le contrôle d'intégrité et le chiffrement des données

153
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Obtenir l’inventaire des points d’accès à distance aux systèmes informatiques de la
banque.
S’assurer qu’ils sont sécurisés par des procédures de « call-back » ou d’accès dûment
sécurisés.
Vérifier que les accès / tentatives provenant de l’extérieur sont enregistrés dans des
logs analysés régulièrement (les tentatives d’accès infructueuses doivent en principe
être analysées au jour le jour).
Recenser les échanges ou transactions électroniques effectués par la banque avec
l’extérieur.
Pour chacun d’entre eux, vérifier l’existence d’un mécanisme d’authentification fiable
(mot de passe, clé de chiffrement, ...), de non-répudiation (signatures électroniques,
horodatage, certificats émis par des tiers de confiance,...).
S’assurer que des mécanismes de contrôle d’intégrité adaptés (hash coding /
scellement43 par exemple) sont utilisés.
Apprécier les dispositifs de protection (sécurité physique et logique, séparation de
fonctions,...) en place. Recenser les sites déployés par la banque, et les études de
sécurisation existantes.
Vérifier que des règles de sécurisation ont été suivies.
S’assurer que le paramétrage des firewalls a été effectué par des spécialistes de la
sécurité Internet et qu’une DMZ est utilisée.
Se procurer les rapports de ces prestations et vérifier que les faiblesses relevées ont été
corrigées rapidement et/ou qu’un plan d’actions a été établi.
Vérifier auprès du service juridique de la banque la nature du travail effectué sur ce
point pour les sites mis en oeuvre, et que d’éventuelles consultations auprès de
spécialistes extérieurs à la banque ont eu lieu si en interne les compétences n’étaient
pas suffisantes.

2.10 - Contrôle a posteriori des accès (niveaux 1 et 2 ). 44

Objectifs/points de contrôle.
ƒ Une revue périodique des profils utilisateurs est-elle effectuée par un responsable afin
de vérifier le respect des procédures et de confirmer les droits d’accès existants ?
ƒ A-t-on instauré des règles de journalisation45 d'évènements liés à la sécurité
informatique?
ƒ Existe-t-il un contrôle systématique, périodique et centralisé des événements
journalisés?
ƒ Certains types de violation d'accès sont-ils remontés en temps réel au responsable
sécurité pour contrôle ?
ƒ Les opérations effectuées par les administrateurs de la sécurité sur les systèmes de
sécurité sont-elles journalisées sans possibilité d'altération ?
ƒ Ces traces sont-elles revues périodiquement par un responsable sécurité distinct des
administrateurs de sécurité ?
Risques.
43
Technique de représentation d’un texte en clair en un équivalent symbolique (« hash code » / sceau) indécodable, qui permet de détecter toute altération du texte en clair.
44
Les contrôles de niveau 1 sont contenus dans le traitement des opérations (contrôles informatiques, contrôles manuels) et ceux du niveau 2 sont effectués par la hiérarchie qui
supervise le traitement des opérations.
45
Trace d'enregistrement

154
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Disponibilité, intégrité, confidentialité.


Approches d’audit & sondages.
S'assurer de l'existence d'une telle revue par un responsable sécurité et/ou un
responsable hiérarchique, et consulter les éléments qui la supportent. En l'absence de
formalisation de la revue, la refaire sur un échantillon et confronter les résultats avec
ceux (oraux) obtenus par le responsable.
S'assurer que les principaux événements liés à la sécurité sont enregistrés et conservés
sur une période suffisante.
S'assurer la formalisation de ces contrôles et des actions qui en sont issues.
Vérifier que les logs mis en place sur les firewalls sont analysés fréquemment par une
personne compétente.
S'assurer que les violations remontées sont les plus pertinentes et risquées, et qu’elles
sont effectivement contrôlées.
Se faire communiquer les types d’opérations concernées et demander la justification
d'éventuelles modifications abaissant le niveau de sécurité.
Interroger les administrateurs ou le responsable sécurité pour savoir si ces opérations
sont journalisées et revues de manière indépendante. Examiner par sondage les
supports de ces revues afin d’évaluer le caractère effectif et la pertinence des contrôles
effectués.

2.11 - Sécurité physique.


Objectifs/points de contrôle.
ƒ Les moyens et procédures mis en œuvre permettent-ils d'assurer la sécurité physique
du système d'information (contrôle d'accès physique, protection environnementale,
incendie, dégâts des eaux, humidité, chaleur, coupures électriques,...)?
ƒ Les différents équipements de sécurisation des locaux informatiques et de son 46

environnement sont-ils sous contrat de maintenance et vérifiés / testés périodiquement?


ƒ Existe-t-il des consignes de sécurité générale affichées, connues et testées?
Risques.
ƒ Disponibilité, intégrité.
Approches d’audit & sondages.
Sur ce point de contrôle, une visite des différents locaux hébergeant les équipements
informatiques est indispensable pour constater par observation les dispositifs en place
(visite à effectuer avec le responsable du centre de production informatique et/ou celui
des services généraux / logistiques).
Se procurer les contrats de maintenance des matériels, les comptes-rendus
d'intervention de maintenance préventive / curative, les comptes-rendus de tests.
S'assurer que l'ensemble des équipements sont couverts par des contrats et que des
interventions préventives périodiques (une à deux fois par an) ont lieu.
S'assurer que les consignes sont affichées, ont fait l'objet d'une information / formation
et sont testées périodiquement.
Interroger sur ce sujet les membres du personnel et se faire communiquer les consignes
et les comptes-rendus de tests.

46
Equipements de contrôle d’accès, détection et extinction incendie, détection humidité, climatisation, onduleurs, batteries, groupes électrogènes, ...

155
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

2.12 - Sécurité de l'environnement.


Objectifs/points de contrôle.
ƒ Des études ont-elles été réalisées sur les dangers présentés par des facteurs externes
sur les locaux informatiques renfermant des équipements informatiques sensibles et les
recommandations prescrites ont-elles été suivies d'effet ?
ƒ Le bâtiment a-t-il été spécialement construit pour l'informatique et/ou est-il à l'usage
exclusif de l'informatique ?
ƒ Le site informatique est-il peu connu et peu repérable ?
ƒ Le transformateur alimentant les locaux informatiques est-il correctement sécurisé?
ƒ Existe-t-il une régulation électrique (contre les pannes électriques et les variations de
extension) comportant au moins un onduleur complété de batteries garantissant une
autonomie suffisante ?
ƒ Ses caractéristiques répondent-elles aux prescriptions des constructeurs de matériels
informatiques ?
ƒ Est-elle testée régulièrement et dispose-t-elle d'un secours?
ƒ Existe-t-il un groupe électrogène pouvant être rapidement opérationnel en cas de
coupure de l'alimentation électrique ?
ƒ Pour les salles ordinateurs, dispose-t-on de disjoncteurs séparés par matériel
informatique important, d'un tableau électrique d'accès facile et d'une coupure générale
"coup de poing"47 ?
ƒ La conformité des installations électriques a-t-elle été vérifiée par un organisme agréé ?
ƒ Un système de climatisation (température, hygrométrie, poussière) est-il installé et
opérationnel ?
ƒ Ses caractéristiques répondent-elles aux prescriptions des constructeurs des matériels
informatiques utilisés ?
ƒ Est-il testé régulièrement et dispose-t-il d'un secours?

Risques.
ƒ Disponibilité, intégrité.
Approches d’audit & sondages.
S'assurer que ces études ont bien pris en compte les principales menaces liées à
l'environnement extérieur48.
En l'absence d'étude particulière, vérifier que le responsable informatique a conscience
de ces risques.
S'assurer que des dispositifs spécialisés sont installés pour surveiller et contrôler
l'environnement.
Vérifier si le bâtiment renferme uniquement les locaux et installations informatiques. Si
le bâtiment n'est pas à l'usage exclusif de l'informatique, examiner la liste et la nature
d'activité des autres services et départements s'y trouvant. Déterminer si ce voisinage
se traduit par des facteurs de risque spécifiques49.
S'assurer qu'aucun panonceau n'indique la présence du site informatique et qu'aucun
matériel du site n'est visible et facilement accessible de l'extérieur.
S'assurer que le transformateur est protégé contre les risques d'incendie, de dégâts des
eaux et d'accès non autorisés.

47
Il s'agit d'un disjoncteur permettant d'arrêter l'alimentation de l'ensemble des équipements en une seule opération d'un "coup de poing" d'où le nom de la commande.
48
Menaces liées à l'environnement extérieur: phénomènes météo, inondation (cours d'eau, sources et nappes phréatiques), coulée de boue, orages/foudre (paratonnerre),
qualité/stabilité du terrain, zone sismique, etc mais également le voisinage à risques pollution, menaces chimiques, voisinage ou stockage de matières inflammables.
49
Allers et venues de personnes extérieures, stockage de matières inflammables, ...

156
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

S'assurer que les équipements/matériels nécessaires50 au fonctionnement de la salle


informatique sont branchés sur l'onduleur et sur le groupe électrogène.
Vérifier que la capacité de l'onduleur est suffisante pour les matériels branchés.
S'assurer que la capacité réelle (testée) des batteries (généralement 20 minutes)
permet, soit l'arrêt "propre" des systèmes informatiques, soit de tenir jusqu'à la fin de la
montée en puissance du groupe électrogène.
Vérifier que la capacité du groupe électrogène est suffisante pour les matériels
branchés.
S'assurer que le groupe est testé au moins une fois par mois.
Vérifier que la réserve de carburant est située dans un endroit sécurisé, à température
régulée et suffisante pour tenir environ 48 heures.
Vérifier qu'il est prévu une sécurité de démarrage du groupe par redondance ou mode
de secours (air comprimé, essence, batterie, ...).
S'assurer que la commande "coup de poing" ne puisse pas être actionnée
malencontreusement, mais reste cependant aisément accessible.
S'assurer que lors de la mise en place des installations électriques et lors de
changements importants leur conformité est vérifiée.
Prendre connaissance des procès verbaux d'inspection et s'assurer de la mise en
conformité de l'installation avec les recommandations formulées, le cas échéant.
S'assurer que l'installation de climatisation est systématiquement réétudiée à l'occasion
d'aménagement des locaux, ou de mise en place de nouveaux matériels (serveurs,
périphériques, ...).
Vérifier la présence de thermomètres, hygromètres et leur emplacement.
Relever les indications portées par les instruments de mesure et vérifier qu'elles sont
conformes aux plages préconisées par les constructeurs des matériels informatiques.

2.13 - Sécurité incendie et dégâts des eaux.


Objectifs/points de contrôle.
ƒ L'ensemble des bâtiments renfermant les locaux informatiques (y compris les salles de
marchés) et les locaux attenants sont-ils protégés par une installation de détection et
d'extinction automatique ?
ƒ Des extincteurs mobiles sont-ils conservés dans les locaux informatiques et les locaux
attenants ?
ƒ Ces extincteurs sont-ils périodiquement vérifiés ?
ƒ Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle
respectée?
ƒ Les salles informatiques sont-elles vierges de tout stock de papier ou matériaux
inflammables ?
ƒ A-t-on fait des études sur les dangers présentés par l'eau dans les locaux informatiques
et les locaux attenants ?
ƒ A-t-on vérifié qu'il n'existe pas de canalisations apparentes ou traversant les faux-
planchers ?
ƒ Les blocs de climatisation sont-ils à l'extérieur des salles ordinateurs ?
ƒ Les faux-planchers sont-ils dotés d'un système de détection d'eau ou d'humidité, et en
cas de besoin existe-t-il un dispositif garantissant l'évacuation de l'eau ?
Risques.
ƒ Disponibilité, intégrité.

50
Il ne suffit pas d'avoir les serveurs sur onduleurs mais également les équipements de communication et les consoles de pilotage des systèmes informatiques

157
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Se faire décrire les systèmes de détection et d'extinction (sprinklers -eau-, halon / CO2 -
gaz dangereux-, FM200 -poudre-,...).
S'assurer que les faux planchers sont protégés contre le risque incendie par l'existence
d'un détecteur et d'une bonbonne de gaz d'extinction sous le faux plancher.
S'assurer du nombre suffisant d'extincteurs dans les locaux et de leur accès facile.
Vérifier que les types d'extincteurs (eau, gaz, poudre) correspondent aux types de
matériel à protéger.
Vérifier que les consignes d'utilisation des appareils sont correctement lisibles.
Contrôler la date de dernière vérification.
Vérifier la présence de panneaux d’interdiction de fumer.
S'assurer que les impressions sont effectuées dans un local annexe.
Etudier l'implantation géographique des locaux informatiques au sein du bâtiment
(risque moindre si la salle est située dans les étages supérieurs).
S'assurer qu'il n'existe pas de points d'accumulation d'eau situés à proximité ou au
dessus de la salle informatique (toit-terrasse, ballons d'eau, sanitaires, ...).
S'il existe des canalisations apparentes, vérifier qu'elles concernent exclusivement le
système de climatisation. Vérifier leur implantation.
S'assurer que le système de détection d'eau (ou d'un taux d'hygrométrie anormalement
élevé) est suffisamment sensible, de manière à se déclencher suffisamment tôt.
S'assurer de l'éventuelle existence d'un système d'évacuation d'eau dans les locaux
(plancher incliné ou pompes).

2.14 - Contrôle d'accès physique.


Objectifs/points de contrôle.
ƒ Existe-t-il un système de contrôle d'accès aux salles contenant des équipements
sensibles tels qu'unités centrales et périphériques, serveurs, équipements de
communication, terminaux dédiés aux transactions sensibles (SWIFT, télex, salles des
marchés...) ?
ƒ Les visiteurs internes ou externes à la banque sont-ils accompagnés par une personne
habilitée à accéder aux salles informatiques, et un registre des visiteurs est-il tenu et
revu périodiquement ?
Risques.
ƒ Disponibilité, intégrité, confidentialité.

Approches d’audit & sondages.


Vérifier que l'accès aux salles contenant des équipements sensibles est limité par un
dispositif de type digicode, lecteur de badges ou commande d'ouverture à distance.
S'assurer de la correcte gestion de ces systèmes d'accès. Contrôler la liste des
personnes auxquelles a été remis ou communiqué le code ou un badge. Dans le cas
d'un digicode, s'assurer que les codes sont périodiquement changés.
Interroger les personnes habilitées à accéder aux salles informatiques sur la procédure
en place pour les visiteurs. Vérifier que ces derniers sont systématiquement
accompagnés pendant leur séjour dans les locaux, et qu’ils ne disposent pas d’un accès
permanent aux salles.
Consulter le registre des visiteurs, s'assurer qu'il est complet et revu périodiquement et
formellement par un responsable informatique et/ou logistique.

158
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

2.15 - Continuité de service.


Objectifs/points de contrôle.
ƒ La banque s'est-elle dotée des moyens et de l'organisation lui permettant de maintenir
son activité même après un incident majeur ou un sinistre générant une indisponibilité
prolongée (partielle ou totale) du système d'information ?
Risques.
ƒ Disponibilité, efficacité, efficience, disponibilité, conformité.
Approches d’audit & sondages.
Se procurer les plans de continuité / reprise d'activité et les plans de back-up (secours
informatique).
Examiner les contrats éventuels avec les fournisseurs de services de secours.
Examiner les comptes-rendus de tests éventuels.
Prendre connaissance des éventuels incidents majeurs ou sinistres déjà survenus et
des dispositions prises à ces occasions pour y remédier.

2.16 – Sauvegardes.
Objectifs/points de contrôle.
ƒ La banque s’est-elle dotée des moyens lui permettant de disposer de copies de ses
données aisément utilisables en cas de perte des données d’exploitation d’origine ?
ƒ A-t-on pris en compte la nécessité d’élaborer des sauvegardes de type production 51

d’une part et de type recours d’autre part ? Les cycles de sauvegarde et les durées
52

de rétention sont-ils compatibles avec les caractéristiques des informations


sauvegardées ?
ƒ Existe-t-il une sauvegarde systématique de l’ensemble des informations des serveurs
décentralisés et Bureautiques ?
ƒ La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des
données résidant sur les postes de travail connectés ?
ƒ Contrôle-t-on régulièrement qu’une reprise ou un redémarrage sont effectivement
possibles à partir des sauvegardes ? Sait-on relire les supports ? Est-on assuré de
l’exhaustivité des données relues (restaurées) ?
Risques.
ƒ Disponibilité, efficacité, efficience.
Approches d’audit & sondages.
Prendre connaissance des procédures de sauvegarde.
Vérifier que les procédures sont correctement appliquées.
S’assurer que ces deux types de sauvegardes existent et que leur exhaustivité est
garantie.
Vérifier l’existence d’une procédure permettant d’intégrer les fichiers et programmes des
nouveaux développements et maintenances.
S’assurer que les sauvegardes de recours sont stockées dans un lieu distinct de la salle
informatique.

51
Après incident d'exploitation
52
Après sinistre majeur

159
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Recenser ce type de serveurs et vérifier que des sauvegardes périodiques sont


réalisées en fonction de leur criticité / de la criticité des données qu’ils contiennent.
Interroger les utilisateurs et les informaticiens sur les possibilités de sauvegardes
offertes sur un espace serveur dédié et personnel de leurs fichiers résidant sur micro-
ordinateurs.
Seuls des tests de restauration peuvent permettre d’être sûr de la qualité des
sauvegardes. S’assurer que dans le cas de plantages ou d’incidents informatiques, les
sauvegardes utilisées ont pu permettre la reprise des traitements.
Pour les sauvegardes de recours, seul un test du back-up peut prouver leur qualité.

2.17 – PCA (Plan de Continuité des Activités ). 53

Objectifs/points de contrôle.
ƒ Existe-t-il un Plan de Continuité des Activités de la banque remis à jour au moins
chaque année ?
ƒ Le PCA est-il remis à jour en cas d’évolutions qui le nécessiteraient ?
ƒ Existe-t-il un PCA, pendant « utilisateurs » du plan de secours informatique ?
ƒ Une coordination entre les deux plans (informatique et utilisateurs) existe-t-elle afin
d’éviter tout déphasage ?
ƒ Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs
« autonomes » (fixes et portables) et les micro-ordinateurs « en réseau » (serveurs,
stations de travail, …) ?
ƒ Une étude sur la vulnérabilité de la banque face à différents types de risques physiques
ou non (pas nécessairement informatiques) a-t-elle été réalisée et a-t-elle entraîné la
mise en place d’un Plan de Continuité des Activités de la banque ?
ƒ A-t-on réalisé une étude préliminaire, qui permette de classer les processus et/ou les
applications dans l’ordre décroissant des pertes ou préjudices qui surviendraient après
un sinistre physique (total ou partiel), une panne grave ou une grève ?
ƒ Existe-t-il des locaux et/ou des coffres de sécurité permettant de stocker dans des
conditions de sécurité acceptables les supports informatiques contenant des
informations dont la perte serait préjudiciable à la banque ?
ƒ Le PCA contient-il bien les procédures alternatives de traitement à mettre en place par
les utilisateurs jusqu’à ce que la fonction informatique soit en mesure de restaurer
entièrement ses services après un sinistre ?
ƒ Un plan de communication a-t-il été défini pour permettre la mise en œuvre des actions
de communication adaptées tant en interne qu’en externe en cas de survenance d’un
sinistre ?
ƒ Une cellule de crise a-t-elle été organisée pour gérer un sinistre éventuel ?
ƒ Le PCA est-il testé périodiquement dans des conditions les plus proche possibles de la
réalité de la production ?

Risques.
ƒ Disponibilité, intégrité, efficacité, efficience.
Approches d’audit & sondages.
S’assurer de la mise à jour périodique du PCA en fonction des évolutions de
l’organisation de la banque et de son système d’information.

53
Le plan de continuité est l'outil de contrôle interne qui assure la gestion des ressources et des données informatiques sensibles, en cas d'interruption de traitement. Le plan de
continuité des activités comprend les éléments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up
et le plan de reprise d'activités qui intègre les schémas fonctionnels et organisationnels complétant les moyens matériels.

160
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

S’assurer que des procédures ont été élaborées par les départements utilisateurs, en
collaboration avec le service informatique, pour organiser la reprise et la continuité des
activités à partir du déclenchement du sinistre et jusqu’au retour à la normale.
S’assurer que les sauvegardes sont stockées sans délai dans un lieu sécurisé une fois
leur création effectuée.
Vérifier la cohérence des deux plans en termes de déroulement, de priorités de
reprise,…
S’assurer que les évolutions de systèmes et procédures à la fois côté informatique et
côté utilisateurs font l’objet de mises à jour des plans.
Recenser les nouvelles applications ou activités sensibles de la banque (ou des
modifications significatives récentes), et vérifier que les plans les prennent bien en
compte.
S’assurer que cette étude est assez récente pour être pertinente.
Vérifier que l’étude a été formalisée et validée par les principaux responsables de la
banque. Analyser ce document et vérifier son exhaustivité ;
S’assurer que les processus / applications couvrent bien l’ensemble des activités de la
banque.
Vérifier que l’étude est mise à jour en cas de nouveau processus / application ou de
modification importante.
S’assurer que l’on a pris en considération dans cette étude les interdépendances entre
processus / applications.
Analyser ce document. S’assurer qu’il a été élaboré avec des professionnels de la
communication et les parties prenantes dans le P.C.A.
Vérifier que les procédures de reprise couvrent les différentes étapes du déroulement du
plan de secours informatique.
Vérifier que les cibles des actions de communication ont été identifiées et les
« messages » adaptés.
Analyser la composition de la cellule. Vérifier qu’elle regroupe les parties prenantes du
PCA (informatique, utilisateurs, communication), y compris les principaux responsables
de la banque ;
S’assurer que les modalités de la réunion rapide de la cellule sont formalisées et
communiquées aux participants (coordonnées, y compris personnelles, lieu de
regroupement, …).
Prendre connaissance des conditions de tests.
Se procurer les comptes-rendus de tests et vérifier que les problèmes rencontrés ont fait
l’objet d’adaptations dans le PCA.

2.18 – Plan de back-up / de secours.


Objectifs/points de contrôle.
ƒ Existe-t-il un plan de secours de l’exploitation informatique (éventuellement en mode
dégradé54 et/ou éclaté sur plusieurs sites) ainsi que des documents permettant la mise
en œuvre rapide des procédures de secours en cas de sinistre ?
ƒ Le plan de secours prend-il en compte les évolutions prévues dans le plan informatique /
schéma directeur ?
ƒ Une étude a-t-elle été menée pour déterminer le choix des moyens de secours / de
backup pour le système d’information de la banque ?
54
En mode dégradé, l'exploitation n'assure que partiellement les services habituels. En général, seules les fonctions indispensables à la continuité des traitements sont
assurées. Des procédures manuelles, ou des procédures automatisées de contournement, peuvent se substituer à des procédures automatisées utilisées en mode normal
d’exploitation.

161
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Les ressources informatiques critiques pour la continuité des activités ont-elles été
identifiées et effectivement secourues ?
ƒ A-t-on effectué une étude de sécurité pour le choix des liaisons de télécommunications
entre le site de secours et l’ensemble des sites connectés (internes / externes) ?
ƒ L’exhaustivité des sauvegardes de recours garantit-elle la reprise de l’activité dans les
conditions définies par la banque ?
ƒ Le plan de secours est-il testé périodiquement dans des conditions les plus proches
possible de la réalité de l’exploitation ?
ƒ Le plan de secours est-il remis à jour (évolutions matérielles et logicielles, configurations
réseau, …) de manière régulière ?
ƒ Les activités nécessitant une haute disponibilité des systèmes informatiques (par
exemple les activités de salles de marchés, les systèmes d’échanges interbancaires
(SWIFT, …)) bénéficient-elles de solutions de secours en temps réel ?
Risques.
ƒ Disponibilité, efficacité, efficience.
Approches d’audit & sondages.
Analyser ce document. S’assurer que les procédures sont complètes, claires et
détaillées.
Vérifier que toutes les parties prenantes disposent d’un exemplaire à jour du plan.
S’assurer que les impacts sur le plan de secours des évolutions contenues dans le plan
informatique ont été prises en compte.
S’assurer que les trois possibilités offertes ont été étudiées (mutualisation de moyens
chez un prestataire, secours externe dédié à la banque, secours interne) et que les
moyens mis à disposition sont conformes aux choix stratégiques de la banque.
S’assurer que ces ressources comprennent les traitements et données d’applications
critiques, les systèmes d’exploitation et les logiciels de base, les équipements de
télécommunications, et les fournitures.
Vérifier que préalablement à cette étude, un recensement des liaisons au(x) sites
d’exploitation a été effectué.
S’assurer que les lignes principales sont doublées.
S’assurer qu’une procédure garantit l’exhaustivité des sauvegardes de recours.
Vérifier que les hypothèses de reprise sont cohérentes avec la « fraicheur » des
données des sauvegardes.
Prendre connaissance des conditions et des résultats de tests. Se procurer les comptes-
rendus de tests et vérifier que les problèmes rencontrés lors des tests ont donné lieu à
des mises à jour du plan de secours.
S’assurer que le plan est mis à jour notamment lors des modifications des configurations
matérielles, logicielles (nouveau développement, maintenance, …) et réseau.
Vérifier que pour les systèmes sensibles concernés, des solutions de haute disponibilité
(de type mirroring / clustering55) sont mises en œuvre pour permettre de basculer de
manière quasi-transparente (« à chaud ») d’un système informatique défaillant à un
autre.

55
Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallèle. La panne d'une ressource étant transparente pour le déroulement
des traitement par le passage à la ressource en miroir / cluster.

162
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

3. Etudes et développements.
Ce domaine concerne les développements d’applications (en interne ou en externe),
l’acquisition de progiciels ou la modification de systèmes (applications, progiciels)
existants. Il concerne non seulement les développements effectués par le département
informatique, mais aussi ceux directement réalisés par les utilisateurs à l’aide de
logiciels bureautique (Microsoft Access ou Excel, par exemple).
L’auditeur doit se faire communiquer la liste des développements (applications,
progiciels) terminés ou en cours par le département informatique avec la charge de
travail des équipes informatiques, les développements effectués par les services
utilisateurs à l’aide de logiciels bureautique, les classer par ordre d’importance et de
criticité pour déterminer un échantillon représentatif de systèmes sensibles.

3.1 – Expression des besoins.


Objectifs/points de contrôle.
ƒ Les objectifs, la nature et le périmètre couvert par un projet sont-ils formalisés dans un
document écrit préalablement à son lancement ?
ƒ Ce document définit-il clairement les besoins de la banque déjà satisfaits, ceux auxquels
doit répondre le nouveau système (ou la modification du système existant) pour les
besoins fonctionnels et opérationnels ?
ƒ La banque a-t-elle défini une méthodologie lui permettant d’assurer la prise en compte
des exigences de sécurité et de contrôle interne dans les projets de développement ou
d’acquisition de nouveaux logiciels ? Les exigences de sécurité sont-elles prises en
compte lors de l’élaboration du cahier des charges ?
Risques.
ƒ Efficacité, efficience, disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Sur l’échantillon sélectionné, étudier la note de cadrage pour en vérifier le contenu.
La note de cadrage doit replacer le projet dans son contexte, en définir les grandes
lignes fonctionnelles et les avantages / gains attendus au travers d’une étude
économique (retour sur investissement).
Vérifier que le cahier des charges / la description fonctionnelle traite des aspects de
sécurité et de contrôle interne.
S’assurer de la prise en compte du système d’habilitation lors de la conception d’une
application.

3.2 – Choix des systèmes.


Objectifs/points de contrôle.
ƒ La méthodologie de développement des systèmes prévoit-elle une analyse des
solutions alternatives susceptibles de satisfaire les demandes des utilisateurs ?
ƒ La méthodologie de développement prévoit-elle une étude de faisabilité technologique
et économique de chacune des solutions envisagées pour répondre aux besoins de la
banque ?
ƒ Dans le cadre de l’analyse des solutions alternatives, la banque réalise-t-elle une
analyse des risques qui comprend : l’identification des menaces de sécurité, des points

163
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

de vulnérabilité et des mesures de sécurité et de contrôle à envisager ?


ƒ La banque a-t-elle défini une stratégie d’acquisition / de développement de logiciel
définissant s’il peut être acquis dans le commerce, développé en interne, réalisé en
sous-traitance ou par évolution du logiciel existant ?
ƒ Pour les services fournis par des tiers, la banque fait-elle une évaluation des besoins et
définit-elle les spécifications de l’appel d’offre ?
ƒ La méthode de choix des fournisseurs de progiciels permet-elle d’intégrer les aspects de
sécurité ?
ƒ Préalablement au développement ou à l’achat d’un progiciel, la banque fait-elle une
analyse des besoins de piste d’audit et de confidentialité ?
Risques.
ƒ Efficacité, efficience, efficacité, disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Analyser la documentation des projets pour s’assurer que des solutions alternatives ont
été étudiées.
Analyser la documentation des projets sélectionnés pour contrôler que ces études ont
effectivement été menées. Pour l’étude de faisabilité économique, celle-ci doit inclure
une analyse des coûts et des bénéfices induits par les solutions envisagées.
Vérifier que cette analyse des risques a été menée et qu’elle a conduit à éliminer ou à
réduire les risques identifiés.
Se faire communiquer le document reprenant la stratégie d’acquisition de logiciel.
Pour les projets qui requièrent des services fournis par des tiers (par exemple, fourniture
d’un progiciel, intégration de systèmes), contrôler que les besoins ont été quantifiés et
qu’un appel d’offre a effectivement été formalisé.
Vérifier que le choix d’un progiciel n’est pas uniquement effectué sur sa capacité à
couvrir les besoins fonctionnels et techniques de la banque et que les aspects de
disponibilité, d’intégrité, de confidentialité des informations et de piste d’audit font partie
intégrante des critères de choix.

3.3 – Développement et maintenance.


Objectifs/points de contrôle.
ƒ Le plan de travail de développement est-il élaboré et mis à jour périodiquement et
couvre-t-il le développement et la maintenance (évolutive et corrective), avec une partie
réservée aux demandes inopinées non prévues ?
ƒ Une méthodologie générale est-elle suivie et une étude particulière est-elle réalisée, lors
de la conception des applications, sur le choix des contrôles programmés / automatisés
et des contrôles utilisateurs en amont et en aval du traitement de l’information et, si cette
étude existe, prend-elle en compte le niveau de sensibilité des données ?
ƒ La banque a-t-elle défini des normes concernant l’utilisation d’outils de développement
(langage, Atelier de Génie Logiciel, générateur de code, générateur de jeux d’essai,
production de la documentation, …) ?
ƒ Existe-t-il une séparation effective entre les environnements de développement et
d’exploitation ?
ƒ Les droits d’accès du personnel des équipes de développement interdisent-ils l’accès
permanent en écriture (ajout, suppression, modification) aux chaînes de traitement,
programmes et données de l’environnement d’exploitation ?
ƒ Des mesures spécifiques sont-elle prévues pour limiter l’accès en lecture aux données
sensibles / confidentielles de l’environnement de production ?

164
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Le département informatique a-t-il défini des normes pour la documentation des


développements d’applications ?
ƒ Le département informatique a-t-il défini des normes de tests (vérifications,
documentation et conservation des tests unitaires, de groupes de programmes ou de
l’ensemble d’une application) ?
ƒ Chaque projet de développement fait-il l’objet d’un plan de tests (tests unitaires de
programmes, tests d’intégration, tests de capacité et de performance et tests de
recette…) ?
ƒ Les aspects de sécurité et de contrôle interne sont-ils pris en compte dans les tests
effectués ?
ƒ Une documentation complète est-elle tenue à jour pour l’ensemble des applications
utilisées par la banque ?
ƒ La documentation est-elle correctement recensée et archivée ?
ƒ Les interfaces internes et externes sont-elles correctement identifiées, décrites et
documentées ?
ƒ Des manuels utilisateurs avec les supports adéquats sont-ils élaborés ?
ƒ Un manuel de mise en exploitation est-il établi par les équipes de développement avant
la mise en production d’une application ?
ƒ Les demandes de modification ou d’évolution sont-elles standardisées et soumises à
des procédures formelles de gestion des changements ?
ƒ La documentation est-elle mise à jour à l’occasion des modifications des applications ?
ƒ Le stockage et l’accès aux programmes sources sont-ils sécurisés ?
ƒ Utilise-t-on un outil de gestion des sources ? Existe-t-il un contrôle périodique de
l’exhaustivité des sources et de la correspondance entre les sources et les
exécutables ?
ƒ Existe-t-il une procédure de sauvegarde périodique des environnements de
développement (sources de programmes, données de test, etc.) ?
ƒ Cette procédure inclut-elle les applications développées par les utilisateurs ?
ƒ Les contrats passés avec les fournisseurs de progiciels définissent-ils les modalités de
transfert de propriété et les conditions d’accès aux programmes sources, en particulier
en cas de défaillance du fournisseur ?
Risques.
ƒ Efficacité, efficience, disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Le plan de travail doit non seulement couvrir le développement de nouvelles
applications, mais aussi prévoir des plages de temps réservées à la maintenance
corrective des applications ainsi qu’à à la prise en compte de demandes urgentes
d’évolution des systèmes (par exemple, réglementation, sécurité, …).
Evaluer la pertinence de la méthodologie.
L’étude particulière doit être fondée sur l’analyse des schémas de traitement et de
circulation des informations et des risques d’erreur ou de malveillance.
Les contrôles utilisateurs sont les contrôles manuels opérés par les utilisateurs
gestionnaires dans un processus fonctionnel. Leur description et leur mise en oeuvre
doivent faire l’objet de procédures écrites.
Vérifier que le secteur Etudes utilise des outils de développement homogènes et en
respect des normes définies par la banque.
Ceci s’applique également aux applications développées directement par les services
utilisateurs.

165
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Prendre connaissance de la configuration des environnements et s’assurer que les


équipes de développement ont leurs environnements de développement et de tests
distincts de l’environnement de production / exploitation. La bonne pratique requiert, au
minimum, l’existence de deux environnements distincts : celui de développement et de
tests (unitaires et d’intégration) et celui de production.
Vérifier les droits d’accès de quelques membres du personnel des études et
développements pour s’assurer qu’ils n’ont pas d’accès permanent en écriture à
l’environnement d’exploitation.
Contrôler la pertinence de ces mesures. Vérifier les droits d’accès des membres du
personnel des études et développements pour s’assurer que ces mesures sont
respectées.
Les normes doivent inclure l’analyse fonctionnelle, l’analyse organique, la
documentation des programmes, la documentation des tests, le dossier d’exploitation et
la documentation d’utilisation de l’application.
Les équipes de développement ainsi que les MOA des départements utilisateurs doivent
avoir des instructions précises pour la réalisation, la documentation et la conservation
des tests afin de garder la traçabilité des tests effectués.
Contrôler que les tests font l’objet d’un planning et que les ressources nécessaires à
leur réalisation ont été définies.
Vérifier la teneur (nature, exhaustivité) des tests effectués préalablement à la mise en
production des systèmes pour garantir un fonctionnement correct des traitements
concernés.
Vérifier que dans la documentation des tests, des tests sont prévus sur les sécurités et
contrôles développés dans les applications pour garantir l’exactitude, l’exhaustivité et
l’autorisation des entrées, des traitements, des sorties et des données gérées, ainsi que
la piste d’audit.56
Chaque système développé localement ou acquis à l’extérieur doit disposer, au
minimum, des dossiers de conception et d’exploitation pour la partie informatique et d’un
manuel opératoire pour les utilisateurs.
Effectuer un sondage pour s’assurer que la documentation existe, qu’elle est adéquate
et qu’elle est correctement mise à jour en fonction de l’importance du système et des
évolutions / modifications.
La description des interfaces doit permettre de comprendre l’enchaînement des
processus / traitements et les flux d’information entre les différents systèmes.
Vérifier que les manuels utilisateurs et les procédures / supports sont élaborés en
collaboration avec la MOA et/ou le département en charge de l’organisation.
Le manuel de mise en exploitation est un document rédigé par les équipes de
développement à destination de l’exploitation informatique. Il décrit les procédures qui
doivent être suivies pour assurer le bon fonctionnement de l’application. Il doit contenir
une description générale des traitements et de leur enchaînement, une description des
fichiers en entrée et en sortie, l’estimation de la taille des fichiers et des temps de
traitement, les sauvegardes, l’archivage. Il doit également prévoir les contrôles effectués
par l’exploitation pour s’assurer de la bonne fin des traitements, et des procédures de
reprise et de fonctionnement en mode « dégradé » en cas d’incident d’exploitation.
Contrôler que les modifications et évolutions effectuées par le département informatique
font l’objet d’une demande formalisée de la part des départements utilisateurs et sont
56
la piste d’audit consiste en des documents, fichiers, journaux, états ou listes, qui permettent de suivre pas à pas une transaction introduite dans le système pour en
reconstituer le traitement (et inversement, retrouver les transactions à l’origine d’un traitement).

166
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

intégrées dans un processus de gestion du changement formalisé (analyse et chiffrage


de la demande, priorisation, approbation par le département demandeur, recette,…).
Vérifier que la documentation est régulièrement mise à jour en fonction des évolutions et
des modifications apportées aux applications.
La bonne pratique veut que les sources des programmes soient conservées dans
l‘environnement de production.
La sauvegarde des sources des programmes doit être incluse dans le plan de
sauvegarde des systèmes informatiques. Pour permettre la traçabilité et la piste d’audit
des traitements, les versions successives des sources des programmes doivent être
conservées en fonction des besoins internes et/ou réglementaires.
Vérifier la fréquence, l’étendue et le stockage des sauvegardes des programmes et des
données de développement.
Les fournisseurs peuvent être soit des éditeurs de logiciels, soit des sous-traitants.
Dans le cas de sous-traitance, vérifier que le contrat prévoit une clause de transfert de
propriété du logiciel développé au profit de la banque.
De même, contrôler que les conditions d’accès aux sources des programmes sont
définies de manière à ce que l’entité y ait accès en cas de défaillance du fournisseur.
Pour garantir cet accès, les sources et la documentation des programmes doivent
normalement être déposé chez un tiers agréé (par exemple un notaire).

3.4 - Protocole de recette et de mise en exploitation.


Objectifs/points de contrôle.
ƒ La méthodologie de développement prévoit-elle une procédure de recette (préalable à la
mise en exploitation) par les départements utilisateurs, des nouvelles applications ou
des modifications aux applications existantes ?
ƒ Le dossier de recette des utilisateurs définit-il les règles de gestion et les scénarios à
tester qui en découlent ?
ƒ La recette finale est-elle prononcée après une évaluation et une approbation formalisées
des résultats des tests par les départements utilisateurs (ou la MOA) et les services
informatiques ?
ƒ Lorsque nécessaire, la méthode de développement prévoit-elle la conversion / migration
/ reprise des données de l’ancien système, conformément à un plan prédéfini ?
ƒ Existe-t-il une procédure formalisée de mise en exploitation de toute nouvelle application
ou modification aux systèmes existants ? Cette procédure sépare-t-elle clairement les
fonctions de développement et d'exploitation ?

Risques.
ƒ Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Un procès verbal de recette doit être co-signé par le responsable du projet / de
l’application informatique et les responsables des départements utilisateurs (ou la MOA).
Contrôler que le dossier de recette identifie correctement les règles de gestion et les
scénarios de tests correspondants.
Contrôler l’existence des Procès Verbaux de recette, et vérifier que les demandes de
mise en exploitation sont formalisées sur un document adéquat et qu’elles intègrent
l’approbation des départements concernés (Etudes, Utilisateurs, Exploitation).

167
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Vérifier l’existence d’un plan de conversion / migration / reprise des données des
anciennes applications avec une estimation des ressources (humaines et matérielles)
nécessaires à ces travaux.
Vérifier sur quelques applications ayant nécessité une reprise des données que la
méthodologie a été appliquée et que les procédures de reprise ont été correctement
formalisées et planifiées.
Contrôler l’existence de cette procédure et vérifier la séparation des responsabilités
entre les secteurs Etudes et Exploitation.
Vérifier que la mise en exploitation des applications et des modifications aux
programmes n’est jamais effectuée directement par les équipes de développement.

4. Exploitation informatique.
4.1 – Suivi de l’exploitation.
Objectifs/points de contrôle.
ƒ Existe-t-il des procédures d’exploitation du système informatique ?
ƒ Ces procédures décrivent-elles l’exploitation des systèmes centraux et des systèmes
décentralisés / distribués (par exemple : les systèmes installés sur des serveurs du
réseau local) ?
ƒ L’Exploitation Informatique a-t-elle défini des contrats de service avec les utilisateurs ?
ƒ Ces contrats ont-ils été formalisés et signés par les parties ?
ƒ Le secteur tient-il un tableau de bord reprenant les indicateurs de qualité / performance
prévus dans les contrats de service ?
ƒ Les travaux d’exploitation sont-ils correctement planifiés pour utiliser au mieux les
ressources et atteindre les objectifs cités dans les contrats de service ?
ƒ Les travaux non planifiés (ou exceptionnels) sont-ils analysés et approuvés
préalablement à leur inclusion dans le plan de travail ?
ƒ Existe-t-il des journaux (logs) d’exploitation permettant de vérifier l’exécution et la
bonne fin des traitements ?
ƒ La bonne fin des travaux est-elle contrôlée (réception des fichiers, exécution correcte de
tous les programmes, transmissions de fichiers, impression, façonnage) ?
Risques.
ƒ Efficacité, efficience, conformité, intégrité, disponibilité.
Approches d’audit & sondages.
Prendre connaissance des procédures existantes (documentation disponible).
Vérifier l’existence d’une documentation qui recense les diverses tâches d’exploitation
(par exemple : manuel opérateur).
Vérifier que toutes les applications et plates-formes / systèmes informatiques sont
effectivement couverts par ces procédures.
Vérifier l’existence de contrats de service entre le département informatique et les
utilisateurs.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la
disponibilité, la fiabilité, la performance, le support aux utilisateurs, la résolution des
incidents et la mise en place des changements.
Les niveaux de service doivent être des données facilement quantifiables, par exemple :
le taux de disponibilité du système pour les utilisateurs, les temps de réponse, le respect
des horaires de production, le nombre d’incidents et leur délai moyen de résolution, les
mises en place des changements (nouveaux programmes, évolutions ou corrections
dans les programmes existants).

168
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Contrôler que les équipes d’exploitation disposent en permanence d’un plan de travail
incluant les travaux journaliers, périodiques et exceptionnels.
Vérifier que les heures de mise à disposition des applications ne perturbent pas les
activités des utilisateurs.
Se faire communiquer le relevé de contrôle et d’analyse des journaux d’exploitation.
S’assurer que les contrôles des journaux (logs) d’exploitation permettent de suivre
l’exécution et la bonne fin des travaux informatiques.
Vérifier, à partir de ces documents, qu’il est possible de retracer facilement les incidents
d’exploitation.

4.2 – Gestion des systèmes d’exploitation et des réseaux.


Objectifs/points de contrôle.
ƒ La capacité et la performance des différents composants du système sont-elles
régulièrement mesurées ?
ƒ Quelle utilisation est faite de ces mesures ?
ƒ Les achats d’équipements d’informatique distribués (matériels et logiciels) sont-ils
effectués sur la base d’un « catalogue » élaboré conjointement par le département des
achats et le département informatique ?
ƒ Les supports originaux et les licences des progiciels, des systèmes d’exploitation et des
outils bureautique sont-ils conservés dans un lieu sécurisé ?
ƒ Le département informatique tient-il un inventaire des matériels et logiciels pour les
systèmes informatiques centraux et pour l’informatique distribuée (serveurs de réseau
local et postes de travail) ?
ƒ Un inventaire physique des matériels et des logiciels est-il régulièrement effectué ? Les
anomalies relevées lors d’un inventaire sont-elles corrigées dans les meilleurs délais,
avec mise à jour appropriée (après analyse), de l’inventaire informatique et comptable ?
ƒ L’inventaire des progiciels est-il également confronté au stock des licences pour
s’assurer de l’adéquation du nombre de licences ?
Risques.
ƒ Efficacité, efficience, conformité, intégrité, disponibilité.
Approches d’audit & sondages.
Contrôler que les éléments de charge et de performance sont régulièrement mesurés et
analysés. Par exemple : les volumes des données traitées, les temps de traitement,
l’espace disque utilisé, l’utilisation des imprimantes, la puissance machine utilisée,
l’utilisation de la mémoire, la charge du réseau et des lignes de télécommunications, etc.
Vérifier que ce catalogue résulte d’une analyse technique et économique des solutions
disponibles.
Vérifier que les licences de logiciel et les supports sont regroupés et correctement
stockés dans un endroit à accès restreint.
Vérifier que cet inventaire existe et qu’il est régulièrement mis a jour lors des transferts,
des nouvelles acquisitions ou des mises au rebut.
Contrôler que l’inventaire est réalisé sur une base périodique (au minimum annuelle) et
que les différences sont justifiées.

4.3 – Gestion des incidents et du support aux utilisateurs.


Objectifs/points de contrôle.
ƒ Existe-t-il une organisation et des outils / procédures adaptés pour identifier et

169
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

journaliser les incidents d’exploitation par nature et pour suivre les actions engagées en
vue d’y remédier ?
ƒ La direction du département informatique a-t-elle défini une procédure d’escalade
(remontée) des problèmes afin de s’assurer qu’ils sont résolus de la manière la plus
efficace ?
ƒ Les procédures de gestion des incidents prévoient-elles de rechercher les causes
originelles des incidents (par exemple : changement de système d’exploitation ou mise
en production d’une nouvelle application) ?
ƒ Existe-t-il des procédures de reprise des traitements et de restauration des données à
partir des sauvegardes et des procédures de mise en œuvre d’un fonctionnement en
mode dégradé en cas d’incident ?
ƒ Existe-t-il, au sein de l’exploitation, une fonction d’assistance / support aux utilisateurs ?
ƒ Le personnel en charge de cette fonction travaille-t-il en étroite collaboration avec le
personnel en charge de la gestion des incidents ?
ƒ Toutes les demandes d’assistance / requêtes des utilisateurs sont-elles correctement
enregistrées par la cellule d’assistance ?
ƒ Existe-t-il une procédure d’escalade au sein du département informatique pour les
demandes des utilisateurs qui ne peuvent pas être résolues immédiatement par l’équipe
de support de premier niveau ?
ƒ Le management du département informatique exerce-t-il un suivi périodique pour
s’assurer que le traitement des demandes des utilisateurs s’effectue en temps voulu ?
Risques.
ƒ Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Vérifier l’existence de cette organisation et de ces outils / procédures, et se faire
communiquer le reporting relatif aux incidents afin d’en apprécier l’adéquation.
Vérifier que cette procédure prévoit les critères et modalités d’escalade aux niveaux
hiérarchiques et d’expertise successifs pour la résolution des problèmes, en tenant
compte de la gravité des problèmes et de leur priorité de résolution.
Vérifier que les causes des incidents sont analysées au travers des documents de suivi /
reporting des incidents.
Vérifier l’existence, dans les dossiers d’exploitation, de procédures de reprise /
restauration et de mise en œuvre d’un mode dégradé en cas d’incident.
Vérifier dans l’organigramme que cette fonction est effectivement couverte et que les
ressources sont suffisantes par rapport à la population des utilisateurs.
Sonder quelques utilisateurs à cet égard pour évaluer leur niveau de satisfaction.
Se faire communiquer le registre des demandes d’assistance / requêtes afin d’évaluer
l’adéquation de leur enregistrement.
A partir du registre, contrôler que les demandes sont résolues dans les plus brefs délais
et que les procédures d’escalade entre les différents niveaux de support sont
respectées.

4.4 – Procédures de sauvegarde et d’archivage.


Objectifs/points de contrôle.
ƒ Des procédures de sauvegarde des données ont-elles été prévues pour les différentes
applications et les différents systèmes, conformément à la politique de sauvegarde de
la banque ?
ƒ Ces procédures décrivent-elles les cycles de sauvegarde, les périodes de rétention

170
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

(conservation) et les lieux de conservation pour chaque type de sauvegarde ?


ƒ Les sauvegardes de recours sont-elles systématiquement conservées dans un lieu
57

différent du centre informatique pour permettre une mise en œuvre du plan de secours
en cas de sinistre majeur dans le bâtiment ?
ƒ L’identification externe des supports magnétiques, le contrôle de leurs mouvements et
de leur stockage sont-ils correctement effectués ? Les supports contenus dans la
médiathèque sont-ils régulièrement inventoriés ?
ƒ Les anomalies relevées suite à un inventaire physique sont-elles corrigées en temps
voulu ?
ƒ Les supports magnétiques sont-ils périodiquement testés pour s’assurer qu’ils sont
lisibles et que les données qu’ils contiennent sont exhaustives ?
ƒ Existe-t-il des procédures d’archivage qui prennent en compte la nature des données
58

(fréquence de mise à jour, sensibilité) et les besoins internes et réglementaires ?


ƒ Ces procédures sont-elles appliquées ?
ƒ En cas de modification majeure de l’application, de la structure des données ou d’un
matériel, le département informatique s’assure-t-il que les supports d’archivage
antérieurs peuvent être relus et consultés ?
Risques.
ƒ Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Vérifier que ces procédures couvrent l’intégralité des sauvegardes, à savoir (pour les
systèmes centraux et décentralisés) : Systèmes d’exploitation et configurations système
(y compris les SGBD ), Sources, exécutables et données de production des
59

applications, environnements de développement / de tests, environnements du réseau


local (y compris les serveurs de fichiers et de messagerie et les postes de travail des
utilisateurs.
Vérifier que la documentation fait également l’objet de procédures de sauvegarde.
Vérifier que, pour chaque type de sauvegarde cité ci-dessus, ces éléments ont été
définis et qu’ils sont pertinents par rapport aux besoins exprimés en terme d’activité
(notamment vis à vis de la nature des données sauvegardées et de leur durée de
conservation).
Vérifier que les sauvegardes de recours sont transférées vers un site extérieur dans les
meilleurs délais.
Se faire communiquer les documents de gestion de la médiathèque : mouvements en
entrée et sortie, inventaire périodique, correction des anomalies. Si les documents de
suivi et d’inventaire sont inadéquats, procéder à un inventaire physique par sondage et
le rapprocher de l’inventaire informatique.
Se faire communiquer les comptes-rendus des tests et analyser les actions qui sont
prises suite à la détection d’anomalies.
En cas de doute sur la lisibilité des supports de sauvegarde, faire éventuellement
effectuer un test par sondage pour s’assurer qu’ils sont lisibles et qu’ils contiennent
effectivement les données prévues par le plan de sauvegarde.
Vérifier que les procédures d’archivage ont été élaborées en tenant compte des besoins
propres à l’activité et des besoins légaux et réglementaires.

57
Après sinistre majeur
58 Cette fonction ne doit pas être confondue avec la sauvegarde, qui vise à permettre une reprise des traitements après un incident . L’archivage représente le besoin de conservation
pour des buts fonctionnels liés à l’activité de l’entreprise (besoins internes, légaux et réglementaires).

59 SGBD : Système de Gestion des Bases de Données.

171
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Vérifier que ces procédures prévoient également le désarchivage quand la durée de


conservation des informations est échue.
Contrôler que les supports d’archives peuvent être physiquement lus sur les matériels
actuels et que les systèmes d’exploitation, les outils et les applicatifs sont en mesure
d’interpréter ces informations.

4.5 – Mise en exploitation des modifications.


Objectifs/points de contrôle.
ƒ Existe-t-il des procédures formalisées pour la mise en production de modifications aux
systèmes applicatifs existants ?
Risques.
ƒ Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Vérifier que ces procédures incluent la mise à jour éventuelle des programmes
d’enchaînement des applications, des tests d’intégration, de non régression et de pré-
production éventuellement (en cas de modifications importantes ou complexes)
préalablement à la mise en exploitation effective.
A partir des demandes de mises en exploitation, effectuer un sondage sur des
applications récemment modifiées.

4.6 - Administration des logiciels système, des réseaux et des bases


de données
Objectifs/points de contrôle.
ƒ Existe-t-il une fonction d'administration des logiciels système (systèmes
d’exploitation...), qui a la responsabilité de leur installation, de leur suivi et de la gestion
de leurs évolutions?
ƒ Existe-t-il une fonction d'administration des réseaux / télécommunications, qui a la
responsabilité de leur installation, de leur suivi et de la gestion de leurs évolutions?
Risques.
ƒ Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Vérifier l’existence de cette fonction dans l’organigramme du département informatique,
avec une description de fonction détaillée.

172
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 3 :

Mission d'audit de la Salle des


Marchés.

173
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 3 : Mission d'audit de la Salle des Marchés.


Introduction.
Le présent chapitre s'applique à l'audit de la Salle des Marchés. Les objectifs
généraux de cet audit sont d'évaluer :

La qualité et la fiabilité des informations véhiculées sur la nature des opérations


traitées, des positions prises et de leur rentabilité, tant en interne qu'en externe;
La qualité de la maîtrise des risques financiers et techniques générés par les
opérations qu'elle traite ;
La contribution des différents services concernés (front office, middle office, back
office, contrôle des risques et contrôle interne) à cette maîtrise.

Les orientations majeures de la mission à accomplir se basent sur :

Le recensement de l'ensemble des activités, stratégies et instruments traités par


la salle auditée,
L'inventaire des applications de gestion et de traitement de ces activités et
instruments,
La revue des procédures de traitement,
L'examen des principales procédures comptables,
L'analyse du mode d'élaboration des résultats comptables et de gestion, ainsi
que la procédure de rapprochement de ces deux résultats,
L'inventaire des différents états de reporting et de leur mode d'élaboration.

C’est pourquoi ce chapitre met l’accent :

Sur l’identification des risques et le recoupement avec les travaux des autres
auditeurs en phase de préparation,
Sur les liens avec l’audit des autres fonctions concernant les activités de marché
en phase d’investigation,
En fonction de l’analyse des risques, sur des sondages, transverses à plusieurs
fonctions, sur un ou plusieurs échantillons d’opérations à déterminer.

Un tel audit couvre cinq domaines : le front office (trading & ventes), le middle
office, le back office, le risque de contrepartie, le risque juridique et la sécurité
physique.
Comme pour toutes les fonctions, une mission d’audit de la salle des marchés
comprendra une phase de préparation (collecte de documents et entretiens
préparatoires), une phase d’investigation (entretiens systémiques 60 et sondages) et une
phase de rédaction. Il conviendra, en théorie, de couvrir chacun des 6 domaines lors de
chaque phase.

60
Audit de processus : organisation, fonctionnement, procédures, …

174
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

La mission aura pour objet d’apprécier comment sont couverts les risques liés à l'activité
de marché. Parmi les familles de risques recensées, seront principalement concernés
les risques de gestion, opérationnels, déontologiques, de fraude, d’image, de crédit,
commerciaux et juridiques.
L’audit de la salle des marchés devra mesurer le niveau des risques, leur évolution, et
l’avancement des plans d’actions correcteurs.

Rappel de l’arborescence de la démarche d’audit systémique :

Mission : nom de la mission objet de l’audit.


Thème : libellé du thème à auditer.
Sous-thèmes : libellé du sous-thème appartenant au thème audité.
Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire.
Risques : risques inhérents au thème/sous-thème audité.
Approches d’audit et sondages : approches d’audit et de sondages à réaliser.

Mission : Salle des Marchés.

1. Front-Office Trading & ventes.

1.1 - Stratégie, politique, budget.


Objectifs/points de contrôle.
ƒ Une stratégie a-t-elle été définie?
ƒ Cette stratégie est-elle en phase avec celle de la banque?
ƒ La stratégie prend-elle en ligne de compte tous les risques inhérents à l’activité ?
ƒ Un budget a-t-il été élaboré?
ƒ La direction de la banque est-elle impliquée dans la procédure budgétaire?
Risques.
ƒ Risque de gestion : une stratégie doit être élaborée et doit être en phase avec celle
de la banque.
Approches d’audit & sondages.
Plan triennal, notes internes, Budget.
Ces documents permettront plus probablement de mieux comprendre les activités de la
banque que de trouver des anomalies ou dysfonctionnements.
Examiner la procédure budgétaire en lisant les courriers, les notes, les projets, etc.

1.2 - Organisation de l’activité.


Objectifs/points de contrôle.
ƒ L’activité a-t-elle été clairement définie et mise en place ?
ƒ Les tâches des employés sont-elles clairement définies? n’y a-t-il pas de
chevauchements ?
ƒ La hiérarchie des teneurs de livres comptabilisés en mark-to-market est-elle différente
de ceux comptabilisés en couru ?

175
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Sinon, les opérations internes entre des desks animés par la même hiérarchie sont-elles
interdites ?
ƒ La répartition des traders coïncide t’elle avec celle des vendeurs ?
ƒ Tous les vendeurs peuvent-ils effectuer des opérations avec les clients ?
ƒ Sont-ils dûment autorisés ?
ƒ Les vendeurs prennent-ils des positions non couvertes ?
Risques.
ƒ Risque de gestion.
ƒ Risque de fraude : les gains ou les pertes pourraient être basculés d’un livre à l’autre.
ƒ Risque opérationnel : les traders pourraient passer plus de temps à coter des opérations
qu’à négocier.
ƒ Risque commercial : des cotations trop longues pourraient entraîner la perte de client.
ƒ Risque déontologique : les vendeurs pourraient conclure des opérations en dehors de
leur délégation.
ƒ Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors
de leur délégation en matière de risque de marché.
Approches d’audit & sondages.
Définition de poste, organigramme, notes internes.
Analyser l’affectation des traders et des vendeurs aux clients, aux différents produits,
aux différentes devises au moyen des statistiques (nombre d’opérations, volumes) et en
fonction des résultats.
Organigramme, liste des livres de trading avec le plan de comptes.
Analyser l’affectation des traders par rapport aux besoins de la force de vente.
Vérifier la délégation de chaque vendeur et la comparer avec les produits traités.
Point de contrôle difficile à vérifier. Analyser le courant d’opérations pour voir si les
vendeurs peuvent à un moment quelconque prendre des positions ouvertes sans les
déclarer.
Le contrôle le plus important est celui effectué lors de la réception par un secteur
indépendant des confirmations et des réclamations des clients.

1.3 - Stratégie de trading.


Objectifs/points de contrôle.
ƒ Une stratégie a-t-elle été définie pour les activités de trading ?
Risques.
ƒ Risque financier. La stratégie en matière de trading pourrait être trop risquée.
Approches d’audit & sondages.
Examiner le livre des positions de trading et vérifier que son évolution correspond
effectivement à cette stratégie.
Examen des positions du book de trading. Analyser particulièrement les positions des
jours qui ont enregistré les plus gros gains ou les plus grosses pertes et demander des
explications. L’explication pourrait se trouver dans des risques non pris en ligne de
compte (effet smile …) plutôt que dans la stratégie de trading.

176
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

1.4 - Informations relatives au marché.

Objectifs/points de contrôle.
ƒ Les analyses envoyées au client sont-elles réalisées par des membres du personnel
autorisés et qualifiés ?
Risques.
ƒ Risque d’image. Risque déontologique.
Approches d’audit & sondages.
Examen des analyses sur le marché envoyées aux clients.

1.5 - Comité de gestion.


Objectifs/points de contrôle.
ƒ Quels sont les différents comités auxquels le responsable du trading participe ?
ƒ Quelle est la nature des relations qui existent entre le front office et les autres secteurs :
back office, middle office, comptabilité, engagements ?
ƒ La contribution des vendeurs est-elle clairement identifiée (marge, rémunération des
vendeurs, mid-market) et calculée par un secteur indépendant ?
Risques.
ƒ Risque de gestion : une mauvaise coordination entre les secteurs pourrait entraîner
des pertes financières ou des occasions perdues.
ƒ Risque financier : un calcul erroné de la contribution pourrait entraîner le paiement
de primes injustifiées.
Approches d’audit & sondages.
Examiner les procès verbaux des réunions. Quelques points peuvent y être évoqués et
servir aux investigations : problèmes de partage des gains, mauvaise qualité des
traitements, etc
Vérifier par un examen ou par des interrogations dans le système l’exactitude de la
contribution des vendeurs

1.6 - Avis d’opéré.

Objectifs/points de contrôle.
ƒ Les avis d’opéré contiennent-ils toutes les informations nécessaires au traitement des
opérations ? 61
ƒ Les opérations sont-elles pré-affectées à un secteur déterminé ?
ƒ Existe-t-il une piste d’audit pour chaque ticket ?
ƒ Les tickets de transaction sont-ils horodatés ? 62
ƒ Existe-t-il une piste d’audit en cas d’annulation ou de modification?
ƒ Dans le cas où le Front Office peut annuler ou modifier des opérations (et
particulièrement les opérations échues) dans les systèmes FO et BO, la validité de ces
annulations/modifications est-elle contrôlée de façon indépendante ?
ƒ Des heures limites de traitement des opérations ont-elles été fixées ? sont-elles
respectées ?
61
Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs sont responsables des informations renseignées sur les tickets d’opérés. Ils
doivent veiller à ce qu’ils soient correctement remplis et visés, et transmis dans les meilleurs délais aux services de traitement.
62
Principes de déontologie spécifiques aux activités de marchés financiers : Les ordres de la clientèle sont enregistrés chronologiquement dés leur réception (horodatage).

177
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Les opérations hors site sont-elles autorisées ?


ƒ Dans l’affirmative, les traders ont-ils obtenu préalablement l’autorisation de la direction
et l’aval du déontologue ?
ƒ Ces opérations sont-elles effectuées dans les conditions de sécurité voulues ? 63

Risques.
ƒ Risque opérationnel et financier. Risque de mauvaise interprétation des ordres par le
back office.
ƒ Risque financier : une affectation a posteriori pourrait amener à un transfert de gains
d’un secteur à un autre.
ƒ Risque opérationnel. En cas de contrôle, la piste d’audit de chaque ticket doit être
étayée.
ƒ Risque de fraude : le FO pourrait modifier les opérations sans que les secteurs
administratifs en soient informés. La modification d’une opération échue peut
changer le résultat.
ƒ Risque opérationnel : des opérations peuvent avoir été initiées et non traitées.
ƒ Risque financier : certaines opérations pourraient être effectuées à l’insu de la banque.

Approches d’audit & sondages.


Procéder par sondage sur les tickets d’opéré pour s’assurer de leur exactitude.
Vérifier que la procédure assure ce contrôle. Les traders chargés de plusieurs
desks/portefeuilles devraient faire l’objet d’une attention toute particulière. Des
procédures particulières devraient s’appliquer pour ces personnes.
Examiner les tickets de transaction.
Lorsque les opérations ne sont pas matérialisées par un ticket mais saisies directement
dans un système, examiner l’heure de saisie des différentes opérations afin de mettre
en lumière d’éventuelles concentrations inhabituelles.
Examiner les annulations/modifications.
Dans le cas d’un système informatique intégré, examiner les fonctionnalités pour vérifier
qu’une piste d’audit est conservée pour les opérations annulées ou modifiées.
Procédures internes.
Examen des tickets de la salle.
Vérifier les procédures relatives aux opérations hors site.
S’assurer que l’autorisation a été donnée par la direction et le déontologue.
S’assurer que ces opérations sont effectuées dans les conditions de sécurité voulues. :
séparation des fonctions, justificatif de l’opération, et contrôles par le Middle Office
respectés.

1.7 - Gestion des positions.

Objectifs/points de contrôle.
ƒ Chaque opérateur tient-il un état récapitulatif des opérations soit manuellement soit par
l’intermédiaire d’un système FO?
ƒ Les opérations sont-elles enregistrées dans l’ordre chronologique sur cet état.64 ?
ƒ La position (position de change, solde, impasse en taux, sensibilité, delta, …) de chaque
trader est-elle toujours disponible et constamment mise à jour ?
ƒ Le périmètre de la position du trader couvre-t-il exactement ce qu’il est censé couvrir ?
63
Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs susceptibles de réaliser une transaction sur un instrument financier en dehors des
horaires et de leur lieu de travail habituels doivent préalablement obtenir une habilitation spécifique de leur hiérarchie, visée par le déontologue, de telle sorte que les modalités
d’intervention assurent la sécurité requise.
64
Les négociateurs veillent aussi à l’enregistrement chronologique des ordres reçus, transmis et exécutés.

178
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Les avis de positions provenant d’autres secteurs sont-ils envoyés en temps opportun et
en bonne et due forme ?
ƒ Toutes les positions du FO sont-elles rapprochées avec celles du BO ?
ƒ Toutes les positions prises par les autres secteurs sont- elles bien prises en ligne de
compte dans le rapprochement?
ƒ Dans le cas d’un système FO automatisé, une solution de secours de suivi des positions
est-elle en place et a -t- elle été testée ?
ƒ Dans le cas où le client a des positions ouvertes avec la banque (opérations de gré à
gré), les vendeurs ont-ils accès en temps réel à la position du client réévaluée ?
ƒ Dispose-t-on d’une lettre de décharge, signée par le niveau N+1 de la hiérarchie de
l’interlocuteur habituel pour les reports de terme à cours historiques ?
Risques.
ƒ Risque opérationnel : l’absence d’une piste d’audit rend impossible tout contrôle de
second niveau.
ƒ Risque financier. La position du trader doit pouvoir être connue à tout moment.
Autrement, en cas d’évolution défavorable du marché et d’absence du trader, la
banque ne sera pas en mesure de réduire la position.
ƒ Risque opérationnel : le cambiste pourrait surveiller une position qui ne couvre pas le
périmètre qu’elle devrait couvrir (notamment lorsque cette position est suivie à l’aide
d’un système FO).
ƒ Risque financier : le trader peut ne pas être informé des positions (trésorerie,
changes, …) prises par d’autres secteurs.
ƒ Risque financier : les positions non communiquées ou non réconciliées sont
responsables de positions inexactes qui peuvent générer des pertes.
ƒ Risque Financier : la position doit être disponible en cas de panne du système.
Autrement des pertes peuvent être encourues.
ƒ Risque commercial et financier : en cas d’évolution défavorable du marché, les
vendeurs doivent être en mesure de conseiller le client, tout particulièrement dans le
cas des produits volatils (dérivés).
ƒ Risque de crédit : le client peut dissimuler des pertes ou des gains. La banque
pourrait faire l’objet de poursuites pour soutien illégal ou pour évasion fiscale.
Approches d’audit & sondages.
Vérifier les états récapitulatifs du trader ou s’assurer que le système FO assure cette
fonction.
Examiner l’état pour s’assurer que les opérations sont enregistrées dans l’ordre
chronologique.
S’assurer que l’état récapitulatif du trader est bien disponible.
Dans le cas d’un système FO, s’assurer que les opérations sont saisies immédiatement
en vérifiant les heures de saisie des opérations pour mettre en évidence d’éventuelles
concentrations inhabituelles ou des opérations tardives.
Dans le cas d’un système FO, vérifier la codification du portefeuille/périmètre de la
position.
Examiner les positions communiquées aux traders par les autres secteurs (production,
commercial, …). Des positions non communiquées à temps pourraient être mises en
évidence au cours du rapprochement des positions entre le FO et le BO.
Vérifier le type des rapprochements effectués sur les positions et s’assurer de leur
efficacité. S’assurer que ces rapprochements sont effectués régulièrement.
Examiner les positions provenant des autres secteurs pour s’assurer qu’elles sont
communiquées en temps voulu.

179
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Vérifier les solutions de secours ainsi que les tests réalisés.


Vérifier que pour tous les produits volatils, les vendeurs suivent la position du client à
l’aide d’un système en temps réel.
Vérifier que toutes les opérations avec report au cours historique effectuées avec
l’autorisation préalable du client.

1.8 - Suivi des limites de risque.

Objectifs/points de contrôle.
ƒ Le FO est-il en mesure de suivre ses risques de marché ?
ƒ Le FO est à même de suivre ses risques de contrepartie ?
Risques.
ƒ Risque financier : le FO peut ne pas être à même de suivre ses risques de marché. Il
peut dépasser la limite (dans le cas d’une variation brusque sur le marché par
exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans
les limites.
ƒ Risque de crédit : le FO peut initier des opérations avec des clients sans que des lignes
de crédit soient disponibles ou dans le cadre de lignes de crédit non
autorisées.
Approches d’audit & sondages.
S’assurer que le FO dispose des moyens matériels pour suivre ses limites de risques de
marché.
Examiner les utilisations afin d’identifier tout dépassement de limites de ce fait.
Dans l’éventualité où le FO n’a pas de moyen pour suivre les limites et prétend que les
limites sont suivies au “feeling”, s’assurer que l’utilisation n’est pas proche de la limite.
S’assurer que le FO a les moyens matériels pour suivre ses limites de risques de
contrepartie.
Passer en revue les utilisations pour identifier tout dépassement de limites de ce fait.

1.9 - Matérialisation des opérations.

Objectifs/points de contrôle.
ƒ Existe-t-il des contrôles permettant de s’assurer que toutes les opérations initiées par le
FO sont matérialisées ? 65
ƒ Existe-t-il une procédure d’enregistrement des conversations téléphoniques ?
ƒ Les enregistrements sont-ils conservés dans un endroit dont l’accès est limité aux
personnes dûment autorisées et interdit aux membres du FO ?
ƒ Les enregistrements sont-ils conservés pendant une durée minimum de 6 mois
conformément aux réglementations locales ?
ƒ Les personnes habilitées à écouter les conversations ont–elles été approuvées par le
déontologue ?
ƒ Lorsqu’une conversation téléphonique est écoutée, le personnel concerné est-il autorisé
à entendre la conversation incriminée ? 66
65
les SDM ont l’obligation de procéder à l’enregistrement des conversations téléphoniques de tous les négociateurs d’instruments financiers et des collaborateurs qui sans être
négociateurs participent à la relation commerciale avec les donneurs d'ordres, en tenant compte de l’appréciation du déontologue concerné et des montants et risques en
cause. Ces enregistrements ont pour fin de faciliter les contrôles de la régularité des opérations , leur conformité aux instructions des donneurs d’ordres et la résolution
d’éventuels litiges.
66
Ces enregistrements sont conservés dans un endroit dont l’accès est strictement réservé aux personnes autorisées. La durée de conservation obligatoire des enregistrements
est fixée à 6 mois et ne peut en aucune façon excéder cinq ans, sauf obligation nationale différente. L’audition des enregistrements des conversations téléphoniques, peut être
effectuée par le déontologue à des fins de preuve en cas de litiges ou à des fins de contrôle. Si le déontologue ne procède pas lui même à l’audition, celle ci ne peut intervenir

180
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Risque opérationnel : la contrepartie pourrait contester une opération qui ne serait
pas étayée par un justificatif (communication téléphonique, communication par
Reuter …).
ƒ Risque opérationnel : la preuve d’opérations pourrait ne pas être suffisamment
protégée.
Approches d’audit & sondages.
S’assurer que la salle dispose des moyens nécessaires pour enregistrer toutes les
conversations téléphoniques ou les communications par Reuter ou pour fournir tout
autre justificatif des opérations.
S’assurer que l’accès au système d’enregistrement de conversations téléphoniques est
protégé.
Vérifier que les enregistrements sont conservés au moins six mois et conformément aux
réglementations locales.
S’assurer que le déontologue a bien donné son accord sur les personnes habilitées à
écouter les conversations téléphoniques.

1.10 - Séparation des tâches.

Objectifs/points de contrôle.
ƒ Est-il interdit aux traders et à leurs assistants d’effectuer les tâches suivantes : 67
rédiger, valider et envoyer des confirmations ou des contrats de trading ?
enregistrer les opérations de trading, tenir les livres de positions et des échéanciers,
préparer des rapports d’activité quotidiens et des états de positions (à l’exception
des notes pour informer les traders sur les positions prises) ?
réévaluer les positions régulièrement et déterminer les gains ou les pertes pour les
comptes officiels ?
dénouer les opérations ou effectuer d’autres fonctions de paiement ou de réception
de fonds, telles que l’émission ou la réception et le traitement d’opérations par câble
ou par courrier, des effets ou des lettres de change ?
recevoir les confirmations des contreparties et les marier avec les contrats ou les
avis de courtiers, suivre les confirmations en suspens et corriger les erreurs qui s’y
rapportent et autres fonctions de traitement similaires ?
gérer et rapprocher les comptes Nostri et autres comptes débiteurs et créditeurs
concernés par les activités de trading ?
préparer, approuver et enregistrer toute autre écriture comptable ?
ƒ Le personnel du FO est-il exclu des listes de signatures autorisées et des personnes
habilitées à :
ouvrir des comptes au nom de la Banque auprès de confrères ou de courtiers ?
initier des transferts ou des mouvements sur ces comptes?
ƒ Une unité indépendante de la salle est elle chargée de revoir les rapports quotidiens
pour détecter les dépassements de limites de trading autorisées ?

qu’avec son accord ou l’accord d’une personne désignée par lui. Le collaborateur dont les conversations sont enregistrées dispose du droit d’écouter l’enregistrement en cause
en cas d’audition.
67
Principes de déontologie spécifiques aux activités de marchés financiers – “La sécurité des transactions est notamment assurée par le respect du principe de séparation des
fonctions de négociation (« front office ») et de traitement (« middle et back office »). Ces fonctions relèvent d’organisation et de hiérarchie différentes. Elles ne doivent en aucun
cas être assumées par la même personne.”

181
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Risque de fraude. Les traders peuvent confirmer des transactions sans en informer le
BO. Des positions peuvent être prises à l’insu de la banque.
ƒ Les traders peuvent manipuler les livres de manière à générer des gains fictifs ou à
dissimuler des pertes.
ƒ Les traders peuvent manipuler les réévaluations pour gonfler les gains artificiellement.
ƒ Les traders peuvent initier des paiements à l’insu de la banque.
ƒ Des positions, des gains ou des pertes peuvent être cachés à la banque.
ƒ Les traders peuvent dissimuler des irrégularités dans les Nostri occasionnées par
des opérations effectuées à l’insu de la banque.
ƒ Les traders peuvent manipuler les écritures comptables pour générer des gains fictifs.
ƒ Les traders peuvent ouvrir des comptes à l’insu de la Banque afin de dissimuler des
pertes ou des gains et de les virer sur d’autres comptes.
ƒ Risque de fraude : les dépassements de limites peuvent ne pas être signalés et ainsi
générer des pertes supérieures aux « stop-loss » officiels.
Approches d’audit & sondages.
S’assurer que les points de contrôle suivants sont respectés.
Examiner les contrats et les confirmations pour s’assurer qu’aucun(e) n’est signé(e) ni
envoyé(e) par des traders ou par quiconque leur soit rattaché.
Vérifier la liste des signatures autorisées et des pouvoirs pour s’assurer que tous les
traders et leurs assistants en sont exclues.
S’assurer qu’aucune écriture comptable n’est saisie directement par les traders et
qu’aucune position n’est tenue par eux.
S’assurer que la comptabilité effectue ces tâches indépendamment sans intervention du
FO.
Vérifier que le secteur comptabilité est indépendant du FO dans le cadre de ses
réévaluations et de ses calculs de pertes et profits.
Tous les chiffres utilisés par le secteur comptabilité doivent préalablement être validés
par le BO (ou par un secteur administratif).
S’assurer que les traders n’ont pas accès aux systèmes (Swift, telex …) ou aux moyens
de paiement (lettres de change).
S’assurer que ces fonctions sont physiquement séparées.
S’assurer que les traders ne reçoivent aucune confirmation. Il conviendrait d’éviter que
des télécopies, telex, etc ne soient reçus dans la salle. Si un telex ou un télécopieur est
nécessaire dans la salle, il y a lieu de s’assurer qu’aucune confirmation ne peut être
reçue exclusivement dans la salle.
S’assurer que les comptes Nostri et autres comptes débiteurs et créditeurs sont
rapprochés par un secteur indépendant du FO.
S’assurer qu’aucune écriture comptable n’est saisie directement par les traders.
S’assurer que le secteur comptabilité saisit ces écritures lui-même sans aucune
intervention du FO.
S’assurer que toutes les personnes rattachées au FO sont exclues de la liste des
signatures autorisées et des mandataires.
S’assurer que la fonction suivi de limites n’est pas rattachée au FO.

1.11- Politique commerciale.

Objectifs/points de contrôle.
ƒ Existe-t-il un programme de visites aux clients ?

182
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Chaque réunion avec un client fait-elle l’objet d’un compte rendu ?


ƒ Les vendeurs coordonnent-ils leur action avec le secteur commercial de la banque des
entreprises ?
Risques.
ƒ Risque commercial : certains clients peuvent ne pas recevoir la visite d’un exploitant.
Des opportunités d’affaires peuvent ne pas être détectées en l’absence de visites
régulières chez les clients.
ƒ Risque de gestion : des renseignements relatifs au client peuvent être perdus.
ƒ Risque commercial : une mauvaise coordination entre les secteurs peut être
préjudiciable à la relation avec le client.

Approches d’audit & sondages.


S’assurer qu’il existe bien un planning de visites.
Passer en revue les visites rendues aux clients pour s’assurer que le planning est
respecté.
Examiner les comptes rendus de visite.
S’assurer que les visites aux clients sont effectuées conjointement avec le secteur
commercial.
S’assurer que les cadres de la banque commerciale sont informés des positions prises
par les clients et qu’elles sont suivies. Demander à voir les comptes rendus de visites,
les états des positions des clients.

2. Middle-Office.

2.1 - Séparation des tâches.


Objectifs/points de contrôle.
ƒ La ligne hiérarchique du middle office est-elle différente de celle des traders et des
marketers ?
Risques.
ƒ Risque financier : la non-séparation des tâches pourrait être source de conflits
d’intérêts et occasionner des pertes financières.
Approches d’audit & sondages.
Vérifier à l’aide de l’organigramme que les lignes hiérarchiques sont bien distinctes.

2.2 - Stocks.
Objectifs/points de contrôle.
ƒ Le MO calcule-t-il les risques et les résultats sur un stock validé chaque jour par un
secteur (BO) indépendant du FO ? 68
ƒ S’il existe deux systèmes (FO et BO), le MO vérifie-t-il que le rapprochement des stocks
est correctement effectué (contrôle de deuxième niveau) ?
ƒ Les opérations en suspens sont-elles prises en compte dans les calculs de risques du
MO ?
ƒ Lorsque la salle ne négocie pas sur une amplitude de 24 heures, les risques sont-ils

68
Chaque jour, à partir des positions arrêtées le soir précédent et validées par le back office, la tâche du middle office est de : valider les paramètres de marché utilisés dans les
calculs de risques et de résultats en contre-vérifiant auprès de sources extérieures .

183
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

calculés sur toutes les opérations réalisées pendant la journée, y compris celles
réalisées après l’heure limite du BO ?

Risques.
ƒ Risque financier et risque de fraude : les calculs des risques et des résultats peuvent
ne pas être indépendants du FO ce qui impliquerait des risques de positions
cachées.
ƒ Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des
stocks ce qui peut affecter les calculs de risques et de résultats.
ƒ Risque financier : il se peut que toutes les opérations ne soient pas prises en
compte, ce qui peut entraîner une estimation erronée des risques de marché.
Approches d’audit & sondages.
Dans le cas d’un système unique, vérifier que le MO calcule les risques et les résultats
postérieurement à la validation du stock par le BO.
Lorsqu’il existe deux systèmes (FO et BO), vérifier que le BO ou un secteur indépendant
du FO effectue un rapprochement entre les deux stocks avant le calcul du MO.
S’assurer que le MO est toujours informé des différences entre les stocks du FO et du
BO.
S’assurer que le MO vérifie régulièrement les rapprochements des stocks.
Vérifier la procédure en matière d’opérations en suspens. Cette procédure devrait
assurer un calcul des risques sur toutes les opérations effectuées au cours de la journée
écoulée.

2.3 - Prix de marché.


Saisie des paramètres de marché
Objectifs/points de contrôle.
ƒ Existe-t-il une procédure de contrôle et de validation des prix de marché ? Cette
procédure précise-t-elle :
la référence indépendante des prix de marché (page Reuter, courtier, …)?
l’heure de saisie ?
ƒ Cette procédure a-t-elle été validée par toutes les parties concernées (MO, FO, contrôle
interne, BO, …) ?
ƒ Cette procédure est-elle respectée ?
ƒ En cas de saisie manuelle des prix de marché, la saisie est-elle vérifiée ?
Risques.
ƒ Risque financier : en l’absence de procédure les prix pourraient être manipulés en
cas de désaccord entre le MO et le FO.
ƒ Risque opérationnel : les prix de marché pourraient ne pas être saisis correctement.
Approches d’audit & sondages.
Vérifier qu’une procédure existe, qu’elle précise la source des données (source, courtier
….) et l’heure de saisie. Vérifier que cette procédure a été validée par toutes les
personnes concernées.
S’assurer du respect de la procédure.
Vérifier que les prix de marché saisis sont correctement contrôlés.

184
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Vérification des prix de marché.


Objectifs/points de contrôle.
ƒ En cas de chargement automatique, la codification des paramètres de marché est-elle
vérifiée ?
ƒ Les prix de marché utilisés pour les ré-évaluations sont-ils soumis à un contrôle de
cohérence?
ƒ Un contrôle est-il effectué pour détecter des alimentations incomplètes ?
Risques.
ƒ Risque opérationnel : la codification pourrait être incorrecte et par conséquent des
prix de marché erronés pourraient être chargés.
ƒ Risque financier : des prix de marché incohérents pourraient être utilisés, ce qui
pourrait donner un résultat incorrect.
ƒ Risque financier : des alimentations incomplètes pourraient être la cause de résultats
incorrects.

Approches d’audit & sondages.


S’assurer que la saisie de toute nouvelle source d’un paramètre de marché (page
Reuter ….) est doublement vérifiée.
Vérifier que les changements de source (fusion d’actions, nouveaux marchés) sont
traités comme il se doit.
S’assurer qu’il existe un contrôle et qu’il est efficace en consultant les prix de marché
sur une certaine période et détecter ceux qui seraient incohérents.
S’assurer que les états d’anomalies sont bien vérifiés et que cette vérification est
documentée.
Contrôler que les données de marché sont vérifiées pour s’assurer que les alimentations
incomplètes sont détectées avant toute évaluation de stocks.

Modifications.
Objectifs/points de contrôle.
ƒ Chaque modification dans la référence d’un prix de marché est-elle justifiée et
documentée ?
ƒ Les modifications des prix de marché sont-elles documentées?
ƒ Les prix de marché sont-ils modifiés et validés par un secteur indépendant du FO?
ƒ Existe-t-il une piste d’audit pour chaque paramètre de marché ?
Risques.
ƒ Risque financier : les références pourraient être modifiées afin de manipuler les prix
de marché
ƒ Risque financier : les prix de marché pourraient être manipulés.
ƒ Risque financier : en l’absence d’une piste d’audit appropriée, aucun contrôle de
second niveau ne peut être assuré. Il existe par conséquent un risque de
manipulation des prix de marché.

Approches d’audit & sondages.


S’assurer que toutes les modifications des références des prix de marché sont
documentées.

185
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

S’assurer que toute modification ou intervention sur les prix de marché est étayée par
un document qui n’émane pas du FO.
Examiner les prix de marché. Pour chacun, la source (page Reuter par exemple) et
l’heure de chargement ou de saisie devrait être disponible.

Protection des accès.


Objectifs/points de contrôle.
ƒ L’accès aux prix de marché et aux références des prix de marché est-il protégé ?
ƒ Le FO peut-il forcer les données de marché ?
ƒ Les calculs de la courbe des taux, les méthodes d’interpolation, des coefficients
d’actualisation et les autres paramètres utilisés sont-ils clairement documentés ?
ƒ L’accès aux calculs est-il interdit au FO ?
Risques.
ƒ Risque financier : le FO pourrait dissimuler des pertes en manipulant les prix de
marché.
ƒ Risque financier : les paramètres de marché pourraient être inexacts ou manipulés
ce qui pourrait entraîner des résultats inexacts.

Approches d’audit & sondages.


Vérifier que l’accès aux prix de marché et aux références est protégé.
Vérifier que le FO ne peut pas forcer les prix de marché et les références que s’il le fait,
un contrôle approprié garantit qu’il ne peut pas y avoir de manipulation.
Vérifier que la documentation existe et qu’elle est à jour.
S’assurer que les calculs sont bien conformes à la documentation.
S’assurer que le FO ne peut avoir accès aux calculs et les modifier.

Limites.
Objectifs/points de contrôle.
ƒ La direction de la banque (le directeur de la banque ou le conseil d’administration) et les
responsables de desks sont-ils impliqués dans la fixation des limites globales de la
banque ?
ƒ Les limites globales tiennent-elles compte des exigences en matière de fonds propres ?
ƒ Les limites globales sont-elles revues aussi souvent que nécessaire et au minimum une
fois par an ?
ƒ Le responsable de la salle a-t-il fixé et décomposé des limites de risques de marché
opérationnelles en phase avec les limites globales ?
Risques.
ƒ Risque financier : la limite peut ne pas être opérationnelle (parce que trop basse) ou
inutilisée parce que trop importante (dans ce cas du capital serait alloué inutilement).
ƒ Risque financier : les limites de certaines unités peuvent être trop élevées et exposer
la Banque à un risque financier (faillite).
ƒ Risque financier : du fait des fluctuations sur le marché, les limites peuvent être
obsolètes (trop faibles ou trop élevées).
ƒ Risque opérationnel : les traders peuvent ne pas avoir à respecter une limite
individuelle les limites globales pourraient par conséquent être dépassées.

186
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Vérifier les utilisations pour estimer si les limites semblent appropriées.
Vérifier au moyen de notes internes, de courriers, de procès verbaux de réunion, etc …
que la direction locale et le responsable du desk sont formellement impliqués dans la
fixation des limites.
Vérifier que les limites ont été fixées en tenant compte du capital de la banque et vérifier
également que la fixation de ces limites est documentée.
Vérifier que le capital à risque (si vous pouvez le calculer) est inférieur au capital de la
banque.
S’assurer que les limites ont été ré-examinées.
Demander le document détaillant les limites fixées à chaque trader.

2.4 - Risques de marché.

2.4.1 - Méthodologie

Objectifs/points de contrôle.
ƒ La méthodologie élaborée par la SDM pour le suivi des risques de marché est-elle
respectée ?
ƒ Les limites globales couvrent-elles l’ensemble des risques de marché auxquels la
banque est exposée ?
Risques.
ƒ Risque financier : les risques de marché pourraient être sous-évalués.
Approches d’audit & sondages.
S’assurer que la méthodologie est bien respectée
S’assurer qu’elle couvre l’ensemble des risques de marché inhérents à l’activité.
Vérifier que la méthodologie mise en œuvre fixe des limites spécifiques pour : les
échéances, les devises, les produits, le marché.
S’attacher à la validité des modèles mathématiques, les risques de liquidité, la position
dominante sur un marché donné (importantes positions sur les instruments financiers à
terme par exemple)…
S’informer sur des perturbations de marché récentes qui ont affecté l’activité de trading
de la banque. S’assurer que les pertes ont été contenues dans les limites prévues.

2.4.2 - Suivi des limites.


Objectifs/points de contrôle.
ƒ Toutes les limites fixées (produits, maturités, devises, marchés) au FO sont-elles suivies
par un secteur indépendant ?69
ƒ Les limites sont-elles suivies au jour le jour?
ƒ Les dépassements de limites sont-ils signalés conformément à la procédure ? 70
ƒ Les actions correctives sont-elles suivies de près par le MO ?
Risques.
ƒ Risque financier : le FO pourrait prendre des positions non autorisées.
69
Quotidiennement, sur la base des positions front office arrêtées la veille au soir et validées par le back-office, la mission des suivis d’activité est de : mesurer les niveaux
d’exposition en risques de marchés en appliquant la méthodologie en vigueur et contrôler le respect des limites octroyées et des règles spécifiques de gestion spécifiées dans
les délégations.
70
En cas de franchissement de limites, alerter immédiatement par écrit les hiérarchies front et middle offices concernées.

187
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Risque financier : les dépassements de limites qui ne sont pas signalés pourraient
entraîner une exposition à des risques excessifs et par conséquent à des pertes
potentielles supérieures aux prévisions.
ƒ Risque financier : détecter les dépassements sans suivre les actions correctives peut
inciter le FO à dépasser continuellement les limites.
ƒ Une action corrective inadaptée ou trop laxiste pourrait affecter la crédibilité et
l’efficacité des contrôles.
Approches d’audit & sondages.
S’assurer que le MO assure le suivi de toutes les limites fixées au FO (échéances
maximum, restrictions relatives aux produits, etc …)
S’assurer que le MO est doté d’outils appropriés pour assurer ce suivi.
Examiner par sondage les états de risques afin de trouver tout dépassement de limite.
Demander à voir tous les états de risque et vérifier par sondage que tous les
dépassements de limites ont bien été signalés.
Vérifier pour quelques dépassements quelles actions correctives ont été prises et de
quelle manière elles ont été suivies : courrier, notes, rapports, etc.
Vérifier que les actions correctives entreprises augmentent la crédibilité du contrôle. De
trop nombreux dépassements pourraient indiquer un manque de crédibilité dans le
contrôle des limites.

2.4.3 – Calcul des limites.

Objectifs/points de contrôle.
Æ Si les limites sont calculées par un système :
ƒ Les calculs du système ont-ils été validés par un secteur indépendant du FO et du MO ?
ƒ Le périmètre (desk, portefeuille) des états de risque est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont bien prises en ligne de compte ?
ƒ L’accès à la codification du système de calcul et d’édition des états de risques est-il
interdit au FO ?
ÆSi les limites ne sont pas calculées par un système :
ƒ L’outil utilisé peut-il calculer correctement les risques de marché ?
ƒ L’outil utilisé (Excel, états, rapports,…) est-il fiable ?
ƒ Est-il indépendant du FO, en ce sens qu’il utilise des données vérifiées par un secteur
indépendant. ?
ƒ Un plan de secours/une sauvegarde a-t-il(elle) été mis(e) en place et testé(e) ?
ƒ Le périmètre (desk, portefeuille) du calcul de risque est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont prises en compte ?
Risques.
ƒ Risque financier : les risques de marché pourraient être mal calculés.
ƒ Les limites pourraient être calculées sur un périmètre incorrect à cause d’une
mauvaise codification des systèmes. La limitation de l’accès à la codification du
système de calcul des risques met la Banque à l’abri des risques de fraude
(manipulations des risques de marché).
ƒ Risque financier : les risques de marché pourraient être mal calculés.

188
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Vérifier les documents justificatifs des calculs de risques.
Vérifier si le périmètre de l’état couvre l’ensemble des transactions et si le MO procède à
un contrôle régulier.
Vérifier l’accès au système pour s’assurer que le FO ne peut pas modifier les états de
risques, son périmètre et les calculs.
Vérifier que l’outil utilisé est à même de calculer les risques de marché.
Vérifier que l’outil utilisé a des droits d’accès appropriés. Vérifier que les calculs ne sont
pas sujets à des erreurs de traitement (dans le cadre d’une utilisation d’un fichier Excel
par exemple).
Vérifier que les données utilisées pour les calculs sont validées par un secteur
indépendant du FO.
Vérifier que l’outil utilisé est doté d’un système de secours qui a été testé.
Vérifier si le périmètre du calcul englobe toutes les opérations et si le MO procède à des
contrôles réguliers.

2.4.4 – Limites intrajour.

Objectifs/points de contrôle.
ƒ Si les systèmes ne permettent pas un suivi en temps réel des limites de marché, existe-
t-il un contrôle a posteriori par sondage pour s’assurer que les positions en cours de
journée ne dépassent pas les limites de marché ?
ƒ Ces contrôles sont-ils documentés ?
Risques.
ƒ Risque financier : l’absence de contrôle sur les opérations en cours de journée
pourrait entraîner un dépassement de limites par le FO, ce qui pourrait exposer la
Banque à des pertes potentielles supérieures aux prévisions.
Approches d’audit & sondages.
Vérifier que le MO effectue des contrôles a posteriori par sondage.
Vérifier que ces vérifications sont documentées.

2.4.5 - Résultats/Réévaluation au cours du jour.

Objectifs/points de contrôle.
ƒ La banque est-elle en mesure de procéder à une évaluation au cours du jour de toutes
ses positions indépendamment du FO ?
ƒ La banque a-t-elle mis en place une procédure permettant de calculer quotidiennement
les gains ou les pertes comptables indépendamment du FO ?
Risques.
ƒ Risque financier : la banque doit être en mesure d’évaluer au cours du jour ses positions
pour déterminer son résultat latent, même si le résultat est en couru.
ƒ Risque financier : les résultats doivent être calculés par un secteur indépendant afin
d’éviter toute dissimulation de perte et les risques de fraude.
Approches d’audit & sondages.
S’assurer que le MO a les moyens de réévaluer toutes les positions au cours du jour.

189
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

S’assurer que le MO a ses propres outils pour procéder à ces ré-évaluations ainsi que
des données validées et qu’il est par conséquent indépendant du FO.
Vérifier que les calculs sont effectués par un secteur indépendant.
S’assurer que ce secteur a les moyens d’assurer l’indépendance de la production : stock
validé par le BO, indépendance des paramètres de marché.

2.4.6 - Couverture du risque de change sur les résultats en


devises

Objectifs/points de contrôle.
ƒ Les résultats sur opérations de change (relatifs à la banque) sont-ils couverts auprès de
la salle des marchés au moins une fois par mois ? 71
Risques.
ƒ Risque financier : le risque de change sur les résultats pourrait ne pas être couvert.
Approches d’audit & sondages.
Vérifier que le résultat sur opérations de change est couvert auprès de la salle au moins
une fois par mois.

2.4.7 - Calcul des résultats.

Objectifs/points de contrôle.
ÆSi les résultats sont calculés par un système :
ƒ Les calculs effectués par le système ont-ils été validés par un secteur indépendant du
FO ?
ƒ Le périmètre (desk, portefeuille) de l’état de résultats est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont prises en compte ?
ƒ L’accès à la codification du système de calcul et d’édition des états de résultats est-il
interdit au FO ?
ÆSi les résultats ne sont pas calculés par un système dédié :
ƒ L’outil utilisé est-il capable de calculer correctement les résultats ?
ƒ L’outil utilisé (Excel, états, …) est-il sûr ?
ƒ Est-il indépendant du FO, en ce sens qu’il utilise des données vérifiées par un secteur
indépendant ?
ƒ Une procédure de secours a-t-elle été mise en place ? testée ?
ƒ Le périmètre (desk, portefeuille) des calculs de résultats est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont bien prises en compte ?
ƒ Tous les éléments constitutifs du résultat ont-ils été pris en compte : trésorerie interne
résiduelle, coût de la liquidité, risques de garantie et risques émetteurs, provisions, etc?
Risques.
ƒ Risque financier : les résultats pourraient être mal calculés. Les limites pourraient être
calculées sur un périmètre incorrect du fait d’une mauvaise codification des
systèmes.
ƒ Limiter l’accès à la codification du système dans le cadre des calculs de résultats

71
Dans chaque unité, les résultats en devises sur opérations courantes, qu'ils soient évalués en couru ou en marked to market, doivent être cédés au moins mensuellement
contre monnaie locale auprès de la salle des marchés, ou auprès de la Gestion Actif-Passif de la banque.

190
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

protège la Banque des risques de fraude (manipulation des résultats).


ƒ Risque financier : des résultats mal calculés pourraient donner des informations
incohérentes sur la rentabilité de l’activité et l’affectation des primes.

Approches d’audit & sondages.


Vérifier les documents de validation des résultats.
Vérifier que le périmètre des états englobe toutes les opérations et que le MO procède
régulièrement à des contrôles.
Vérifier l’accès au système pour s’assurer que le FO ne peut pas modifier les états de
résultats, leur périmètre et les calculs.
S’assurer que l’outil utilisé est capable de calculer les résultats.
S’assurer que l’outil utilisé dispose des droits d’accès appropriés. Vérifier que les calculs
ne sont pas sujets à des erreurs de traitement (dans l’utilisation d’un fichier Excel par
exemple).
Vérifier que les données utilisées dans les calculs sont validées par un secteur
indépendant du FO.
Vérifier que l’outil utilisé dispose d’une sauvegarde et d’une procédure de secours et
que les deux ont été testées.
Vérifier que le périmètre du calcul englobe toutes les opérations et s’assurer que le MO
procède régulièrement à des vérifications.
Vérifier que tous les éléments constitutifs des coûts et des produits sont bien pris en
compte.
Le financement de l’activité de chaque desk par exemple devrait être pris en compte.
Vérifier s’il y aurait lieu de facturer le coût de la liquidité.

2.4.8 - Réconciliation des résultats.

Objectifs/points de contrôle.
ƒ Le calcul des résultats comptables est-il soumis à la validation des traders par le biais
d’un rapprochement formel avec les résultats du FO ?
ƒ Les résultats du MO sont-ils rapprochés régulièrement des résultats comptables? 72
Risques.
ƒ Risque financier : le rapprochement est une garantie de la validité des résultats. Il
permet de s’assurer également que les opérateurs FO sont d’accord avec les
résultats.
Approches d’audit & sondages.
Vérifier le rapprochement et s’assurer que tous les écarts sont expliqués et documentés.

3. Back Office.

3.1 - Structure et gestion de l’activité.


Objectifs/points de contrôle.
ƒ Qui est chargé de contrôler la productivité ?
ƒ Avec quelle périodicité la qualité de la productivité est-elle évaluée ?
ƒ La direction dispose-t-elle de processus et d’outils spécifiques pour mesurer et améliorer
72
Quotidiennement, sur la base des positions front office arrêtées la veille au soir et validées par le back-office, la mission des suivis d’activité est d'effectuer des
rapprochements périodiques avec la comptabilité générale de la banque.

191
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

la productivité et la qualité du service ?


ƒ Existe-t-il des statistiques détaillées par produit sur le nombre d’opérations ? le nombre
d’erreurs ? le nombre de réclamations ?
ƒ Les contrôles effectués par la hiérarchie sont-ils formalisés ?
Risques.
ƒ Des zones de non-productivité pourraient ne pas être mises en lumière.
ƒ La direction pourrait prendre des décisions inappropriées faute d’une bonne
connaissance de l’activité.
ƒ L’activité pourrait ne pas être correctement suivie.
Approches d’audit & sondages.
Demander les plans d’actions, les notes de projet ou les statistiques relatives à la
productivité tenues par la direction.
Demander des statistiques portant au moins sur les deux dernières années afin
d’analyser l’évolution.
S’assurer que les documents vérifiés par la hiérarchie sont correctement visés.

3.2 - Procédures et organisation.

Objectifs/points de contrôle.
ƒ Des procédures formelles existent-elles au niveau de la banque ? Ces procédures sont-
elles mises à jour régulièrement et communiquées aux membres du personnel
concernés ?
ƒ L’application correcte des procédures au niveau de la banque fait-elle l’objet de
vérifications régulières ?
Risques.
ƒ La remise de procédures précises aux membres du personnel permet de réduire les
risques opérationnels par une intervention rapide et de garantir la poursuite de
l’activité dans le respect des procédures en cas de départ ou d’absence d’un
employé occupant un poste clef.
ƒ Des erreurs de traitement peuvent survenir dans le cas d’un non respect des
procédures.
Approches d’audit & sondages.
Demander à consulter les procédures les plus récentes et vérifier qu’elles correspondent
à l’activité actuelle.
S’assurer que les membres du personnel connaissent parfaitement les procédures en
vigueur.

3.3 - Séparation des tâches.

Objectifs/points de contrôle.
ƒ Le BO est-il hiérarchiquement indépendant du FO ?
ƒ Existe-t-il une véritable séparation des tâches entre le FO / BO / le secteur règlement?73
ƒ Des contrôles spécifiques sont-ils mis en œuvre pour s’assurer qu’il existe une
indépendance totale entre le FO (qui initie les opérations), le BO (qui saisit les
opérations dans les systèmes de gestion), les personnes chargées des règlements et le
73
La sécurité des transactions est notamment assurée par le respect du principe de séparation des fonctions de négociation (« front office ») et de traitement (« middle et back
office »). Ces fonctions relèvent d’organisation et de hiérarchie différentes. Elles ne doivent en aucun cas être assumées par la même personne.

192
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

secteur comptabilité ?
ƒ Les fonctions de rapprochement et de confirmation sont-elles assurées par des
personnes différentes au sein du BO ?
Risques.
ƒ Des opérations frauduleuses peuvent être conclues et traitées en l’absence d’un
contrôle approprié et d’une véritable séparation des tâches.
ƒ Une même personne pourrait être chargée de l’ensemble du processus, ce qui
empêcherait le contrôle de deuxième niveau.

Approches d’audit & sondages.


Demander les organigrammes, les définitions de postes.
S’assurer par exemple que les systèmes BO ne permettent pas de saisir des opérations
dans les positions tenues par le FO. Vérifier de même que les systèmes FO ne
permettent pas le traitement et le règlement des opérations.
Par le biais d’entretiens, identifier les personnes chargées de ces différentes fonctions.

3.4 - Saisie des opérations.

Objectifs/points de contrôle.
ƒ Les tickets d’opéré font-ils l’objet d’un horodatage ? (vérification pour s’assurer que les
tickets sont correctement et régulièrement transmis au BO : exhaustivité des opérations
enregistrées) .
ƒ Les tickets d’opéré sont-ils pré-affectés aux opérateurs ou aux desks ?
ƒ Les tickets d’opéré sont-ils différents selon le type d’instrument ?
ƒ Les horodateurs sont-ils à jour ?
ƒ Les tickets d’opéré sont-ils correctement et complètement remplis ? (exactitude des
données).
ƒ Les tickets d’opéré contiennent-ils toutes les informations requises par les règles de
marché (cela vaut aussi pour les opérations internes) ?
ƒ Les tickets d’opéré sont-ils signés par les traders ?
ƒ Les opérations sont-elles saisies au fil de l’eau et correctement ?
ƒ Les fonctions de saisie et de validation des opérations sont-elles effectivement
séparées ?
ƒ Si les traders utilisent Reuters, les conversations sont-elles imprimées au BO ?
ƒ Les impressions de conversations Reuters sont-elles régulièrement vérifiées par le BO ?
ƒ Les opérations internes sont-elles formalisées par un ticket d’opéré ?
ƒ Un rapprochement est-il effectué entre les tickets d’opéré et les saisies dans le
système?
Risques.
ƒ Les opérations peuvent être saisies avec un certain retard ou incorrectement. Il
pourrait en résulter une mauvaise évaluation du risque ou une dissimulation de
postions.
ƒ Une opération conclue par le FO pourrait ne pas être enregistrée par le BO.
ƒ Il pourrait y avoir un transfert de résultat par une affectation a posteriori.
ƒ Les tickets d’opéré pourraient être incorrectement saisis.
ƒ L’horodatage permet de connaître précisément l’heure à laquelle une opération a été
conclue, ce qui peut être utile dans le cas d’une réclamation clientèle.
ƒ Les opérations peuvent être saisies de manière incorrecte.

193
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ L’évaluation des positions pourrait être inexacte si le stock de position est lui-même
inexact.
ƒ Le contrôle de deuxième niveau pourrait ne pas être assuré.
ƒ Certaines transactions pourraient être dissimulées par le FO et certaines opérations
pourraient être omises.
ƒ Les opérations internes pourraient ne pas être documentées et par conséquent
difficiles à identifier.
ƒ Tous les tickets d’opéré pourraient ne pas être enregistrés dans les systèmes de
gestion.
Approches d’audit & sondages.
Vérifier que les tickets d’opérations sont bien horodatés au moment ou l’ordre client est
reçu et au moment ou l’exécution est achevée.
S’assurer que les tickets d’opéré contiennent des informations relatives au desk.
Prendre un échantillon de tickets d’opéré par type d’instrument et vérifier qu’ils sont
différents.
Vérifier que tous les tickets d’opéré précisent l’heure de conclusion de l’opération.
Vérifier au FO que les horodateurs indiquent les bonnes date et heure.
Prendre un échantillon de tickets d’opéré et vérifier qu’ils sont complètement remplis et
qu’ils ne comportent pas de mots rayés ou effacés.
Prendre de façon aléatoire quelques opérations et comparer la date d’opération avec la
date de saisie, la date de valeur, la date de paiement.
Déterminer le nombre d’opérations saisies de façon incorrecte, rechercher les causes et
analyser les conséquences.
Vérifier les signatures apposées sur les tickets d’opéré, les droits d’accès aux systèmes
et les noms des utilisateurs utilisés pour la saisie.
Vérifier la cohérence entre les tickets / les telex / les impressions Reuters.
Vérifier que les contrôles relatifs aux conversations Reuters sont documentés et
formalisés.
Vérifier que les tickets d’opéré relatifs aux opérations internes sont correctement
remplis. S’assurer qu’ils peuvent être facilement identifiés par le BO (numéros
spécifiques, archivage …). Cette vérification peut être menée de pair avec celle des
retards de saisie.

3.5 - Archivage des dossiers.

Objectifs/points de contrôle.
ƒ Les dossiers sont-ils conservés dans un endroit sûr ? l’accès à ce local est-il protégé?
ƒ Les dossiers des opérations sont-ils correctement conservés ? sont-ils complets (ticket
d’opéré, confirmations, ordres de paiement, fiches de saisie, documentation légale,
messages telex et description de produits complexes, s’il y a lieu …) ?
ƒ Les différents types d’opérations peuvent-ils être aisément individualisés ? opérations
en cours ? opérations échues ?
Risques.
ƒ La protection des dossiers pourrait ne pas être suffisamment assurée.
ƒ Le suivi des opérations peut être difficile faute d’une documentation correcte.
ƒ Une comptabilisation incorrecte des opérations pourrait cacher des pertes
financières éventuelles.

194
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Tester les droits d’accès au local dans lequel les dossiers sont conservés.
Choisir quelques opérations et s’assurer que les fichiers peuvent être facilement trouvés
et qu’ils sont correctement documentés.

3.6 - Modification / annulation d’une opération.

Objectifs/points de contrôle.
ƒ Existe-t-il une procédure pour la modification ou l’annulation d’une opération ?
ƒ Existe-t-il une piste d’audit en cas d’annulation ou de modification d’une opération
(registre spécifique, classement des tickets d’opéré correspondants ….) ?
ƒ Toutes les modifications/annulations sont-elles expliquées, autorisées par la hiérarchie
et documentées ?
ƒ Des états d’anomalie spécifiques sont-ils édités en cas de modification des opérations ?

Risques.
ƒ Les opérations pourraient être modifiées ou annulées par les membres du personnel
sans que ces annulations ou modifications soient documentées.
Approches d’audit & sondages.
Prendre un échantillon d’opérations modifiées et annulées et analyser le processus.

3.7 - Gestion des opérations en dehors des heures d'ouverture.

Objectifs/points de contrôle.
ƒ Un horaire butoir a-t-il été défini en ce qui concerne l’activité de trading (l’heure limite
d’envoi des derniers tickets d’opéré et pour arrêter la journée comptable) ?
ƒ Existe-t-il une procédure formalisée en ce qui concerne le traitement des opérations
conclues en dehors des heures d’ouverture ?

Risques.
ƒ La sécurité des opérations pourrait ne pas être assurée.
Approches d’audit & sondages.
Demander à consulter la procédure relative aux négociations en dehors des heures
d’ouverture.
Identifier les opérations effectuées en dehors des heures d’ouverture et analyser de
quelle manière elles ont été traitées.

3.8 - Gestion des opérations hors site.

Objectifs/points de contrôle.
ƒ Existe-t-il une procédure spécifique pour les opérations hors site ?
Risques.
ƒ La sécurité des opérations pourrait ne pas être assurée .
Approches d’audit & sondages.
Demander à consulter la procédure relative aux négociations hors site.

195
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Identifier des opérations effectuées hors site et analyser de quelle manière elles ont été
traitées.

3.9 - Rapprochement des stocks.

Objectifs/points de contrôle.
ƒ Les stocks enregistrés dans les applications BO sont-ils constamment rapprochés avec
les systèmes FO ?
Risques.
ƒ L’exactitude de la position de la banque n’est pas assurée en l’absence d’un
rapprochement des stocks approprié.
ƒ Les écarts dans les stocks pourraient signifier que certaines opérations n’ont pas été
enregistrées dans les systèmes FO ou BO, entraînant des évaluations incorrectes.
Approches d’audit & sondages.
Vérifier que les stocks sont régulièrement rapprochés (selon quelle fréquence ?) et que
ces rapprochements ne mettent pas en évidence des suspens. Analyser au moins trois
rapprochements de stocks : identifier le seuil de signification des écarts constatés, le
niveau de détail, …
Vérifier que des rapprochements sont régulièrement effectués entre le FO et le BO.
Demander à consulter au moins trois rapprochements et identifier toute opération en
suspens. Les suspens doivent être expliqués et documentés.

3.10 - Contrôle de position.

Objectifs/points de contrôle.
ƒ Le BO procède-t-il périodiquement (l’idéal étant une périodicité quotidienne) à un
rapprochement entre les positions FO et BO ?
ƒ Sinon de quelle manière les positions à vérifier sont-elles choisies ?
ƒ Les positions du BO et de la comptabilité sont-elles rapprochées périodiquement (au
moins à chaque date d’arrêté comptable)?
Risques.
ƒ Les résultats de la Banque pourraient être inexacts en l’absence d’une position
exacte des stocks.
Approches d’audit & sondages.
Choisir certaines opérations et rapprocher les saisies / la récapitulation des saisies / les
tickets d’opéré ou demander à voir des rapprochements effectués par le BO.
Si le rapprochement est automatisé, analyser les états d’anomalie.
Vérifier que l’état contient toutes les positions à rapprocher.
Vérifier que toutes les positions du BO sont bien enregistrées dans le système
comptable.
En cas de déversement automatique en comptabilité, vérifier qu’il n’y a pas de suspens
ou s’il y en a, qu’ils sont identifiés et documentés.

196
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

3.11 - Suspens.

Objectifs/points de contrôle.
ƒ Existe-t-il une procédure spécifique pour liquider les suspens ?
ƒ Cette procédure est-elle correctement appliquée ?
ƒ Les anomalies sont-elles numérotées, enregistrées dans un registre interne et signalées
à la direction ?
ƒ Les suspens sont-ils détectés et réglés ponctuellement ?
ƒ Une piste d’audit est-elle assurée lorsque le suspens implique la modification ou
l’annulation d’une opération ?
ƒ Une analyse des suspens est-elle faite à l’attention de la direction : origine,
conséquences financières ? Cet impact financier est-il systématiquement affecté au
desk responsable du suspens ?
ƒ Quelles actions correctives sont entreprises ? Sont - elles approuvées par la direction ?

Risques.
ƒ Les suspens peuvent suggérer des erreurs de traitement par le BO et peuvent
entraîner des pertes financières.
Approches d’audit & sondages.
Vérifier que le BO est au courant de tous les suspens et qu’il en assure le suivi : si les
suspens sont mis dans un fichier spécifique, demander à le consulter et procéder à un
examen détaillé ; nombre des suspens, explications, temps nécessaire à leur
règlement…
Demander à consulter la procédure interne relative au règlement des suspens ou toute
note d’information.

3.12 - Processus de confirmation.

Objectifs/points de contrôle.
ƒ Le BO est-il le seul secteur chargé de l’envoi et de la réception des confirmations?
ƒ La réception ou l’envoi de confirmations par le FO est-il strictement interdit(e) ?
ƒ Le processus de confirmation est-il automatisé ? Dans l’affirmative, est-il suffisamment
sécurisé (accès à swift, au telex .) ?
ƒ Les confirmations sont-elles envoyées à l’extérieur en temps opportun (un jour ouvrable
au plus tard après la date d’opération) ? (FED) 74

ƒ Les confirmations sont-elles vérifiées avant d’être envoyées ?


ƒ Ces confirmations sont-elles signées par des signataires dûment autorisés ?
ƒ Existe-t-il un suivi formalisé des confirmations non reçues ? ou non signées ?
ƒ Est-il procédé à un rapprochement formel entre les tickets d’opéré, les confirmations
envoyées et les confirmations reçues de contreparties et les saisies dans le système?
ƒ Ce rapprochement est-il fait manuellement ou automatiquement ?
ƒ Les signatures apposées sur les confirmations sont-elles vérifiées ? (FED)75
Risques.
ƒ En l’absence d’une véritable séparation des tâches, des opérations pourraient être
dissimulées par le FO.
ƒ Des opérations frauduleuses peuvent être conclues dans un environnement non

74
FED Trading and Capital Markets Activities Manual.
75
FED Trading and Capital Markets Activities Manual Feb 1998

197
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

sécurisé.
ƒ Des confirmations incorrectes peuvent être la cause de réclamations des
contreparties.
ƒ L’absence de confirmation ou une émission tardive peut entraîner des saisies
incomplètes.
ƒ Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en
évidence.
ƒ Une opération pourrait être mal enregistrée.
ƒ La Banque pourrait ne pas être l’abri en cas de différend avec la contrepartie.
Approches d’audit & sondages.
Vérifier que toutes les confirmations sont directement envoyées par le BO et qu’elles
sont conservées par ce secteur.
Vérifier que le FO ne peut pas avoir accès au processus de génération des
confirmations.
Vérifier que les confirmations ne peuvent être effectuées que par des personnes
autorisées, et qu’il existe une piste de connexion.
Prendre quelques confirmations et s’assurer qu’elles contiennent toutes les informations
utiles relatives à l’opération et qu’elles sont signées par des personnes autorisées.
Examiner les états récapitulatifs des confirmations pour identifier les opérations dont les
confirmations sont en suspens depuis plus de 15 jours (FED)76.
Vérifier si toutes les différences entre les confirmations envoyées par les contreparties
et les états de la Banque sont enregistrées dans un registre des anomalies. Vérifier que
toutes les irrégularités sont envoyées pour règlement à un cadre indépendant de la
fonction trading. (FED) 77
Vérifier que tous les suspens nécessitant une action corrective sont rapidement
identifiés, examinés et réglés en temps opportun. (FED)78
Analyser les états d’anomalies éventuels.
Si ce rapprochement n’est pas formalisé, choisir certaines opérations et réaliser le test.
Demander à consulter le recueil des signatures autorisées des contreparties conservé
par le BO et le comparer à quelques confirmations.

3.13 - Gestion de la trésorerie.

Objectifs/points de contrôle.
ƒ Les mouvements sont-ils cumulés et enregistrés par date de valeur ? par devise ? par
correspondant ?
ƒ La banque dispose-t-elle d’un système de gestion de trésorerie fiable ?
ƒ La banque dispose-t-elle d’un outil fiable de gestion de prévisions des flux ?
ƒ La prévision de liquidité et les soldes comptables sont-ils rapprochés quotidiennement ?
ƒ Les opérateurs sont-ils informés des nouvelles prévisions de position? Comment?
Risques.
ƒ Des anomalies pourraient ne pas être détectées.

Approches d’audit & sondages.


Prendre quelques comptes et analyser le processus de gestion de la trésorerie en
liaison avec la fonction FO.
76
FED Trading and Capital Markets Activities Manual, Feb 1998
77
FED Trading and Capital Markets Activities Manual, Feb 1998.
78
FED Trading and Capital Markets Activities Manual, Feb 1998

198
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

3.14 - Analyse des réclamations.

Objectifs/points de contrôle.
ƒ Existe-t-il une procédure formalisée pour traiter les réclamations des clients ?
ƒ Toutes les réclamations sont-elles consignées dans un registre ad hoc ? Ce registre est-
il à jour ? est-il correctement tenu (indique-t-il la nature de la réclamation, la date de
règlement, la solution apportée …) ?
ƒ Ce registre est-il régulièrement soumis à l’audit interne ? Est-il visé par la direction de la
banque ?
ƒ Les réclamations non réglées sont-elles soumises à la direction pour décision ? dans
quel délai ?
ƒ Chaque réclamation de client est-elle étudiée d’un point de vue financier ? l’incidence
est-elle affectée en analytique au desk “responsable” ?
ƒ Des pénalités de retard sont-elles systématiquement demandées et payées ?
ƒ La personne chargée d’étudier les réclamations est-elle différente de celle qui initie ou
traite les opérations ?
ƒ Est-ce que les conversations téléphoniques sont enregistrées ?
Risques.
ƒ La banque peut avoir à payer des pénalités pécuniaires.
ƒ La séparation des tâches pourrait ne pas être assurée ce qui fait obstacle à un
contrôle approprié. Il existe un risque de fraude du fait que des réclamations peuvent
ne pas être suivies.
ƒ En cas de litige la piste d’audit peut ne pas être assurée.
Approches d’audit & sondages.
Analyser de quelle manière les réclamations sont traitées par le BO. S’il existe un
registre, l’examiner.
Vérifier que la fonction examen des réclamations est assurée par des personnes
indépendantes (par des entretiens, l’examen de l’organigramme).
Vérifier que les conversations sont enregistrées.

4. Risque de contrepartie.

4.1 - Octroi des lignes de Crédit.

Objectifs/points de contrôle.
ƒ Est-ce que les lignes pour les opérations de marché font partie de la demande globale
de lignes de risque pour la contrepartie ?
ƒ Est-ce que le département des engagements dispose des « master agreements »
signés avec chacun des clients utilisant des produits dérivés ?
ƒ Est-ce que les lignes de risque sont accordées par le Comité de Crédit ?
ƒ Est-ce que le département commercial est informé des lignes de risque pour les
activités de marché sur les clients accrédités ?
Risques.
ƒ Risque de crédit : La demande de lignes pour les opérations de marché insuffisamment
documentée et motivée, peut conduire à une sous-estimation du risque sur un client.
ƒ Risque de crédit : L’absence de la documentation affaiblit la position de la banque en

199
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

cas de conflit avec un client.


ƒ Risque de crédit : Les lignes pour les opérations de marché ne doivent être données
que par le Département des engagements et validées par le Comité de Crédit.
ƒ Risque de crédit : Le département commercial doit être informé des lignes de risque
attribuées pour les opérations de marché de manière à avoir une vue globale de la
relation.
Approches d’audit & sondages.
Ce point doit être vérifié avec les fonctions commerciale et engagements afin de vérifier
que le processus global intègre bien les trois départements.
Vérifier, par sondage, que les contrats cadres sont bien signés avant/pendant que la
banque entre en transaction avec un client.
Vérifier que les lignes sont bien accordées par le Département des Engagements.
Vérifier que le département commercial est bien informé des demandes de lignes pour
les opérations de marché.

4.2 - Système de gestion du risque de crédit.

Objectifs/points de contrôle.
ƒ Existe-t-il un système de gestion du risque de crédit pour les opérations de marché ?
ƒ Est-il en temps réel ?
ƒ Couvre-t-il l’ensemble des produits ?
Risques.
ƒ Risque de crédit : l’absence de système de gestion peut conduire à une sous-
évaluation du risque de contrepartie.
Approches d’audit & sondages.
Vérifier que l’ensemble des produits traités sont pris en compte par le système de
gestion des risques de contrepartie, notamment des produits comme les instruments à
départ dans le futur.

4.3 – Réévaluation.

Objectifs/points de contrôle.
ƒ Dans le cas où le système n’est pas intégré, est-ce que les réévaluations des positions
clients sont réalisées par un service indépendant du Front Office ?
ƒ Si le système n’est pas intégré : Est-il maîtrisé (qu’il soit développé en interne ou acheté
à un fournisseur) ? Est-il sécurisé en terme de droit d’accès, de sauvegarde et de back-
up ?
ƒ Est-ce que les paramètres de marché servant à la réévaluation pour le calcul du risque
de contrepartie sont validés par un département indépendant ?
Risques.
ƒ Séparation des tâches : Le Front Office peut dissimuler des pertes si c’est lui qui
procède aux réévaluations des positions
ƒ Risque de crédit : le système peut ne pas être assez sécurisé et pour diverses
raisons mal évaluer le risque de contrepartie.
ƒ Risque de crédit : Le risque de contrepartie peut être mal calculé.

200
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Vérifier que les réévaluations sont faites par un service indépendant du Front Office.
Il faut vérifier que le système de gestion du risque de contrepartie est suffisamment
sécurisé, il faudra veiller à vérifier que les paramètres de marché servant au calcul des
positions soient fournis par un service indépendant du Front Office.
Vérifier que les paramètres de marché sont validés par un département indépendant du
Front Office. Pour plus de précision vous pouvez vous reporter à la section consacrée
au Middle Office.

4.4 - Suivi du risque de crédit.

Objectifs/points de contrôle.
ƒ Est-ce que les risques de contrepartie sont suivis par un service indépendant du Front
Office ?
ƒ Est-ce que les positions sont suivies sur une base continue (temps réel) et contrôlées
par un service indépendant du Front Office ?
ƒ Est-ce que les dépassements de limites sont notifiés au responsable du desk avec copie
au management ?
ƒ Est-ce que les notifications de dépassement sont suivies ?
Risques.
ƒ Risque de Crédit :Le Front Office ne doit pas être impliqué dans le suivi du risque de
contrepartie. L’indépendance du contrôle garantit que les dépassements seront
notifiés.
ƒ Risque de crédit : Les franchissements de limites non signalés peuvent conduire à
augmenter le risque de crédit sur un client.
ƒ Risque de crédit : Les dépassements doivent être signalés et corrigés sinon le rôle
du département de contrôle sera diminué.
Approches d’audit & sondages.
Vérifier qu’un département réellement indépendant contrôle le risque de contrepartie.
Vérifier que pour chaque dépassement une notification est envoyée au responsable du
desk avec copie à sa hiérarchie.
Vérifier que pour chaque dépassement, les actions correctrices ont été prises à partir
des mails, des mémos etc…

5. Risque Juridique.

5.1 - Capacité légale des personnes.

Objectifs/points de contrôle.
ƒ Est-ce que l’interlocuteur possède la capacité à engager son entreprise sur des
opérations de marché?
ƒ Est-ce que l’interlocuteur est habilité à traiter pour tous types d’opérations (options,
swaps de taux etc…) et de montants ?
ƒ Est-ce que les employés de la banque sont autorisés à traiter avec les contreparties,
pour quels types de montants et de produits ?
Risques.
ƒ Risque Juridique : La banque peut se voir reprocher des opérations au motif que la

201
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

personne qui a traité n’avait pas le pouvoir de le faire.


ƒ Risque Juridique et financier: Une transaction initiée par une personne non autorisée
peut conduire à des pertes en cas de contestation
Approches d’audit & sondages.
Vérifier dans le dossier client la ou les personnes autorisées à traiter.
Vérifier que seuls les employés réguliers sont autorisés à traiter.

5.2 - Contrat cadre.

Objectifs/points de contrôle.
ƒ Est-ce que les contrats cadres sont signés avec les contreparties traitant des produits
dérivés ?
ƒ Avant de traiter le premier deal, s’il manque des contrats signés, existe-t-il un suivi ?
ƒ Est-ce que la personne qui a signé avait le pouvoir de le faire ?
ƒ Est-ce que les contrats cadres sont signés avec les contreparties travaillant en repo et
prêt/emprunt de titres avec la banque ?
Risques.
ƒ Risque Juridique : le contrat cadre doit être juridiquement valable.
ƒ Risque Juridique : l’absence des contrats cadres affaiblit la position de la banque en
cas d’action en justice.
Approches d’audit & sondages.
Demander la validation officielle du Département Juridique.
Vérifier que le contrat cadre est signé avant de réaliser la première transaction et que la
signature a été authentifiée.

5.3 - Confirmations.

Objectifs/points de contrôle.
ƒ Est-ce que le contenu des confirmations a été validé par un département juridique?
Risques.
ƒ Risque Juridique : la confirmation doit être juridiquement valable pour les produits
sensibles.
Approches d’audit & sondages.
Vérifier que les confirmations envoyées aux clients sur les produits dérivés non
standards ont été validées par le département Juridique.

5.4 - Conversation téléphonique.

Objectifs/points de contrôle.
ƒ Est-ce que le système d’enregistrement des conversations fonctionne correctement ?
Risques.
ƒ Risque Juridique et Commercial : Même si un enregistrement n’est pas une preuve
forte, ce système aide en cas d’erreur sur une opération.

202
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la
conservation des enregistrements.

6. Sécurité Physique.

6.1 - Accès.

Objectifs/points de contrôle.
ƒ Est-ce que l’accès à la salle des marchés est réservé aux personnes autorisées ?
Risques.
ƒ Fraude : Un accès réservé est la première étape pour éviter les opérations
frauduleuses.
Approches d’audit & sondages.
Vérifier que les portes sont fermées et que l’accès est réservé aux membres du Front-
Office.

6.2 - Systèmes.

Objectifs/points de contrôle.
ƒ Est-ce que les PC et autres systèmes de dealing sont déconnectés en dehors des
heures de travail ?
ƒ Est-ce que le système d’enregistrement des conversations fonctionne correctement ?
Risques.
ƒ Risque de fraude : Ces systèmes sont protégés par des « user » et des
« password ». Une utilisation frauduleuse de ces systèmes est impossible lorsque ces
systèmes sont déconnectés.
ƒ Risque juridique et commercial : Même si un enregistrement n’est pas une preuve
forte, cet appareil aidera sur d’éventuels litiges.
Approches d’audit & sondages.
Vérifier que les systèmes informatiques sont bien déconnectés en dehors des heures de
travail.
Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la
conservation des enregistrements.

6.3 - Back-up.

Objectifs/points de contrôle.
ƒ Est-ce que la solution de back-up de la salle est opérationnelle ?
Risques.
ƒ Risque de continuité d’activité.
Approches d’audit & sondages.
Pour ce contrôle il faudra s’associer avec l’auditeur en charge de la fonction
informatique.

203
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

204
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 4 :

Mission d'audit de la Direction des


Ressources Humaines.

205
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 4 : Mission d'audit de la Direction des Ressources


Humaines.
Introduction.
La fonction Ressources Humaines couvre cinq domaines : l’administration, la gestion
des carrières, le recrutement, la formation et les relations sociales.
Elle a, au sein de toute banque commerciale comme ailleurs, quatre missions
essentielles à assurer :
Administrer (les classifications, l’administration du personnel, la paie);
Répondre aux besoins, en fournissant les ressources humaines adaptées (le
recrutement, l’orientation, la formation, la motivation);
Garantir la continuité du fonctionnement de l’entreprise (le dialogue social,
l’environnement du travail);
Optimiser les coûts des ressources humaines (les rémunérations, le contrôle de
gestion).
Selon la taille de la banque, les Ressources Humaines (RH) seront plus ou moins
structurées ; une gestion directe par le management assisté d’un secrétariat
administratif dans les petites unités, une Direction des Ressources Humaines (DRH)
importante dans les plus grandes.
Comme pour toutes les fonctions, une mission d’audit de la Direction des Ressources
Humaines comprendra une phase de préparation (collecte de documents et entretiens
préparatoires), une phase d’investigation (entretiens systémiques 79 et sondages) et une
phase de rédaction. Il conviendra, en théorie, de couvrir chacun des cinq domaines lors
de chaque phase.
Selon l’importance de la banque auditée, ces cinq thèmes seront déclinés plus ou moins
formellement. Dans tous les cas, cependant, la mission aura pour objet d’apprécier
comment sont couverts les risques liés à la fonction Ressources Humaines.
Parmi les familles de risques recensées, seront principalement concernés les risques de
management, juridiques, de déontologie et de compliance, opérationnels et fiscaux.
L’audit RH devra mesurer le niveau des risques, leur évolution et l’avancement des
plans d’actions correcteurs.

Le présent chapitre reprend :


Pour la phase de préparation, la liste des documents à recueillir et des entretiens à
mener,
Pour la phase d’investigation, dans chacun des cinq domaines, les objectifs, points
de contrôle, familles de risques associées et natures des risques, sondages et
documents.
Pour la phase de synthèse, une liste de sondages qui pourraient être repris dans le
rapport et une indication sommaire des domaines les plus sensibles.

79
Audit de processus : organisation, fonctionnement, procédures, …

206
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les points de contrôle essentiels.


Au cours de la mission, les points de contrôle essentiels seront les suivants :

1. Les cinq fonctions RH sont-elles couvertes (Administration, Gestion, Recrutement,


Formation, Relations Sociales) ?
2. Les règles de confidentialité (paie, dossiers personnels) et de sécurité (back up)
sont-elles respectées ?
3. Y a-t-il des tableaux de bord fiables à l’intention du Responsable de la banque ?
4. Le processus de révision des rémunérations individuelles est-il formalisé ?
5. Y a-t-il un système de rémunération objectif et connu ?
6. Comment sont gérés les avantages annexes ?
7. Le provisionnement des engagements sociaux (retraites, prévoyance, indemnités,
…) est-il adéquat ?
8. Le personnel est-il sensibilisé aux risques de fraude interne et externe ?
9. Les règles de prise de congés sont-elles respectées (prise de tous les congés, durée
d’absence minimum, …) ?
10. Existe-t-il un plan de formation ? Est-il suffisant et respecté ?
11. En cas de mouvements sociaux, des activités ou des équipements pourraient-ils être
bloqués ?

Préparation.
Documentation spécifique à demander à la banque.
Parmi la documentation spécifique demandée à la banque au cours de la phase de
préparation, les documents suivants concernent plus particulièrement la fonction
Ressources Humaines :
ƒ Organigramme de la DRH,
ƒ Liste des comités auxquels participe le responsable RH,
ƒ Liste du personnel en activité (âge, ancienneté, fonction, niveau hiérarchique, statut,
diplômes, salaire, emploi temps complet – partiel),
ƒ Système de salaires et de bonus, avantages annexes, liste des bonus ou primes des
trois dernières années,
ƒ Liste des heures supplémentaires par département au cours des trois dernières
années,
ƒ Liste des absences hors congés annuels au cours des trois dernières années,
ƒ Programme de formation des trois dernières années (budget – réalisé),
ƒ Principaux éléments de la réglementation du travail,
ƒ Le cas échéant, plans sociaux des cinq dernières années,
ƒ Liste des organisations syndicales représentées,
ƒ Règlement intérieur,

207
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Charte des contrôles (au Secrétariat du Personnel),


ƒ Supports de communication de la DRH.

Entretiens préalables
ƒ Top management,
ƒ Responsable RH (DRH).

Investigations.
La fonction RH est une fonction support. Les investigations auront donc pour objet de
s’efforcer de répondre à deux types de préoccupations :
Celles relatives à l’audit de conformité : conformité avec les accords sociaux, avec
les aspects juridiques et fiscaux, avec les budgets et avec l’organisation.
Celles relatives aux audits stratégiques : quelles sont les pratiques de rétribution, les
freins à la mobilité interne, quelle est la politique de gestion des compétences, la
formation est-elle efficace, comment peut-on apprécier la qualité du climat social…
Rappel de l’arborescence de la démarche d’audit systémique :

Mission : nom de la mission objet de l’audit.


Thème : libellé du thème à auditer.
Sous-thèmes : libellé du sous-thème appartenant au thème audité.
Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire.
Risques : risques inhérents au thème/sous-thème audité.
Approches d’audit et sondages : approches d’audit et de sondages à réaliser.

1. Organisation générale de la fonction RH.

Thème : Structure de la DRH


Objectifs/points de contrôle
ƒ Existe-t-il un organigramme détaillé de la DRH ?
ƒ Les 5 fonctions sont-elles couvertes (voir supra) ?
ƒ L’organisation est-elle adéquate ?
ƒ La répartition des responsabilités au sein de la ligne-métier RH est-elle claire et
efficace ?
Risques.
Risque opérationnel.
Non suivi ou suivi imparfait de certaines fonctions RH.

Approches d’audit & sondages.


Organigramme RH.
Définitions de fonctions du personnel RH.

208
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Nombre de personnes dédiées à chaque fonction par rapport à la taille de la banque (en
particulier pour l’administration de personnel : Formation du personnel RH (passée et
prévue).

Stratégie.
Objectifs/points de contrôle.
ƒ Des objectifs sont-ils fixés annuellement par ligne-métier ? Sont-ils accompagnés de
plans d’actions ?
ƒ La synergie avec le management est-elle suffisante ?
ƒ La DRH est-elle associée à la détermination des objectifs ?
ƒ La procédure budgétaire intègre-t-elle les objectifs RH ?
ƒ Les objectifs annuels généraux de la banque sont-ils communiqués aux différents
responsables de la banque ?
Risques.
Risque lié au management.
Risque opérationnel.
Non prise en compte des impératifs de la banque.
Non respect du budget.
Non application des décisions prises.

Approches d’audit & sondages.


Plans d’actions, instructions en matière de recrutement, formation, gestion individuelle,
acquisition de moyens.
Communications avec le management (courriers, mails…), existence d’une
communication institutionnelle, de règles écrites, de visites régulières.
Participation du Directeur des Ressources Humaines à la fixation des objectifs (notes,
mails…).
Participation du DRH à la procédure budgétaire, budget de la banque.
Communication écrite aux responsables sur les objectifs.

Qualité.
Objectifs/points de contrôle.
ƒ Y a-t-il une démarche qualité au sein de la DRH ?

Risques.
Risque opérationnel.
Efficacité non mesurée.

Approches d’audit & sondages.


Etudes statistiques sur les délais de traitement des demandes (de congé, de formation,
etc.), sur les couvertures de postes, sur le suivi de la formation, la satisfaction des
stagiaires, …

209
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Audit.
Objectifs/points de contrôle.
ƒ Les recommandations de l’Audit Interne et/ou de l’Inspection Générale sont-elles
prises en compte ?
Risques.
Risque lié au management, risque opérationnel.
Approches d’audit & sondages.
Réponses de la DRH aux rapports d’Audit Interne, respect des délais de mise en œuvre,
notes internes.

Déontologie.
Objectifs/points de contrôle.
ƒ La réglementation interne et la déontologie sont-elles respectées ?
ƒ Les règles de confidentialité sont-elles respectées au sein de la DRH ?
Risques.
Risque juridique, risque lié au management,
Risque opérationnel, risque de déontologie et de compliance.
Divulgation d’informations sensibles.
Approches d’audit & sondages.
Vérifier que le règlement intérieur et le code de déontologie ont été remis à chaque
collaborateur, et lus (sondage),
Vérifier la sécurité et la confidentialité du système de paie et de bonus, la distribution
des fiches de paie sous pli fermé, les dossiers personnels dans un local fermant à clé.

Procédures.
Objectifs/points de contrôle.
ƒ La banque a-t-elle défini des procédures pour le fonctionnement du département RH ?
Risques.
Risque opérationnel.
Suivi non homogène selon les personnes.
Approches d’audit & sondages.
Procédures existantes, vérification de leur respect (sondage).

Information externe.
Objectifs/points de contrôle.

ƒ Le marché local de l’emploi est-il connu ?


Risques.
Risque lié au management.

210
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Information récente disponible, abonnements.

Information interne.
Objectifs/points de contrôle.
ƒ Existe-t-il des tableaux de bords pour la Direction Générale, avec indicateurs quantitatifs
et qualitatifs (turn-over, démissions, …) ? Pour le responsable de la banque ? Pour la
DRH ?
Risques.
Risque lié au management. Information incomplète ou insuffisante.
Approches d’audit & sondages.
Copie des tableaux de bord remis à la DG et à la DRH.

Ressources.
Objectifs/points de contrôle.
ƒ Les ressources humaines, matérielles, budgétaires (formation, systèmes
d’information, …) sont-elles adaptées ?
Risques.
Risque lié au management, risque opérationnel.
Inadéquation des moyens.

Approches d’audit & sondages.


Budget des RH, comparaison entre budget proposé et budget adopté, entre besoins
exprimés et ressources obtenues.

Systèmes d’information
Objectifs/points de contrôle.
ƒ Y a-t-il un pilotage centralisé de la fonction RH ?
Risques.
Risque opérationnel.
Approches d’audit & sondages.
Mode d’enregistrement et de suivi des absences, embauches, départs, formation, …

2. Administration.

Dossiers du personnel.
Objectifs/points de contrôle.
ƒ Les dossiers sont-ils complets ? A jour ? Correctement classés ? Confidentiels ?
ƒ Qui assure le secrétariat du personnel et la gestion des dossiers ?
ƒ Existe-t-il un système d’habilitation pour les personnes qui ont accès aux dossiers ?
ƒ Qui signe les augmentations de salaire, les embauches, les contrats de travail, les

211
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

lettres d’observations ou de sanctions ?

Risques.
Risque opérationnel, risque juridique.
Connaissance incomplète de la formation, des congés, appréciations trop
anciennes,…
Approches d’audit & sondages.
Sondage sur dossiers individuels dans plusieurs directions ou départements. Voir en
annexe 2 le contenu standard d’un dossier.
Respect des règles de confidentialité.

Suivi quotidien.
Objectifs/points de contrôle.
ƒ Liste quotidienne des absences (causes), heures supplémentaires, personnel
temporaire, stagiaires.
ƒ Dans les points de vente recevant du public, les règles de présence minimum sont
elles respectées ?
Risques.
Risque opérationnel, risque juridique, risque lié au management.
Absences injustifiées, retards, heures supplémentaires systématiques, …
Approches d’audit & sondages.
Liste des absences par service, sondage sur exactitude de cette liste sur quelques
jours. Idem pour heures supplémentaires. (Voir annexe 3).
Contrôle sur présences minimum dans points de vente recevant du public.

Traitement de la paie.
Objectifs/points de contrôle.
ƒ Comment la paie est-elle traitée (interne, externe) ? Par qui (en interne ? par un
sous-traitant externe ?) Y a-t-il des contrôles ? Un back-up ? Une séparation des
tâches ?
ƒ Le processus d’établissement de la paie permet-il de s’assurer que les opérations et
données traitées sont complètes, exactes, autorisées et effectuées dans les délais ?
Risques.
Risque lié au management, risque opérationnel.
Non confidentialité, fraude interne.

Approches d’audit & sondages.


Sondage sur les états édités par le système traitant la paie et vérifier leur exhaustivité,
fiabilité et délai de traitement.

Réglementation.
Objectifs/points de contrôle.
ƒ La DRH a -t-elle une bonne connaissance de la réglementation ? (droit du travail, …)

212
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
Risque juridique, risque lié au management.
Non respect des règles locales.
Approches d’audit & sondages.
Possession et utilisation d’un code du travail à jour.
Abonnements aux sources d’information de mise à jour de la réglementation.

Statistiques.
Objectifs/points de contrôle.
ƒ Existe-t-il des statistiques à jour sur : les effectifs (répartition, classes d’âge,
ancienneté, qualification, rémunération, taux de rotation), le marché du travail dans
le secteur bancaire ?
Risques.
Risque opérationnel.
Non adaptation au marché, connaissance insuffisante des données de base pour
gestion à moyen terme des effectifs.
Approches d’audit & sondages.
Documents statistiques établis par la DRH (et sondage sur fiabilité).
Informations générales sur le marché du travail local.
Bilan social s'il existe.

Comptabilisation des écritures.


Objectifs/points de contrôle.
ƒ La saisie des écritures est-elle faite par les personnes en charge d’établir la paie ?
ƒ Y a-t-il des contrôles établis par la Comptabilité ou un autre secteur (autre que
DRH) ? Y a-t-il des rapprochements entre les écritures comptables et les états de
gestion ?
Risques.
Risque opérationnel.
Risque de fraude.

Approches d’audit & sondages.


Comparaison des listings comptables des écritures de paie et du listing du personnel en
gestion.
Comparaison des listings comptables des écritures (paie et rémunérations variables, y
compris heures supplémentaires) de rémunérations variables (y compris heures
supplémentaires) et des listings de gestion de ces éléments variables.

3. Gestion des carrières.

Appréciations.
Objectifs/points de contrôle.
ƒ Comment fonctionne le système d’appréciation ? Les différents délais (appréciation

213
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

annuelle, temps de réponse par l’intéressé) sont-ils respectés ? Le personnel a-t-il un


droit de réponse ?
ƒ Le système d’appréciation est-il pris en compte pour la détermination des
rémunérations ? Pour la détermination des besoins de formation ?
Risques.
Risque opérationnel.
Démotivation du personnel.
Risque lié au management.
Approches d’audit & sondages.
Pour chaque département, consulter les notations des années n et n-1 de quelques
collaborateurs. Vérifier leur cohérence d’une année sur l’autre.
Vérifier, par sondage dans différents départements, la cohérence entre la période
prévue et effective de notation d’une part et la date des mesures individuelles d’autre
part.
Vérifier la prise en compte des points faibles éventuels dans le plan de formation
individuel.

Mutations.
Objectifs/points de contrôle.
ƒ Comment sont décidés les changements de poste ? Rôles respectifs de la
hiérarchie, de la DRH ; de la DG ? Y a-t-il une Bourse de l’emploi ?
ƒ Y a-t-il des entretiens de gestion réguliers ? Comment les collaborateurs font-ils
remonter leurs desiderata ?
ƒ Quels sont les délais pour les mouvements de personnel entre une décision et sa
mise en œuvre ?
Risques.
Risque opérationnel. Gestion non optimale et mécontentement du personnel.
Mauvaise adéquation possible entre le personnel et les fonctions exercées.
Conflit entre intérêt individuel des hiérarchiques et intérêts du Groupe.
Approches d’audit & sondages.
Entretiens (toutes fonctions). Procédures formalisées sur les changements de postes.
Copie de la Bourse de l’emploi.

Gestion des carrières.


Objectifs/points de contrôle.
ƒ Existe-t-il un recensement et un suivi spécifique des cadres à fort potentiel ?
Risques.
Risque lié au management.
Mécontentement de cadres à potentiel.
Approches d’audit & sondages.
Entretien avec le responsable de la banque. Si le recensement existe : critères ?
Conséquences ?

214
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Rémunérations.
Objectifs/points de contrôle.
ƒ Quel est le système de rémunération de la banque ? Mesures collectives et
individuelles, rémunération fixe et variable. La détermination de la partie variable est-elle
objective ?
ƒ Ses critères sont-ils prédéfinis et acceptés formellement par l’intéressé ?
ƒ Les objectifs individuels sont-ils fixés a priori et non a posteriori ?
ƒ Quelles sont les modalités de rémunération des cadres supérieurs ?
ƒ Existe-t-il des systèmes d’intéressement aux résultats ? Comment fonctionnent-ils ?
ƒ Le personnel du département RH est-il sensibilisé aux risques de fraude interne et
externe en matière de rémunérations ? Des dispositions sont-elles prises pour
prévenir la fraude ?

Risques.
Risque opérationnel, risque lié au management.
Absence de maîtrise de la masse salariale, non respect du budget, de la politique de
rémunération.
Démissions de cadres dirigeants.
Démotivation du personnel.
Risques de fraude.
Salaires fictifs, avantages indus.
Approches d’audit & sondages.
Procédure budgétaire, comptes-rendus de réunions sur mesures individuelles, règles de
rémunération variable communiquées au personnel.
Par sondage, calcul de rémunérations variables à partir des critères prédéfinis.
Vérification de la date de fixation des objectifs individuels.
Voir avec le responsable de la banque et la DRH les modalités écrites et pratiques de
rémunération.
Vérifier que les décisions DRH sont appliquées sans modifications dans la banque.
Règles relatives à l’intéressement. Accord d’entreprise le cas échéant. Existence d’un
contrôle interne sur l’application des accords (modalités de calcul).

4. Recrutement.

Politique de recrutement.
Objectifs/points de contrôle.
ƒ Comment sont définis les besoins ? Comment sont données les autorisations ? Qui a le
pouvoir de recruter ?
Risques.
Risque lié au management.
Approches d’audit & sondages.
Procédure budgétaire. Autorisations spécifiques écrites pour recrutements hors budget.

215
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Besoins.
Objectifs/points de contrôle.
ƒ Existe-t-il une fiche de besoin précise pour chaque poste ?
Risques.
Risque opérationnel.
Inadaptation des postes.
Approches d’audit & sondages.
Fiches de besoins.

Sélection.
Objectifs/points de contrôle.
ƒ Comment sont sélectionnées les candidatures ? Les modes sont-ils différents selon
les niveaux ?
ƒ Les rôles respectifs du département demandeur, de la DRH et du responsable de
la banque sont-ils clairement définis ?
Risques.
Risque de fraude.
Non utilisation du meilleur mode de recrutement.
Risque opérationnel.
Perte de temps, demandes de personnel mal formulées.
Approches d’audit & sondages.
Contrat avec prestataire extérieur. Appel d’offres, copie des annonces d’offre d’emploi.
Document contractuel général. Profil de poste, salaire proposé décrit par le département
demandeur.

Embauche.
Objectifs/points de contrôle.
ƒ Existe-t-il un contrat de travail ? Est-il standard, systématique, revu par le service
juridique ?
ƒ A l’embauche, la DRH distribue-t-elle un document sur le secret professionnel, sur
les règles déontologiques, sur l’utilisation de la micro-informatique ?
Risques.
Risque de déontologie et de compliance.
Risque juridique.
Méconnaissance des règles de base de la banque.

Approches d’audit & sondages.


Documents remis aux nouveaux embauchés. (Règles spécifiques pour les métiers
sensibles).

216
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Suivi.
Objectifs/points de contrôle.
ƒ Y a-t-il un suivi formalisé et systématique des jeunes embauchés ?
ƒ Y a-t-il des statistiques sur les démissions ? Des entretiens avec les
démissionnaires ?
Risques.
Risque opérationnel.
Démotivation du personnel.
Approches d’audit & sondages.
Modalités de suivi des jeunes embauchés, entretiens.
Comptes-rendus d’entretiens avec les démissionnaires.

Qualité.
Objectifs/points de contrôle.
ƒ Le recrutement répond-il de manière satisfaisante et dans les délais acceptables aux
besoins (profil et niveau de compétence) ?
Risques.
Mauvaise adéquation entre besoins et ressources.
Approches d’audit & sondages.
Mesurer les délais entre expression des besoins, propositions de dossiers et embauche
des candidats,
Comparer les profils demandés et les profils des candidats présentés et recrutés.

5. Formation.
Plan de formation.
Objectifs/points de contrôle.
ƒ Existe-t-il un plan de formation ? Est-il respecté ?
ƒ Est-il cohérent avec les moyens, les besoins, le budget, les obligations légales ?
ƒ Des besoins sont-ils exprimés ? Sont-ils pris en compte ?
Risques.
Risque opérationnel.
Formation insuffisante ou coûteuse.
Formation inadaptée ou non coordonnée.
Approches d’audit & sondages.
Plan de formation, suivi par la DRH, mode d’élaboration (entretiens de formation,
remontée formalisée des besoins).
Mode de détermination des besoins, entretiens annuels de formation.
Inscriptions aux actions de formation.

Coût de la formation.
Objectifs/points de contrôle.

217
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Le coût de la formation en % de la masse salariale est-il acceptable ?


Risques.
Risque opérationnel. Formation inutile ou insuffisante.
Approches d’audit & sondages.
Pourcentage de la masse salariale consacré à la formation (budget et réel). (La
moyenne pour le secteur est de 5,00%).

6. Relations et activités sociales.


Engagements sociaux.
Objectifs/points de contrôle.
ƒ Y a-t-il un système de retraite propre à la banque ? Est-il conforme à la législation (code
du travail) ?
ƒ Les engagements pris à l’égard du personnel en matière d’indemnités et de
gratifications (départs, retraites, prévoyance, médaille du travail etc…) sont-ils couverts
par une provision adéquate ?
Risques.
Risque opérationnel, risque juridique, risque fiscal.
Retraites insuffisamment provisionnées.
Approches d’audit & sondages.
Régime de retraite de la banque. Provision pour retraites : vérifier l’adéquation des
ressources et provisions du régime de retraite par rapport aux engagements vis-à-vis
des ayants-droits. Vérifier si le calcul a été confié à des professionnels (type actuaires).

Syndicats.
Objectifs/points de contrôle.
ƒ Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids
respectifs ?
Risques.
Risque opérationnel.
Sous ou sur-représentation du personnel.
Approches d’audit & sondages.
Tracts, entretiens avec les représentants. Existence de relations sociales
institutionnelles, réunions formelles.
Tableau de résultats des élections.

Mouvements sociaux.
Objectifs/points de contrôle.
ƒ La banque a-t-elle connu des mouvements sociaux ? Ont-ils été suivis ?
ƒ Des activités ou des équipements pourraient-ils être bloqués suite à des
mouvements sociaux ?

218
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
Risque opérationnel.
Mauvais climat social.
Rumeurs fondées ou infondées.
Approches d’audit & sondages.
Taux d’absentéisme pour grève.
Existence de plans de secours.
Instruments d’évaluation du climat social.

Communication interne.
Objectifs/points de contrôle.
ƒ Existe-t-il un ou des journaux d’entreprise ? Qui les rédige ?
Risques.
Risque opérationnel.
Mauvais climat social.
Approches d’audit & sondages.
Journaux internes, entretiens avec les rédacteurs.

Prêts au personnel.
Objectifs/points de contrôle.
ƒ Y a-t-il des prêts au personnel à la consommation, immobiliers ? Existe-t-il des
règles écrites ? Les taux sont-ils attractifs ? Y a-t-il des impayés ? Les prêts sont-ils
remboursables en cas de démission ?
Risques.
Risque de crédit, risque opérationnel.
Coût si les taux sont trop bas, mauvais climat social s’ils sont trop élevés.
Approches d’audit & sondages.
Règles écrites pour prêts au personnel. Mode de décision. Contrôle de la DRH sur les
prêts à taux bonifiés. Limitations, impayés. Répartition des prêts consentis en fonction
des niveaux hiérarchiques.

Sécurité du travail.
Objectifs/points de contrôle.
ƒ Existe-t-il un suivi des accidents du travail ?
Risques.
Risque opérationnel.
Risque financier et juridique.
Approches d’audit & sondages.
Suivi au travers du bilan social ou de tout autre indicateur.

219
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Synthèse.
La phase de synthèse, consacrée à la rédaction du rapport d’audit, comprendra
l’élaboration des constats, mais également l’établissement d’une liste de sondages.
Pour mémoire, et pour information, on rappellera ci-dessous quels sont les sondages
qui peuvent être effectués et listés dans le rapport, et, s’agissant des constats, les
domaines les plus sensibles. Sur ces domaines sensibles, une appréciation claire sera
portée dans la synthèse de la fonction RH, autant que possible.

Liste des sondages possibles

Nombre de codes de déontologie remis comparé au nombre de collaborateurs de


la banque (à travers des accusés de réception).
Contenu des dossiers personnels. Volet Gestion, volet Administration. Sont-ils
complets ?
Liste des absences comparée aux absences réelles sur quelques jours.
Liste des heures supplémentaires comparée aux heures supplémentaires réelles
sur quelques jours.
Appréciations annuelles : établies à la date prévue, cohérence d’une année sur
l’autre, cohérence entre notation et mesures individuelles.
Rémunération variable : cohérence du montant avec les règles de calcul
préétablies.
Prêts au personnel : respect des règles, impayés ou retards.

Domaines les plus sensibles (doivent faire l’objet d’une appréciation dans la
synthèse de la fonction RH)

Respect des règles de déontologie et de confidentialité.


Existence de procédures écrites dans la fonction RH.
Sécurité, confidentialité du traitement de la paie.
Existence et suivi d’un plan de formation.

220
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 5 :

Mission d'audit de la Direction


Comptable.

221
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Chapitre 5 : Mission d'audit de la Direction Comptable.


Introduction.
Le présent chapitre s'applique à l'audit de la fonction Comptabilité. Les objectifs
de cet audit sont les suivants :

S’assurer de la fiabilité de l’information financière et de sa conformité aux


normes définies par les autorités de tutelle. On entend par information
financière à la fois les comptes sociaux, consolidés et fiscaux ainsi que les
états réglementaires,
Apprécier la fiabilité du système d’information comptable,
Identifier les dysfonctionnements éventuels du dispositif de contrôle interne,
Porter une appréciation sur les résultats et la rentabilité de l’entité auditée,
S’assurer de la connaissance et du respect des règles de déontologie.

Ces objectifs sont donc différents de ceux des auditeurs externes. En effet, ces
derniers ont une mission légale à l’issue de laquelle ils doivent donner une opinion
sur les comptes (certification avec ou sans réserve, refus de certification).

Ces missions sont étendues et ne peuvent être atteintes par le seul audit de la
fonction comptable. En conséquence, l’audit de cette fonction doit impérativement
s’appuyer sur :

les travaux des auditeurs des autres missions (DSI, SDM,..),


les travaux des autres auditeurs externes, et des autorités de tutelle,
une analyse des risques, afin d’adapter le programme de travail à la
dimension de la mission tout en le centrant sur les zones les plus risquées.

C’est pourquoi ce chapitre met l’accent sur :

l’identification des risques et le recoupement avec les travaux des autres


auditeurs en phase de préparation,
les liens avec l’audit des autres fonctions (« clignotants comptables ») en
phase d’investigation,
des sondages, transverses à plusieurs fonctions, sur un ou plusieurs
échantillons d’opérations à déterminer.

Un tel audit est plus particulièrement applicable dans le cadre d’une banque ayant
une comptabilité propre. Il ne couvre pas les spécificités comptables liées à certaines
activités (crédit-bail, assurance, affacturage, gestion d’actifs).

Il couvre quatre domaines : l’audit systémique du service comptable (appréciation du


contrôle interne), les reportings réglementaires, les risques fiscaux et la
consolidation.

222
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Comme pour toutes les fonctions, une mission d’audit de la fonction comptable
comprendra une phase de préparation (collecte de documents et entretiens
préparatoires), une phase d’investigation (entretiens systémiques et sondages) et
80

une phase de rédaction. Il conviendra, en théorie, de couvrir chacun des quatre


domaines lors de chaque phase.
La mission aura pour objet d’apprécier comment sont couverts les risques liés à la
fonction comptable. Parmi les familles de risques recensées, seront principalement
concernés les risques de non exhaustivité, de non qualité et de non fiabilité de
l’information comptable, de non fiabilité des comptes et des états financiers, de non
fiabilité de l’information financière consolidée, réglementaire et fiscale.
L’audit comptable devra mesurer le niveau des risques, leur évolution, et
l’avancement des plans d’actions correcteurs.

Préparation.

Documents à collecter.

ƒ Documentation générale :

Organigramme général de la Direction Financière et comptable,


Définitions de fonctions des principaux responsables,
Tableau de bord des risques opérationnels,
Rapports émis par les auditeurs externes au cours des trois derniers
exercices : notes de synthèse et lettres de recommandations sur le
contrôle interne,
Programme annuel d’audit interne de la banque sur les trois derniers
exercices et cartographie des risques de la banque,
Dernier rapport des autorités de tutelle (BAM, Administration fiscale,
Office des changes),
Documentation sur les contraintes légales ou réglementaires (ratios
prudentiels, etc…).

ƒ Documentation spécialisée :

Comptabilité :

Descriptif de l’architecture des systèmes comptables et de reporting,


Plan de Comptes des Etablissements de Crédit (PCEC),
Balance générale des comptes du dernier arrêté annuel ou trimestriel,
Reporting réglementaire local des trois derniers exercices,
Liasses de consolidation des trois derniers exercices et détail des
retraitements éventuels entre la liasse de consolidation et la
comptabilité,
Liste des états de contrôle et d’anomalies édités régulièrement
(fréquence quotidienne, mensuelle, trimestrielle),
Liste des procédures comptables existantes.

80
Audit de processus : organisation, fonctionnement, procédures, …

223
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Contrôle de gestion (documents à utiliser notamment pour l’analyse


financière) :

Reporting de gestion destiné au Management de la banque et


commentaires.
Budget et commentaires.

Entretiens préparatoires.
A titre indicatif, nous dressons une liste d’entretiens préparatoires avec certaines
entités concernées par la mission d’audit comptable :
Direction comptable et financière : s’informer sur les spécificités
comptables de la banque auditée,

Direction du contrôle interne : obtention des rapports des auditeurs


externes, connaître leur plan de travail sur les dernières années et sur
l’année à venir (thèmes de revues de procédures),
Direction Juridique et Fiscale : identification des risques juridiques ou
fiscaux éventuels,
Auditeurs externes: dysfonctionnements et zones de risques déjà
identifiés lors des précédentes missions.

Travaux préparatoires :

Analyse financière et appréciation des performances de la banque.

L’objectif de cette analyse financière est double :


identifier les principales activités et les variations significatives sur les
dernières périodes afin de dégager des zones de risques et d’orienter les
travaux de la phase d’investigation,
apprécier les performances financières de la banque, au vu d’un certain
nombre de ratios (coefficient d’exploitation, Return On Equity, Return Of
Weighted Assets,…). Ces performances doivent être évaluées à la fois par
rapport aux objectifs fixés (budget) mais aussi par comparaison avec la
concurrence.
L’analyse porte sur les postes du bilan, du hors bilan et du compte de résultat. Elle
s’appuie également sur l’annexe. Ce travail est à réaliser, de préférence, dès la
phase préparatoire, en s’appuyant sur les documents de la banque auditée : états
financiers, tableaux de bord du contrôle de gestion et commentaires associés.
ƒ Informations chiffrées :

Les rubriques suivantes doivent être renseignées dans un tableau (liste indicative, à
adapter en fonction de l’activité) :
• Compte de résultat : ( cf . Annexe 5 ) :

224
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Détail de la formation du Résultat Brut d’Exploitation (PNB, frais généraux) par


secteur (Commercial, Trésorerie, Gestion du Fonds de Roulement, etc…), puis, pour
chaque secteur, par métier (Commercial : activités Particuliers, PME, Entreprises,
Groupes ; Trésorerie : Trading, Sales, Dérivés, Change,…).
Si l’information est disponible, analyser également la formation du Résultat Brut
d’Exploitation par produit.

• Bilan et hors bilan : ( cf . Annexe 6 ) :


Décomposition détaillée des postes d’actif, de passif et de hors bilan sur les trois
dernières années, en date d’arrêté (soldes comptables) et en capitaux moyens.
Décomposer également le bilan et le hors bilan par produit.

ƒ Points à analyser / informations pertinentes / liens avec les autres


fonctions :
• Mettre en évidence la part de chaque activité dans le PNB,
• Expliquer les principales variations d’une année sur l’autre, en mettant
notamment en évidence la variation des marges et des commissions (s’aider des
commentaires du Contrôle de Gestion),
• Effectuer, tous secteurs confondus, une analyse détaillée de la variation des frais
généraux sur les trois derniers exercices. Cette analyse pourra servir lors de
l’audit des frais généraux,
• A partir de l’analyse du bilan, mettre en évidence et expliquer les variations
importantes,
• Analyser l’évolution du portefeuille de créances douteuses et les mouvements de
provisions sur les derniers exercices. Regarder notamment l’évolution des ratios
suivants : créances douteuses / total créances et provisions / portefeuille de
créances douteuses.

ƒ Exploitation des travaux des auditeurs externes.


L’objectif est de relever les zones considérées comme risquées par les auditeurs
externes, et les intégrer à la démarche d’identification des risques (comprenant
notamment la cartographie).
Apprécier l’étendue de leurs travaux et notamment les thèmes d’intérim (revues de
procédures).
Documents à exploiter : Notes de synthèse des auditeurs externes des trois
dernières années, annuels et semestriels s’il en existe, Lettres de recommandations
ou rapport sur le contrôle interne, Rapports sur la situation fiscale, Rapports
spécifiques.

225
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Investigation.
Rappel de l’arborescence de la démarche d’audit systémique :

Mission : nom de la mission objet de l’audit.


Thème : libellé du thème à auditer.
Sous-thèmes : libellé du sous-thème appartenant au thème audité.
Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire.
Risques : risques inhérents au thème/sous-thème audité.
Approches d’audit et sondages : approches d’audit et de sondages à réaliser.

1. Audit systémique du service comptable.

1.1 - Structure et Organisation Générale.

Organisation et rattachement hiérarchique.


Objectifs/points de contrôle.
ƒ L’organisation de la fonction comptable de la banque permet-elle de satisfaire les
contraintes ou besoins de la banque et d’assurer la remontée des informations
nécessaires à la production des comptes ?
ƒ Le rattachement hiérarchique du service comptable est-il conforme à son rôle et à
l’indépendance nécessaire à la fonction?
Risques.
ƒ Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
Obtenir l’organigramme de la banque et analyser le positionnement hiérarchique du
service comptable et le pouvoir décisionnel du responsable. La norme prévoit que le
responsable comptable soit rattaché au responsable de la banque ou au directeur
financier.

Missions.
Objectifs/points de contrôle.
ƒ Existe-t-il une définition des missions et responsabilités du service comptable ainsi
que des règles de fonctionnement qui lui sont applicables ?
ƒ Les missions du service comptable ont-elles été déclinées au niveau de chaque
collaborateur par l’intermédiaire d’une définition de fonction signée par le
responsable hiérarchique et le collaborateur ?
Risques.
ƒ Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.

226
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Approches d’audit & sondages.


Vérifier que les missions et les responsabilités ainsi que les champs d’intervention du
service comptable ont été définis par une structure hiérarchique compétente
(Direction Générale ou comité exécutif).
Vérifier que le service comptable est en charge des missions suivantes :
ƒ la production des reportings et des états réglementaires,
ƒ le contrôle et la justification des comptes,
ƒ la mise à jour du plan de comptes de la banque,
ƒ la validation du paramétrage des états financiers sur la comptabilité,
ƒ la rédaction des procédures comptables conformément aux lois et
règlements en vigueur.

Ressources humaines et Moyens.

Objectifs/points de contrôle.
ƒ Le service comptable dispose-t-il des ressources humaines adaptées à ses
missions ?
ƒ La formation des collaborateurs du service comptable est-elle suffisante et adaptée
aux besoins du service comptable ?
ƒ Le service comptable a–t-il une documentation suffisante et mise à jour ?
Risques.
ƒ Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
S’assurer de l’adéquation qualitative et quantitative des ressources avec la charge
de travail : nombre de personnes, qualification et niveau de compétence du
personnel. Pour cela, vérifier : les dossiers du personnel, les évaluations annuelles,
les plans de formation des trois dernières années, les mouvements et la rotation du
personnel.

Systèmes d’information.
Objectifs/points de contrôle.
ƒ Le service comptable dispose-t-il des outils adaptés à l’exercice de ses missions ?
Risques.
ƒ Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
Se faire décrire par le responsable comptable le système d’information.
Repérer les zones de fragilité du système : délai et qualité des reportings, nature et
nombre d’écritures comptables saisies manuellement par le service comptable,
mauvaise qualité (ou absence) de l’interface entre les différents sous-systèmes, non
blocage du système informatique sur les mois et les exercices précédents (attention
aux écritures manuelles rétroactives).

227
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Normes et Procédures comptables


Objectifs/points de contrôle.
ƒ Existe-t-il des normes et procédures comptables adaptées au fonctionnement du
service comptable ? Sont-elles mises à jour en fonction des évolutions de la
réglementation ?
ƒ Sont-elles connues des membres du personnel et accessibles à tous ?

Risques.
ƒ Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
Vérifier que les procédures comptables de la banque sont produites et validées par
le service comptable et incluent principalement :
ƒ le plan de compte,
ƒ les modalités d’enregistrement, de traitement et de restitution des
informations,
ƒ l’exhaustivité des schémas comptables utilisés,
ƒ la périodicité et la nature des contrôles mis en œuvre,
ƒ le calendrier d’arrêté des comptes,
ƒ les principes comptables en vigueur et la réglementation.

Définition des responsabilités de saisie et de contrôle des comptes


Objectifs/points de contrôle.
ƒ Les responsabilités de saisie et de contrôle des comptes ont elles été définies pour
l’ensemble du plan de compte ?
Risques.
ƒ Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
En règle générale, les saisies comptables sont décentralisées dans les différents
départements de la banque auditée (Back Offices, Ressources Humaines, Moyens
Généraux, etc…). Il convient de vérifier que le service comptable a :
ƒ réparti les comptes par département,
ƒ édité une « balance par service gestionnaire » qui doit être justifiée par
chaque département concerné,
ƒ établi une fiche de fonctionnement documentée par compte (schémas
comptables),
ƒ listé les contrôles de premier niveau qui comprennent principalement : le
pointage des opérations passées en compte, la régularisation des écritures,
la justification des soldes comptables et le rapprochement du solde
comptable avec les documents internes (détail des écritures composant le
solde comptable).

228
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Archivage des données comptables


Objectifs/points de contrôle.
ƒ Le service comptable a-t-il mis en place une procédure d’archivage des documents
comptables selon les normes en vigueur?
Risques.
ƒ Risque fiscal.

Approches d’audit & sondages.


Vérifier l’existence de cette procédure et sa conformité aux normes.

1.2 - Séparation des Fonctions.

1.2 - 1 Respect du principe de séparation des fonctions.


Objectifs/points de contrôle.
ƒ La banque respecte-t-elle le principe de séparation des fonctions entre la production,
le contrôle et l’analyse ?
Risques.
ƒ Risque de Fraude.
Approches d’audit & sondages.
S’assurer du respect du principe de séparation des fonctions au sein du service
comptable (stricte séparation entre la saisie, la validation informatique, le contrôle
des comptes).
S’assurer du respect de ce principe dans tous les services en charge de saisies
comptables (travail à réaliser par les auditeurs en charge des autres fonctions :
production, engagements, marchés, gestion des moyens).

1.2.2 - Accès aux guides de saisie et habilitations.

Objectifs/points de contrôle.
ƒ L’accès au système comptable est-il contrôlé, c’est à dire :
ƒ seul un nombre restreint d’opérateurs a accès au système comptable (le
personnel des back offices et de la comptabilité),
ƒ les habilitations accordées à ces personnes sont elles mêmes limitées
aux besoins de leur poste.
Risques.
ƒ Risque de fraude.
Approches d’audit & sondages.
Vérifier que les profils utilisateurs des collaborateurs correspondent aux besoins de
leur poste.
S’assurer que les accès aux guides de saisie « ouverts » (permettant de
mouvementer n’importe quel compte) sont strictement limités au service comptabilité
(travail à réaliser en liaison avec l’auditeur informatique).

229
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

1.3 - Contrôles exercés par le service comptable.

1.3.1 - Contrôles de second niveau exercés.


Objectifs/points de contrôle.
ƒ Le service comptable effectue-t-il un réel contrôle sur les comptabilités
décentralisées dans les B/O ?
Risques.
ƒ Risque de fraude et de non fiabilité de l’information comptable.
Approches d’audit & sondages.
S’assurer que le contrôle de second niveau effectué par la comptabilité comprend les
points de contrôle suivants :
ƒ vérification mensuelle des justifications de compte,
ƒ contrôle de la piste d’audit par sondage en allant du solde de la balance
générale jusqu’à l’écriture d’origine,
ƒ mise sous surveillance de certains comptes plus risqués (comptes de
passage, compte pivot, comptes nostri),
ƒ suivi et analyse de la régularisation des suspens comptables.
ƒ Ces contrôles doivent être matérialisés, conservés dans un dossier (classé
par nature de compte, par type d’opération, par devise...) et disponibles
pour tout contrôle des auditeurs internes et externes.

1.3.2 - Interfaces entre les systèmes opérationnels et la comptabilité


générale.
Objectifs/points de contrôle.
ƒ Le service comptable vérifie-t-il régulièrement le bon déroulement des interfaces
entre les systèmes opérationnels et la comptabilité générale ?
Risques.
ƒ Risque de fraude et de non fiabilité de l’information comptable.
Approches d’audit & sondages.
Vérifier que le service comptable :
• effectue périodiquement (par exemple tous les mois) un contrôle des interfaces
entre les systèmes opérationnels et la comptabilité générale,
• identifie et analyse les écarts éventuels, et s’assure que les corrections
adéquates on été apportées par les Back Offices.

1.3.3 - Opérations saisies par la comptabilité.

Objectifs/points de contrôle.
ƒ Le responsable comptable a-t-il mis en place une procédure de suivi et de contrôle
des opérations saisies par la comptabilité ?
Risques.
ƒ Risque de fraude.
Approches d’audit & sondages.
Recenser les opérations saisies comptabilisées.

230
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Etudier le processus de comptabilisation de ces opérations :


ƒ Qui définit le schéma de comptabilisation ?
ƒ Qui effectue la saisie ?
ƒ Qui valide la saisie ?
ƒ Quels sont les contrôles de second niveau exercés ?

1.3.4 - Ouverture, fermeture et modification des comptes.


Objectifs/points de contrôle.
ƒ Le service comptable a-t-il la responsabilité de la gestion du plan de compte interne
(ouverture, fermeture et modification) ?
Risques.
ƒ Risque de fraude.
Approches d’audit & sondages.
Vérifier que le service comptable fait un suivi rigoureux de son plan de compte. Il
doit :
ƒ être l’unique service à avoir les habilitations pour procéder à l’ouverture, la
fermeture et la modification des comptes internes,
ƒ établir une procédure propre au service comptable pour procéder à
l’ouverture, la fermeture et la modification de comptes,
ƒ éditer régulièrement le plan de compte et vérifier formellement toutes les
modifications intervenues,
ƒ identifier les comptes dormants et en faire un suivi régulier, les fermer s’ils
sont non utilisés depuis un certain délai à fixer dans la procédure.

1.3.5 - Rapprochement comptabilité / gestion.


Objectifs/points de contrôle.
ƒ Le service comptable s’assure-t-il en liaison avec le contrôle de gestion de la
correspondance entre les états financiers et les états de gestion ?
Risques.
ƒ Risque de non fiabilité des comptes et des états financiers.
Approches d’audit & sondages.
Vérifier la fréquence des rapprochements entre les informations comptables et de
gestion (au minimum mensuelle) ?
Obtenir les derniers états de rapprochement. Les écarts sont-ils identifiés et
analysés ?

1.4 - Les outils de pilotage.

1.4.1 - Contrôle des comptes.


Objectifs/points de contrôle.
ƒ Le Responsable Comptable dispose-t-il d’indicateurs ou de tableaux de bord
permettant de recenser et de quantifier les suspens sur une liste déterminée de
comptes sensibles (nostri, débiteurs et créditeurs divers, etc…) ?
ƒ Le Responsable Comptable utilise-t-il ces tableaux de bord ? En particulier, analyse

231
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

t-il l’ancienneté des suspens ? S’assure-t-il que ses collaborateurs suivent


correctement les écritures anciennes non régularisées (demandes de justifications
complémentaires, relances des services concernés) ?
ƒ Le Responsable Comptable (en liaison avec le Directeur Financier) analyse-t-il les
variations des différents postes du bilan, du hors bilan et du compte de résultat ?
Risques.
ƒ Risque de fraude.
ƒ Risque de non fiabilité des comptes.

Approches d’audit & sondages.


Examiner quelques tableaux de bord récents du Responsable Comptable sur le suivi
des comptes sensibles.
Points d’attention :
ƒ Quelle est la fréquence de ces tableaux de bord ?
ƒ Sont-ils exhaustifs (liste des comptes suivis : s’assurer de la présence des
ƒ comptes les plus sensibles) ?
ƒ Les informations qui y figurent sont-elles pertinentes (par exemple date
d’enregistrement comptable) ?
ƒ Le contrôle du chef comptable est-il matérialisé sur ces états ?

1.4.2 - Reporting réglementaire.

Objectifs/points de contrôle.
ƒ Les indicateurs du Responsable Comptable permettent-ils de s’assurer du respect
des délais de production et d’envoi des travaux de reporting réglementaire ?
Risques.
ƒ Risque réglementaire.
Approches d’audit & sondages.
Examiner le planning de production des états et situations comptables.

1.4.3 - Productivité.
Objectifs/points de contrôle.
ƒ Dispose-t-il d’autres indicateurs de productivité (temps passés, en jours / homme,
pour la production des différents états de reporting réglementaires) ?
Risques.
ƒ Risque d'efficience.
Approches d’audit & sondages.
Discuter de ce point avec le Responsable Comptable. Par ailleurs, on pourra établir
des comparaisons dans le temps entre le nombre d’Unités Temps Plein et le nombre
d’écritures.
1.4.4 - Supervision hiérarchique.

Objectifs/points de contrôle.
ƒ Ces informations (contrôle des comptes, reporting réglementaire, productivité) sont-
elles également communiquées au Directeur Financier (ou autre hiérarchie de

232
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

rattachement du service comptable) ? Sous quelle forme (même format de reporting


ou information plus synthétique préparée par le Responsable Comptable) ?
ƒ Sont-elles exploitées par le Directeur Financier ?
Risques.
ƒ Risque de fraude, risque de non fiabilité des comptes, risque réglementaire.
Approches d’audit & sondages.
Consulter les tableaux de bord mis à la disposition du Directeur Financier par le
service comptable.

1.5 - Connaissance et respect des règles de déontologie.

Objectifs/points de contrôle.
ƒ Les membres du service comptable ont-ils connaissance des règles de déontologie
de la banque?
ƒ Ont-ils déjà eu à appliquer ces règles ?
Risques.
ƒ Risques associés : mise en cause de la banque pour non respect de la
réglementation, divulgation d’informations confidentielles.
Approches d’audit & sondages.
Vérifier la diffusion et la prise de connaissance du code de déontologie de la
banque.
Les deux points suivants doivent plus particulièrement être soulignés dans le cas
d’un personnel comptable :
ƒ le respect du secret professionnel,
ƒ le droit et devoir d’appel.

2. Les reportings réglementaires.

2.1 - Liasse de consolidation.

Objectifs/points de contrôle.
ƒ La liasse de consolidation est-elle alimentée correctement ?
ƒ Les informations qui y figurent sont-elles rapprochées de la comptabilité générale ?
ƒ Les normes comptables appliquées sont-elles conformes aux normes
réglementaires ?
Risques.
ƒ Non fiabilité de l’information financière servant de base à la production des comptes
consolidés.
Approches d’audit & sondages.
Audit systémique : Quel est le mode de production de la liasse : alimentation
automatique ou saisie manuelle ? Quels sont les contrôles exercés au sein du
service comptable : rapprochement systématique de la liasse avec la comptabilité
générale, validation par le Responsable Comptable ?
A partir de la liasse de consolidation du dernier arrêté trimestriel :

233
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ vérifier la concordance de la liasse avec le grand livre,


ƒ analyser et contrôler les éventuels retraitements.

2.2 - Intra-groupes.
Objectifs/points de contrôle.
ƒ La banque identifie-t-elle ses opérations intra-groupes ?
ƒ Existe-t-il une procédure de réconciliation avec les contreparties internes
(circularisation et rapprochement) ?
Risques.
ƒ Non fiabilité de l’information financière servant de base à la production des comptes
consolidés.
Approches d’audit & sondages.
Auditer la procédure de réconciliation des opérations intra-groupes : Le service
comptable échange-t-il des confirmations avec ses contreparties sur les opérations
intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec
l’ensemble des contreparties) ? Les écarts sont-ils analysés et expliqués ?

2.3 - Reporting engagements pondérés.

Objectifs/points de contrôle.
ƒ Le reporting engagements pondérés est-il alimenté correctement :
ƒ Les informations qui y figurent sont-elles rapprochées de la comptabilité
générale ?
ƒ La réglementation de BAM en la matière est-elle appliquée ?
Risques.
ƒ Non fiabilité de l’information financière communiquée à la Banque Centrale et servant
de base au calcul du ratio de solvabilité.
Approches d’audit & sondages.
Audit systémique :
ƒ Quel est le département en charge du calcul des engagements pondérés :
comptabilité ou engagements ?
ƒ Existe-t-il un système dédié à la production des engagements pondérés ? Est-
il interfacé avec le système comptable ? Des ajustements manuels sont-ils
nécessaires ? Pour quel type d’opérations ?
ƒ Existe-t-il une piste d’audit satisfaisante permettant de remonter à la source de
chaque ligne de la liasse de reporting ?
ƒ Quels sont les contrôles, manuels ou automatiques, effectués sur la liasse ?
ƒ La liasse définitive est-elle contrôlée et validée par le département des
engagements ?
Test sur un échantillon d’engagements :
ƒ Sélectionner quelques dossiers dans la liste des dossiers d’engagement revus
lors de l’audit de cette fonction. On prendra soin de sélectionner des types
d’opération pouvant facilement engendrer des erreurs :
ƒ émission de garanties intra-groupes,
ƒ gages espèces reçus en garantie,
ƒ lignes octroyées pour des opérations de marché.
ƒ Vérifier pour ces opérations qu’elles sont correctement prises en compte

234
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

dans la liasse d’engagements pondérés. Pour cela, il est nécessaire de suivre


la piste d’audit jusqu’à la ligne adéquate de la liasse.

2.4 - Ratio de liquidité.

Objectifs/points de contrôle.
ƒ Le reporting sur le ratio de liquidité est-il correctement rempli par la banque auditée ?

Risques.
ƒ Non fiabilité de l’information financière.
Approches d’audit & sondages.
Auditer le processus de production de ce reporting,
Qui produit ce reporting ? Quelle est la source de l’information ? Quels sont les
contrôles effectués ?

2.5 - Reporting statutaire.

Objectifs/points de contrôle.
ƒ La banque auditée respecte-t-elle les règles prudentielles ? Remplit-elle les
obligations de reporting imposées par les autorités réglementaires ?
ƒ Le processus d’élaboration du reporting statutaire garantit-il l’exactitude,
l’exhaustivité et le respect des délais ?
Risques.
ƒ Non respect de la réglementation BAM.
ƒ Risque de sanctions BAM.
Approches d’audit & sondages.
Afin de valider ces points, il conviendra :
de s’informer des contraintes réglementaires en matière de règles prudentielles (par
entretien avec le Directeur Financier et consultation des textes officiels),
d’obtenir et de contrôler les états de reporting récents envoyés aux autorités
réglementaires (Banque Centrale, Ministère des Finances principalement) : s’assurer
que tous les états de reporting requis sont envoyés dans les délais requis et que les
ratios prudentiels locaux (solvabilité, liquidité,…) sont respectés.
NB : on trouvera des informations également dans les rapports des Commissaires aux Comptes
(qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque
Centrale.

3. Risques fiscaux.

3.1 - Déclarations fiscales.

Objectifs/points de contrôle.
ƒ Le reporting fiscal est-il réalisé dans les délais et validé par les personnes
habilitées ?
ƒ La banque a-t-elle effectué les démarches nécessaires pour se documenter et
appliquer les règles fiscales en vigueur ?

235
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Risque réglementaire.
Approches d’audit & sondages.
Consulter les liasses fiscales des derniers exercices et les états de reporting du
responsable comptable.
Passer en revue la documentation fiscale du responsable financier.
S’assurer que les liasses sont revues par le responsable fiscal (s’il en existe un) et
par le management.

3.2 - Identification des Risques Fiscaux.

Objectifs/points de contrôle.
ƒ Les risques fiscaux ont-ils été identifiés par la banque et, si oui, sont-ils correctement
provisionnés ?
Risques.
ƒ Risque réglementaire.
Approches d’audit & sondages.
S’assurer, en cas de pertes fiscales, qu’elles sont justifiées et non répétitives et ne
correspondent pas à un habillage fiscal.
Vérifier s’il y a eu des redressements fiscaux ou s’il y a des contrôles fiscaux en
cours et si oui, qu’une provision passive a été constituée pour le montant du risque.
Vérifier que les frais de siège refacturés aux filiales sont justifiés fiscalement quant à
leur réalité et à leur montant.
Vérifier que les impôts différés sont fiscalement justifiés (plus-values à long terme...).

4. Consolidation.
4.1 – Périmètre.

Objectifs/points de contrôle.
ƒ Le périmètre retenu par la banque est-il comptablement justifié?
Risques.
ƒ Risque de non fiabilité de l’information financière,
ƒ Risque réglementaire.
Approches d’audit & sondages.
Obtenir et valider la liste des sociétés du périmètre ainsi que les méthodes de
consolidation retenues.
Pour ce faire, on vérifiera l’exactitude des pourcentages d’intérêt et pourcentages
d’intégration calculés pour chaque société.

4.2 - Elimination des opérations intra groupes.

Objectifs/points de contrôle.
ƒ La banque a-t-elle mis en place une procédure d’identification des intra-groupes ?
ƒ Ces intra-groupes ont-ils été éliminés pour la production des comptes consolidés ?

236
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Risques.
ƒ Risque de non fiabilité de l’information financière, risque réglementaire.
Approches d’audit & sondages.
Vérifier que la procédure mise en place par la banque pour rapprocher les montants
intra-groupes société par société permet d’identifier la réciprocité et l’exhaustivité des
éliminations (confirmations réciproques des intra-groupes par fiches navettes avec
les autres unités du périmètre de consolidation).
S’assurer que les montants éliminés enregistrés en consolidation ont bien été
déclarés sur les liasses de consolidation de chaque filiale concernée et inversement
que l’ensemble des intra-groupes recensés ont effectivement été éliminés en
consolidation.

4.3 – Retraitements.

Objectifs/points de contrôle.
ƒ Le passage du résultat social au résultat consolidé de la banque est-il expliqué et les
retraitements effectués sont-ils justifiés ?
Risques.
ƒ Risque de non fiabilité de l’information financière consolidée, risque réglementaire.
Approches d’audit & sondages.
Obtenir le tableau de passage du résultat social au résultat consolidé de la banque.
Vérifier la justification des principaux retraitements effectués et leur conformité avec
les normes comptables, notamment :
ƒ la prise en compte des retraitements obligatoires avec l’élimination des
écritures purement fiscales (provisions réglementées),
ƒ les retraitements d’homogénéisation (amortissement des immobilisations
selon une durée homogène par exemple).

237
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

238
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Conclusion générale

239
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

240
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Conclusion générale.

Le pilotage des risques bancaires via le risk management et l'audit interne est une
problématique largement d'actualité.
Le paysage bancaire marocain fait actuellement face à un environnement
socioéconomique mouvant et de plus en plus complexe.
Avec la croissance des volumes d’opérations, le développement des produits
diversifiés et sophistiqués, la rapidité de renouvellement des process,
l'automatisation accélérée des traitements, les risques auxquels les banques sont
actuellement confrontées sont devenus plus nombreux, plus significatifs et plus
complexes surtout dans un contexte de baisse des marges.
Ces mutations posent d'une part des problèmes de difficultés d’audit et de
management des risques et d’autre part, elles accroissent le risque d’audit inadapté
voir défaillant.

Des systèmes déficients en matière de gestion et d'audit des risques dans le secteur
bancaire peuvent rapidement provoquer des pertes financières considérables
lesquelles, si elles ne sont pas contenues adéquatement par des tampons solides
aptes à endiguer le risque systémique, sont susceptibles d'engendrer un effet de
domino auprès d'autres opérateurs sur les marchés avec des conséquences
difficilement calculables pour le système financier.

S'il est vrai que l'audit bancaire comporte des coûts élevés, il s'est avéré qu'un audit
déficient ou insuffisant coûte encore plus cher.

L'audit bancaire présente quelques spécificités de part les particularités de


l’environnement analysé. En effet, en s’appliquant au système de gestion et de
contrôle des risques bancaires, il en découle une pluridisciplinarité des champs
observés : ressources humaines, système d'information, comptabilité, activités de
marché ….

De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer,
l’interprétation des résultats et les difficultés d’élaboration du système de référence.

Encore s'agit-il de s'assurer que l'audit mis en place est bien apte à accomplir la
mission qu'on lui a assignée.

L’enquête menée auprès du système bancaire marocain a mis en évidence certaines


insuffisances dans la gestion et l'audit des risques au sein des établissements
bancaires. Cette gestion longuement assimilée à une simple conformité aux
procédures internes et à des règles prudentielles s'est révélée inadéquate dans la
mesure où les banques se sont limitées pour la plupart au respect d'un ensemble
d'indicateurs plutôt généraux et ont passé sous silence un aspect fondamental de la
gestion des risques bancaires : l'implication du management et du conseil
d'administration dans le contrôle des organisations bancaires ce qui a induit

241
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

l’absence d’un exercice clair des responsabilités du top management dans


l’attribution des rôles et des tâches entre l’audit interne, le risk management et la
compliance.

L’audit interne tel que pratiqué actuellement dans de nombreuses grandes banques,
s’avère inadéquat ou du moins présente des insuffisances. En outre, cet audit doit
aller dans le sens de l’importance accrue conférée par les autorités de contrôle
bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de
contrôle interne dans une organisation bancaire.

Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour


tirer les conclusions de ces évolutions.

L’axe de progrès le plus évident est la mise en place d’un système interne d’audit et
de risk management et ce, quelle que soit la nature du risque (crédit, marché,
opérationnel, conformité, réputation...).

Ainsi, les banques doivent plus que jamais disposer d’un système d’audit et de risk
management performant, efficace et élaboré, susceptible d’analyser, de mesurer, de
maîtriser et d'assurer une réaction rapide face à l’apparition de nouveaux risques.

Si les normes prudentielles et réglementaires demeurent un point d'ancrage


essentiel, il est de plus en plus pressant que les établissements bancaires puissent
s'investir dans le développement d'instruments complémentaires d'analyse fondés
sur des méthodes à la fois quantitatives et qualitatives voir systémiques.

Le Comité de Bâle impose la mise en œuvre de méthodes plus strictes pour


l’évaluation et la gestion du risque de crédit, du risque de marché et du risque
opérationnel.
Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences
réglementaires serait possible avec l'approche de l'audit systémique. Celle-ci a
modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire.
Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement
pour compléter un système existant, une telle approche permet aux établissements
bancaires de disposer d'un outil précieux pour mieux gérer et contrôler leurs risques.

Cette approche permet également :

d'avoir une vision globale et maîtrisée des risques, quelle que soit la
complexité des organisations ou des processus à auditer;
de vérifier l'efficacité du dispositif de contrôle interne par ligne métier;
enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités
opérationnelles et ainsi des risk managers dans la maîtrise, la gestion
et la prévention des risques.

Parallèlement au développent en interne d'outils et techniques de contrôles et


gestion des risques bancaires, l'auditeur interne apparaît de plus en plus

242
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

incontournable dans le processus de supervision bancaire architecturé par les


organes de tutelles.

Au delà de sa responsabilité de donner un avis indépendant sur la fiabilité des


dispositifs de contrôle interne, l'auditeur bancaire devient ainsi un acteur important
dans la prévention des risques bancaires.

Ainsi, la démarche opératoire d'audit systémique développée dans le présent


mémoire pour les quatre lignes métiers (système d'information, salle des marches,
comptabilité et ressources humaines) illustre parfaitement l'originalité et la pertinence
de l'approche.

Par ailleurs, les nouvelles évolutions du cadre réglementaire du secteur


bancaire marocain notamment à travers la refonte récente des statuts de Bank Al-
Maghrib lui conférant l’autonomie en matière d’élaboration et de conduite de la
politique monétaire et la nouvelle loi bancaire ayant renforcé les prérogatives de la
banque centrale dans le domaine de la supervision bancaire d’une part, et la
convergence des dispositifs de contrôle interne au regard des normes internationales
et les principes fondamentaux édictés par le Comité de Bâle d’autre part,
permettraient au secteur d’être à même de faire face à la concurrence étrangère et
d’accompagner l'accès des opérateurs aux marchés extérieurs. Le renforcement de
la concentration au sein du secteur bancaire, à travers les économies d'échelle
qu'elle induit, constituerait à cet égard un atout majeur.

Parallèlement, la Banque centrale veille à ce que les établissements de crédit


renforcent leurs dispositifs de contrôle interne, conduisent leurs activités de manière
saine et maintiennent leurs fonds propres à des niveaux appropriés au regard des
risques qu’ils encourent.

Les travaux préparatoires pour l’application du nouvel accord sur les fonds propres
ont conduit à opter pour une démarche progressive, adaptée au contexte national,
mais incitative à l’adoption d’approches plus fines dites de notation interne pour
l’allocation des fonds propres.

La transition du secteur bancaire vers le nouveau dispositif de Bâle II dans de


bonnes conditions nécessite, néanmoins, l’accélération du processus de
restructuration des différentes composantes de ce secteur.

L’intensification de la concurrence, inhérente à la libéralisation croissante de l’activité


bancaire et à l’ouverture de l’économie nationale, s’est traduite, ces dernières
années, par un resserrement de la marge d’intermédiation bancaire, imposant des
standards de compétitivité de plus en plus contraignants.
Cette évolution a engendré une nouvelle dynamique dans le secteur qui s’est
concrétisée par un mouvement de concentration des établissements de crédit et la
recherche d’un positionnement sur l’échiquier régional et international.

243
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

La situation prudentielle des banques commerciales demeure conforme aux normes


observées sur le plan international. Leur ratio de solvabilité dégage globalement un
excédent qui devrait, toutefois, être consolidé pour les placer en position de faire
face, aisément, aux nouvelles contraintes imposées par le nouveau dispositif de
Bâle II.

Ce faisant, l’audit interne n’a ainsi pas achevé sa mutation et continuera d’évoluer
pour apporter aux banques toujours plus de valeur ajoutée. Les résultats de
l’enquête menée permettent d’entrevoir les contours de l’audit interne de demain et
de définir les défis et les enjeux futurs de la profession à savoir :

affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la


faveur d’un rattachement hiérarchique à la direction générale et de liens
fonctionnels avec le comité d’audit, lorsqu’il existe ;
se positionner, plus encore que par le passé, comme un outil majeur de
détection, de prévention et de maîtrise des risques, en coordination avec
toute autre fonction concernée (Risk management, Compliance,..);
maintenir son indépendance, son objectivité et son impartialité ;
accroître sa professionnalisation par :
une formation permanente;
une méthodologie et des outils adaptés et performants basés et sur les
risques et sur les systèmes (l’Audit Systémique);

En relevant ces défis, l’audit interne apportera aux banques encore plus de valeur
ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation
bancaire.

Ce travail de recherche constitue ainsi un support d’analyse qualitative auquel


tout responsable d’audit interne ou risk manager est invité à se reporter, d’autant que
de fréquentes références aux référentiels et aux normes professionnelles viennent
rappeler les bonnes pratiques en la matière.

Il reflète l’image d’un audit interne au service tant de la direction générale que du
comité d’audit, à même de prévenir la destruction de valeur au sein de l’organisation
bancaire et d’apporter une contribution déterminante à une bonne gouvernance.

244
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

245
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexes

246
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

247
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe N°1

Tableau synthétique des principales catastrophes financières.


Type de Impact
Société Causes Erreur Année
catastrophe résultats
Barings Faillite Stratégie erronée avec des 1. Management trop confiant Faillite de la banque 1995
financière volumes démesurés par et rachat pour 1
2. Trop grande concentration des
rapport à la taille de franc symbolique par
pouvoirs
l'établissement une banque
3. Faiblesse du contrôle interne,
hollandaise
faible supervision des employés et
manque de reporting
4. Manque de compréhension de
l'activité Pertes de 800 millions de
£.
Orange Cessation de Pas de reporting en valeur 1. Valorisation des portefeuilles au Pertes de 1,64 1993 -
County paiements des portefeuilles coût historique milliard de dollars 1995
2. Pas de reporting régulier
MGRM 81 Cessation de Stratégie de vente de 1. Mauvaise compréhension des Perte de 8,2 1992
paiements produits pétroliers risques de l'activité milliards de francs
hasardeuse 2. Mauvaise gestion des
corrélations entre les risques de
marché
3. Négligence sur l'établissement
de limites bien définies
Morgan Perte de Placement dans des 1.Trop grande concentration des Perte de 400 millions 1994 -
Grennfell confiance des actions non cotées et très pouvoirs de dollars 1997
investisseurs spéculatives 2. Faiblesse du contrôle interne
Bankers Trust Perte d'image Insuffisante explication des Insuffisante vérification des 93 millions de 1994 -
risques liés aux produits connaissances techniques des dommages et 1996
vendus clients intérêts
Daiwa Fermeture Manque de ségrégation 1. Dépassement des limites de Pertes de 1,1 1995
d'une des tâches position pour récupérer es pertes milliard de dollars
succursale et 2. Ventes d'obligations
démission de appartenant aux clients
la direction 3. Falsification des relevés
générale bancaires
Lloyds Pertes Stratégie d'indemnisation 1. Mauvaise maîtrise des risques à 509 millions de livres 1991 -
financières de sinistre illimitée à moyen et long terme sterling 1995
l'époque de la découverte
de l'amiante et autres
polluants
Confederation Pertes Investissements massifs 1. Aucune stratégie de Pertes de 1,3 1980 -
Life financières dans le seul marché diversification prévue milliards de dollars 1993
immobilier, suivi d'une 2. Management trop confiant
chute des prix.

Source : PricewaterhouseCoopers.2002

81
METALLGESELLSHAFT Refining and Marketing (MGRM).

248
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe N°2

Contenu type du dossier administratif du personnel

1. Renseignements, embauches, réintégration, régime (temps plein, partiel)


2. Appréciation
3. Formation
4. Appointements, mutations, titularisation, promotions
5. Absences
6. Etat - civil, Situation de famille, adresse
7. Prêts et avances
8. Intéressement, primes, participation
9. Contrat spécifique (détachement, CDD, ANAPEC …). Pour le personnel détaché,
avantages particuliers (logement, voyages, scolarité, etc…)
10. Incidents
11. Médailles du travail
12. Service national
13. Pièces diverses
14. Sortie (démission, retraite, plan social…)

249
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe 3
Etat des Absences

Sur base de l’effectif payé mensuel moyen de l’année (en nombre de personnes),
avec les jours ouvrés par an.

n n-1 n-2
Maladie % % %
Accidents du travail % % %
Congés de maternité % % %
Congés autorisés (événements familiaux,…) % % %
Autres causes % % %
Total % % %

Annexe 4

Typologie des risques informatiques

OBJECTIF DEFINITION DU RISQUE DE NON ATTEINTE DE L’OBJECTIF

Efficacité Risque de traitement et de mise à disposition d’informations inadéquates,


non pertinentes, tardives ou inexploitables.
Efficience Risque de traitement et de mise à disposition d’informations avec une
utilisation des ressources non optimale (productive et économique).
Confidentialité Risque de divulgation non autorisée d’informations sensibles.
Intégrité Risque de non exhaustivité, d’inexactitude et d’invalidité des informations
traitées, gérées et mises à disposition.
Disponibilité Risque d’indisponibilité des informations et des ressources (humaines,
matérielles, logicielles...).
Conformité Risque de non respect des lois, réglementations, contrats, standards,
normes externes et internes.
Traçabilité Risque de ne pas disposer des traces nécessaires à des recherches /
contrôles a posteriori ou à titre de preuve en cas de litige.
Juridique Risque de litige porté devant les tribunaux.

Image Risque d’atteinte à la réputation de l’entreprise.

250
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe 5
Compte de résultats

Année 1 Année 2 Année 3


Intérêts et produits assimilés
- Intérêts et charges assimilées
+ Produits sur opérations de crédit-bail
- Charges sur opérations de crédit-bail et assimilées
+ Produits sur opérations de location simple
- Charges sur opérations de location simple
+ Revenus des titres à revenu variable
+ Commissions (produits)
- Commissions (charges)
+/- Gains ou pertes sur opérations des portefeuilles de
négociation
+/- Gains ou pertes sur opérations des portefeuilles de
placement et assimilés
+ Autres produits d’exploitation bancaire
- Autres charges d’exploitation bancaire
= PRODUIT NET BANCAIRE
- Charges générales d’exploitation
- Dotations aux amortissements et provisions /
immobilisations corporelles et incorporelles
= RESULTAT BRUT D’EXPLOITATION
- Coût du risque
= RESULTAT D’EXPLOITATION
+/- Gains ou pertes sur actifs immobilisés
= RESULTAT COURANT AVANT IMPOT
+/- Résultat exceptionnel
- Impôt sur les bénéfices
+/- Dotations / reprises de FRBG et provisions
réglementées
= RESULTAT NET

251
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe 6
Bilan

Année 1 Année 2 Année 3


Actif
Opérations de trésorerie et interbancaires
Opérations avec la clientèle
Dont créances douteuses
Dont provisions pour créances douteuses
Opérations sur titres
Comptes de régularisation et divers
Valeurs immobilisées
Année 1 Année 2 Année 3
Passif
Opérations de trésorerie et interbancaires
Opérations avec la clientèle
Opérations sur titres
Comptes de régularisation
Provisions passives et non affectées
Dettes représentées par un titre
Capitaux propres hors résultat
Résultat
Année 1 Année 2 Année 3
Hors bilan
Engagements donnés en faveur des
établissements de crédit
Engagements donnés en faveur de la clientèle
Engagements reçus des banques
Engagements reçus de la clientèle

- Ratios / autres informations :

Année Année Année


1 2 3
Effectifs (Unités Temps Plein en fin de période)
Engagements pondérés
Coefficient d’exploitation (%)
ROWA (return on weighted assets)
ROE (return on equity) analytique après impôts
Ratio créances douteuses / total créances
Ratio provisions créances douteuses / créances
douteuses

252
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe N°7

Circulaire BAM N°6/G/2001


BANK AL-MAGHRIB
LE GOUVERNEUR
Circulaire N° 6/G/2001
Rabat, le 25 Kaada 1421
19 Février 2001

CIRCULAIRE N° 6 RELATIVE AU CONTROLE INTERNE


DES ETABLISSEMENTS DE CREDIT
Dans le cadre des prérogatives qui leur sont dévolues notamment par le dahir portant loi n°1-93-147 (6
juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle, les
autorités monétaires ont édicté un ensemble de règles prudentielles d’ordre quantitatif visant à
prémunir les établissements de crédit contre certains risques tels que les risques de liquidité, de
solvabilité, de concentration des crédits et de dépréciation des actifs.
Afin de renforcer le dispositif prudentiel susvisé et dans le but d’amener les établissements de crédit à
maîtriser davantage les risques qu’ils encourent, les autorités monétaires estiment que ces
établissements doivent se doter d’un système de contrôle interne.
La présente circulaire a pour objet de préciser, en particulier, les modalités et les règles minimales que
les établissements de crédit doivent observer pour la mise en place de ce système.
ARTICLE PREMIER
Les établissements de crédit sont tenus de mettre en place un système de contrôle interne, dans les
conditions minimales prévues par les dispositions de la présente circulaire.
ARTICLE 2
Le système de contrôle interne consiste en un ensemble de dispositifs conçus et mis en œuvre, par les
instances compétentes, en vue d'assurer en permanence, notamment :
- la vérification des opérations et des procédures internes,
- la mesure, la maîtrise et la surveillance des risques,
- la fiabilité des conditions de la collecte, de traitement, de diffusion et de conservation des données
comptables et financières,
- l’efficacité des canaux de la circulation interne de la documentation et de l’information ainsi que
de leur diffusion auprès des tiers.
- Conception, mise en oeuvre et suivi des tâches du contrôle interne.
- Dispositif de vérification des opérations et des procédures internes.
- Dispositif de mesure, de maîtrise et de surveillance des risques.
- Dispositif de contrôle de la comptabilité.
- Dispositions diverses et transitoires.

I- CONCEPTION, MISE EN OEUVRE ET SUIVI DES TACHES DU CONTROLE INTERNE


ARTICLE 3
La conception du système de contrôle interne incombe à l’organe de direction (direction générale,
directoire ou toute instance équivalente) qui doit, à cet effet :
- identifier l’ensemble des sources de risques internes et externes,
- définir les procédures de contrôle interne adéquates,
- prévoir les moyens humains et matériels nécessaires à la mise en œuvre du contrôle interne.
ARTICLE 4
L’organe de direction élabore, également, la structure organisationnelle appropriée pour la mise en
œuvre du système de contrôle interne.
ARTICLE 5
Le système de contrôle interne ainsi que sa structure organisationnelle, conçus par l’organe de
direction, doivent être agréés par l’organe d’administration (conseil d’administration, conseil de
surveillance ou toute instance équivalente).

253
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ARTICLE 6
L’organe de direction est tenu de veiller à la mise en place du système de contrôle interne, une fois
adopté par l’organe délibérant.
Il doit, à cet effet, désigner un responsable qui relève directement de son autorité et qui a pour tâche
d’assurer un suivi exhaustif du système de contrôle interne et de veiller à sa cohérence.
ARTICLE 7
Les établissements de crédit constitués en groupe, doté d'un organe central, choisissent le responsable
visé au 2ème alinéa de l’article précédent en concertation avec ledit organe.
ARTICLE 8
Les fonctions du responsable visé au 2ème alinéa de l’article 6 ci-dessus peuvent être assurées par
l'organe de direction lorsque la taille de l'établissement ne justifie pas de confier ces tâches à une
personne spécialement désignée à cet effet.
Elles peuvent également, dans le cas des établissements contrôlés de manière exclusive par un autre
établissement de crédit, être assumées par le responsable du contrôle interne de ce dernier.
ARTICLE 9
Le responsable du contrôle interne rend compte de l'exercice de sa mission à l'organe de direction ainsi
qu'au comité visé à l'article 15 ci-dessous.
ARTICLE 10
L’organe de direction doit veiller au suivi du système de contrôle interne.
Il est tenu, dans ce cadre de :
- s’assurer, en permanence, de la bonne exécution de la mission confiée au responsable visé au
2ème alinéa de l’article 6 susvisé et du bon fonctionnement global du système de contrôle interne,
- prendre les mesures nécessaires pour remédier, en temps opportun, à toute carence ou
insuffisance relevée dans les dispositifs de contrôle.
ARTICLE 11
L’organe de direction est tenu d’élaborer un manuel de contrôle interne qui précise notamment :
- les éléments constitutifs de chaque dispositif et les moyens de leur mise en œuvre,
- les règles qui assurent l'indépendance des dispositifs de contrôle vis- à- vis des unités
opérationnelles,
- les différents niveaux de responsabilité du contrôle.
ARTICLE 12
Le manuel de contrôle interne doit être réexaminé périodiquement en vue d’adapter ses dispositions
particulièrement aux prescriptions légales et réglementaires ainsi qu’à l'évolution de l'activité, de
l'environnement économique et financier et des techniques d'analyse.
ARTICLE 13
L’organe de direction doit établir, au moins une fois par an, un rapport sur les activités du contrôle
interne qu'il adresse à l’organe d’administration.
Ce rapport décrit les actions de contrôle effectuées et les insuffisances relevées, notamment au niveau
des domaines que couvre le dispositif de gestion des risques prévu par le Plan Comptable des
Etablissements de Crédit, ainsi que les mesures correctrices y afférentes.
Il doit, dans le cas des établissements qui détiennent le contrôle exclusif d’autres entités à caractère
financier, retracer les activités du contrôle interne au niveau de l'ensemble des entités du groupe.
ARTICLE 14
L’organe d’administration est tenu de s’assurer de la mise en place et du suivi, par l’organe de
direction, du système de contrôle interne.
A cet effet, il procède, au moins une fois par an, à l’examen de l’activité et des résultats du contrôle
interne sur la base des informations qui lui sont adressées par l’organe de direction conformément aux
dispositions de l’article 13 ci-dessus ainsi que par le comité prévu à l’article 15 ci-dessous.
ARTICLE 15
L’organe d’administration est tenu de constituer un comité chargé de l’assister en matière de contrôle
interne.
Ce comité procède notamment à l’évaluation de la cohérence et de l’adéquation des dispositifs de
contrôle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposées pour
combler les lacunes ou insuffisances décelées dans le système de contrôle interne.

254
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ARTICLE 16
Le comité visé à l’article 15 ci-dessus doit être composé, en partie, d’administrateurs non dirigeants
ayant les compétences requises.
Il relève directement de l’organe d’administration qui en détermine les modalités de fonctionnement et
auquel il rend compte.
ARTICLE 17
L’organe d’administration doit veiller à ce que l’auditeur externe de l’établissement soit régulièrement
invité à assister aux réunions du comité prévu à l’article 15 ci-dessus.
ARTICLE 18
Les établissements de crédit qui contrôlent de manière exclusive d’autres entités à caractère financier
doivent s’assurer que les systèmes de contrôle interne mis en place au sein de ces dernières soient
cohérents et compatibles entre eux de manière à permettre notamment une surveillance et une maîtrise
des risques au niveau du groupe.
Ils s’assurent également que les systèmes de contrôle interne susvisés sont adaptés à l’organisation du
groupe ainsi qu’à la nature des entités contrôlées.
ARTICLE 19
L’organe d’administration de tout établissement de crédit habilité à recevoir des fonds du public doit
veiller à ce que les auditeurs externes formulent, dans le cadre de leur mission de révision et de
contrôle annuels des comptes, un avis sur l'organisation et le fonctionnement du système de contrôle
interne.
ARTICLE 20
L’organe de direction doit adresser, à la Direction du Contrôle des Etablissements de Crédit de Bank
Al-Maghrib, une copie du rapport annuel visé à l’article 13 ci-dessus et ce, au plus tard le 31 mars de
l'exercice suivant.
Les rapports et les comptes rendus portant sur le contrôle interne doivent également être mis à la
disposition des commissaires aux comptes, des auditeurs externes et des contrôleurs de Bank Al-
Maghrib.
ARTICLE 21
Les membres de l’organe d’administration et de l’organe de direction veillent à promouvoir, au sein de
leur établissement, une culture de contrôle forte qui met l'accent particulièrement sur la nécessité, pour
chaque agent, d'assumer ses tâches dans le respect des dispositions légales et réglementaires en
vigueur et des directives internes établies par les organes compétents.
Ils adoptent, à cet effet, une politique de formation et d'information qui met en avant les objectifs de
l'établissement et explicite les moyens de leur réalisation.

II- DISPOSITIF DE VERIFICATION DES OPERATIONS ET DES PROCEDURES


INTERNES
ARTICLE 22
Le dispositif de vérification des opérations et des procédures internes doit permettre aux
établissements de crédit de s’assurer notamment :
- de la conformité des opérations effectuées et des procédures internes avec les prescriptions légales
et réglementaires en vigueur ainsi qu’avec les normes et usages professionnels et déontologiques,
- du respect des normes de gestion et des procédures internes fixées par les organes compétents.
La mise en place de ce dispositif doit refaire dans le respect notamment des articles 23 à 25 ci-après,
ARTICLE 23
Les modalités d’exécution des opérations quotidiennement effectuées par les entités opérationnelles
doivent comporter, comme partie intégrante, les procédures de contrôle appropriées pour s'assurer de
la régularité, de la fiabilité et de la sécurité de ces opérations ainsi que du respect des autres diligences
liées à la surveillance des risques qui leur sont associés.
Des vérifications périodiques doivent être également effectuées en vue de s’assurer du respect des
procédures de contrôle interne.
ARTICLE 24
Les niveaux d'autorité et de responsabilité ainsi que les domaines d'intervention des différentes unités
opérationnelles doivent être clairement précisés et délimités.

255
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

De même, une séparation stricte doit être établie entre les unités chargées, chacune en ce qui la
concerne, de l'initiation, de l'exécution et du contrôle des opérations.
Les domaines qui présentent des conflits d'intérêts potentiels ou des risques de chevauchement de
compétences ou de responsabilités doivent être identifiés, soumis à une surveillance continue et faire
l'objet d'une évaluation régulière en vue de leur suppression.
ARTICLE 25
Chaque service ou unité opérationnelle doit être doté d’un manuel dans lequel sont consignées les
procédures d’exécution des opérations qu’il est chargé d’effectuer.
Ces consignes fixent notamment les modalités d'engagement, d'enregistrement et de traitement des
opérations ainsi que les schémas comptables correspondants.

III- DISPOSITIF DE MESURE, DE MAITRISE ET DE SUREVEILLANCE DES RISQUES


ARTICLE 26
Les dispositifs de mesure, de maîtrise et de surveillance des risques doivent permettre de s’assurer que
les risques encourus par l’établissement de crédit, particulièrement les risques de crédit, de marché, de
taux d’intérêt global, de liquidité et de règlement ainsi que les risques informatique et juridique, sont
correctement évalués et maîtrisés.
ARTICLE 27
Les risques de crédit, de marché, de taux d'intérêt global, de liquidité et de règlement doivent être
maintenus dans le cadre des limites globales arrêtées par la réglementation en vigueur ou fixées par
l’organe de direction et approuvées par l'organe d’administration.
Ces limites doivent être revues, autant que nécessaire et au moins une fois par an, en tenant compte,
notamment, du niveau des fonds propres de l'établissement.
ARTICLE 28
Le contrôle du respect des limites visées à l’article précédent doit être effectué de façon régulière et
inopinée et donner lieu à l’établissement d’un compte rendu à l’attention des organes compétents.
Ce compte rendu doit comporter une analyse des raisons ayant motivé les éventuels dépassements
ainsi que, s'il y a lieu, les propositions et/ou recommandations y afférentes.
ARTICLE 29
Les dispositifs de mesure, de maîtrise et de surveillance des risques doivent être adaptés à la nature, au
volume et au degré de complexité des activités de l’établissement.
ARTICLE 30
Les établissements de crédit constituent, si le volume et la diversité de leurs activités le justifient, des
comités chargés d’assurer le suivi de certaines catégories de risques spécifiques (comité de risque
crédit, comité de liquidité, …).

1- RISQUES DE CREDIT
ARTICLE 31
On entend par risque de crédit, le risque qu’un client ne soit pas en mesure d’honorer ses
engagements à l’égard de l’établissement de crédit.
ARTICLE 32
Le dispositif de contrôle du risque de crédit doit permettre de s’assurer que les risques auxquels peut
s’exposer l’établissement de crédit, du fait de la défaillance de la clientèle, sont correctement évalués
et régulièrement suivis.
La mise en place d’un tel dispositif doit se faire dans le respect des dispositions minimales prévues
aux articles 33 à 42 ci-après.
ARTICLE 33
Les critères d’appréciation du risque de crédit ainsi que les attributions des personnes et des organes
habilités à engager l’établissement doivent être définis et consignés par écrit.
Ces consignes doivent être adaptées aux caractéristiques de l’établissement, en particulier, à sa taille,
à la nature et au volume de ses activités.
ARTICLE 34
Les demandes de crédit doivent donner lieu à la constitution de dossiers comportant toutes les
informations quantitatives et qualitatives relatives au demandeur notamment les documents

256
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de
revenu ou tout autre document en tenant lieu.
Les informations portent tant sur le demandeur de crédit lui-même que sur les entités avec lesquelles
il constitue un groupe d’intérêt, compte tenu des liens juridiques et financiers qui existent entre eux.
Les dossiers de crédit doivent être régulièrement mis à jour.
ARTICLE 35
L'évaluation du risque de crédit prend en considération, notamment, la nature des activités exercées
par le demandeur, sa situation financière, la surface patrimoniale des principaux actionnaires ou
associés, sa capacité de remboursement et, le cas échéant, les garanties proposées.
Elle prend également en compte toutes autres informations permettant une appréciation plus complète
du risque tels que la compétence des dirigeants et l'environnement économique dans lequel le
demandeur de crédit exerce son activité.
ARTICLE 36
Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations
effectuées avec le client et ce, à travers l’analyse prévisionnelle des charges et produits y afférents
(coûts opérationnels et de financement, charge correspondant au risque de défaillance éventuelle de la
contrepartie et rémunération des fonds propres).
ARTICLE 37
L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note par référence à
une échelle de notation interne.
ARTICLE 38
Les risques de crédit encourus sur une même contrepartie (client individuel ou groupe de personnes
physiques ou morales liées entre elles et présentant un risque unique pour l’établissement de crédit)
doivent être recensés et centralisés quotidiennement. Ceux encourus par secteur, pays ou zone
géographique doivent l’être au moins une fois par mois.
ARTICLE 39
Les risques de crédit encourus sur des clients bénéficiant de concours relativement importants doivent
faire l'objet d'une surveillance particulière, tant sur une base individuelle qu'au niveau du groupe.
ARTICLE 40
Les concours consentis aux personnes physiques ou morales apparentées à l’établissement de crédit
ainsi que l’évolution de leurs encours doivent être régulièrement portés à la connaissance de l’organe
d’administration.
L’organe d’administration doit être également informé de toute opération susceptible d’engendrer un
conflit entre les intérêts de l’établissement et ceux des personnes précitées.
ARTICLE 41
Les concours qui, au regard de la réglementation en vigueur, sont considérés comme créances en
souffrance doivent être enregistrés dans les comptes appropriés du plan comptable des établissements
de crédit et donner lieu à la constitution des provisions requises.
ARTICLE 42
Les encours des créances en souffrance ainsi que les résultats des démarches, amiables ou judiciaires,
entreprises pour leur recouvrement doivent être régulièrement, et à tout le moins deux fois par an,
portés à la connaissance de l’organe d’administration. Celui-ci doit également être tenu informé des
encours des créances restructurées et de l’évolution de leur remboursement.

2- RISQUES DE MARCHE
ARTICLE 43
On entend par risques de marché, les risques de pertes qui peuvent résulter des fluctuations des prix
des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles
d’engendrer un risque de change, notamment les opérations de change à terme et au comptant.
Le portefeuille de négociation susvisé comprend :
- les titres acquis, dès l’origine, avec l’intention de les revendre à brève échéance en vue de tirer
bénéfice des écarts entre les prix d’achat et de vente, et ce dans le cadre d’une activité de marché,
y compris les titres à livrer ou à recevoir,
- les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le marché
gris,

257
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

- les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer avantage de
l’évolution des prix ou à couvrir les risques de marché encourus sur les instruments visés aux
tirets précédents.
ARTICLE 44
Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les risques auxquels
peut s’exposer l’établissement de crédit, du fait des fluctuations qui pourraient affecter les prix des
instruments financiers visés à l’article 43, font l’objet d’une évaluation appropriée et d’une
surveillance régulière.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des
articles 45 à 47 ci-dessous.
ARTICLE 45
Les transactions sur les instruments financiers visés à l’article 43 doivent faire l’objet d’un suivi
quotidien de manière à :
- appréhender les positions détenues en chaque instrument et en calculer les résultats,
- mesurer le risque de taux d’intérêt, le risque de change et le risque sur titres de propriété liés à ces
positions,
- s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces
risques.
ARTICLE 46
La mesure des risques de marché doit être effectuée de façon à en cerner les diverses composantes et
ce, par le recours à des procédés qui permettent une agrégation, aussi bien sur une base individuelle
que consolidée, de l’ensemble des positions relatives à des instruments financiers ou à des marchés
différents.
ARTICLE 47
Des évaluations régulières, notamment en cas de fortes variations affectant un marché ou l'un de ses
segments, doivent être effectuées pour suivre l’évolution des risques susvisés.
Les modèles d'analyse retenus pour ces évaluations doivent, eux aussi, régulièrement faire l’objet de
révisions, à l’effet d’en apprécier la validité et la pertinence au regard de l’évolution de l’activité, de
l’environnement des marchés et des techniques d’analyse.
ARTICLE 48
Le dispositif visé à l’article 44 ci-dessus doit également permettre de s’assurer du respect des
dispositions réglementaires prévues en la matière, des normes et usages professionnels et
déontologiques ainsi que des limites fixées par les instances compétentes.

3- RISQUE GLOBAL DE TAUX D'INTERET


ARTICLE 49
Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir une évolution
défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit.
ARTICLE 50
Le dispositif de contrôle du risque global de taux d’intérêt doit permettre de s’assurer que les risques
susceptibles d’affecter négativement les éléments de l’actif, du passif et du hors bilan de
l’établissement de crédit, du fait d’une évolution défavorable des taux d’intérêt, sont correctement
mesurés et font l’objet d’une surveillance régulière et adéquate.
Le dispositif susvisé doit être mis en place dans le respect notamment des prescriptions des articles 51
à 53 ci-après.
ARTICLE 51
Les positions et les flux certains et prévisibles résultant de l’ensemble des opérations de bilan et de
hors bilan doivent être correctement mesurés et faire l’objet d’une surveillance régulière.
De même, l’ensemble des facteurs de risque global de taux d’intérêt ainsi que leur impact sur les
résultats et les fonds propres doivent être identifiés et évalués.
ARTICLE 52
Les paramètres et les hypothèses retenus pour l’évaluation du risque global de taux d’intérêt doivent
être choisis en tenant compte notamment du niveau d’activité de l’établissement de crédit sur les
différents marchés.

258
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ARTICLE 53
Les paramètres et les hypothèses visés à l’article précédent doivent faire l’objet de réexamens
périodiques pour s’assurer de leur cohérence et de leur validité au regard de l’évolution de la structure
des activités exercées et des conditions du marché.

4- RISQUE DE LIQUIDITE
ARTICLE 54
Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir
s’acquitter, dans des conditions normales, de ses engagements à leur échéance.
ARTICLE 55
Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que l’établissement de
crédit est en mesure de faire face, à tout moment, à ses exigibilités et d’honorer ses engagements de
financement envers la clientèle.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des
articles 56 et 57 ci-dessous.
ARTICLE 56
La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à des échéances
déterminées doivent être évaluées de manière correcte, en tenant compte notamment de l'incidence
des fluctuations des marchés de capitaux.
ARTICLE 57
Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement, en particulier les
lignes de crédit ouvertes par les correspondants, doivent être revues périodiquement afin de tenir
compte des éventuels changements qui pourraient affecter la situation ou la renommée de
l’établissement lui-même ou la situation financière ou juridique de ces correspondants.

5- RISQUE DE REGLEMENT
ARTICLE 58
Le risque de règlement s’entend comme le risque de survenance, au cours du délai nécessaire pour le
dénouement de l’opération de règlement, d’une défaillance ou de difficultés qui empêchent la
contrepartie d’un établissement de crédit de lui livrer les instruments financiers ou les fonds
convenus, alors que ledit établissement a déjà honoré ses engagements à l’égard de ladite contrepartie.
ARTICLE 59
Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les risques auxquels
peut s’exposer l’établissement de crédit sont correctement évalués et font l’objet d’un suivi rigoureux
et régulier.
ARTICLE 60
Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les différentes phases
du processus de règlement sont identifiées et font l’objet d’une attention particulière, notamment
l'heure limite pour l'annulation unilatérale de l'instruction de paiement, l'échéance de la réception
effective des fonds relatifs à l'instrument acheté et le moment où la réception de ces fonds ou
instruments est confirmée.

6- RISQUE INFORMATIQUE
ARTICLE 61
Le risque informatique s’entend comme le risque de survenance de dysfonctionnements ou de rupture
dans le fonctionnement du système de traitement de l’information, imputables à des défaillances dans
le matériel ou à des erreurs, des manipulations ou autres motifs (virus) affectant les programmes
d’exécution.
ARTICLE 62
Le dispositif de contrôle des risques informatiques doit assurer un niveau de sécurité jugé satisfaisant
par rapport aux normes technologiques et aux exigences du métier.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des
articles 63 à 65 ci-dessous.
ARTICLE 63

259
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les supports de l'information et de la documentation relatifs à l'analyse et à l'exécution des


programmes doivent être conservés dans des conditions présentant le maximum de sécurité contre les
risques de détérioration, de manipulation ou de vol.
ARTICLE 64
Des procédures d'urgence ainsi que du matériel et des logiciels de secours doivent être prévus pour
faire face à tout dysfonctionnement du système informatique ou à la survenance d'événements
pouvant le rendre inopérant.
ARTICLE 65
Les dispositifs de sécurité, d'urgence et de secours susvisés doivent faire l’objet de vérifications
périodiques en vue de tester leur bon fonctionnement.

7- RISQUE JURIDIQUE
ARTICLE 66
Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la
responsabilité de l’établissement de crédit du fait d’imprécisions, de lacunes ou d’insuffisances dans
les contrats et autres actes de nature juridique le liant à des tiers.
ARTICLE 67
Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats et les autres
actes de nature juridique liant l’établissement de crédit à toute contrepartie sont rédigés et conclus
dans le respect des dispositions légales et réglementaires en vigueur et sont soumis à un contrôle strict
en vue de parer à toutes insuffisances, imprécisions ou lacunes.
8- AUTRES RISQUES
ARTICLE 68
Les autres risques englobent tous les risques qui pourraient être engendrés par des procédures
inefficientes, des contrôles inadéquats, des erreurs humaines ou techniques, des fraudes ou par toutes
autres défaillances.
ARTICLE 69
Le dispositif de contrôle des risques visés à l’article 68 doit permettre de s’assurer que les risques qui
pourraient découler de défaillances ou d’insuffisances, de quelque ordre que ce soit, sont identifiés et
font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global
de l’établissement.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des prescriptions des
articles 70 et 71 ci-après.
ARTICLE 70
L’organe d’administration et l’organe de direction doivent prendre les précautions et les mesures
adéquates pour empêcher que leurs établissements ne soient impliqués, à leur insu, dans des
opérations financières liées à des activités non autorisées par la loi et plus généralement pour éviter la
survenance de tout événement susceptible d'entacher leur réputation ou de porter atteinte au renom de
la profession.
ARTICLE 71
Les dispositifs mis en place pour assurer la sécurité des personnes et des biens doivent être conformes
aux normes usuellement requises en la matière.
De même, les dommages auxquels peuvent se trouver exposés les personnes et les biens doivent être
couverts par des contrats d'assurances dûment souscrits.

IV- DISPOSITIF DE CONTROLE DE LA COMPTABILITE


ARTICLE 72
Le dispositif de contrôle de la comptabilité doit permettre aux établissements de crédit de s'assurer de
la fiabilité et de l'exhaustivité de leurs données comptables et financières et de veiller à la disponibilité
de l’information au moment opportun.
La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan
comptable des établissements de crédit ainsi que de celles des articles 73 à 77 ci-après.
ARTICLE 73
Les modalités d’enregistrement comptable des opérations doivent prévoir un ensemble de procédures,
appelé piste d'audit, qui permet :

260
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

- de reconstituer les opérations selon un ordre chronologique,


- de justifier toute information par une pièce d'origine à partir de laquelle il doit être possible de
remonter par un cheminement ininterrompu au document de synthèse et réciproquement.
- et d'expliquer l'évolution des soldes d'un arrêté à l'autre par conservation des mouvements ayant
affecté les postes comptables.
ARTICLE 74
Le bilan et le compte de produits et charges doivent être obtenus directement à partir de la
comptabilité.
ARTICLE 75
Les opérations qui comportent des risques de marché doivent donner lieu, à tout le moins à la date
d'arrêté de fin de mois, à un rapprochement entre les résultats calculés par les unités opérationnelles et
les résultats comptables obtenus sur la base des règles d'évaluation en vigueur.
Les écarts significatifs constatés doivent être justifiés et portés à la connaissance de l’organe de
direction.
ARTICLE 76
Les titres et autres valeurs de même nature détenus ou gérés pour le compte de tiers doivent être suivis
à travers une comptabilité matière qui en retrace les entrées, les sorties et les existants et faire l'objet
d'inventaires périodiques.
Distinction doit être faite entre les valeurs reçues en dépôt libre et celles servant de garanties en faveur
de l'établissement de crédit lui-même ou de tiers.
ARTICLE 77
Des évaluations régulières du système d'information comptable et de traitement de l’information
doivent être effectuées en vue de s’assurer de sa pertinence au regard des objectifs généraux de
prudence et de sécurité et de la conformité aux normes comptables en vigueur.

V- DISPOSITIONS DIVERSES ET TRANSITOIRES


ARTICLE 78
Les établissements de crédit créent une structure chargée de l’information du public et des rapports
avec la clientèle.
Cette structure a principalement pour mission la diffusion de l’information à l’intention du public et
l’examen des réclamations et doléances de la clientèle.
ARTICLE 79
Les établissements de crédit doivent prendre toutes les mesures nécessaires pour entamer
immédiatement la mise en place du système de contrôle interne prévu par les dispositions de la
présente circulaire.
Ils doivent adresser à la Direction du Contrôle des Etablissements de Crédit, à fin juillet et à fin
décembre 2001, un rapport retraçant l’état d’avancement de la mise en place de ce système.
ARTICLE 80
Les manquements aux dispositions de la présente circulaire sont passibles des sanctions prévues par
les prescriptions du dahir portant loi n° 1-93-147 précité.

Signé : M. SEQAT

261
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe N°8
Circulaire BAM devoir de vigilance

BANK AL-MAGHRIB
--------------------
LE GOUVERNEUR
Circulaire n° 36/G/2003

Rabat, le 29 Chaoual 1424


24 Décembre 2003
CIRCULAIRE N°36 RELATIVE AU DEVOIR DE VIGILANCE
INCOMBANT AUX ETABLISSEMENTS DE CREDIT
Considérant les dispositions du troisième tiret du deuxième alinéa de l’article 5 du dahir
n° 1-59-233 du 23 hijja 1378 (30 juin 1959) portant création de Bank Al-Maghrib ;
Considérant le Code de commerce notamment son article 488 ;
Considérant les normes édictées par le Comité de Bâle en matière de devoir de diligence
au sujet de la clientèle et les standards internationaux relatifs à la lutte contre la criminalité financière
organisée notamment les recommandations du Groupe d’Action Financière sur le Blanchiment de
Capitaux (GAFI) ;
Considérant les dispositions de l’article 70 de la circulaire de Bank Al-Maghrib
n°6/G/2001 relative au contrôle interne.
Bank Al-Maghrib fixe, ci-après, les règles minimales que les établissements de crédit sont
tenus d’adopter au titre du devoir de vigilance au sujet de la clientèle.
Article 1 :
Les établissements de crédit sont tenus de mettre en place les procédures nécessaires qui leur
permettent :
- D’identifier leur clientèle et d’en avoir une connaissance approfondie ;
- D’assurer le suivi et la surveillance des opérations de la clientèle notamment celles
présentant un degré de risque important ;
- De conserver et de mettre à jour la documentation afférente à la clientèle et aux
opérations qu’elle effectue.
Ils doivent, en outre, sensibiliser leur personnel et le former aux techniques de détection et de
prévention des opérations à caractère inhabituel ou suspect.
Article 2
Les procédures visées à l’article premier ci-dessus sont consignées dans un manuel qui doit être
approuvé par l’organe d’administration de l’établissement de crédit. Ce manuel doit être
périodiquement mis à jour en vue de l’adapter aux dispositions légales et réglementaires en vigueur et
à l’évolution de l’activité de l’établissement de crédit.

I - IDENTIFICATION DE LA CLIENTELE
Article 3
Les établissements de crédit sont tenus de recueillir les éléments d’information permettant
l’identification de toute personne qui :
- Souhaite ouvrir un compte, quelle que soit sa nature, ou louer un coffre fort ;
- Recourt à leurs services pour l’exécution de toutes autres opérations, même ponctuelles, telles que
le transfert de fonds.
Article 4
Préalablement à l‘ouverture de tout compte, les établissements de crédit doivent avoir des entretiens
avec les postulants et, le cas échéant, leurs mandataires, en vue de s’assurer de leur identité et de
recueillir tous les renseignements et documents utiles relatifs aux activités des titulaires des comptes et
à l’environnement dans lequel ils opèrent notamment lorsqu’il s’agit de personnes morales ou
d’entrepreneurs individuels.

262
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les compte rendus de ces entretiens doivent être versés aux dossiers des clients, prévus aux articles 5
et 6 ci-après.
Article 5
Une fiche d’ouverture de compte doit être établie au nom de chaque client personne physique, au vu
des énonciations portées sur tout document d’identité officiel. Ce document doit être en cours de
validité, délivré par une autorité marocaine habilitée ou une autorité étrangère reconnue et porter la
photographie du client.
Sont consignés dans cette fiche les éléments suivants :
- Le(s) prénom(s) et le nom ;
- Le numéro de la carte d’identité nationale, pour les nationaux ainsi que sa durée de
validité ;
- Le numéro de la carte d’immatriculation, pour les étrangers résidents ainsi que sa
durée de validité ;
- Le numéro du passeport ou de toute autre pièce d’identité en tenant lieu, pour les
étrangers non résidents et sa durée de validité ;
- L’adresse exacte ;
- La profession ;
- Le numéro d’immatriculation au registre de commerce, pour les personnes physiques
ayant la qualité de commerçant ainsi que le centre d’immatriculation.

Les éléments d’identification ci-dessus doivent également être recueillis des personnes qui
pourraient être amenées à faire fonctionner le compte d’un client en vertu d’une procuration.
La fiche d’ouverture de compte ainsi que les copies des documents d’identité présentés doivent être
classées dans un dossier ouvert au nom du client.
Article 6
Une fiche d’ouverture de compte doit être établie au nom de chaque client personne morale dans
laquelle doivent être consignés, selon la nature juridique de ces personnes, l’ensemble ou certains des
éléments d’identification ci-après :
- La dénomination ;
- La forme juridique ;
- L’activité ;
- L’adresse du siège social ;
- Le numéro de l’identifiant fiscal ;
- Le numéro d’immatriculation au registre du commerce ainsi que le centre
d’immatriculation.

Cette fiche doit être conservée dans le dossier ouvert au nom de la personne morale concernée ainsi
que les documents complémentaires, ci-après précisés, correspondant à sa forme juridique.
Les documents complémentaires devant être fournis par les sociétés commerciales incluent
notamment :
- Les statuts mis à jour ;
- La publicité légale relative à la création de la société et aux éventuelles modifications
affectant ses statuts ;
- Les procès-verbaux des délibérations des assemblées générales ou des associés ayant
nommé les administrateurs ou les membres du conseil de surveillance ou les gérants ;
- Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte
bancaire.

Dans le cas de sociétés en cours de constitution, l’établissement de crédit doit exiger la


remise du certificat négatif, le projet des statuts et recueillir tous les éléments d’identification des
fondateurs et des souscripteurs du capital.
Les documents complémentaires devant être fournis par les associations incluent :
- Les statuts mis à jour ;
- Le certificat ou récépissé de dépôt légal du dossier juridique de l’association auprès
des autorités administratives compétentes ;

263
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

- Les procès-verbaux de l’assemblée générale constitutive portant élection des membres


du bureau, du président et la répartition des tâches au sein du bureau ;
- Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte
bancaire.
Les documents complémentaires devant être fournis par les coopératives
incluent :
- Les statuts mis à jour ;
- Le procès-verbal de l’assemblée constitutive ;
- L’acte portant nomination des personnes habilitées à faire fonctionner le compte ;
- La décision portant agrément de la constitution de la coopérative.
- Les documents complémentaires devant être fournis par les établissements et autres
entités publics incluent :
- L’acte constitutif ;
- Les actes portant nomination des représentants ou fixant les pouvoirs des différents
organes de l’établissement ;
- Les noms des personnes habilitées à faire fonctionner le compte.
- Pour les autres catégories de personnes morales (groupement d’intérêt économique,
groupement d’intérêt public, société anonyme simplifiée, etc), les établissements de
crédit exigent les éléments complémentaires d’identification spécifiques en se référant
aux textes législatifs qui les régissent.
Article 7
Les établissements de crédit recueillent des personnes qui ne disposent pas de comptes ouverts sur
leurs livres et souhaitent louer un coffre fort ou effectuer des opérations ponctuelles auprès de leurs
guichets les éléments nécessaires à leur identification et à celle des personnes qui en sont les
bénéficiaires.
Article 8
Sont soumises aux mêmes exigences visées aux articles 4, 5 et 6 ci-dessus, les demandes d’ouverture
de comptes à distance (par voie d’Internet, par exemple).
Article 9
A défaut des originaux, les photocopies des documents d’identité visés à l’article 5 et celles des
statuts, des procès verbaux et des documents délivrés par une autorité administrative prévus à l’article
6 ci-dessus doivent être dûment certifiées conformes par les autorités compétentes.
Dans le cas des personnes morales ayant leur siège social à l’étranger, ces documents doivent, sauf
dispositions particulières prévues par une convention internationale, être certifiés conformes auprès
des services consulaires marocains installés dans leur pays ou auprès des représentations consulaires
de leur pays au Maroc.
Les documents rédigés dans une langue autre que l’Arabe ou le Français doivent être traduits dans
l’une de ces deux langues par un traducteur assermenté.
Article 10
Les documents visés aux articles 5 et 6 ci-dessus doivent faire l’objet d’un examen minutieux pour
s’assurer de leur régularité apparente et, le cas échéant, être rejetés si des anomalies sont détectées.
Lorsque les informations fournies par le client ne concordent pas avec celles figurant sur les
documents présentés, des justificatifs complémentaires doivent être exigés.
Article 11
En vue de s’assurer de l’exactitude de l’adresse donnée par tout nouveau client, « une lettre de
bienvenue » lui est adressée. En cas d’adresse erronée, l’établissement de crédit doit s’assurer par tous
moyens de l’adresse exacte. A défaut, il peut décliner l’entrée en relation et procéder à la clôture du
compte.
Article 12
Les établissements de crédit doivent être en mesure de connaître, lors de l’ouverture d’un compte, si le
postulant, dispose déjà d’autres comptes ouverts sur leurs livres et si c’est la cas, l’historique de ces
comptes.
Ils se renseignent sur les raisons pour lesquelles la demande d’ouverture d’un nouveau compte est
formulée.

264
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

II - SUIVI ET SURVEILLANCE DES OPERATIONS DE LA CLIENTELE


Article 13
Les établissements de crédit doivent classer leurs clients par catégories, selon leur profil de risque.
A cet effet, les fiches d’ouverture de compte doivent retracer le profil de risque du client, établi sur la
base des documents reçus en application des dispositions des articles 5 et 6 ci-dessus, des résultats des
entretiens visés à l’article 4 ci-dessus et en tenant compte de certains indicateurs tels que le pays
d’origine du client, l’origine des fonds, la nature de l’activité exercée, la nature des opérations
effectuées et l’historique du compte.
Article 14
Les établissements de crédit doivent instituer, pour chaque catégorie de clients, des limites au delà
desquelles des opérations pourraient être considérées comme inhabituelles ou suspectes.
Article 15
Les opérations inhabituelles ou suspectes visées à l’article 14 ci-dessus, incluent notamment les
opérations qui :
- Ne semblent pas avoir de justification économique ou d’objet licite apparent ;
- Portent sur des montants sans commune mesure avec celles habituellement effectuées
par le client ;
- Se présentent dans des conditions inhabituelles de complexité.
Article 16
Les établissements de crédit doivent porter une attention particulière aux opérations financières
effectuées par des intermédiaires professionnels (tels que les notaires, les avocats, les entreprises qui
effectuent, à titre de profession habituelle l’intermédiation, le conseil et l’assistance en matière de
gestion de patrimoine) pour le compte de leurs clients personnes physiques ou morales.
Article 17
Les établissements de crédit doivent prêter une attention particulière aux opérations exécutées par des
personnes dont le courrier est domicilié chez un tiers, dans une boîte postale, aux guichets de
l’établissement ou qui changent d’adresse fréquemment.
Article 18
Les conditions d’ouverture de nouveaux comptes et les mouvements de fonds d’importance
significative doivent faire l’objet de contrôles centralisés en vue de s’assurer que tous les
renseignements relatifs aux clients concernés sont disponibles et que ces mouvements n’impliquent
pas d’opérations à caractère inhabituel ou suspect.
Toute opération considérée comme ayant un caractère inhabituel ou suspect doit donner lieu à
l’élaboration d’un compte rendu à l’intention du responsable visé à l’article 19 ci-après.
Article 19
Chaque établissement de crédit doit désigner un responsable et un suppléant chargés d’assurer les
relations avec Bank Al-Maghrib en ce qui concerne les questions ayant trait au devoir de vigilance.
Ce responsable a également pour tâches :
- De centraliser et examiner les comptes rendus des agences sur les opérations ayant un
caractère inhabituel ou suspect ;
- D’assurer un suivi particulier des comptes qui enregistrent des opérations considérées
comme inhabituelles ou suspectes ;
- De tenir la direction de l’établissement continuellement informée sur les clients
présentant un profil de risque élevé.
Article 20
Les établissements de crédit doivent se doter de systèmes d’information qui leur permettent, pour
chaque client :
- De disposer de la position de l’ensemble des comptes détenus ;
- De recenser les opérations effectuées ;
- D’identifier les transactions à caractère suspect ou inhabituel visées à l’article 14 ci-dessus.

III - CONSERVATION ET MISE A JOUR DE LA DOCUMENTATION


Article 21
Les établissements de crédit conservent pendant dix ans les justificatifs relatifs :
- A l'identité de leurs clients et ce, à compter de la clôture des comptes de ces derniers ;

265
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

- A l’identité des personnes visées à l’article 7 ci-dessus ;


- Aux opérations effectuées avec leurs clients et ce, à compter de leur date d’exécution.
Article 22
L'organisation de la conservation des documents doit notamment permettre de reconstituer les
transactions individuelles (montant et nature de l'opération) et de communiquer dans les délais requis,
les informations demandées par toute autorité habilitée.
Article 23
Les établissements de crédit veillent à la mise à jour régulière des informations relatives à leurs clients.
Article 24
Les établissements de crédit doivent veiller, autant que possible et progressivement, à mettre à jour les
dossiers relatifs à l’identification de leurs clients avec lesquels ils sont en relation avant l’entrée en
vigueur des dispositions de la présente circulaire.
IV - FORMATION DU PERSONNEL
Article 25
Les établissements de crédit doivent veiller à ce que leur personnel, directement ou indirectement
concerné par la mise en œuvre des dispositions de la présente circulaire, bénéficie d’une formation
appropriée.
Ils doivent sensibiliser le personnel aux risques auxquels pourraient être confrontés leurs
établissements s’ils viendraient à être utilisés à des fins illicites.

V - AUTRES DISPOSITIONS
Article 25
Les établissements de crédit ayant des filiales ou des succursales, installées dans des zones offshore ou
dans des pays ne disposant pas de réglementation en matière de vigilance, au moins équivalente à
celle applicable au Maroc, doivent veiller à ce que ces entités soient dotées d’un dispositif de
vigilance similaire à celui prévu par la présente circulaire.
Article 26
Les établissements de crédit incluent, dans le cadre du rapport sur le contrôle interne qu’ils sont tenus
d’adresser à la Direction du Contrôle des Etablissements de Crédit conformément à l’article 20 de la
circulaire n° 6/G/2001 précitée, un chapitre consacré à la description des dispositifs de vigilance mis
en place et des activités de contrôle effectuées en la matière.
Article 27
Les dispositions de la présente circulaire entrent en vigueur à compter du 1er janvier 2004.

Signé : A.JOUAHRI

266
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Annexe N°9

Circulaire Relative A L 'Audit Externe


Des Etablissements De Crédit
BANK AL-MAGHRIB
LE GOUVERNEUR
C N° 9/G/2002

Rabat, 05 Joumada I 1423


16 Juillet 2002

CIRCULAIRE RELATIVE A L 'AUDIT EXTERNE


DES ETABLISSEMENTS DE CREDIT
Les dispositions des articles 38 à 41 du dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet
1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle stipulent
respectivement ce qui suit :
«Article 38
Les établissements de crédit recevant des fonds du public sont tenus de faire procéder, par des
auditeurs externes, à la révision et au contrôle annuels de leur comptabilité afin de s’assurer que cette
dernière reflète fidèlement leur patrimoine, leur situation financière et leur résultat.
Les auditeurs externes vérifient, également, à la demande de Bank Al-Maghrib, que l’organisation de
l’établissement de crédit présente les garanties requises usuellement pour préserver le patrimoine et
prévenir les fraudes et les erreurs.
Article 39
Le gouverneur de Bank Al-Maghrib peut, s’il le juge utile, demander aux établissements de crédit ne
recevant pas de fonds du public de procéder à des audits externes.
Article 40
Les auditeurs externes sont agréés par le gouverneur de Bank Al-Maghrib.
Ils ne doivent avoir, ni directement ni indirectement, aucun lien de subordination ou aucun intérêt de
quelque nature que ce soit avec l’établissement de crédit, ou un rapport de parenté ou d’alliance avec
ses dirigeants.
Article 41
Les rapports et les résultats des audits sont communiqués au gouverneur de Bank Al-Maghrib. Celui-ci
peut, s’il le juge utile, en tenir informés les membres du conseil d’administration de l’établissement
concerné.
Les rapports et les résultats des audits sont également communiqués aux commissaires aux comptes de
l’établissement de crédit ».
La présente circulaire a pour objet de préciser les modalités d’application des dispositions
susvisées.
Article premier
Les dispositions de la présente circulaire s’appliquent :
- à l’ensemble des banques
- et aux sociétés de financement recevant des fonds du public.
Leur champ d’application peut, toutefois, être étendu aux autres établissements de crédit, si Bank Al-
Maghrib le juge utile.

TITRE I : AGREMENT DES AUDITEURS EXTERNES


Article 2
Les établissements de crédit adressent à la Direction du Contrôle des Etablissements de Crédit de
Bank Al-Maghrib (DCEC) les demandes d’agrément relatives aux auditeurs externes qu’ils envisagent
d’engager pour assurer la mission d’audit définie par la présente circulaire.
Article 3

267
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les demandes d’agrément relatives aux auditeurs externes exerçant à titre indépendant doivent être
accompagnées de dossiers comportant les documents suivants :
1) un document attestant de l’inscription de l’auditeur externe sur le tableau de l’ordre des experts-
comptables et de l’exercice effectif de la fonction d’expert-comptable ;
2) le curriculum vitae, dûment daté et signé, de l’auditeur externe et de chacun de ses collaborateurs
susceptibles de prendre part aux travaux d’audit des établissements de crédit ;
3) une déclaration sur l’honneur, conforme au modèle joint en annexeI, datée et signée par chacune
des personnes visées au point 2 ci-dessus, par laquelle le signataire atteste, notamment, qu’il ne tombe
pas sous le coup de l’une des incompatibilités prévues par :
- la loi n° 15-89 réglementant la profession d’expert-comptable et instituant un ordre des experts-
comptables, promulguée par le dahir n° 1-92-139 du 14 rajeb 1413 (8 janvier 1993),
- le dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l’exercice de
l’activité des établissements de crédit et de leur contrôle
- et la loi n° 17-95 relative aux sociétés anonymes, promulguée par le dahir n° 1-96-124 du 14 rabii
II 1417 (30 août 1996) ;
4) une note faisant ressortir l’expérience professionnelle de l’auditeur externe, les moyens techniques
et humains dont il dispose et, le cas échéant, l’appui dont il pourrait bénéficier de la part d’autres
partenaires qualifiés, nationaux ou étrangers, ainsi que les références des missions d’audit antérieures
réalisées auprès des établissements de crédit et les services de consultation et de conseil, rendus par
l’auditeur, y compris par le biais de filiales spécialisées.
Article 4
Les demandes d’agrément concernant les auditeurs externes exerçant en qualité de sociétés d’experts-
comptables doivent comprendre, outre les informations visées à l’article 3, les documents ci-après :
- une fiche de renseignements, conforme au modèle joint en annexeII, dûment datée et signée par le
représentant statutaire de la société ;
- une copie certifiée conforme des statuts de la société mis à jour ;
- le curriculum vitae de chacun des associés appelés à participer aux missions d’audit des
établissements de crédit.
Article 5
Toute demande d’agrément doit être accompagnée d’une attestation, conforme au modèle joint en
annexeIII, dûment datée et signée par un responsable habilité à le faire, par laquelle l’établissement de
crédit certifie que le choix de l’auditeur externe a été effectué dans le respect des dispositions prévues
par la présente circulaire.
Article 6
Dans le cas où l’auditeur externe fait appel, dans le cadre de sa mission, à des experts ne faisant pas
partie de son effectif pour effectuer des travaux ponctuels, il est tenu de s’assurer que ces personnes
n’enfreignent pas les dispositions légales relatives aux incompatibilités visées au point 3 de l’article 3
ci-dessus.
Article 7
La DCEC peut demander communication de tous autres renseignements qu’elle estime nécessaires
pour l’instruction des demandes d’agrément.
Article 8
Les auditeurs externes sont agréés pour un mandat de 3 ans renouvelable.
Les demandes de renouvellement des agréments doivent être adressées à la DCEC selon les modalités
prévues aux articles 2 à 5 ci-dessus.
Article 9
Le renouvellement de l’agrément des auditeurs externes ayant exercé leur mission, auprès d’un même
établissement, durant deux mandats consécutifs ne peut intervenir :
- qu’à l’expiration d’un délai de trois ans, dans le cas des auditeurs externes exerçant à titre
indépendant,
- que sous réserve du remplacement de l’associé responsable de la mission d’audit, en ce qui
concerne les auditeurs externes exerçant en qualité de sociétés d’experts-comptables.
Article 10

268
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

La décision d’octroi de l’agrément ou, s’il y a lieu, de refus de l’agrément dûment motivée, est notifiée
à l’établissement de crédit concerné, 30 jours maximum à compter de la date de réception définitive du
dossier de demande d’agrément.
Article 11
Bank Al-Maghrib peut adresser un avertissement à tout auditeur externe qui ne s’acquitte pas de sa
mission avec la compétence et la diligence requises ou faillit à ses engagements.
Article 12
Bank Al-Maghrib peut suspendre ou, le cas échéant, retirer l’agrément à un auditeur externe,
lorsque celui-ci :
- se trouve, en infraction au regard des dispositions législatives relatives aux incompatibilités
prévues par la loi 15-89, le dahir portant loi n° 1-93-147 ou la loi 17-95 précités,
- fait l’objet de mesures disciplinaires de la part de l’ordre des experts-comptables ou de sanctions
pénales en application des dispositions de la loi n° 15-89 susvisée,
- ne tient pas compte de l’avertissement qui lui a été adressé par Bank Al-Maghrib, en application
des dispositions de l’article 11 ci-dessus.
Article 13
La décision de suspension ou de retrait de l’agrément est notifiée à l’établissement de crédit concerné
qui doit soumettre à la DCEC une demande d’agrément d’un nouvel auditeur externe, selon les
modalités prévues aux articles 2 à 5 ci-dessus.
Article 14
La décision de révocation du mandat d’un auditeur externe, par l’établissement de crédit lui-même,
doit être préalablement notifiée à Bank Al-Maghrib et dûment motivée.
L’auditeur externe peut, à sa demande, être entendu par Bank Al-Maghrib.
Article 15
Les établissements de crédit communiquent, chaque année, à la DCEC, copie de la lettre de mission
précisant notamment l’étendue des travaux devant être entrepris par l’auditeur externe ainsi que les
moyens humains qu’il prévoit à cet effet.

TITRE II : MISSION DES AUDITEURS EXTERNES


Article 16
La mission de l’auditeur externe consiste à établir :
- un rapport dans lequel il formule une opinion sur la régularité et la sincérité de la comptabilité et
atteste que celle-ci donne une image fidèle du patrimoine, de la situation financière et des résultats
de l’établissement de crédit,
- un rapport détaillé dans lequel sont consignées :
* ses appréciations sur l’adéquation et l’efficience du système de contrôle interne de l’établissement de
crédit, eu égard à sa taille, à la nature des activités exercées et aux risques encourus,
* les observations et anomalies relevées au cours de ses investigations dans les différents domaines
prévus par a présente circulaire.
Article 17
Les travaux nécessaires à l’accomplissement de la mission d’audit doivent être planifiés et exécutés
sur la base d’un programme qui tient compte de la qualité du système de contrôle interne de
l’établissement de crédit et des normes professionnelles prévues en la matière.

CHAPITRE I : EVALUATION DU SYSTEME DE CONTROLE INTERNE


Article 18
L’auditeur externe procède à l’évaluation de la qualité du système du contrôle interne de
l’établissement de crédit eu égard aux dispositions de la circulaire de Bank Al-Maghrib n°
6/G/2001 relative au même objet.
Article 19
L’auditeur externe procède à l’appréciation de l’organisation générale et des moyens mis en œuvre
pour assurer le bon fonctionnement du contrôle interne, compte tenu de la taille de l’établissement de
crédit, de la nature des activités exercées et des risques encourus.

269
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

L’évaluation de l’organisation générale et des moyens du contrôle interne est faite à l’occasion du
premier rapport établi dans le cadre de la présente circulaire. Les rapports ultérieurs peuvent ne
comporter que les changements qui affectent les domaines susvisés.
Article 20
L’auditeur externe évalue la qualité et l’adéquation du dispositif mis en place pour la mesure, la
maîtrise et la surveillance du risque de crédit en procédant notamment à l’analyse :
- des modalités de décision, d’exécution et de gestion des crédits ;
- des procédures de recouvrement des créances et des modalités de classification des créances en
souffrance et de leur provisionnement ;
- des procédures de centralisation des risques, de reporting interne et de surveillance du respect des
limites réglementaires et de celles fixées par les organes compétents de l’établissement de crédit.
Article 21
L’auditeur externe apprécie la qualité et l’efficience du dispositif de mesure, de maîtrise et de
surveillance des risques de marché, en procédant notamment à l’examen :
- des modalités de décision, d’exécution et d’enregistrement des opérations de marché ;
- des procédures de mesure de l’exposition aux risques inhérents à ces opérations ;
- de la méthode de calcul des résultats opérationnels et de leur rapprochement avec les soldes
comptables ;
- des procédures d’appréhension du risque de règlement ;
- des mécanismes de reporting interne et des méthodes de surveillance du respect des limites
réglementaires et de celles fixées par les organes compétents de l’établissement.
Article 22
L’auditeur externe apprécie la qualité et l’adéquation du dispositif de mesure, de maîtrise et de
surveillance du risque global de taux d’intérêt et de liquidité, en procédant, en particulier, à
l’évaluation :
- des procédures d’appréhension de l’exposition globale au risque de taux d’intérêt ;
- des procédures de mesure et de suivi des principaux déterminants de la liquidité ;
- des mécanismes de reporting interne et des modalités de surveillance du respect des limites
réglementaires et de celles fixées par les organes compétents de l’établissement.
Article 23
L’auditeur externe apprécie l’adéquation des dispositifs mis en place pour :
- prévenir les fraudes, manipulations et erreurs susceptibles d’engager la responsabilité de
l’établissement de crédit ou de porter atteinte à l’intégrité de ses actifs ou de ceux de la clientèle ;
- empêcher que l’établissement ne soit impliqué, à son insu, dans des opérations financières liées à
des activités illicites ou de nature à entacher sa réputation ou de porter atteinte au renom de la
profession ;
- garantir la sécurité des personnes et des biens.
Article 24
L’auditeur externe apprécie la fiabilité et l’intégrité du système de traitement de l’information
comptable et de gestion en procédant notamment à l’évaluation :
- du dispositif de sécurité du système d’information
- de la fiabilité de la piste d’audit ;
- des procédures comptables et de contrôle de l’information.
Article 25
Les lacunes significatives relevées dans les différents dispositifs du contrôle interne doivent être
portées, dès leur constatation, à la connaissance de l’organe de direction et du Comité d’audit de
l’établissement de crédit.
Article 26
L’auditeur externe fait état dans son rapport détaillé des insuffisances significatives constatées au
niveau :
- de l’organisation générale du contrôle interne ;
- des dispositifs de contrôle visés aux articles 20 à 23 ci-dessus, tout en précisant le nombre et les
montants des dépassements des limites réglementaires et/ou internes ;
- du système de traitement de l’information.

270
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Il signale si ces anomalies sont portées de manière régulière à la connaissance des organes
d’administration et de direction de l’établissement et si elles donnent lieu aux mesures de redressement
appropriées.
Il fait, également, état des recommandations susceptibles de pallier les faiblesses et insuffisances
relevées.
Article 27
L’auditeur externe est tenu de signaler à Bank Al-Maghrib, dans les meilleurs délais, tout fait ou
décision dont il a eu connaissance au cours de l’exercice de sa mission et qui est de nature à constituer
une violation des dispositions législatives ou réglementaires applicables aux établissements de crédit, à
affecter la situation financière de l’établissement audité ou à porter atteinte à la renommée de la
profession.

CHAPITRE II : REVISION DE LA COMPTABILITE


Article 28
L’auditeur externe vérifie que les comptes annuels de l’établissement de crédit sont élaborés dans le
respect des principes comptables et des méthodes d’évaluation prescrites par le plan comptable des
établissements de crédit (PCEC) et qu’ils sont présentés conformément aux règles prévues par ce plan.
Article 29
L’auditeur externe vérifie par sondage, sur la base d’un échantillon représentatif, la régularité et la
correcte comptabilisation des opérations ainsi que la conformité et la cohérence des soldes comptables.
il procède également, à l’examen des mouvements des comptes et à l’analyse des pièces justificatives.
Article 30
L’auditeur externe procède à l’examen des principes comptables et méthodes d’évaluation adoptées
par l’établissement de crédit et ayant trait notamment à :
- la classification des créances en souffrance et leur couverture par les provisions ainsi qu’à la
comptabilisation des agios y afférents ;
- l’évaluation des garanties prises en considération pour le calcul des provisions ;
- la comptabilisation et au traitement des créances restructurées et des provisions et agios y
afférents ;
- l’imputation des créances irrécouvrables au compte de produits et charges ;
- la comptabilisation et l’évaluation à l’entrée et en correction de valeur des différents portefeuilles
de titres ;
- l’évaluation des éléments libellés en devises et à la comptabilisation des écarts de conversion ;
- la constitution des provisions pour risques et charges ;
- la prise en compte des intérêts et des commissions dans le compte de produits et charges ;
- l’évaluation et à l’amortissement des immobilisations corporelles et incorporelles ;
- la réévaluation des immobilisations corporelles et financières.
Article 31
L’auditeur externe apprécie la qualité des actifs et des engagements par signature de l’établissement de
crédit à l’effet notamment d’identifier les moins-values et les dépréciations, réelles ou potentielles, et
de déterminer le montant des provisions nécessaires à leur couverture, compte tenu des dispositions
réglementaires en vigueur.
Article 32
L’évaluation de la qualité du portefeuille de crédits se fait sur la base d’un échantillon représentatif
tenant compte de la nature de l’activité, de la taille et de la qualité du système de contrôle interne de
l’établissement de crédit ainsi que des dispositions précisées ci-après.
L’examen des risques est effectué en donnant la priorité :
- aux crédits dont l’encours, par bénéficiaire tel que défini par la circulaire n° 3/G/2001 relative au
coefficient maximum de division des risques, est égal ou supérieur à 5 % des fonds propres de
l’établissement de crédit ;
- aux concours consentis aux personnes physiques et morales apparentées à l’établissement, telles
que définies par le PCEC ;
- aux autres dossiers de crédit présentant un risque anormal (créances ayant enregistré des impayés
ou fait l’objet de consolidation, crédits consentis à des clients opérant dans des secteurs
connaissant des difficultés, etc).

271
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Les critères au vu desquels est déterminé l’échantillon susvisé doivent être précisés et justifiés dans le
rapport détaillé, en indiquant la part examinée dans l’encours total des crédits.
Article 33
Les anomalies et insuffisances significatives relevées dans la comptabilité ou dans les états financiers
ainsi que les omissions d’informations essentielles pour la bonne appréciation du patrimoine, de la
situation financière et des résultats de l’établissement, doivent être portées à la connaissance de
l’organe de direction en vue de leur redressement.
Article 34
L’auditeur externe fait état dans ses rapports des ajustements, considérés comme significatifs au regard
des normes de la profession en vigueur, qui doivent être apportés aux états de synthèse en précisant en
particulier :
- le montant des créances en souffrance non classées ;
- le montant de l’insuffisance des provisions nécessaires pour la couverture des créances en
souffrance ;
- le montant de l’insuffisance des provisions nécessaires pour la couverture des dépréciations du
portefeuille titres ;
- le montant de l’insuffisance des provisions pour dépréciations des autres actifs ;
- le montant de l’insuffisance des provisions pour risques et charges ;
- le montant des soldes injustifiés ;
- tout autre écart matériel constaté par rapport aux normes comptables et méthodes d’évaluation
prescrites par le PCEC.
Il mentionne également les autres ajustements qui, à son avis, doivent être apportés aux déclarations
adressées à Bank Al-Maghrib, en particulier, celles ayant trait à la réglementation prudentielle et aux
emplois obligatoires.

TITRE III : DISPOSITIONS DIVERSES ET TRANSITOIRES


Article 35
Les rapports visés à l’article 16 ci-dessus, dûment datés et signés par l’auditeur externe, doivent être
adressés, par celui-ci, à la DCEC au plus tard :
- 15 jours, avant la date de la réunion de l’assemblée générale ordinaire des actionnaires de
l’établissement de crédit concerné ou de l’organe social en tenant lieu, en ce qui concerne le
rapport d’opinion ;
- le15 juin de l’exercice suivant celui au titre duquel l’audit est effectué, pour ce qui est du rapport
détaillé.
Article 36
La DCEC peut saisir les auditeurs externes pour leur demander tous éclaircissements et explications à
propos des conclusions et opinions exprimées dans leurs rapports et, le cas échéant, de mettre à sa
disposition les documents de travail sur la base desquels ils ont formulé ces conclusions et opinions.
Elle peut également, à cette fin, tenir des réunions de travail avec les auditeurs externes.
Article 37
Les établissements de crédit sont tenus de mettre à la disposition des auditeurs externes tous les
documents et renseignements que ceux-ci estiment nécessaires pour l’accomplissement de leur
mission.
Article 38
Les établissements de crédit organisent des réunions périodiques entre leurs auditeurs externes et leurs
auditeurs internes, à l’effet d’examiner les questions ayant trait au système de contrôle interne et aux
autres questions d’intérêt mutuel.
Article 39
Les établissements de crédit communiquent à la DCEC, à sa demande et dans les délais fixés par elle,
les mesures prises et celles qu’ils envisagent de mettre en œuvre pour remédier aux lacunes, erreurs et
insuffisances relevées par l’auditeur externe.
Article 40
Les demandes d’agrément relatives aux auditeurs externes qui, à la date de publication de la présente
circulaire assurent la mission d’audit auprès des établissements de crédit, doivent être adressées à la

272
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

DCEC dans un délai de 60 jours maximum à compter de cette date, accompagnées de la lettre de
mission visée à l’article 15 ci-dessus.
Article 41
Les dispositions de la présente circulaire entrent en vigueur à compter de la date de sa publication.

273
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Bibliographie

274
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

275
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

BIBLIOGRAPHIE

Ouvrages.
ƒ Antoinne Sardi, Audit et inspection bancaires - l'audit interne- Editions Afges, Septembre
2002.
ƒ Antoinne Sardi, Pratiques de la comptabilité bancaire, Editions Afges, 1999.
ƒ Coopers & Lyberland, IFACI, La nouvelle pratique du contrôle interne - Editions des
organisations, Octobre 1994.
ƒ Michel Rouach, Gérard Nauleau, Le contrôle de gestion bancaire et financier - Edition
Economica, Septembre 1999.
ƒ Jean-Michel Errera, Christian Jimenez, Pilotage bancaire et contrôle interne - Edition les
Eska, Juillet 1999.
ƒ Amine Tarazi, Risques bancaires, déréglementation financière et réglementation
prudentielle : Une analyse en terme d'espérance-variance.
ƒ Siruwet, Jean Luc, Roessler, Lydia, Le contrôle comptable bancaire, un dispositif de
maitrise des risques : normes, techniques et mise en œuvre.
ƒ Azedine Berrada, Techniques de banques et de crédit. Edition 2000.
ƒ COBIT (Gouvernance, Contrôle et Audit de l’Information et des Technologies Associées)
ƒ Brokers and dealers in securities : Guide d’audit publié par l’American Institute of
Certified Public Accountant.
ƒ R.VATIER, "L'audit : Qu'est-ce que c'est?", Personnel, n°362, juillet 1995.
ƒ R.VATIER, "L'audit social", Personnel, n°365, décembre 1995.
ƒ A.AUBERT, "L'audit : Des représentations éclatées", Education Permanente,
n°132/1997-3, 1997.
ƒ "Audit social au service du management des ressources humaines : professionnalisme
des consultants", ISEOR, Economica, Paris, 1994.

Thèses & mémoires.


ƒ Gestion des risques bancaires : enjeux réglementaires et opérationnels, Hamid Atide,
Mémoire d'Expertise Comptable Marocain, Session Mai 2004.
ƒ Evaluation du risque de crédit en matière bancaire, Ilhame Loubna Lahlou, Mémoire
d'Expertise Comptable Marocain, Session Novembre 1999.
ƒ Le suivi des risques d'une banque : approche méthodologique et outils d'analyse, Lorin
Christophe, Mémoire d'Expertise Comptable Français, Session Mai 2000.

Publications des organismes professionnels.


ƒ Principes fondamentaux pour un contrôle bancaire efficace- Comité de Bâle sur le
contrôle bancaire- Septembre1997.
ƒ Note de Stratégie du Secteur Financier, Rapport de la Banque Mondiale sur le Maroc,
Septembre 2000.
ƒ Rapport de la Banque Mondiale sur le respect des normes et codes (RRNC) Royaume
du Maroc Comptabilité et Audit 25 juillet 2002.
ƒ North African Banks Lack Momentum Amid Turbulent Regional Environment , Standard &
Poor's, September 2003.
ƒ Bank Industry Risk Analysis : Morocco (Kingdom of) , Standard & Poor's, November
2003.
ƒ Value and Reporting in the Banking Industry, Edition PricewaterhouseCoopers.
ƒ Challenges of the new Basel Accord - Actions for senior management, Edition
PricewaterhouseCoopers.
ƒ Implementation the New Basel Accord, Edition PricewaterhouseCoopers.

276
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Operational Risk Management, Basel Committee on Banking Supervision , September


1998.
ƒ Nouvel accord de Bale sur les fonds propres : note explicative, Secrétariat du Comité de
Bale sur le Contrôle bancaire, Janvier 2001.
ƒ Nouvel accord de Bale sur les fonds propres : Comité de Bale sur le Contrôle bancaire,
Janvier 2001.
ƒ Internal Control and Audit Weakness for Foreign Banks US Branches, GAO, September
1997.
ƒ Principes fondamentaux pour un contrôle interne efficace, Comité de Bale sur le contrôle
bancaire, Septembre 1997.
ƒ Internal control Management and Evaluation Tool, GAO (United States General
Accounting Office), August 2001.
ƒ Rapports de Bank Al Maghrib 2003,2002 et 2001.

Publications réglementaires.
ƒ Rapport annuel sur le contrôle, l’activité et les résultats des établissements de crédit,
exercice 2004.
ƒ Circulaires de Bank Al Maghrib N°6,N°9,N°19.
ƒ Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke, ratio de
division des risques, ratio de liquidité, réserve monétaire"
ƒ Règlement Français N°97-02 sur le contrôle interne bancaire.
ƒ Loi bancaire marocaine de 1993.
ƒ Livre blanc de la commission bancaire française relatif à la sécurité des systèmes
d'information 1995.
ƒ Circulaire D1/EB/2002/6 : sur le contrôle interne ainsi que sur la fonction d’audit interne
et la fonction de Compliance des entreprises d’investissement. Commission bancaire et
financière Bruxelles, le 14 novembre 2002.

Publications spécialisées.
ƒ Le secteur bancaire au Maroc © MINEFI – DREE/TRÉSOR Prestation réalisée sous
système de management de la qualité certifié AFAQ ISO 9001, le 26 juillet 2004.
ƒ Le rôle du contrôle interne, Georges Ravet ( de la caisse d'epargne) - Revue Banque
Magazine N°616, Juillet-Aout 2000.
ƒ Bale II - Plus de règles, moins de fonds propres? Yves Burger (Standard & Poor's) -
Revue Banque Magazine N°654, 01/01/2002.
ƒ Le Contrôle interne des systèmes d’information. Revue Banque Magazine N°558,
01/09/1998.
ƒ Une méthode pour les procédures de contrôle. Revue banque Magazine N°598,
01/12/1998.
ƒ Risques de marché : la construction des modèles internes. Revue Banque Magazine
N°592 01/05/ 1998.
ƒ Le système de Contrôle interne des établissements de crédit - Institut Monétaire
Européen - Revue d’économie financière n°48 (juillet 1998).
ƒ Banque et Risque - Revue Horizons bancaire du Crédit Agricole N°313 – Mai 2002.
ƒ Gestion des risques : Comptabilité et évaluation des risques bancaires, Etienne Boris
(PricewaterhouseCoopers) - Revue Banque Magazine N°654, 01/01/2002, Revue
Banque magazine - (N°616)- (ISBN/ISSN)- 01/07/2000.
ƒ La chronique du risk management avec PricewaterhouseCoopers - Systèmes
d'information - Technologie XBRL : une réelle opportunité pour Bal II, Jimmy Zou
(PricewaterhouseCoopers) - Marie-Jeanne Deverdun (PricewaterhouseCoopers),
Banque Magazine - (N°656) - 01/03/2004.

277
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

ƒ Risque opérationnel : l'apport des outils automatisés de gestion des risques, Marie
Agnès Nicolet (Deloitte Touche Tohmatsu) - Banque magazine - (N°654) - 01/01/2004.
ƒ Méthodologie : le suivi du risque opérationnel, Sylvie Lépicier (LGB Finance) - Yann Le
Tallec (LGB Finance) - Banque magazine - (N°652) - 01/11/2003.
ƒ Métiers de la banque - IAS/Bale II : quels nouveaux profils ? , Anne Drif (Revue Banque)
- Banque magazine - (N°652) - 01/11/2003.
ƒ Débat : Bale II et la stabilité financière, Michel Dietsh (Institut d'études politiques de
Strasbourg) - Dominique Garabiol (Groupe Caisse d'Epargne) - Pierre-Yves Thoraval
(Commission Bancaire) - Alain Duchâteau (Secrétariat général commission bancaire) -
Banque magazine - (N°651) - 01/10/2003.
ƒ Bale II- Asset managers et risque opérationnel : les nouveaux paradoxes, Didier Benâtre
(PricewaterhouseCoopers)- Isaak Look (PricewaterhouseCoopers) - Banque magazine-
(N°651) - 01/10/2003.
ƒ Audit Committee and Governance Survey Results. Deloitte and Touche , Avril 2003
ƒ Global Internal Audit : The New Reality , Deloitte Touche Tohmatsu 2003.
ƒ Global Banking Industry Outlook : Top 10 Issues , Deloitte Touche Tohmatsu 2004.
ƒ Doyon, M. (1996) “Tuned in Management”, Internal Auditor, december.
ƒ Hopkins, D. (1996) The Auditing Business, Internal Auditor, october.
ƒ Audit Committee Newsletter KPMG’s Audit Committee Institute Edition 1, avril 2003
ƒ L’audit et le contrôle internes - Mise à niveau en Audit - Mounim Zaghloul, Consultant -
CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Réseau BKR
International, 12 au 14 Septembre 2002.
ƒ Bale II : Genèse et enjeux Conférence-débat association d'économie financière -
Commission Bancaire, Banque de France et Eurosysteme jeudi 27 mai 2004.
ƒ L’approche risque au centre de l’audit bancaire par Barbara Lambert Partner, Ernst &
Young SA/Switzerland et Antonio Mira Senior Manager, Ernst & Young SA/Switzerland -
Revue L’AGEFI – Haute Finance Novembre 2003.
ƒ Analyse, mesure et contrôle des risques dans le monde bancaire Pierre-Yves Thoraval
(Secrétariat général de la Commission bancaire), Directeur de la Surveillance générale
du Système bancaire 1ères Rencontres Internationales Institut Europlace de Finance - 4
juillet 2003
ƒ Evaluation du risque de crise bancaire - Rapport trimestriel BRI (Banque des Règlements
Internationaux) , décembre 2002.
ƒ Basel Committee on Banking Supervision Internal audit in banks and the supervisor’s
relationship with auditors - A survey August 2002 Bank For International Settlements
(BRI).
ƒ Le système bancaire dans la tourmente - Par Ibrahim Warde Chercheur au Center for
International Studies, Massachusetts Institute of Technology (Cambridge), auteur de The
Financial War on Terror (IB Tauris, Londres, à paraître) - Le Monde Diplomatique
novembre 1998.
ƒ L'analyse des risques opérationnels : un enjeu qui dépasse le secteur bancaire - Par
Jean-François Pirus PDG de la société de conseil Internet Business Services, et
responsable du site BPMS.info, deux entités spécialisées dans le management des
processus. (19/03/2004).
ƒ Le nouveau métier de "Responsability Manager" par Yves Medina, déontologue de
PricewaterhouseCoopers, conseiller-maître à la Cour des comptes et vice-président de
l'Observatoire sur la responsabilité sociétale des entreprises (ORSE). Les Echos, L'Art
de la gestion des risques 13 décembre 2000.
ƒ Vers une nouvelle approche de risque par Dominique Chesneau, associé chez
PricewaterhouseCoopers, Les Echos, L'Art de la gestion des risques 13 décembre 2000.

278
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________

Sites Internet.
ƒ http://www.federalreserve.gov/boardocs/supmanual :
ƒ http//pwc.com
ƒ http//bpms.info
ƒ http://www.iviq.org
ƒ http://www.nbb.be
ƒ http://www.monde-diplomatique.fr

279