Vous êtes sur la page 1sur 72

Cahier de la

Recherche

De la cartographie
des risques
au plan daudit
LIFACI est affili
Ralis par le Groupe Professionnel Banque The Institute of Internal Auditors
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

D ANS LA MME COLLECTION

La cartographie des risques 2me dition, Groupe Professionnel Assurance (septembre 2013)
Laudit du versement des subventions aux associations, Groupe Professionnel Collectivits
Territoriales (fvrier 2013)
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable
projet, Unit de Recherche Informatique IFACI (dcembre 2012)
Laccs et la conservation des dossiers relatifs aux missions daudit, Unit de Recherche IFACI (octobre
2012)
La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)
Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octo-
bre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011)
La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de
lIFACI (dcembre 2010)
La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010)
Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne effi-
cient, Groupe Professionnel Banque (Avril 2010)
Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010)
Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009)
Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008)
Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dve-
loppement durable ?, Unit de Recherche IFACI (juin 2008)
Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche
IFACI (mai 2008)
Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novem-
bre 2007)
Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises
dinvestissement 2me Edition, Groupe Professionnel Banque (janvier 2007)
Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006)
Une dmarche de management des connaissances dans une direction daudit interne, Unit de
Recherche IFACI (mai 2006)
Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005)
Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005)
tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie
et commerce (janvier 2004)
Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel
Banque (fvrier 2004)
Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA
Traduction IFACI (2001)
Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001)
Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction
IFACI (2000)
Pour plus dinformations : www.ifaci.com

2 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

R EMERCIEMENTS

LIFACI tient tout particulirement remercier toutes les personnes qui ont contribu aux diffrentes
tapes de ce cahier :

Conception et rdaction :
Bruno BURESI, Inspecteur principal, Barclays
Christophe DEBOUDT, Directeur de laudit, Groupe COFIDIS Participations
Edwige DUTERRAGE-BAUDIN, Responsable du ple Ressources & prospectives, La Banque Postale
Isabelle FALET-MANGIN, Auditeur senior, Groupe COFIDIS Participations
Benjamin HACKNEY, Auditeur interne, CDC
Christiane LEGAT, Directeur de laudit interne, GE Corporate Finance Bank, Animateur de lunit de
recherche
Vincent LUNEAU, Responsable audit filiales, Crdit Foncier
Christian MASCLE-ALLEMAND, Inspecteur principal, BPCE
Arlette RAIMBAULT, Charge des affaires internes et de lappui aux missions, Ple Ressources & pros-
pectives, La Banque Postale
Frdric SERVRANCKX, Responsable du Risk Assessment, Direction du Contrle priodique, Socit
Gnrale
Beatrice VEDRENNE-ROBSON, Directeur de lInspection gnrale, Barclays

Comit de rdaction compos de :


Annie BRESSAC, Consultante
Christophe DEBOUDT, Directeur de laudit, Groupe COFIDIS Participations
Benjamin HACKNEY, Auditeur interne, CDC
Batrice KI-ZERBO, Directeur de la Recherche, IFACI
Christiane LEGAT, Directeur de laudit interne, GE Corporate Finance Bank
Christian MASCLE-ALLEMAND, Inspecteur principal, BPCE

Relecture :
Groupe Professionnel Banque de lIFACI prsid par Frdric GEOFFROY, Responsable de
laudit interne, Banque de financement et dinvestissement de la Socit Gnrale (SGCIB) et directions
fonctionnelles.

La rvision a t assure par :


Julie FERRE, Charge de projets Recherche, IFACI

Philippe MOCQUARD, Dlgu Gnral, IFACI

IFACI 3
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

S OMMAIRE
Introduction .............................................................................................................................................. 7

1- Pourquoi une cartographie des risques par laudit interne ? ..................................................... 9


1.1- Les exigences et attentes des parties prenantes ...................................................................... 11
1.1.1- Les exigences des rgulateurs .......................................................................................... 11
1.1.1.1- Les exigences relatives la cartographie globale des risques ............................. 11
1.1.1.2- Des cartographies de risques spcifiques .............................................................. 17
1.1.2- Les attentes des organes de gouvernance ...................................................................... 19
1.2- Bnfices attendus de la cartographie des risques par l'audit interne .................................. 20
1.2.1- Un outil pour rpondre aux exigences des Normes Professionnelles
de lAudit Interne ........................................................................................................................ 20
1.2.2- Une rponse dautres besoins ....................................................................................... 20

2- Ltablissement dune cartographie des risques exhaustive .................................................... 23


2.1- Choix mthodologiques ............................................................................................................. 24
2.1.1- Primtre et granularit de la cartographie .................................................................... 24
2.1.1.1- Principe de lexhaustivit du primtre couvrir ................................................. 25
2.1.1.2- Granularit de la cartographie ............................................................................... 25
2.1.1.3- Les diffrentes approches ....................................................................................... 26
2.1.2- Nature des risques couvrir ............................................................................................ 27
2.2- Ralisation de la cartographie des risques ............................................................................... 28
2.2.1- Sources dinformation pour laudit interne .................................................................... 29
2.2.1.1- Les directions fonctionnelles .................................................................................. 30
2.2.1.2- Les organes de gouvernance et les comits techniques ...................................... 31
2.2.1.3- Les autres cartographies existantes ........................................................................ 34
2.2.1.4- La prise en compte des rsultats du contrle permanent ................................... 36
2.2.2- Analyse et valuation des risques .................................................................................... 37
2.3- Mise jour de la cartographie .................................................................................................. 38
2.3.1- Priodicit .......................................................................................................................... 39
2.3.2- La prise en compte des rsultats des audits raliss en cours danne ...................... 39

4 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

3- De la cartographie des risques au plan daudit .......................................................................... 41


3.1- Pourquoi un plan daudit ? ........................................................................................................ 42
3.1.1- Une nouvelle recommandation ....................................................................................... 42
3.1.2- Une exigence rglementaire ............................................................................................ 42
3.1.3- Une norme professionnelle .............................................................................................. 43
3.1.4- Une saine pratique de gestion ......................................................................................... 43
3.2- Autres contributions au plan daudit ........................................................................................ 43
3.3- Passage de la cartographie des risques au plan daudit .......................................................... 45
3.3.1- Exigence pralable ............................................................................................................ 45
3.3.2- Etapes successives ............................................................................................................. 45
3.4- Communication du plan daudit et des rsultats de la cartographie .................................... 47

Conclusion ............................................................................................................................................... 49

Glossaire .................................................................................................................................................. 51

Annexes .................................................................................................................................................... 55
Annexe 1 : Extraits du Rglement CRBF 97-02 ............................................................................... 56
Annexe 2 : Prudential sourcebook for Banks, Building Societies and Investment Firms ............ 60
Annexe 3 : International convergence of capital measurements and capital standards ............. 62
Annexe 4 : Supplemental Policy Statement on the Internal Audit Function
and Its Outsourcing ........................................................................................................................... 63
Annexe 5 : Convergence internationale de la mesure et des normes de fonds propres ............. 64
Annexe 6 : Exemple de Fiche dobjet auditable .............................................................................. 68

Bibliographie ........................................................................................................................................... 71

IFACI 5
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Avertissement aux lecteurs

Ce cahier de la recherche a t ralis partir de contributions de professionnels de laudit et du


contrle internes. Ce travail collectif, ralis sous lgide de lIFACI, fournit un tat des lieux des
pratiques professionnelles et des pistes damlioration qui nengagent pas les tablissements
reprsents.

IFACI Paris dcembre 2013 ISBN : 978-2-915042-53-5 ISSN : 1778-7327


Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants
droits, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction,
par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.

6 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

I NTRODUCTION

Le terme de cartographie est couramment associ la notion de risques. Utilis dans des domaines
aussi varis que la gopolitique (cartographie des risques pays), la mtorologie ou la sant publique,
la cartographie est naturellement trs prsente dans lunivers bancaire, o le risque constitue le cur
de mtier.

A lheure de la mondialisation des marchs de capitaux, le terme dtablissement de crdit, comme


celui de banque, recouvre une multitude dactivits. Limage traditionnelle de lagence de quartier nest
plus suffisante pour traduire ltendue des activits dsormais concernes. Sous la dnomination
dtablissement de crdit, on trouve des organisations complexes, souvent internationales, qui regrou-
pent des succursales, des filiales, ventuellement soumises des rglementations diffrentes, et qui
font appel des prestataires externes. Toutefois, mme si les activits financires sont soumises un
nombre important de risques, ces derniers peuvent tre regroups au sein dun nombre restreint de
catgories. Par exemple, lunit de recherche a retenu la nomenclature ci-aprs.

Crdit March

Oprationnel Non-conformit

Juridique Rputation

Stratgique

Un des apports de la cartographie des risques est quelle constitue une grille de lecture commune, qui
peut tre reprise aussi bien dans les politiques du Groupe que dans les descriptions de lenvironne-
ment de contrle de chaque filiale et succursale.

Pour le contrle priodique, elle revt une importance capitale pour la dfinition du programme de
chaque mission, ainsi que pour llaboration du plan daudit. En effet, les normes professionnelles de
laudit interne1 demandent que le plan daudit soit fond sur une valuation des risques.

La rglementation ne fournit pas de cadre mthodologique, et encore moins de modle de carto-


graphie des risques. De mme, elle nimpose pas explicitement laudit interne de raliser une carto-
graphie des risques.

1 Cadre de Rfrence International des Pratiques Professionnelles de laudit interne, IIA-IFACI, 2013

IFACI 7
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Lobjectif de ce cahier de la recherche est de prsenter pourquoi et comment, au sein des banques repr-
sentes dans le groupe de travail, la cartographie des risques labore par laudit interne peut consti-
tuer un outil efficace pour llaboration du plan daudit.

Prcisons que ces travaux ont t inscrits dans le contexte du seul mtier bancaire, et excluent donc les
activits dassurances.

Soulignons galement que ce cahier traite de la cartographie des risques tablie par laudit interne. Au-
del de la volont de respecter le principe dindpendance de la fonction, la cartographie des risques
mise en uvre par laudit interne prsente des spcificits qui la distinguent de celles labores par
dautres fonctions telles que la direction des risques ou de la conformit.
En effet :
le primtre doit tre global, voire exhaustif ;
la granularit de lanalyse doit correspondre la maille des objets auditables et des
missions ;
la priodicit et le niveau de lvaluation peut diffrer de ceux requis par une surveillance
permanente.

Le groupe de travail a t lanc en avril 2012. Au-del des rglementations bancaires, il sest appuy
sur :
Les rfrentiels COSO ( Committee of Sponsoring Organization of the Treadway Commission ) en
matire de gestion des risques et de contrle interne, notamment la composante Evaluation
des risques .
Les normes professionnelles de laudit interne (Cadre de Rfrence International des Pratiques
Professionnelles de lAudit Interne).

Lambition du cahier est de mettre en vidence les bnfices dune cartographie des risques ralise
par laudit interne et de proposer des bonnes pratiques pour son laboration et son utilisation.
la premire partie analyse les exigences rglementaires et les attentes auxquelles la cartogra-
phie des risques permet de rpondre ;
la deuxime partie dveloppe lapproche mthodologique que laudit interne peut mettre en
uvre pour construire une cartographie des risques exhaustive ;
la troisime partie prcise comment lon sappuie sur la cartographie pour laborer le plan
daudit.

8 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

PARTIE 1
P OURQUOI UNE CARTOGRAPHIE DES RISQUES PAR L AUDIT INTERNE ?

IFACI 9
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

La cartographie des risques est une dmarche dynamique didentification et dvaluation des
risques qui permet den donner une reprsentation synthtique et visuelle. Elle constitue ainsi un
outil de mise en vidence des risques couvrir en priorit.

Dfinition propose par lunit de recherche

Le primtre potentiel des risques bancaires gnriques est bien connu : risque de crdit, risque de
march et risque oprationnel (fraude, scurit au travail, pratiques commerciales, dommages aux
actifs physiques, interruption de lactivit et lacune de traitement des transactions, etc.). Lexercice
de cartographie doit permettre danalyser leurs causes, leurs consquences potentielles, et den
valuer limpact et la probabilit de survenance.

Cette dmarche est complexe. Elle soulve en effet des questions :


de mthode, comment dfinir :
- le catalogue des risques ,
- le degr de granularit,
- les conventions de description,
- les chelles de cotation
- etc.
de forme, quelle(s) reprsentation(s) retenir :
- tableau,
- axes de la carte,
- diagrammes,
- etc.
de finalit, comment arbitrer, articuler les diffrents objectifs de la cartographie des risques :
- outil de pilotage de lorganisation ou dune activit, elle est aussi le point dentre des
dmarches daudit et de contrle interne,
- comment rpondre diffrentes exigences ou attentes des parties prenantes ; en parti-
culier des rgulateurs, et des organes de gouvernance.

Laudit interne peut lui-mme mettre en uvre sa propre dmarche de cartographie des risques
afin de disposer dun outil :
qui lui permette de rpondre aux exigences des Normes Professionnelles de laudit interne
lies la planification de ses activits ;
qui soit adapt aux caractristiques de sa mission et en particulier son indpendance.

10 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

1.1 L ES EXIGENCES ET ATTENTES DES PARTIES PRENANTES

1.1.1 Les exigences des rgulateurs

Dans lenvironnement bancaire, la cartographie des risques rsulte dobligations rglementaires.


Pour un tablissement de droit franais, il sagit notamment :
du rglement CRBF 97-02 modifi, en tant qutablissement de crdit oprant sur le terri-
toire franais ;
des textes manant du comit de Ble.

Certaines rglementations trangres apportent des clairages complmentaires qui, sils ne sap-
pliquent pas obligatoirement aux entits intervenant France, peuvent constituer des bonnes
pratiques. A titre dexemple, il est intressant de prendre connaissance :
des dispositions de la Financial Services Authority (FSA), applicables aux tablissements
succursales dune banque britannique ;
des exigences de la Rserve fdrale amricaine (FED) applicables aux socits amricaines
installes en France.

1.1.1.1 Les exigences relatives la cartographie globale des risques

1.1.1.1.1 La vision du rglement CRBF 97-02 : la cartographie des risques comme


pilier du dispositif de contrle
La cartographie des risques est explicitement voque dans larticle 17 (Cf. annexe 1) du rglement
CRBF 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entre-
prises dinvestissement. Cet article fondateur constitue le corps du titre IV relatif aux systmes de
mesure des risques et des rsultats. Nous en citons ci-dessous le dbut :
Les entreprises assujetties mettent en place des systmes danalyse et de mesure des risques en les adap-
tant la nature et au volume de leurs oprations afin dapprhender les risques de diffrentes natures
auxquels ces oprations les exposent, et notamment les risques de crdit, de march, de taux dintrt global,
dintermdiation, de rglement et de liquidit ainsi que le risque oprationnel .

Larrt du 19 janvier 2010 modifie le rglement CRBF 97-02 en y insrant les articles 17 quater et
17 quinquies ci-dessous qui le rendent encore plus explicite sur le sujet de la cartographie :
Article 17 quater
Les entreprises assujetties mettent en place des systmes et procdures permettant dapprhender globa-
lement lensemble des risques associs aux activits bancaires et non bancaires de ltablissement, notam-
ment de crdit, de march, de taux dintrt global, dintermdiation, de rglement, de liquidit et
oprationnels.

IFACI 11
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Les systmes et procdures doivent permettre aux tablissements de disposer dune cartographie des
risques qui identifie et value les risques encourus au regard de facteurs internes (notamment la complexit
de lorganisation, la nature des activits exerces, le professionnalisme des personnels et la qualit des
systmes) et externes (notamment les conditions conomiques et les volutions rglementaires). Cette carto-
graphie :
a) Prend en compte lensemble des risques encourus ;
b) Est tablie par entit et/ou ligne de mtier, au niveau auquel est exerce, le cas chant, la surveil-
lance consolide ou complmentaire ;
c) Evalue ladquation des risques encourus par rapport aux orientations de lactivit ;
d) Identifie les actions en vue de matriser les risques encourus, par :
Le renforcement des dispositifs de contrle permanent ;
La mise en uvre des systmes de surveillance et de matrise des risques dfinis au titre V ;
La dfinition des plans de continuit de lactivit prvus larticle 14-1.

Article 17 quinquies
Lensemble des systmes viss aux articles 17 17 quater doivent faire lobjet dune actualisation et
dune valuation rgulires.

La cartographie voque ici est un croisement dynamique des risques-cls par rapport au contexte
de lorganisation traite, cest--dire son march, ses activits et ses processus. Il sagit ici de mener
une rflexion de fond destine poser plat les risques susceptibles de toucher lorganisation.
Cest un travail lourd et minutieux. En effet, il ne sagit pas dune simple analyse prospective.

La rglementation dtaille dont fait lobjet le secteur financier offre une premire base de travail
utile pour aborder le chantier dune cartographie : les risques-cls sont connus et dailleurs cits
dans le rglement CRBF 97-02.

12 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

La cartographie des risques est par ailleurs directement suggre dans trois autres articles comme
un outil central du dispositif de traitement des risques lis lactivit bancaire :

N
Mention associe Explications
article

[] Ce contrle interne comprend notamment : La cartographie est voque implicitement


a) un systme de contrle des oprations et des proc- ici travers sa finalit dappui la matrise
dures internes, progressive des risques.
b) une organisation comptable et du traitement de
linformation,
c) des systmes de mesure des risques et des rsul-
1 tats,
d) des systmes de surveillance et de matrise des
risques,
e) un systme de documentation et dinformation,
f) un dispositif de surveillance des flux despces et
de titres. []

Les entreprises assujetties sassurent que le La couverture exhaustive de la cartographie et


systme de contrle sintgre dans lorganisation, les la ncessit de ses interactions avec les
mthodes et les procdures de chacune des activits processus oprationnels de lorganisation sont
10 et que les dispositifs mentionns au b de larticle 6 mentionnes ici.
sappliquent lensemble de lentreprise, y compris ses
succursales, ainsi qu lensemble des entreprises
contrles de manire exclusive ou conjointe.

Pour la mesure des risques de march, les entreprises Nouveau rappel de la couverture exhaustive
assujetties veillent apprhender de manire complte de la cartographie.
et prcise les diffrentes composantes du risque.[...] Cest lun des rles de la cartographie que
doffrir une vision synthtique des diffrentes
composantes du risque de march (risque de
pertes encourues en cas dvolution dfavora-
26
ble des prix ou des paramtres de march
(taux, actions, marges de crdit et change)
affectant le portefeuille de ngociation, risque
de taux dintrt global, risque de liquidit,
risque de rglement, risque dintermdiation.)
(cf. partie 2.1.2).

1.1.1.1.2 Les prconisations du comit de Ble


Les exigences du rglement CRBF 97-02, notamment suite aux diffrents arrts de 2009 et 2010
(Cf. annexe 6), ont adopt, voire renforc, certaines des prconisations du Comit de Ble, relatives
la mesure des risques, et plus ou moins explicitement la cartographie des risques. En effet, le
dispositif d'adquation des fonds propres, adopt par le Comit de Ble en juin 20041, prvoyait
une couverture plus complte des risques bancaires et incitait les tablissements amliorer leur
gestion interne des risques.

1 Laccord sur la convergence internationale de la mesure et des normes de fonds propres, dit Ble II a t transpos en droit communautaire
par les directives 2006/48 et 2006/49 du 14 juin 2006 applicable dans les pays europens partir de 2007.

IFACI 13
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Le dispositif Ble II repose sur trois piliers :


une exigence minimale de fonds propres que chaque banque devra respecter afin de couvrir
le risque de crdit, les risques de march et le risque oprationnel gnrs par ses activits ;
une surveillance prudentielle individualise adaptable selon le profil de risque des tablis-
sements ;
de nouvelles exigences en matire de communication financire.

La validation des approches internes de mesure des risques est lun des enjeux majeurs de la mise
en uvre de Ble II. La cartographie des risques apparat ici encore comme un outil indispensable
de rponse la rglementation. En effet, cest elle qui donne lune des meilleures visions des
risques et de leurs interactions dans lentreprise.
Nous voyons que laccord de Ble II a explicitement vis les trois grandes catgories de risques
suivants :
crdit
march
oprationnel

La cartographie des risques (dsigne sous le terme risk mapping) est voque en tant quoutil pour
circonscrire spcifiquement le risque de crdit. Il est attendu que le processus de cartographie
(mapping process) aboutisse une pondration des risques cohrente avec le niveau de risque de
crdit :
Il incombe aux autorits de contrle daffecter les valuations des OEEC1 reconnus aux pondrations exis-
tantes dans le cadre de lapproche standard, cest--dire dtablir quelle pondration correspond chaque
catgorie dvaluation de crdit. Cette mise en correspondance doit tre objective et faire concider de faon
cohrente la pondration et le niveau de risque de crdit indiqu dans les tableaux ci-dessus, et ce pour toute
lchelle des pondrations. 2 (cf. annexe 3)

La construction effective de la cartographie fait par ailleurs lobjet de lannexe 2 du texte du Comit
de Ble, (cf. annexe 5) intitule : Standardised Approach implementing the mapping process .
Les travaux de pondration des risques traits dans la cartographie y font lobjet dun dveloppe-
ment spcifique. Les textes du Comit de Ble attachent en effet une importance particulire la
pondration des risques, appelant ainsi en prciser lanalyse. Il ne suffit pas de dresser une liste
des risques auxquels il est estim que lorganisation est soumise, il faut galement classer ces
risques les uns par rapport aux autres.

La publication en dcembre 2010 par le comit de Ble des accords dits Ble III entrane des
volutions significatives suivantes par rapport lancien texte :
amlioration de la qualit des fonds propres ;
renforcement du niveau des fonds propres ;

1 Organisme Externe dEvaluation de Crdit


2 Paragraphe 92 de Ble II Convergence Internationale de la mesure et des normes de fonds propres, Comit de Ble, juin 2006

14 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

matrise de leffet de levier (matrise de la croissance des bilans) ;


amlioration de la gestion de la liquidit ( court et long terme) ;
couverture des risques du portefeuille de ngociation.

Loin de remettre en cause limportance de la cartographie des risques, Ble III en souligne au
contraire lintrt en insistant sur les risques fondamentaux des organisations bancaires (risque en
fonds propres, risque de liquidit, de portefeuille). Ils fournissent galement des outils permettant
den accrotre la prcision (ratios de liquidit court/long terme) et vont dans le sens dune amlio-
ration du contrle du risque de contrepartie. Ils appellent finalement une analyse plus fine, plus
pousse dans la ralisation de la cartographie.

1.1.1.1.3 La vision de la FSA 1 : la cartographie des risques comme outil danalyse


initial

La cartographie des risques est clairement voque dans le FSA Handbook.


Dans le chapitre 6 du Prudential sourcebook for Banks, Building Societies and Investment Firms
relative au risque oprationnel, les points 6.4.10 et 6.4.11 (Cf. annexe 2) invitent la
construction dune cartographie. Ils exigent le dveloppement et la formalisation des poli-
tiques et critres spcifiques pour cartographier les processus mtiers et activits dans le
cadre de lapproche standardise.

La comprhension des mcanismes daffaires, cest--dire des processus, des marchs et des envi-
ronnements conomiques, est un pralable ncessaire la constitution dune cartographie solide
et durable dont la vision est sous-jacente la proposition du FSA Handbook.
Ce texte donne par ailleurs des cls pour amorcer la construction effective de la cartographie. En
particulier, il indique que toutes les activits doivent tre cartographies par lignes mtier tout en
permettant une vision densemble.

Ce chapitre prcise en outre que Le processus de cartographie des lignes de mtier doit tre soumis
des revues indpendantes . Ceci fait directement rfrence au rle de laudit interne qui, sil sappuie
sur la cartographie au lancement de chaque mission ou pour llaboration du plan daudit, a gale-
ment pour rle den revoir priodiquement lexhaustivit et la pertinence (cf. annexe 2).

1 Dbut 2013, la FSA a t scinde en deux autorits distinctes :


- Le FCA pour Financial Conduct Authority (www.fca.org.uk)
- Le PRA pour Prudential Regulation Authority (www.bankofengland.co.uk)
Le FSA Handbook, auquel on se rfre dans cette partie, a t scind en deux parties rattaches respectivement chacune des deux entits
cres.

IFACI 15
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Deux autres parties du FSA Handbook dveloppent galement la ncessit d'une


structuration de l'environnement de contrle et de la gouvernance d'un tablisse-
ment :

- SYSC Section du FSA Handbook


On retrouve dans cette partie du FSA Handbook la ncessit dun travail de fond
destin une formalisation synthtique des risques essentiels de lorganisation. L
aussi, cette formalisation naura de sens que si elle est exprime au travers du prisme
des activits et des processus-cls.
Ce texte introduit le concept cl de la gouvernance de la structure avec une organisation
claire incluant des rgles de responsabilits formelles, transparentes et cohrentes, des processus
effectifs destins identifier, grer, contrler et assurer le reporting des risques potentiels et
avrs, des mcanismes de contrle interne incluant des procdures administratives et compta-
bles adquates ainsi que les moyens ad hoc de sauvegardes des systmes informatiques .
Une gouvernance efficace permettra une exploitation maximale de la cartographie des
risques. A long terme, en permettant une circulation fluide et structure de linforma-
tion relative aux risques anticips, dtects et traits, elle sera galement lune des
garantes de la dynamique de la cartographie.

- FSA Handbook Principles


La deuxime partie du Handbook (Principles for Businesses) propose 11 principes gn-
riques parmi lesquels le principe n3 selon lequel Une socit doit prendre toutes les
mesures suffisantes afin dassurer un contrle responsable et effectif de ses oprations via un
systme adquat de management des risques.
Ce point renvoie implicitement la cartographie des risques, dont les caractristiques
naturelles (organisation, rationalisation, dynamique) en font un lment cl du systme
de management des risques.
L-encore, le texte suggre que lanalyse des risques nest pas complte sans prise en
compte de la diversit des activits et des processus-mtier de lorganisation.

Il est noter ici quune continuit existe entre les exigences du rglement CRBF 97-02 et celles du
rgulateur britannique. Cela apparat comme un gage de lisibilit et de cohrence des travaux, utile
dans le contexte actuel dune industrie financire rsolument internationalise.

Les apports de la cartographie des risques au contrle permanent des risques opra-
tionnels
La FSA commande aux tablissements relevant de son primtre de supervision la
construction dune cartographie des risques. Si cet exercice savre ncessaire en amont de
toute dmarche efficace de contrle priodique, elle est galement trs importante pour
soutenir leffort constant du contrle permanent. (Cf. annexe 2)

16 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Lide de fond est la mme dans le rglement CRBF 97-02 et le FSA Handbook, savoir proposer
une vision dtaille des processus de lentreprise et des risques associs afin de structurer lap-
proche du contrle interne et externe. En revanche, lanalyse approfondie des textes fait ressortir
des diffrences dapproches assez nettes :
Une notion dobligation forte dans le FSA Handbook, moins marque dans le rglement
CRBF 97-02.
Lexigence dune autovaluation de la cartographie dans le FSA Handbook, qui napparait
pas dans le rglement CRBF 97-02.
La focalisation du FSA Handbook sur le seul risque oprationnel, qui nest pas exclusive-
ment vis par le rglement CRBF 97-02.

1.1.1.1.4 La vision de la Rserve Fdrale amricaine


La Rserve Fdrale amricaine (FED) a publi le 23/01/2013 (Cf. annexe 4), un complment sa
politique dorigine relative la fonction daudit interne et son externalisation. Ce document
suggre notamment le renforcement de plusieurs pratiques daudit et notamment celles relatives
la cartographie des risques. A cet gard, le document indique :
que la comprhension que les auditeurs internes ont des activits significatives de ltablis-
sement et des risques associs est documente au travers dune valuation des risques
revue au moins une fois par an ;
que toute volution des risques pourra alimenter la revue du plan daudit afin, sil y a lieu,
dtendre ou de rduire le primtre des missions planifies.

La cartographie des risques apparat ici comme un outil de laudit interne, outil fondamental et
dynamique destin la structuration du plan daudit. La capacit de la cartographie des risques
alimenter les travaux de laudit interne est ici voque plus explicitement que dans les textes prc-
dents.

Si son objectif est la formalisation de la comprhension par laudit des activits et des risques
cls, la cartographie ralise par laudit interne devient un lment incontournable auquel les
cartographies tablies par dautres acteurs ne peuvent se substituer.

1.1.1.2 Des cartographies de risques spcifiques

Outre la cartographie des risques globale, il existe des cartographies spcifiques (protection de la
clientle, prestations externalises, etc.) sur lesquelles laudit interne peut sappuyer dans le cadre
de certaines missions ou pour alimenter sa propre dmarche dvaluation des risques.

Tel est le cas par exemple pour lanalyse du risque de blanchiment qui, avec le misselling (risque
de vente abusive), est lun des principaux risques rglementaires auxquels est confront

IFACI 17
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

aujourdhui un tablissement de crdit. Sa probabilit leve doccurrence, ainsi que la gravit de


ses impacts potentiels en font lun des enjeux dune cartographie des risques efficace.

A ce titre, une cartographie des risques spcifique la lutte contre le blanchiment et le financement
du terrorisme (LAB/FT) est explicitement voque dans larticle 11-7 du rglement CRBF 97-02.

Les entreprises assujetties se dotent [] dune classification des risques de blanchiment des capitaux et
de financement du terrorisme. [] [Celle-ci] value le niveau de risque des diffrents produits ou services
offerts, des modalits ou des conditions particulires des oprations effectues, des canaux de distribution
utiliss ainsi que des caractristiques de la clientle cible. [Elle] est mise jour selon une frquence rgu-
lire et la suite de tout vnement affectant significativement les activits, les clientles ou les implanta-
tions de lentreprise assujettie.

Il est important de noter que la construction et la mise jour de la cartographie ddie la LAB/FT
appartient au responsable LAB/FT et non laudit interne. Ce dernier, soucieux de considrer len-
semble des risques de lentreprise, doit en effet se concentrer sur une cartographie globale dont la
LAB/FT ne reprsentera quune composante.
Pour un tablissement de crdit, la cartographie spcifique dont il est fait tat ici sappuie sur un
nombre rduit mais incompressible de notions rglementaires :
la connaissance de la clientle lentre en relation et lors du suivi de la relation daffaires ;
le monitoring des transactions financires ;
le monitoring des relations daffaires par rapport aux listes de sanctions internationales ;
la formation adquate des contrleurs des niveaux 1 (oprationnels), 2 (contrle perma-
nent) et 3 (contrle priodique).

Ces lments sont galement les axes-cl dun audit sur la thmatique du blanchiment. A limage
de ce qui est propos par la FED (Cf. Partie 1.1.1.1.4), cette cartographie peut alimenter les travaux
de laudit.

Laudit interne peut aussi sappuyer sur la cartographie des risques oprationnels prconise dans
le Principles for the Sound Management of Operational Risk du Comit de Ble : The Business
process mappings identify the key steps in business processes, activities and organisational functions. They
also identify the key risk points in the overall business process.

Lexercice de cartographie des risques oprationnels est galement prsent dans le paragraphe
6.4.10 du Prudential sourcebook for Banks, Building Societies and Investment Firms dans le FSA (Cf.
Partie 1.1.1.1.3 et annexe 2) o il est prcis dune part que le risque oprationnel fait partie int-
grante de lexercice dvaluation des risques et, dautre part, que llaboration dune cartographie
des risques est un principe ncessaire.

18 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Par ailleurs, selon la position de lAMF n 2012-17, le risque de non-conformit doit galement
tre valu pour dterminer langle de travail des activits de contrle et de conseil de la fonction confor-
mit . Cette dernire peut donc sappuyer sur une cartographie pour laborer sur cette base ses
objectifs et son programme de travail .

La revue des diffrents textes rglementaires qui ont t prsents dans cette partie fait apparaitre
plusieurs points de convergence. Lun dentre eux nous parait devoir tre soulign, puisquil
explique et justifie une des options prises pour la rdaction de ce cahier de la recherche. En effet,
les textes rglementaires mettent en avant la ncessit de prendre en compte, non seulement le
contexte, mais aussi les activits spcifiques de chaque organisation. Une cartographie ne sera
significative que pour lorganisation dans laquelle elle a t btie. Cest pourquoi ce cahier de la
recherche ne contient pas de modle de cartographie, afin dviter toute tentation dappliquer de
manire indiffrencie un mme modle quelle que soit lorganisation. La construction de la carto-
graphie des risques est un exercice long et complexe, mais enrichissant et utile condition de rester
introspectif.

1.1.2 Les attentes des organes de gouvernance

Lvolution lgale a tendu explicitement, pour les socits cotes, le rle de surveillance du conseil
dadministration et du comit daudit au suivi de lefficacit des systmes de contrle interne et de
gestion des risques.

Pour le secteur bancaire, le rglement CRBF 97-02 inscrit dans le rle du comit daudit celui de
porter une apprciation sur la qualit du contrle interne, notamment la cohrence des systmes de
mesure de surveillance et de matrise des risques [] . (art 4 c)

Il prvoit que le responsable de la filire risques rend compte de lexercice de ses missions lorgane
excutif et lalerte de toute situation susceptible davoir des rpercussions significatives sur la matrise des
risques . Il peut galement rendre compte lorgane dlibrant ou au comit daudit. (art 11.8)

Par ailleurs, dans son article 37, le rglement CRBF 97-02 prcise que pour les informations desti-
nes lorgane excutif, au comit des risques, lorgane dlibrant, et le cas chant au comit daudit, les
entreprises assujetties doivent laborer des tats de synthse adapts .

Ainsi, les besoins dinformation des organes de gouvernance en matire de matrise des risques
sont de plus en plus importants. La cartographie des risques permet de disposer dun outil appro-
pri pour laborer un reporting adapt ces attentes.

IFACI 19
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

1.2 B NFICES ATTENDUS DE LA CARTOGRAPHIE DES RISQUES PAR L ' AUDIT INTERNE

1.2.1 Un outil pour rpondre aux exigences des Normes Professionnelles de


lAudit Interne

Le Cadre de Rfrence des Pratiques Professionnelles de laudit interne (CRIPP) donne des lignes
directrices sur lutilisation des risques dans le cadre de la planification. Ainsi, la Norme IIA/IFACI
2010 relative la planification demande au responsable daudit interne dtablir un plan daudit
fond sur les risques afin de dfinir des priorits cohrentes avec les objectifs de lorganisation . Il est
prcis (Norme 2010.A1) que le plan daudit interne doit sappuyer sur une valuation des risques
documente et ralise au moins une fois par an . De plus, les Modalits Pratiques dApplication
(MPA) 2010-11 et 2010-22 apportent des bonnes pratiques sur lutilisation du management des
risques dans le cadre de la planification de laudit interne.

En tablissant la cartographie des risques sur lensemble du primtre auditable, laudit interne
dispose dune base solide et formalise pour laborer son plan daudit.

Dans la Norme 2060 et la MPA 2060-1, il est prcis que le responsable de laudit interne doit
communiquer avec la direction gnrale et le Conseil, notamment de lexposition aux risques signi-
ficatifs.

1.2.2 Une rponse dautres besoins

Sil existe dj des cartographies des risques tablies par dautres fonctions, la ralisation dune
cartographie par laudit interne nen prsente pas moins une valeur ajoute :
la dmarche permet dacqurir et de formaliser une connaissance approfondie des activits
et du fonctionnement de ltablissement ;
lanalyse et lvaluation des risques peuvent tre conduites de manire indpendante vis-
-vis des mtiers ;
la granularit des cartographies existantes peut ne pas correspondre au niveau de maille des
missions daudit ;
le champ couvert par ces cartographies est souvent partiel alors que la dmarche conduite
par laudit interne permet davoir une vision globale de ltablissement et du primtre
auditable ;
cette vision globale fait de la cartographie de risques ralise par laudit interne un outil de
dialogue avec les autres prestataires dassurance. (Cf. Partie 3).

1 La prise en compte des risques et des menaces pour llaboration du plan daudit
2 La prise en compte du management des risques dans la planification de laudit interne

20 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Contrle de
3me niveau
(priodique)

Vision globale de laudit interne

Contrle de 2nd niveau


(permanent)

Filire Filire Filire Filire


Risques Risques Risques Risques

Contrle de 1er niveau

Conformit
Oprations Autres primtres
(dont LAB/FT)

IFACI 21
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

22 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

PARTIE 2
L TABLISSEMENT D UNE CARTOGRAPHIE DES RISQUES EXHAUSTIVE

Afin dvaluer le degr de matrise des risques et den rendre compte aux autorits de tutelle, aux
actionnaires, aux instances de gouvernance et la direction gnrale, un plan pluriannuel daudit
doit tre labor par laudit interne.

La Norme 2010 de lIIA demande que le responsable de laudit interne doit tablir un plan daudit
fond sur les risques afin de dfinir des priorits cohrentes avec les objectifs de lorganisation.

La cartographie des risques auditables hirarchise et permet dorganiser la couverture daudit de


lensemble des activits de lentit travers la segmentation des missions, le choix de leur priodi-
cit ainsi que lvaluation de leur charge en termes de jours daudit.

Sur quel primtre, partir de quelles sources dinformation et comment laudit interne doit-il
procder pour laborer cette cartographie des risques ?

IFACI 23
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.1 C HOIX MTHODOLOGIQUES

2.1.1 Primtre et granularit de la cartographie

Le primtre daudit correspond lensemble des objets auditables identifis au sein de lta-
blissement concern et qui relve du champ de responsabilits de laudit interne tel quil est dfini
dans la charte. En fonction du degr de prcision souhait, il sagira dune unit daffaires (Business
Unit) ou dun ensemble dactivits lmentaires (par exemple, les processus mtiers) sur lequel
portera une mission daudit.

Il convient galement de dfinir la granularit, cest--dire le niveau de profondeur de lanalyse des


risques.

Primtre*

Macro-processus
ou entit auditable / entit daudit
de niveau 1

La granularit (niveau de profon-


Granularit

deur) de la cartographie des risques


reste la main du responsable de Processus intermdiaire
laudit interne en fonction de son ou entit auditable / entit daudit
positionnement dans la structure de niveau 2
organisationnelle (groupe, filiale),
de ses objectifs et de ses ressources.

Micro-processus
ou entit auditable / entit daudit
de niveau 3

* La couverture du primtre doit tre imprativement exhaustive.

Schma reprsentatif des diffrents niveaux de granularit et du primtre

24 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.1.1.1 Principe de lexhaustivit du primtre couvrir

Pour laborer la cartographie, la premire question se poser est celle de la dfinition de lunivers
daudit qui peut varier dun tablissement lautre.

Ainsi, le primtre couvrir sera diffrent selon le niveau o lon se situe : cartographie dune entit
au sein dun groupe ou cartographie dun groupe constitu de plusieurs entits, y compris des joint-
ventures.

De plus, lunivers daudit pourra tre construit uniquement sur les subdivisions organisationnelles
ou units daffaires (filiales / directions / service, etc.), ou prendre appui sur cette structure et la
croiser soit avec les grands risques de ltablissement financier, les objectifs du plan stratgique, les
grands projets, etc.

Lunivers correspond lensemble des objets qui devront tre audits sur le cycle retenu par lta-
blissement. La cartographie correspond quant elle une prsentation structure des objets audi-
tables, identifis par laudit interne comme porteurs de risques et classs en fonction de leur
criticit. La cartographie des risques est ainsi calque sur la structure de lunivers daudit.

La cartographie doit identifier lexhaustivit des risques du primtre daudit qui, en gnral, est
identique au primtre de contrle interne dcrit dans le rapport annuel, y compris les Prestations
de Services Essentielles Externalises (P.S.E.E.).

Le principe dabsence de sanctuaire doit sappliquer. Toutes les activits prsentant un


risque pour lentit sont auditer et donc intgrer la cartographie.

Les objets auditables qui donneront ventuellement lieu des missions daudit dlgues, soit
une autre unit (ex : un holding ou une maison-mre), soit un tiers (cabinet externe), font partie
de la cartographie.

2.1.1.2 Granularit de la cartographie

Le niveau de prcision dans lanalyse des risques doit tre adapt la structure et aux objectifs de
la fonction audit. Ainsi, pour un audit Groupe, les missions inscrites au plan daudit seront expri-
mes au niveau de ltablissement. Cest donc ce niveau que lanalyse des risques sera ralise.
En revanche, les fonctions audit des entits dcentralises interviendront au niveau des macro
processus (par exemple Crdit Clientle ) voire des processus (par exemple analyse des dossiers
clients, dcision, versement des fonds, intrts, etc.) : la granularit de lanalyse des risques devra
tre plus fine.

IFACI 25
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Au plan pratique, le choix de la granularit est un exercice essentiel. Sil faut prendre garde ne pas
rester un niveau trop gnral qui ferait perdre la cartographie tout intrt, il faut galement veil-
ler ne pas sastreindre un niveau de profondeur trop important. En effet, plus les processus ou
les entits auditables seront dtaills ou nombreux, plus le nombre de missions sera important.
Dans ce cas, la programmation risque de ne pas tre respecte, faute de ressources ncessaires. En
outre, la mise jour de la cartographie savrera complique en raison dune base trop complexe
ractualiser rgulirement.

2.1.1.3 Les diffrentes approches

Aprs avoir dfini le primtre et la granularit de la cartographie des risques, il faut dterminer
lapproche de construction. Trois grandes options sont envisageables :

Approche units oprationnelles : laudit tablit des priorits dinvestigation princi-


palement en fonction des units oprationnelles quil identifie comme plus ou moins
porteuses de risques : par exemple, une unit en charge dune nouvelle activit au sein de
ltablissement ou une unit ne dune acquisition ( audit post-acquisition ).

Approche risques majeurs de ltablissement : les risques majeurs de lentreprise


sont dfinis par la direction des risques et valids au plus haut niveau de lorganisation.
Laudit interne peut choisir de les utiliser comme angle dattaque de sa cartographie : le
risque de fraude en est une bonne illustration.

Approche processus : Un processus est une reprsentation dun enchanement


ordonn dactivits relies les unes aux autres dont lobjectif est la dlivrance dun service
ou dun produit : exemple, le processus souscription dun produit bancaire .

Chaque processus (pilotage, mtiers, supports) peut tre dclin en niveaux plus fins (processus
gnraux ou macro-processus / processus intermdiaire / micro-processus, etc.).

Ceci tant, pour llaboration de sa cartographie, laudit interne pourra opter alternativement pour
les diffrentes approches prsentes ci-avant. De mme, pour llaboration dune cartographie un
niveau plus macro, laudit interne reste libre de choisir lapproche la plus adapte, comme par
exemple lapproche units oprationnelles . Si elle est utilise, on vrifie que les objets auditables
couvrent lensemble de lorganisation, au travers des rfrentiels utiliss.

Les diffrentes approches prsentes ci-dessus doivent tre considres comme des angles dat-
taque de la cartographie et ce titre peuvent tre croises les unes avec les autres. Lapproche
processus peut tre privilgie dans la mesure o elle est transverse et permet dinvestiguer
la fois les units daffaires qui portent une partie du processus mais galement les risques

26 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

induits spcifiquement par ce processus. Ainsi, le processus souscription dun produit bancaire
permet dauditer les front, middle et back offices en tant quunits daffaires et aussi de focaliser sur
les risques induits par ce processus. Les angles dattaque peuvent donc tre combins.

2.1.2 Nature des risques couvrir

Les risques identifis dans larticle 4d et suivants du rglement CRBF 97-02 modifi tant inclus
dans Ble II, lapproche retenue par lunit de recherche est celle de Ble II et de ses trois grandes
familles de risques (crdit, march, oprationnel). Dans certains tablissements, le risque de non-
conformit et le risque juridique peuvent tre distingus des autres risques oprationnels.
Les risques identifis peuvent tre dcrits comme suit (Cf. Glossaire) :

Le risque de crdit (ou risque de contrepartie) est le risque de perte sur une crance
lchance convenue.

Le risque de march regroupe notamment les risques dfinis par le rglement CRBF
97-02 modifi (la taille, lactivit de ltablissement peuvent lamener regrouper ces diff-
rents risques dans le risque de march ou les valuer sparment) : risque de march,
risque de pertes encourues en cas dvolution dfavorable des prix ou des paramtres de
march (taux, actions, marges de crdit, et change) affectant le portefeuille de ngociation,
risque de taux dintrt global, risque de liquidit, risque de rglement, risque dintermdia-
tion, lensemble regroup par souci de clart sous le vocable de Risque financier .

Le risque oprationnel est le risque rsultant dune inadaptation ou dune dfaillance


imputable des procdures, personnels et systmes internes ou des vnements ext-
rieurs.

Selon les tablissements, les natures de risques suivantes peuvent faire lobjet dune typologie
distincte sils ne sont pas intgrs par ltablissement dans le risque oprationnel :

Le risque de non-conformit est le risque de sanction judiciaire, administrative ou disci-


plinaire, de perte financire, datteinte la rputation, du fait de labsence de respect de
dispositions lgislatives et rglementaires propres aux activits bancaires et financires, de
normes professionnelles et dontologiques, ainsi que dorientations de lorgane dlibrant
ou dinstructions de lorgane excutif.
Les risques lis au blanchiment de capitaux et au financement du terrorisme font partie du
risque de non-conformit (Cf. Partie 1.1.1.2)

Le risque juridique est le risque, tel que dfini par le rglement CRBF 97-02 modifi, de
tout litige avec une contrepartie, rsultant de toute imprcision, lacune ou autre insuffisance
susceptible dtre imputable lentreprise au titre de ses oprations.

IFACI 27
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Le risque de rputation (dfini dans le risque de non-conformit dans le rglement CRBF


97-02) se dfinit comme le risque rsultant dune perception ngative de la part des clients,
des contreparties, des actionnaires, des investisseurs ou des rgulateurs qui peut affecter
dfavorablement la capacit dune banque maintenir ou engager des relations daffaires
et la continuit de laccs aux sources de financement.

Le risque stratgique se dfinit comme le risque reprsent par les choix stratgiques des
instances dirigeantes (cest--dire lopportunit de la dcision stratgique) ou le risque
rsultant de la dclinaison de la stratgie au sein de lorganisation. En fonction de la matu-
rit de ltablissement et de laudit interne, la couverture de ce type de risque est parfois
confie un cabinet externe.

Lobjectif est de dterminer, pour chaque objet auditable, les risques qui peuvent sy rapporter, puis
dapprcier limportance relative de ces risques.

Pour valuer les niveaux de risque, deux notions sont communment utilises par les tablisse-
ments de la place : le niveau de risque inhrent et le niveau de risque rsiduel. Cette double valua-
tion est lapproche conseille par le prsent cahier de la recherche. Selon le COSO II, le risque
inhrent (ou risque brut) est celui auquel une entit est expose en labsence de mesures correc-
tives prises par le management pour en modifier la probabilit doccurrence ou limpact. Cest le
risque intrinsque de lobjet auditable. Pour chaque objet auditable, il est dtermin un niveau de
risque global, rsultant de lidentification et de la cotation des diffrents risques, classs par nature.

Le risque rsiduel est le risque subsistant aprs les mesures de prvention et de rduction dimpact.

Si cest bien le risque inhrent que lon dcrit dans la cartographie, cest lvaluation du risque
rsiduel (risque final ou risque net) qui sert dterminer la frquence des audits.

2.2 R ALISATION DE LA CARTOGRAPHIE DES RISQUES

Lobjectif de la cartographie est de constituer un appui pour la programmation de lanne suivante.


Llaboration dune premire cartographie des risques de laudit interne se fait ncessairement ex
nihilo en amont de la programmation. Une fois tablie, elle pourra tre mise jour soit lissue de
chaque mission, soit en fin dexercice de la programmation.

28 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.2.1 Sources dinformation pour laudit interne

Laudit interne va sappuyer sur une documentation interne et externe pour laborer la cartogra-
phie des risques auditables. Ces sources diverses apportent une information relative aux objectifs
de lorganisation, sa structure organisationnelle, ses risques (inhrents et rsiduels), ainsi qu
leur degr de matrise. Les sources sont de deux natures :
Sources internes laudit :
- Rapports produits suite aux missions ralises ;
- Suivi des recommandations ;
- Etc.
Sources externes laudit :
- Plan stratgique ;
- Organigramme ;
- Arborescence du diagramme des flux des processus ;
- Cartographie des risques majeurs et oprationnels ;
- Travaux du contrle permanent et de la conformit ;
- Incidents oprationnels ;
- Rclamations clientles ;
- Analyses des procs-verbaux des principaux comits ;
- Rsultats des interventions / inspections des rgulateurs ;
- Travaux des commissaires aux comptes et du comit inter inspections gnrales (CIIG) ;
- Etc.

Selon quil sagira de sa premire cartographie ou dune mise jour annuelle, ou selon lapproche
retenue, ces sources seront plus ou moins pertinentes.

Ds lors que lapproche processus est privilgie, notamment parce que les organisations chan-
gent plus vite que les processus, il conviendra pour une premire cartographie de sappuyer sur
la cartographie des processus de ltablissement, si elle existe, sur la cartographie des risques
majeurs (labor partir des risques Ble II) et celle des risques oprationnels. Cette dernire existe
normalement dans tous les tablissements.

Pour sa cartographie de lanne en cours, le responsable de laudit interne pourra choisir de ne pas
procder une analyse approfondie des risques dune entit ou dune activit spcifique, dans la
mesure o celle-ci est soumise une volution forte court terme. Il identifiera nanmoins le
risque global dont il reporte lanalyse une fois que lactivit ou lentit sera stabilise.
Les autres cartographies pourront tre utilises pour lvaluation du niveau des risques auditables
(exemples : cartographie des risques de non-conformit, cartographie des risques juridiques).

Si lapproche unit oprationnelle est utilise, il convient de sappuyer sur les rfrentiels de
lorganisation (rfrentiels organisationnels, organigrammes, rfrentiels des entits juridiques du

IFACI 29
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

groupe, etc.). Le cas chant, les autres cartographies mentionnes ci-dessus peuvent tre gale-
ment utilises pour dterminer la granularit.
Afin dtablir une cartographie des risques complte et pertinente, laudit interne collecte des
donnes quantitatives et qualitatives auprs des directions fonctionnelles, des dpartements, des
comits, et des cartographies des risques disponibles auprs de chaque filire risque. (Cf. Partie
1.2.2)

2.2.1.1 Les directions fonctionnelles

Les directions fonctionnelles sont en charge de la production dindicateurs spcifiques qui peuvent
tre schmatises de la manire suivante (liste non exhaustive) :

RISQUES CONFORMIT
Crdit (Actifs risques Incidents de conformit
Lutte anti-blanchiment RH
pondrs, Exposition au
Conformit aux rgles Effectifs
moment du dfaut, Cots du
Turnover
risque, Provisions, Note pays)
March (VaR, Limites, Stress
test, Variations importantes
JURIDIQUE
du P&L, Nombre de limites
Litiges commerciaux
de march franchies)
Litiges avec les autorits
Oprationnel (Pertes opra-
Contrat ou clauses contrac-
tionnelles / incidents opra-
tuelles inapplicables
tionnels)
Non respect de la loi
bancaire
Non respect d'autres lois
AUDIT
COMPTABLE INTERNE
Non respect des
exigences rglemen-
taires locales
Non respect des FISCAL
exigences comptables Changement de
ou de la communica- rglementation
tion financire SCURIT DES Non respect de la
SYSTMES DINFORMATION lgislation fiscale
Piratage informatique
Utilisation non autorise / INFORMATION
mauvais escient d'information privi- FINANCIRE ET
lgie et confidentielle par le COMPTABLE
personnel PNB
Pertes de donnes Actif
Dfaillance de matriel ou software Provisions
Faiblesse de la scurit logique ou
physique

Par ailleurs, les prconisations et les notes des rapports ainsi que les rserves de laudit externe sont
galement prendre en compte.

30 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.2.1.2 Les organes de gouvernance et les comits techniques

Les instances de gouvernance et les comits sont sources dinformation pour lexercice dvalua-
tion des risques.

2.2.1.2.1 Les organes dlibrants


Au sens de larticle 4b du rglement CRBF 97-02, les organes dlibrants sont le conseil dadmi-
nistration, le conseil de surveillance, lassemble des associs ou le conseil dorientation selon la
forme juridique des tablissements bancaires. Les dcisions qui y sont prises sont susceptibles
dtre communiques par les organes excutifs et les comits daudit aux responsables de laudit
interne.

2.2.1.2.2 Les organes excutifs


Laudit interne peut tre amen y participer et devrait avoir accs aux comptes rendus de ces
comits largis parfois appels COMEX ou EXCOM . Cest une instance de discussion qui
intgre la direction gnrale et les principaux dirigeants de la banque et traite de sujets transver-
saux.

Laudit interne peut collecter les comptes rendus de ces organes pour alimenter sa cartographie en
informations stratgiques (rorganisations, cessions, acquisitions, etc.).

Selon le rglement CRBF 97-02 :


4.a) Organe excutif : les personnes qui, conformment aux articles L. 511-13 et L. 532-2, point 4 et au
b du II de l'article L. 522-6 du code montaire et financier susvis, assurent la dtermination effective de
l'orientation de l'activit de l'entreprise, la personne qui dans le cas d'tablissement de paiement hybride,
est dclare responsable de la gestion des activits de services de paiement, ainsi que les personnes qui assu-
rent les mmes fonctions .

Selon le code montaire et financier - Article L511-13 :


La dtermination effective de l'orientation de l'activit des tablissements de crdit doit tre assure par
deux personnes au moins qui doivent satisfaire tout moment aux conditions prvues l'article L. 511-
10 .

Selon le code montaire et financier - Article L532-2 :


Pour dlivrer l'agrment une entreprise d'investissement, l'Autorit de contrle prudentiel vrifie si
celle-ci est dirige effectivement par deux personnes au moins possdant l'honorabilit ncessaire et l'exp-
rience adquate leur fonction, en vue de garantir sa gestion saine et prudente .

IFACI 31
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.2.1.2.3 Le comit daudit


Cest un comit spcialis qui est une manation de lorgane dlibrant.

Les comits daudit sont une source dinformations pour laudit interne sur les travaux du contrle
de deuxime niveau ainsi que sur les donnes financires qui y sont prsentes.

Conformment la directive 2006/43/CE1, la rglementation bancaire et la recommandation


AMF du 22 Juillet 20102, le comit daudit est charg dexaminer le niveau de contrle des risques
de ltablissement. Ce comit examine les procdures de contrle des risques de march, des
risques structurels et de taux dintrt, et est consult pour la fixation des limites de risque. Il met
en outre une opinion sur la politique de provisionnement globale de ltablissement ainsi que sur
les provisions spcifiques de montants significatifs. Il examine galement le rapport annuel sur le
contrle interne qui est remis au conseil dadministration et lAutorit de Contrle Prudentiel et
de Rsolution (ACPR).

Les comits daudit revoient les contrles de deuxime niveau des banques (annexe II du docu-
ment de Ble de Juin 2012 The internal audit function in banks ).
Le comit daudit de la banque sassure que la direction gnrale tablit et maintient un processus et un
systme de contrle interne adquat et efficace. Le systme et le processus devraient tre tablis de manire
garantir les informations dans le domaine du reporting (financier, oprationnel, risque), du contrle de
conformit avec les lois, rgulations, et procdures internes, de lefficacit des oprations et de la conserva-
tion des actifs.

2.2.1.2.4 Les comits de coordination


Cette instance peut exister sous diffrentes dnominations. Il peut sagir notamment du comit de
coordination du contrle interne (CCCI) qui permet de collecter et danalyser les principales
anomalies identifies au sein du dispositif de contrle interne, et de coordonner toutes les initia-
tives transversales entreprises ou entreprendre dans le but de corriger ces anomalies ou dam-
liorer le dispositif de contrle permanent. Le CCCI pilote la cohrence et lefficacit de lensemble
du dispositif du contrle interne. Il passe en revue le dispositif de contrle (conformit, finance) et
de matrise des risques du deuxime niveau et examine les rsultats de ces contrles.

LIFACI prconise dans sa prise de position sur lurbanisme du contrle interne3, recommandation
numro 3 sur la coordination des acteurs :
[]Que un ou plusieurs comits de coordination soient crs et anims aux niveaux pertinents chaque

1 La directive 2006/43/CE du 17 mai 2006 relative au contrle lgal des comptes annuels et consolids pose, dans son article 41, le principe
de la mise en place obligatoire dun comit daudit dans certaines socits et structures, mettant en exergue dans son prambule le fait
que lexistence de comits daudit et de systmes efficaces de contrle interne contribue minimiser les risques financiers, oprationnels et
de non-conformit et accrot la qualit de linformation financire Cf. 24me considrant du prambule de la directive.
2 Les dispositifs de gestion des risques et de contrle interne, AMF, 22 Juillet 2010
3 Prise de position Lurbanisme du contrle interne, IFACI, 2008

32 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

organisation, incluant non seulement les responsables oprationnels et fonctionnels mais galement les
responsables des activits de contrle permanent ou priodique [afin de] partager et changer sur la carto-
graphie des risques ; identifier les risques nouveaux et les mesures quils appellent .

2.2.1.2.5 Les comits nouveaux produits


Laudit interne ne participe pas aux comits nouveaux produits. Il peut seulement y assister en tant
quobservateur.

Le Comit de Ble prcise que Les banques devraient, avant de lancer ou dexploiter des produits, acti-
vits, processus et systmes nouveaux, soumettre une procdure adquate dvaluation le risque opra-
tionnel qui leur est inhrent (Voir principe 4 : Gestion du risque).

Ainsi, les directions oprationnelles soumettent leurs nouveaux produits une procdure de vali-
dation. Cette procdure sassure quavant tout lancement :
tous les types de risques induits ont t identifis, compris, et correctement valus ;
toutes les fonctions supports ont t mobilises et nont pas, ou plus, de rserve non satis-
faite ;
la conformit a t apprcie au regard des lois et rglements en vigueur, des rgles de
bonne conduite professionnelle et des risques datteinte limage et la rputation de lta-
blissement. En particulier, la conformit doit valider les nouveaux produits et mettre ses
rserves, le cas chant. (Article 11 du rglement CRBF 97-02 modifi : Les entreprises assu-
jetties prvoient des procdures spcifiques d'examen de la conformit. Il sagit notamment des
procdures d'approbation pralable systmatique, incluant un avis crit du responsable en charge
de la conformit ou d'une personne dment habilite par ce dernier cet effet, pour les produits
nouveaux ou pour les transformations significatives opres sur les produits prexistants, pour cette
entreprise ou pour le march. )

Le comit nouveaux produits doit valider le produit en fonction du risque que ltablissement
accepte de supporter en fonction des seuils autoriss dapptit au risque (rapport gain/risque).

Exemple des types de procdures nouveaux produits :


Le comit qui a avalis le produit (Product Owner) peut demander une revue dans un dlai donn.
Le comit peut galement donner une autorisation provisoire, suivie ventuellement par une auto-
risation dfinitive.
Le comit peut donner une validation avec rserves, avec un suivi des prconditions, avant le lance-
ment du produit et des post conditions par la suite. La post-condition est une rserve respecter
lorsque le nouveau produit est mis en place ; elle concerne par exemple une limitation de volume
doprations, une priode de temps limite, etc. le contrle permanent peut tre en charge du suivi
de la mise en uvre du respect des conditions.

IFACI 33
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.2.1.2.6 Comit actif / passif (ou comit ALM)


Le comit de gestion actif/passif (ou ALM) est l'instance qui fait les propositions en matire de
gestion des risques de taux d'intrt et de change contenus dans le bilan. De cette manire, en
valuant, en contrlant et en approuvant les pratiques relatives un risque d des dsquilibres
dans la structure du capital, le comit de gestion actif/passif (ou ALM) est une source dinformation
pour laudit interne sur les programmes de couverture.

2.2.1.3 Les autres cartographies existantes

Pour raliser lexercice dvaluation des risques, laudit interne peut collecter les cartographies de
risques disponibles. Ces interactions ont lieu en amont de lexercice dvaluation des risques pour
complter la cartographie des risques faite par laudit, et en aval, pour prsenter au management
une cartographie indpendante.

2.2.1.3.1 La filire risque


Il sagit de la filire risques au sens du rglement CRBF 97-02

Cest auprs de la filire risques que peuvent tre collectes les cartographies utiles
laudit interne, et plus particulirement celles des risques oprationnels.

Elle collecte les informations sur tous les risques de ltablissement et contrle notamment
le respect des seuils fixs et de lapptence pour le risque. La filire risques dfinit ou
valide les mthodes et procdures d'analyse, de mesure, d'approbation et de suivi des
risques ; et met en uvre le dispositif de pilotage et de suivi de ces risques, y compris trans-
versaux. Pour ce faire, elle doit disposer des moyens ncessaires en termes de personnel (qui
doit disposer de suffisamment dexprience et de qualification pour exercer ses contrles au
sein de ltablissement), de systme dinformation et daccs aux informations. La filire
risques informe son comit de direction pour lui permettre de vrifier si la ralit des
oprations correspond lapptence pour le risque et prendre les mesures correctives ven-
tuelles.
Elle tablit rgulirement des rapports sur la nature et lampleur destination de la
direction gnrale, du conseil d'administration et des autorits de supervision
bancaire. Le comit daudit est inform des situations susceptibles davoir des rpercus-
sions significatives sur la gestion des risques.

Une cartographie de la filire risques particulirement utile pour laudit interne :


le rapport dfini larticle 43 du rglement CRBF 97-02

Dans le cadre du pilier 2 de Ble 2, le processus ICAAP (Internal Capital Adequacy Assesment
Process) introduit une procdure rglementaire qui permet de sassurer que les banques

34 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

valuent au mieux leurs fonds propres pour couvrir lensemble des risques auxquels elles
sont exposes. Ce processus dvaluation se construit sur les procdures de calculs et de
stress test sur les risques majeurs.

Dans la rglementation franaise, cette procdure se retrouve dans le rglement CRBF


97-02 larticle 17 bis, qui oblige les entreprises assujetties disposer de systmes et proc-
dures pour valuer et conserver en permanence les types ainsi que la rpartition de capital
interne quelles jugent appropris compte tenu de la nature et du niveau de risques
auxquels elles sont ou pourraient tre exposes.

Selon larticle 43 du rglement CRBF 97-02 : Au moins une fois par an, les entreprises assu-
jetties et les compagnies financires surveilles sur une base consolide laborent un rapport sur la
mesure et la surveillance des risques qui permet d'apprhender globalement et de manire trans-
versale l'ensemble des risques, en y intgrant les risques associs aux activits bancaires et non
bancaires.

2.2.1.3.2 Lexemple du risque oprationnel


Que collecte laudit interne dans ces diffrentes cartographies de risques opration-
nels ?
Afin de permettre lidentification des risques, la collecte des informations suivantes peut
tre ralise par laudit interne :
- les lments quantitatifs et qualitatifs issus des dispositifs de risques oprationnels de
ltablissement (par exemple : analyse des rsultats des contrles issus de la surveillance
permanente, exercices dautovaluation des risques prcdents, niveaux des pertes
financires avres, indicateurs cls tels que volumes de transactions, dpassements de
limites, analyse de scnarios etc.) ;
- lapprciation qualitative des facteurs denvironnement (par exemple, la complexit des
produits et environnement lgal) et du dispositif de prvention et de contrle des
risques ;
- laudit peut vrifier lexhaustivit de sa cartographie en la croisant avec celle des risques
oprationnels : lensemble des risques oprationnels se trouvent-ils bien identifis dans
la cartographie de laudit ?

IFACI 35
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

En particulier la cartographie issue de lautovaluation des risques :


Lautovaluation des risques a pour but dvaluer la qualit du dispositif de prvention et
de contrle afin de quantifier lexposition de ltablissement aux risques oprationnels. Il
permet laudit interne de disposer dune cartographie sur tout le primtre des risques
oprationnels. Pour cela, il sagit:

didentifier et dvaluer les risques intrinsques


1- Risques oprationnels auxquels est expose chaque activit de ltablissement.
Intrinsques (RI)
Ces risques inhrents la nature dune activit sont dter-
mins en faisant abstraction de son environnement de
prvention et de contrle ;

dvaluer la qualit (existence et efficacit) des disposi-


2- Dispositifs de prvention tifs de prvention et de contrle en place permettant de
et de contrles existants rduire ces risques et leurs impacts financiers ;

de dduire lexposition aux risques rsiduels de chaque


3- Risques oprationnels activit de ltablissement (aprs prise en compte de lenvi-
Rsiduels (RR) ronnement de prvention et de contrle mais sans prise en
compte des couvertures dassurance) ;

Pour identifier les zones de faiblesse des mesures de


prvention et de contrle et mettre en uvre des plans
dactions correctrices.

2.2.1.4 La prise en compte des rsultats du contrle permanent

Laudit interne peut obtenir les rsultats issus du contrle permanent pour affiner sa cartographie
des risques, tout en gardant son autonomie de jugement sur la nature et la gravit des risques iden-
tifis.

Il sagit, en particulier, danalyser les anomalies et les mesures correctives mises en place, issues de
la surveillance permanente qui est ralise par les directions oprationnelles et fonctionnelles de
ltablissement.

36 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.2.2 Analyse et valuation des risques

Une fois lapproche choisie, lunivers daudit est dcompos en lments porteurs dun ou
plusieurs risques , les objets auditables, dont il conviendra dapprcier limportance relative, en
termes de niveau de risque.

Pour chacun de ces objets, il faut identifier prcisment les risques (cf. Partie 2.1.2) :

Risques
Objet
auditable Opration- Non- Stratgi-
Crdit March Juridique Rputation
nel conformit que

Scurit X X
financire

On distingue ensuite le risque inhrent et le risque rsiduel.

Pour chaque risque inhrent, il est ncessaire dindiquer le dispositif de matrise de risque associ,
den valuer la qualit afin de dterminer et de coter limpact du risque rsiduel. Dans le dispositif
de matrise des risques, la qualit du contrle permanent est prendre en compte. Elle concourt
la cotation du risque final.

Pour procder la cotation autrement dit lvaluation de la criticit (le niveau de risque) on
croise limpact du risque (gravit) et sa probabilit de survenance (frquence). Ainsi, un risque R
pourra avoir une gravit cote 2 et une frquence 1, do une cotation globale 2x1=2. Ces valua-
tions sappuient sur les indicateurs, et font appel au jugement professionnel.

Selon les tablissements, une chelle plus ou moins dtaille pourra tre retenue, par exemple, une
chelle 3 positions (faible moyen lev).

Risques oprationnel / Non-conformit

Objet Dispositif de
Cotation du
auditable Risque(s) matrise de
Risque rsiduel risque final
inhrent(s) risques (rsultat
(criticit)
des contrles)

LSF Qualit des - Procdures lies 3


contrles perma- au blanchiment
nents des capitaux et
financement du
terrorisme
- Profession
risques

IFACI 37
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Une fois lensemble des champs ci-dessus renseigns pour chacun des objets auditables, la carto-
graphie est considre comme complte.
A lissue de cette tape, laudit interne peut mettre en place une fiche didentit / de synthse (Cf.
annexe 6) qui prsente lavantage de donner des lments dtaills danalyse de risque constitutifs
dune premire approche de mission. Lensemble des fiches constitue une dclinaison de la carto-
graphie. Les lments suivants peuvent y tre retrouvs :
un descriptif synthtique de lobjet (unit daffaires ou processus) et de la nature du/des
risques quil porte ; lunit daffaires concerne (Direction / service, etc.) ;
le primtre daudit concern ;
un descriptif du risque inhrent (ala dont la survenance pourrait affecter la ralisation des
objectifs de lentreprise) justifiant lvaluation de son impact et de sa probabilit de surve-
nance ;
les conclusions des prcdentes missions daudit ;
les recommandations non teintes chues et non chues ;
des points dattention ventuels dintervenants externes.

2.3 M ISE JOUR DE LA CARTOGRAPHIE

La mise jour va concerner :


les objets auditables : nouveaux objets auditables (par exemple, nouvelles units daf-
faires par croissance externe), objets auditables existants mais porteurs de nouveaux
risques ;
et dautre part, les risques identifis dans la prcdente cartographie dont la criticit devra
tre minore ou majore.

La mise jour va donc soprer la fois au niveau de la cartographie mais galement au niveau des
fiches dobjet auditable, si elles existent, qui pourront tre enrichies lissue des missions. Il sera
utile de distinguer les fiches qui auront fait lobjet dune mise jour (par un numro de version par
exemple).

Lors de lactualisation de la cartographie, les audits raliss en cours danne sur lexercice dva-
luation des risques seront pris en compte en enrichissant les fiches dobjet auditable deux
moments : Pr et Post Audit. A la fin de la mission, la fiche peut tre rvalue par rapport aux
constats et prconisations mises afin de vrifier, et le cas chant actualiser, les risques rsiduels
sur les entits/processus concerns.

Par consquent, la mthode de mise jour doit suivre lidentique la mthode de construction de
la cartographie initiale.

38 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

2.3.1 Priodicit

La cartographie doit tre mise jour sur une base annuelle en anne N pour constituer le support
de llaboration du plan daudit en anne N+1. Cette mise jour peut tre faite lissue des vagues
de missions daudit ou sur une priode dfinie (par exemple, fin septembre). La mise en place dun
retro-planning simpose dans la mesure o il est ncessaire daboutir avant la fin de lanne civile
la validation du plan annuel.

Cette ractualisation devrait en principe seffectuer en amont de ltablissement du plan annuel


pour lexercice suivant, elle ne peut donc pas intgrer les rsultats de la dernire vague de missions
(celles conclues sur le dernier quadrimestre), qui seront alors intgrs dans la ractualisation de
lanne suivante.

Les sources internes et externes sont les mmes que lors de la construction initiale de la cartogra-
phie. On pourra nanmoins juger utile de sappuyer plus avant sur certaines dentre elles pour enri-
chir lvaluation des risques. Ainsi, la synthse annuelle du contrle permanent peut tre utilise
pour mettre jour des zones de risques identifies prcdemment ou pour en relever de nouvelles.

2.3.2 La prise en compte des rsultats des audits raliss en cours danne

Les missions ralises en cours danne permettent dactualiser la cartographie de laudit interne
deux niveaux :

au dmarrage de la mission
Lors du dmarrage de la mission, les auditeurs collectent des donnes plus jour que celles utili-
ses pendant lexercice annuel de cartographie, et les vrifient en fonction de leurs contrles.

la remise du rapport
A la fin de la mission, la cartographie peut tre rvalue par rapport aux constats et prconisations
mises afin de vrifier, et le cas chant, actualiser les risques rsiduels de la cartographie de laudit
interne sur les entits/processus concerns. Il sagit de raliser un exercice dvaluation des
risques au fil de leau.

Une cartographie des risques de laudit interne est donc un instrument de pilotage et de planifica-
tion de lutilisation des ressources, aussi souple et ractif que possible, qui ne doit pas conduire
figer les programmes daudit, ceux-ci devant sadapter en permanence aux besoins de lentreprise
et lvolution des risques.

IFACI 39
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

40 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

PARTIE 3
DE LA CARTOGRAPHIE DES RISQUES AU PLAN D AUDIT

IFACI 41
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

3.1 P OURQUOI UN PLAN D AUDIT ?

Un plan daudit annuel et/ou pluriannuel, fond sur une cartographie des risques de lentreprise,
permet au responsable du contrle priodique de dfinir ses priorits, de planifier son activit et
dvaluer les moyens ncessaires ses audits, enfin de justifier les budgets proposs aux organes
excutif et dlibrant. Le plan daudit constitue la fois une recommandation ou une exigence des
autorits de tutelle (Cf. Partie 1.1), un standard professionnel et une saine pratique de gestion.

3.1.1 Une nouvelle recommandation

Le Comit de Ble a publi en septembre 2012 un document traduit de langlais sur les nouveaux
Principes fondamentaux pour un contrle bancaire efficace . Le cinquime critre essentiel du prin-
cipe n 26 (Contrle interne et audit) prconise ses alinas e) et f) les diligences qui doivent sap-
pliquer en matire de supervision bancaire :
Lautorit de contrle tablit que la fonction daudit interne :
e) sappuie sur une mthodologie permettant didentifier les risques significatifs encourus par la
banque ;
f) prpare et rexamine rgulirement un plan daudit reposant sur sa propre valuation du risque et
rpartit ses ressources en consquence .

3.1.2 Une exigence rglementaire

De facture plus ancienne, larticle 9 du rglement CRBF 97-02 introduit deux horizons en termes
de planification :
Plan pluriannuel pour mener un cycle complet d'investigations de l'ensemble des
activits sur un nombre d'exercices aussi limit que possible ;
Programme de missions de contrle tabli au moins une fois par an en intgrant les
objectifs annuels de l'organe excutif et de l'organe dlibrant en matire de
contrle .

La notion du nombre dexercices aussi limit que possible pose une difficult dinterprtation,
mais on observe gnralement que :
les tablissements raisonnent et communiquent gnralement en dure maximale entre
deux audits (selon le niveau de risque de leurs principales activits), et non pas en moyenne
sur le cycle ;
si les pratiques peuvent tre diffrentes en fonction des pays, la dure communment
admise en France nexcde pas cinq ans ;
pour certaines problmatiques spcifiques, le cycle est ramen un an (homologation Ble
II, lutte contre le blanchiment et le financement du terrorisme, etc.).

42 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Rappelons aussi que la FED (Cf. Partie 1.1.1.1.4) fait explicitement rfrence la cartographie
comme lment dalimentation du plan daudit.

3.1.3 Une norme professionnelle :

Comme prvu par la norme 2010 Planification de lIIA (Institute of Internal Auditors), laudit
interne doit tablir un plan daudit fond sur les risques afin de dfinir des priorits cohrentes avec les
objectifs de l'organisation . En outre, la norme 2010.A1 Le plan d'audit interne doit s'appuyer sur
une valuation des risques documente et ralise au moins une fois par an. Les points de vue de la direction
gnrale et du Conseil doivent tre pris en compte dans ce processus .

A titre dillustration, on notera que les standards de lISACA (Exposure draft de 2012) prvoient
galement explicitement le recours une cartographie des risques pour construire un plan daudit
(Standard 1202 Use of Risk Assessement in Audit Planning) : The IS audit and assurance function
shall use an appropriate risk assessment approach and supporting methodology to develop the overall IS
audit plan and determine priorities for the effective allocation of IS audit resources .

3.1.4 Une saine pratique de gestion

Llaboration dun plan daudit permet de donner aux instances de gouvernance une vision globale
des risques et de la manire dont les missions daudit en assurent une couverture approprie.

Le plan daudit permet au responsable de laudit interne de rationnaliser lutilisation de ses


ressources : il peut ainsi calibrer ses moyens, planifier son activit et justifier le budget allou (Cf.
Partie 3.3.2)

3.2 AUTRES CONTRIBUTIONS AU PLAN D AUDIT

Le plan daudit (pluriannuel ou annuel) doit couvrir en gnral la grande majorit des missions
daudit, lexception de celles hors plan rsultant par construction dvnements non prvisi-
bles au moment de llaboration du plan daudit. Ainsi, peuvent tre considres comme missions
hors plan , les missions inities suite dtection dun incident majeur mis en vidence par les
contrles permanents, cration de nouvelles activits ou opration dacquisition, perspectives de
cession, ou toute autre mission spciale non prvisible, cette liste ne se voulant pas exhaustive.

IFACI 43
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Outre la cartographie des risques, les autres contributions au plan daudit sont les suivantes (par
ordre de priorit observe) :
lvolution de la stratgie du Groupe (restructuration, migration informatique, cession, etc.)
saccompagne rgulirement de demandes spcifiques de missions intgrer dans le plan
daudit en plus du cycle daudit pluriannuel (qui intgre les structures concernes) et ind-
pendamment de ce qui peut tre identifi au travers de la cartographie des risques ;
en fonction des pratiques de chaque tablissement, certaines missions daudits transverses
ou rglementaires sont inscrites au plan sans tre cartographies du fait de la ncessaire
rgularit de ces missions (prestations de services essentielles externalises, homologation
Ble II, lutte contre le blanchiment et le financement du terrorisme, etc.) ;
laudit de suivi des recommandations est devenu un point dattention du rgulateur, ce qui
peut amener programmer rgulirement des missions de suivi des recommandations au
travers de missions ddies ;
la ralisation daudits mutualiss qui peut amener positionner une mission dans le plan,
en fonction de la disponibilit des diffrents intervenants plutt quen fonction dune
lecture stricte de la cartographie des risques ;
dans llaboration de son plan, laudit tient compte des attentes spcifiques des organes
dlibrants ou excutifs, notamment dans le cas de prise de fonctions dun nouveau diri-
geant ;
la prise en compte des contraintes justifies de lentit auditable peut tre intgre dans le
cadre de la construction du plan daudit notamment par le dcalage de la mission un
moment plus opportun pour les audits ; toutefois, cette facult doit demeurer une excep-
tion et ne pourrait amener dcaler une mission daudit sur les annes suivantes du plan
pluriannuel ;
enfin, du fait de son exprience et son expertise sur les modalits de construction du plan,
le responsable de laudit interne peut tre amen procder des arbitrages et modifier
le plan daudit initial.

Sur cette base, le plan daudit peut tre constitu condition de tenir compte de deux contraintes
complmentaires dans la planification qui conditionnent la faisabilit du plan daudit en tenant
compte de la ralit des organisations :
Les ressources disponibles qui constituent une contrainte part entire, une source de flexi-
bilit pour rpondre aux besoins ponctuels mais aussi une contrainte dans la planification
des missions (prise de congs, rythme des missions, volume dinter-mission, comptences
techniques disponibles, etc.) ;
Les budgets allous laudit vont aussi guider la constitution du plan daudit en permettant
de calibrer les besoins, de confronter ce calibrage au budget rellement allou et enfin
daborder les arbitrages possibles entre les budgets allous aux diffrentes missions du plan.
Rappelons quune information doit tre donne au comit daudit quant aux missions dau-
dit qui nont pu tre ralises faute de ressources et aux arbitrages raliss.

44 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

3.3 PASSAGE DE LA CARTOGRAPHIE DES RISQUES AU PLAN D AUDIT

3.3.1 Exigence pralable

Lobjectif du plan daudit pluriannuel est de positionner les objets auditables constituant le prim-
tre daudit (Cf. Partie 2.1.1) sur un calendrier de missions. Il est prfrable que le dcoupage du
primtre daudit en objets auditables, utilis dans la cartographie des risques et dans le plan dau-
dit, soit dun niveau de granularit identique. En effet, un dcoupage diffrent ne permettrait pas
de prendre en compte directement les rsultats de la cartographie dans le plan daudit et ncessi-
terait des retraitements spcifiques, parfois complexes, pour faire le lien entre les deux.
Ce principe gnral de cohrence entre la cartographie des risques et le plan daudit souffre toute-
fois quelques exceptions, dont certaines ont t dtailles ci-dessus : il sagira bien sr des missions
effectues hors plan daudit, ou de nouveaux objets auditables (par exemple, une activit lance
depuis peu, ou une entit rcemment acquise) qui peuvent tre intgrs au plan daudit avant
davoir fait lobjet dune cartographie complte des risques.

3.3.2 Etapes successives

La construction du plan daudit partir de la cartographie des risques se fait gnralement au


travers de quatre tapes successives.

La premire tape dans le passage de la cartographie des risques au plan daudit est de traduire
le niveau de risque attribu lobjet auditable par la cartographie des risques en une frquence
daudit cohrente.
Quel que soit le mode dexpression du rsultat de la cartographie des risques (couleur, chiffre,
lettre, etc.), il conviendra de btir une grille de passage permettant la transposition de ce niveau de
risque en frquence. A titre dexemple, sur la base dune valuation du risque sur 4 positions (o le
niveau 1 reprsenterait le risque le plus faible et 4 le plus lev) dans la cartographie, cette grille
pourrait tre la suivante :
Risque de niveau 1 : audit tous les 5 ans ;
Risque de niveau 2 : audit tous les 4 ans ;
Risque de niveau 3 : audit tous les 3 ans ;
Risque de niveau 4 : audit tous les 2 ans.

A chaque mise jour du plan daudit pluriannuel (par exemple en fin danne), toute modification
du niveau de risque issu de la cartographie entranera ainsi logiquement une rvision de la date du
prochain audit par rapport au prcdent passage, voire un positionnement au plus tt dans le
calendrier de missions en cas de dgradation particulirement importante et soudaine du niveau
de risque.

IFACI 45
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

La deuxime tape dans la construction du plan daudit est la prise en compte des objets audita-
bles dont le niveau de risque na pas t valu au moyen de la cartographie (cf. Partie 3.2).

Faute de pouvoir disposer comme indiqu ci-dessus dun niveau de risque issu de la cartographie
pour la dtermination de la date laquelle positionner ces objets auditables dans le plan daudit,
la date sera alors fixe en fonction dautres critres ncessairement plus subjectifs. A titre dexem-
ple, une entit rcemment acquise sera souvent audite dans lanne qui en suit la prise de
contrle, alors quune nouvelle activit pourra ncessiter un dlai dun deux ans avant de pouvoir
disposer du recul suffisant pour en effectuer un bilan pertinent.

La troisime tape consiste en lvaluation des moyens humains ncessaires pour la ralisation
des missions positionnes dans le plan daudit.

Ce dimensionnement, la fois quantitatif et qualitatif, sera fonction de diffrents critres tels que
par exemple : la taille des quipes audites, le niveau de complexit de lactivit ou de lorganisa-
tion de lobjet auditable, le besoin de comptences spcifiques en matire technique ou linguis-
tique, le contexte de la mission, etc.
En complment des facteurs numrs ci-dessus, le niveau de risque issu de la cartographie des
risques peut galement constituer un bon indicateur pour valuer le dimensionnement de lquipe
daudit : les missions sur des objets auditables risque lev pourront ainsi tre confies des audi-
teurs plus expriments et/ou plus nombreux.

Enfin, la dernire tape dans la construction du plan daudit sera de mettre en cohrence les
besoins thoriques dtermins ci-dessus avec les ressources rellement disponibles, tant au niveau
quantitatif que qualitatif.

En cas de dsquilibre important entre les deux, sur une ou plusieurs annes du plan pluriannuel,
les arbitrages suivants pourront tre demands ou mis en uvre :
obtenir des moyens supplmentaires pour la ralisation du plan daudit ;
reporter certaines missions dans le temps afin de rtablir lquilibre global entre besoins et
ressources, si certaines annes du plan sont plus charges que dautres du fait des
frquences daudit retenues ;
revoir ponctuellement le primtre des travaux prvus, par exemple en retirant du primtre
daudit une activit ou une direction de lobjet auditable juge moins risque que les autres.
A noter que ce type darbitrage ne saurait tre utilis de faon durable, car il introduit une
distorsion entre la vision des risques donne par la cartographie des risques et celle retenue
pour la planification des missions. A terme, il serait donc prfrable de revoir le dcoupage
du primtre daudit en objets auditables, afin de restaurer une ncessaire cohrence entre
la cartographie des risques et le plan daudit ;

46 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

recourir une sous-traitance externe pour une partie des travaux envisags1.
Cette externalisation pourra notamment tre ralise pour les raisons suivantes : besoin de
comptences particulires pour laudit (par exemple des actuaires, des statisticiens ou des
auditeurs informatiques), connaissance spcifique dun contexte local ou dune rglemen-
tation trangre, mutualisation des travaux avec dautres tablissements notamment lors
des audits de Place des prestations de services essentielles externalises (PSEE),
exigence rglementaire locale (cas de laudit des diligences en matire de lutte anti-blan-
chiment en Espagne, par exemple), etc.

Quelle quen soit la raison, le recours une sous-traitance externe de travaux daudit suppose
toutefois :
un cadrage des travaux du prestataire, puis un suivi rigoureux de leur ralisation, par laudit
interne. Ce dernier doit en effet sapproprier le diagnostic produit afin de pouvoir ensuite
vrifier par lui-mme la correcte mise en uvre des recommandations mises ;
lexistence dune ligne budgtaire ddie ce type de prestations, que laudit interne pourra
utiliser tout moment en fonction de ses besoins.

Une fois le plan pluriannuel daudit labor, il pourra tre, en fonction de lorganisation interne de
ltablissement, dclin en plan annuel voire en vagues ou campagnes successives de missions
daudit raliser en cours danne.
Cela permettra notamment de matrialiser lalternance des missions daudit et des priodes de
formation ou de prise de congs des auditeurs, afin de faciliter la gestion interne du service daudit
interne.

3.4 COMMUNICATION DU PLAN D AUDIT ET DES RSULTATS DE LA CARTOGRAPHIE

En gnral prvue dans la charte daudit interne, la communication aux organes excutifs, dlib-
rants ou leur manation peut porter :
dune part sur la cartographie de laudit, notamment pour expliquer les choix effectus pour
btir le plan daudit et donc assurer la couverture des risques principaux ;
et dautre part sur le plan daudit pour en obtenir la validation densemble (et non pas
mission par mission), ce qui permet de donner un caractre officiel au dispositif. En effet, la
Norme Professionnelle 2020 prvoit que Le responsable daudit doit communiquer la
Direction gnrale et au Conseil son plan daudit et ses besoins pour examen et approbation .

1 Comme prvu lalina 6 de larticle 7 du rglement CRBF 97-02, [] lorsque des circonstances particulires le justifient, une entreprise
assujettie peut confier des tches d'excution des contrles prvus l'article 6 des prestataires extrieurs de services[] .

IFACI 47
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

En termes de niveau de dtail, la communication de la cartographie pourra porter uniquement sur


les rsultats (par exemple, dtail des risques majeurs uniquement ou niveau de risque rsiduel de
lensemble des objets auditables).

Pour ce qui concerne la communication du plan daudit, celle-ci pourra prendre la forme dune
prsentation de la programmation des missions sur le cycle daudit avec un focus sur le plan de
lanne venir.
Les ventuelles remarques de ces instances sont prises en compte dans la cartographie et le plan
daudit.
La communication avec les mtiers est ncessairement plus restreinte en fonction des pratiques
internes :
pour des questions dindpendance li la fonction, la cartographie de laudit ne fait pas
lobjet dun processus contradictoire avec les units audites ;
il ne peut y avoir communication du plan daudit aux audits afin de prserver la confiden-
tialit des missions venir.

La communication avec les autres fonctions de contrles sera intgre aux changes rguliers selon
les principes en vigueur dans chaque tablissement.

48 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

CONCLUSION

IFACI 49
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Quils soient bancaires ou de porte plus gnrale, les rfrentiels analyss dans ce cahier de la
recherche mettent en vidence lutilit dune cartographie des risques. Elle apparait comme un
outil cl pour leur valuation.

La ralisation dune cartographie des risques par laudit interne, si elle nest pas exige ni mme
prvue explicitement par les textes rglementaires, prsente plusieurs avantages :
Pour laudit, cette dmarche constitue la meilleure base pour construire le plan daudit
annuel et/ou pluriannuel qui couvre lintgralit des zones denjeux prioritaires de lorgani-
sation et qui permet doptimiser laffectation des ressources. En outre, la cartographie des
risques documente lanalyse qui sous-tend le choix des missions. Elle en amliore ainsi la
traabilit.
Pour ltablissement de crdit, la cartographie des risques ralise par laudit interne offre
une reprsentation la fois globale et indpendante de lexposition aux risques.
Pour les instances de gouvernance, les caractristiques de cette reprsentation : globalit et
indpendance, font de la cartographie des risques de laudit interne un outil qui rpond
efficacement leur besoin de surveillance des risques.

Une dmarche de cartographie des risques auditables exige une mthodologie rigoureuse. Mme
si elle peut sappuyer sur diverses sources disponibles au sein de ltablissement, elle demande un
investissement initial important. A cet gard, le choix de la granularit de lanalyse est dterminant.

50 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

G LOSSAIRE

IFACI 51
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

C LOSSAIRE

BIPRU : Prudential sourcebook for Banks, Building Societies and Investment Firms rglementation de
la FSA sappliquant notamment aux banques.

Cartographie des risques auditables : La cartographie des risques auditables, est une prsenta-
tion des risques hirarchiss de lensemble des activits de lentit, ou, si lon se situe au niveau
dun groupe, la prsentation des risques des entits dun groupe. La cartographie sert de fonde-
ment lorganisation du contrle priodique (organisation de la couverture par laudit du prim-
tre considr) et permet de justifier ltablissement dun plan pluri annuel, travers la
segmentation des missions, le choix de leur priodicit ainsi que lvaluation de leur charge prvi-
sible (en termes de jours daudit).

Filire risque : Cette filire inclut les agents et units en charge de la mesure, de la surveillance et de la
matrise des risques. Les entreprises assujetties dsignent un responsable en charge de la filire risques,
dont elles communiquent l'identit la Commission bancaire. (97-02 modifi).

FSA : Autorit britannique de rgulation des marchs financiers.

MiFID : Directive concernant les services dinvestissement Directive concernant les marchs
dinstruments financiers (MiFID). La Commission adopte une proposition de Directive concernant
les marchs dinstruments financiers abrogeant la Directive 2004/39/EC du Parlement Europen et
du Conseil, et de Rglement concernant les marchs dinstruments financiers modifiant le
Rglement [EMIR] sur les produits drivs ngocis de gr gr, les contreparties centrales et les
rfrentiels centraux.

Normes de Ble : Les normes dites de Ble constituent un dispositif prudentiel destin mieux
apprhender les risques bancaires et principalement le risque de crdit ou de contrepartie et les
exigences en fonds propres. Ces directives ont t prpares depuis 1988 par le Comit de Ble,
sous l'gide de la Banque des rglements internationaux.

Objet auditable : correspond une unit daffaires (Business Unit) ou une activit lmentaire
(ex : processus mtier) sur lequel portera un audit. La totalit de ce primtre doit tre audit.

Risque de crdit (ou risque de contrepartie) : Risque de perte sur une crance lchance
convenue. Ce risque est fonction de trois paramtres : le montant de la crance, la probabilit de
dfaut et la proportion de la crance qui ne sera pas recouvre en cas de dfaut.

Risque inhrent : Risque auquel une entit est expose en labsence de mesures correctives prises
par le management pour en modifier la probabilit doccurrence ou limpact.

52 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Risque de march : Ce risque regroupe notamment les risques dfinis par le rglement franais
97-02 modifi : risque de march, risque de pertes encourues en cas dvolution dfavorable des
prix ou des paramtres de march (taux, actions, marge de crdit, et change) affectant le portefeuille
de ngociation, risque de taux dintrt global (risque encouru en cas de variation dfavorable des
taux dintrt du fait de lensemble des oprations de bilan et hors bilan, lexception, le cas
chant, des oprations soumises aux risques de march viss ci-dessus) , risque de liquidit (risque
de ne pas pouvoir faire face ses obligations - exemple : retrait massif des dpts clients ou de
ne pas pouvoir dnouer ou compenser une position en raison de la situation de march), risque de
rglement (risque de pertes encourues au cours de la priode qui spare le moment o linstruction
de paiement ou de livraison dun instrument financier vendu ne peut tre annule unilatralement
et la rception dfinitive de linstrument financier achet ou des espces correspondantes), risque
dintermdiation (risque de pertes encourues en cas de dfaillance dun donneur dordre ou dune
contrepartie loccasion dune transaction sur instruments financiers dans laquelle la Banque
apporte sa garantie de bonne fin).

Risque oprationnel : Ce risque dsigne les risques de pertes rsultant de linadquation ou de la


dfaillance de procdures, de personnes et de systmes ou rsultant dvnement extrieurs.

Risque de non-conformit : Risque de sanction judiciaire, administrative ou disciplinaire, de perte


financire, datteinte la rputation, du fait de labsence de respect de dispositions lgislatives et
rglementaires propres aux activits bancaires et financires, de normes professionnelles et don-
tologiques, ainsi que dorientations de lorgane dlibrant ou dinstructions de lorgane excutif.
Les risques lis au blanchiment de capitaux et au financement du terrorisme font partie du risque
de non-conformit.

Risque juridique : Risque de tout litige avec une contrepartie, rsultant de toute imprcision,
lacune, ou autre insuffisance susceptible dtre imputable lentreprise au titre de ses oprations.
Risque de rputation : Le risque de rputation peut tre dfini comme le risque rsultant dune
perception ngative de la part des clients, des contreparties, des actionnaires, des investisseurs ou
des rgulateurs qui peut affecter dfavorablement la capacit dune banque maintenir ou engager
des relations daffaires et la continuit de laccs aux sources de financement (par exemple via les
marchs interbancaires ou de titrisation). Le risque de rputation est multidimensionnel et reflte
la perception dautres acteurs du march. En outre, il est prsent dans toute lorganisation.
L'exposition ce risque dpend de ladquation des processus internes de gestion des risques de
la banque, mais aussi de la manire et de l'efficacit avec laquelle la direction ragit des influences
externes sur ses oprations bancaires.

Risque rsiduel : Risque subsistant aprs le traitement du risque, ou le risque subsistant aprs que
des mesures de prvention aient t prises.

IFACI 53
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Risque stratgique : Risque reprsent par les choix stratgiques des instances dirigeantes (cest
dire lopportunit de la dcision stratgique) ou le risque rsultant de la dclinaison de la stratgie
au sein de lorganisation. En fonction de la maturit de ltablissement, la couverture de ce type de
risque pourra tre effectue par un cabinet externe.

SYSC : Senior Management Arrangements, Systems and Controls : partie du FSA handbook qui dfinit
les exigences sappliquant au management en termes dorganisation et de contrles.

54 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

ANNEXE
A NNEXES

IFACI 55
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

A NNEXE 1 : E XTRAITS DU R GLEMENT CRBF 97-02

Article 1
[] Ce contrle interne comprend notamment:
a) un systme de contrle des oprations et des procdures internes,
b) une organisation comptable et du traitement de linformation,
c) des systmes de mesure des risques et des rsultats,
d) des systmes de surveillance et de matrise des risques,
e) un systme de documentation et dinformation,
f) un dispositif de surveillance des flux despces et de titres. []

Article 7
[] 6. Dans les conditions prvues au 3 du prsent article ou lorsque des circonstances parti-
culires le justifient, une entreprise assujettie peut confier des tches d'excution des
ANNEXE

contrles prvus l'article 6 des prestataires extrieurs de services sous la responsabilit des
personnes dsignes au titre du 1 du prsent article et dans les conditions prvues l'article
37-2 du prsent rglement. []

Article 9
Les entreprises assujetties s'assurent que le nombre et la qualification des personnes
mentionnes l'article 6, ainsi que les moyens mis leur disposition, en particulier les outils
de suivi et les mthodes d'analyse de risques, sont adapts aux activits, la taille et aux
implantations de l'entreprise.
Les moyens affects au contrle priodique au titre des dispositifs mentionns au b de l'ar-
ticle 6 doivent tre suffisants pour mener un cycle complet d'investigations de l'ensemble des
activits sur un nombre d'exercices aussi limit que possible ; un programme des missions de
contrle doit tre tabli au moins une fois par an en intgrant les objectifs annuels de l'or-
gane excutif et de l'organe dlibrant en matire de contrle.

Article 9-1
Les entreprises assujetties dfinissent des procdures qui permettent :
a) de vrifier l'excution dans des dlais raisonnables des mesures correctrices qui ont
t dcides par les personnes comptentes dans le cadre du dispositif de contrle
interne ;
b) au responsable du contrle priodique d'informer directement et de sa propre initia-
tive le comit d'audit de l'absence d'excution des mesures correctrices dcides.

56 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Article 10
Les entreprises assujetties sassurent que le systme de contrle sintgre dans lorganisa-
tion, les mthodes et les procdures de chacune des activits et que les dispositifs mention-
ns au b de larticle 6 sappliquent lensemble de lentreprise, y compris ses succursales,
ainsi qu lensemble des entreprises contrles de manire exclusive ou conjointe.

Article 11-8
Les entreprises assujetties dsignent un responsable en charge de la filire risques, dont
elles communiquent lidentit la Commission bancaire. Cette filire inclut les agents et
units en charge de la mesure, de la surveillance et de la matrise des risques.
Lorsquil nest pas membre de lorgane excutif, le responsable de la filirerisquesest direc-
tement rattach cet organe et ne doit effectuer aucune opration commerciale, financire
ou comptable.
Le responsable de la filire risques rend compte de lexercice de ses missions lorgane
excutif et lalerte de toute situation susceptible davoir des rpercussions significatives sur la
matrise des risques. Lorsque ce dernier ou lorgane dlibrant lestiment ncessaire, il rend

ANNEXE
galement directement compte lorgane dlibrant ou, le cas chant, au comit daudit.
Lorsque la taille dune entreprise assujettie ou les circonstances le justifient, le responsable
du contrle permanent assure la coordination de tous les dispositifs qui participent la filire
risques.
Lorsquune entreprise appartient un groupe au sens de larticle 1er du rglement n2000-03
susvis ou relve dun organe central, la responsabilit de la filire risques peut tre assure
au niveau dune autre entreprise du mme groupe ou affilie au mme organe central, aprs
accord des organes dlibrants des deux entreprises concernes.
Lorsque lentreprise est une entreprise dinvestissement, les responsabilits prvues au
premier alina du prsent article peuvent tre confies aux personnes en charge des contrles
prvus par le rglement gnral de lAMF.

Article 11-9
Le responsable de la filire risques sassure de la mise en uvre des systmes de mesure et
de surveillance des risques et des rsultats viss au titre IV et des systmes de surveillance et
de matrise des risques viss au titre V. Il sassure que le niveau des risques encourus par len-
treprise assujettie est compatible avec les orientations de lactivit fixes par lorgane dlib-
rant et les limites mentionnes larticle 33.

Article 11-10
Les entreprises assujetties dotent la filire risques de moyens suffisants en termes de
personnel, de systmes dinformation et daccs aux informations internes et externes nces-
saires lexercice de ses fonctions. Elles sassurent que le personnel de la filire risques

IFACI 57
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

dispose de suffisamment dexprience, de qualification et dun positionnement adquat pour


exercer ses missions au sein de lentreprise.

Article 17
Les entreprises assujetties mettent en place des systmes danalyse et de mesure des risques
en les adaptant la nature et au volume de leurs oprations afin dapprhender les risques
de diffrentes natures auxquels ces oprations les exposent, et notamment les risques de
crdit, de march, de taux dintrt global, dintermdiation, de rglement et de liquidit ainsi
que le risque oprationnel.
Les entreprises assujetties et les compagnies financires mentionnes larticle 2 doivent
galement disposer de systmes de mesure adapts la nature et au volume de leurs opra-
tions leur permettant dapprhender les risques de crdit, de march, de liquidit, de taux
dintrt global et de rglement ainsi que le risque oprationnel sur une base consolide.

Article 17bis
Les entreprises assujetties doivent disposer de systmes et procdures fiables, efficaces et
ANNEXE

exhaustives pour valuer et conserver en permanence les montants, les types ainsi que la
rpartition de capital interne qu'elles jugent appropris compte tenu de la nature et du
niveau des risques auxquels elles sont ou pourraient tre exposes.
Ces systmes et procdures doivent faire lobjet dun contrle interne rgulier, visant assu-
rer quelles restent exhaustives et proportionnes la nature, la taille et la complexit de
leurs activits.

Article 17ter
Les systmes danalyse et de mesure des risques prvus larticle 17 doivent prvoir les
critres et seuils permettant didentifier comme significatifs les incidents rvls par les
procdures de contrle interne au sens de larticle L. 511-41 du Code montaire et financier.
Ces critres doivent tre adapts lactivit de ltablissement et couvrir les risques de perte,
y compris lorsque celle-ci ne sest pas matrialise.
Est rpute cet effet significative toute fraude entranant une perte ou un gain dun montant
brut dpassant 0,5 % des fonds propres de base. Ce montant ne peut tre infrieur dix mille
euros.

Article 17 quater
Les entreprises assujetties mettent en place des systmes et procdures permettant dappr-
hender globalement lensemble des risques associs aux activits bancaires et non bancaires
de ltablissement, notamment de crdit, de march, de taux dintrt global, dintermdia-
tion, de rglement, de liquidit et oprationnels.
Les systmes et procdures doivent permettre aux tablissements de disposer dune carto-
graphie des risques qui identifie et value les risques encourus au regard de facteurs internes

58 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

(notamment la complexit de lorganisation, la nature des activits exerces, le professionna-


lisme des personnels et la qualit des systmes) et externes (notamment les conditions
conomiques et les volutions rglementaires). Cette cartographie :
c) Prend en compte lensemble des risques encourus ;
d) Est tablie par entit et/ou ligne de mtier, au niveau auquel est exerce, le cas
chant, la surveillance consolide ou complmentaire ;
e) Evalue ladquation des risques encourus par rapport aux orientations de lactivit ;
f) Identifie les actions en vue de matriser les risques encourus, par :
le renforcement des dispositifs de contrle permanent ;
la mise en uvre des systmes de surveillance et de matrise des risques dfinis
au titre V ;
la dfinition des plans de continuit de lactivit prvus larticle 14-1.

Article 17 quinquies
Lensemble des systmes viss aux articles 17 17 quater doivent faire lobjet dune actuali-
sation et dune valuation rgulires.

ANNEXE
Article 26
Pour la mesure des risques de march, les entreprises assujetties veillent apprhender de
manire complte et prcise les diffrentes composantes du risque. []

IFACI 59
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

A NNEXE 2 : P RUDENTIAL SOURCEBOOK FOR B ANKS , B UILDING S OCIETIES AND


I NVESTMENT F IRMS

Extrait du chapitre 6 Risques Oprationnels du Prudential sourcebook for Banks, Building


Societies and Investment Firms :

Principles for business lines mapping

6.4.1
(1) To be eligible for the standardised approach, a firm must meet the qualifying criteria set out in
this rule, in addition to the general risk management standards set out in SYSC 4.1.1 R to SYSC
4.1.2 R and SYSC 7.1.16 R.
(2) A firm must have a well-documented assessment and management system for operational risk
with clear responsibilities for the system assigned within the firm. The system must identify the
firm's exposures to operational risk and track relevant operational risk data, including material loss
ANNEXE

data.
(3) A firm's operational risk assessment and management system must be subject to regular inde-
pendent review.
(4) A firm's operational risk assessment system must be closely integrated into the firm's risk mana-
gement processes. Its output must be an integral part of the process of monitoring and controlling the
firm's operational risk profile.
(5) A firm must implement a system of management reporting that provides operational risk reports
to relevant functions within the firm. A firm must have procedures in place for taking appropriate
action in response to the information contained in such reports.
[]

6.4.10
A firm must develop and document specific policies and criteria for mapping the relevant indicator
for current business lines and activities into the framework for the standardised approach. The crite-
ria must be reviewed and adjusted for new or changing business activities and risks as appropriate.

6.4.11
(1) The principles for business line mapping that a firm must meet are set out in this rule.
(2) All activities must be mapped into the business lines in a mutually exclusive and jointly exhaus-
tive manner.
(3) Any activity which cannot be readily mapped into the business line framework, but which repre-
sents an ancillary function to an activity included in the framework, must be allocated to the business
line it supports. If more than one business line is supported through the ancillary activity, an objec-
tive mapping criterion must be used (e.g., proportional allocation of the indicators).

60 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

(4) If an activity cannot be mapped into a particular business line then the business line yielding the
highest charge for the firm must be used. The same business line equally applies to any associated
ancillary activity.
(5) A firm may use internal pricing methods to allocate the relevant indicator between business lines.
(6) The mapping of activities into business lines for operational risk capital purposes must be consis-
tent with the definitions of business lines used by the firm for credit and market risks.
(7) Senior management must be responsible for the mapping policy.
(8) The mapping process to business lines must be subject to independent review.

ANNEXE

IFACI 61
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

A NNE XE 3 : I NTER NATI O NAL CO NV ERG EN CE O F CAPITAL ME ASURE ME NTS AN D


CAPITAL STANDARDS

Extrait de International convergence of capital measurements and capital standards (Basel


Committee on banking supervision)

92. Supervisors will be responsible for assigning eligible ECAIs assessments to the risk weights avai-
lable under the standardised risk weighting framework, i.e. deciding which assessment categories
correspond to which risk weights. The mapping process should be objective and should result in a
risk weight assignment consistent with that of the level of credit risk reflected in the tables above. It
should cover the full spectrum of risk weights.
ANNEXE

93. When conducting such a mapping process, factors that supervisors should assess include, among
others, the size and scope of the pool of issuers that each ECAI covers, the range and meaning of the
assessments that it assigns, and the definition of default used by the ECAI. In order to promote a
more consistent mapping of assessments into the available risk weights and help supervisors in
conducting such a process, Annex 2 provides guidance as to how such a mapping process may be
conducted.

94. Banks must use the chosen ECAIs and their ratings consistently for each type of claim, for both
risk weighting and risk management purposes. Banks will not be allowed to cherry-pick the assess-
ments provided by different ECAIs.

95. Banks must disclose ECAIs that they use for the risk weighting of their assets by type of claims,
the risk weights associated with the particular rating grades as determined by supervisors through
the mapping process as well as the aggregated risk-weighted assets for each risk weight based on the
assessments of each eligible ECAI.

62 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

A NNEX E 4 : S U PPLE ME NTAL P O LIC Y S TATEM EN T O N THE I NTE RNAL AU DI T


F UNCTION AND I TS O UTSOURCING

Board of Governors of the Federal Reserve (23 janvier 2013)

Extrait du chapitre Internal Audit Risk Assessment

A risk assessment should document the internal audit staff's understanding of the institution's
significant business activities and the associated risks. These assessments typically analyze the
risks inherent in a given business line or process, the mitigating control processes, and the resulting
residual risk exposure to the institution. []The risk assessments should also consider thematic
control issues, risk tolerance, and governance within the institution. Risk assessments should be revi-
sed [] no less than annually. When the risk assessment indicates a change in risk, the audit plan
should be reviewed to determine whether the planned audit coverage should be increased or decrea-
sed to address the revised assessment of risk.

ANNEXE
Une valuation des risques doit documenter la comprhension que les auditeurs internes
ont des activits significatives de ltablissement et des risques-cl associs. Ces valuations
intgrent une analyse des risques inhrents une ligne de mtier donne ou un processus,
les dispositifs de matrise associs, et le risque rsiduel auquel est expose la structure. []
Les valuations de risques devraient galement prendre en considration les contrles
thmatiques, la tolrance au risque ainsi que la gouvernance de la structure. Les valuations
des risques doivent tre revues [] annuellement a minima. Toute volution de lenvironne-
ment des risques pourra alimenter les travaux de revue du plan daudit afin de dterminer si
le primtre des audits planifis doit tre tendu ou rduit pour prise en compte des volu-
tions.

IFACI 63
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

A NNEXE 5 : CONVERGENCE INTERNATIONALE DE LA MESURE ET DES NORMES DE


FONDS PROPRES

Comit de Ble juin 2004

Annexe 2
Approche standard : conversion des valuations de crdit

1. Les autorits de contrle seront charges de dfinir le mode de conversion en coefficients


de pondration (dans lapproche standard) des valuations de crdit attribues par les
OEEC reconnus ; elles devront donc prendre en compte divers lments qualitatifs et
quantitatifs leur permettant de diffrencier les niveaux relatifs de risque exprims par
chaque valuation. Les lments qualitatifs peuvent englober notamment lensemble des
metteurs couvert par chaque organisme, lchelle des notations attribues et la signifi-
ANNEXE

cation de chacune ainsi que la dfinition du dfaut utilise.

2. Des paramtres quantifiables peuvent favoriser une plus grande homognit du proces-
sus de conversion. Cette annexe rcapitule les propositions du Comit destines aider
les autorits de contrle cet gard. Les paramtres prsents ci-dessous visent leur
servir de guide ; ils ne sont pas destins sajouter ni se substituer aux actuels critres
de reconnaissance des OEEC

Apprciation des Taux de Dfaut Cumuls (TDC) : deux mesures proposes

3. Pour sassurer quune pondration particulire corresponde bien une valuation


donne du risque de crdit, le Comit recommande aux autorits de contrle dapprcier
le taux de dfaut cumul (TDC) sur trois ans de lensemble des missions de mme nota-
tion, en recourant deux mesures distinctes.
Pour se doter dune perspective de long terme sur les dfauts de paiement, elles
devraient se rfrer une moyenne sur une priode de dix ans, lorsque cest
possible, du TDC sur trois ans1. Dans le cas dune agence de notation nouvelle ou
ayant compil des donnes de dfaut sur moins de dix ans, elles pourraient lui
demander destimer cette moyenne ; elles la tiendront responsable de la fiabilit
de lestimation, par la suite, dans la pondration des crances quelle note.
En second lieu, elles devraient examiner le TDC sur trois ans le plus rcent pour
chaque valuation de crdit dun OEEC.

1 Pour 2002, par exemple, les autorits de contrle calculeraient la moyenne des TDC sur trois ans de chaque groupe dmetteurs de
mme notation ( cohorte ) pour chacune des dix annes de 1990 1999.

64 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

4. Les deux mesures seraient compares aux taux historiques de dfaut agrgs compils
par le Comit pour les valuations de crdit juges reprsenter un niveau quivalent de
risque.

5. Les TDC sur trois ans des OECC tant supposs disponibles, les autorits de contrle
devraient pouvoir comparer lhistorique des dfauts correspondant aux valuations dun
organisme de notation spcifique avec celui de ses pairs, notamment les grandes agences,
pour une mme population.

6. Pour aider les autorits de contrle dterminer les pondrations applicables aux nota-
tions dun OEEC, chacune des mesures de TDC indiques ci-dessus pourrait tre compa-
re aux valeurs de rfrence suivantes.
Pour chaque chelon de notation de lOEEC, la moyenne sur dix ans du TDC sur
trois ans serait compare un TDC de rfrence sur trois ans reprsentant lhis-
torique des dfauts au niveau international.
Il en serait de mme pour les deux TDC sur trois ans les plus rcents. Cette
analyse comparative servirait dterminer si les valuations de crdit rcentes de

ANNEXE
lOEEC se maintiennent dans les normes de rfrence prudentielles.

7. Le tableau 1 ci-dessous illustre lensemble du processus de comparaison.

Tableau 1
Comparaison des TDC1

Historique international Organisme externe dvaluation


(dcoulant de lhistorique du crdit
agrg des grandes agences
de notation)
comparer avec
Recommandation dfinie par Calcul des autorits de contrle
le Comit de Ble nationales sur la base des chif-
fres de dfaut de lOEEC

TDC de rfrence sur longue Moyenne sur dix ans du TDC


priode sur trois ans

TDC de rfrence Les deux TDC sur trois ans les


plus rcents

1. Comparaison de la moyenne long terme du TDC sur trois ans dun OEEC avec le TDC
de rfrence sur longue priode

1 Il convient de noter que chacune des grandes agences de notation serait soumise ce processus comparant ses rsultats propres avec
lhistorique international agrg.

IFACI 65
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

8. Pour chaque catgorie de risque relevant de lapproche standard dans le prsent disposi-
tif, le TDC de rfrence sur longue priode renseignerait les autorits de contrle sur le
niveau historique international des dfauts correspondants. La moyenne sur dix ans dun
OEEC donn nest pas cense concorder exactement avec ce taux de rfrence ; celui-ci
constitue un guide lintention des autorits de contrle et non un objectif atteindre
par les OEEC. Le tableau 2 ci-aprs prsente les TDC de rfrence sur longue priode
recommands pour chaque catgorie de risque de crdit, sur la base des observations du
Comit concernant lexprience des grandes agences de notation sur le plan internatio-
nal.

Tableau 2
TDC de rfrence sur longue priode (proposition)

S&P AAA-AA A BBB BB B


(Moodys) (Aaa-Aa) (A) (Baa) (Ba) (B)
Moyenne sur vingt ans du TDC sur
0,10% 0,25% 1,00% 7,50% 20,00%
trois ans

2. Comparaison du TDC sur trois ans le plus rcent aux TDC de rfrence
ANNEXE

9. Les TDC de lOEEC ne sont pas censs correspondre exactement aux TDC de rfrence ;
il importe donc dindiquer plus clairement les TDC plafonds acceptables pour chaque
valuation et, partant, pour chaque pondration.

10. Dans lensemble, le Comit estime que les TDC plafonds devraient servir de guide aux
autorits de contrle, sans constituer ncessairement des exigences absolues. En cas de
dpassement, lautorit de contrle ne va pas ncessairement augmenter le coefficient de
pondration appliqu une valuation donne, surtout si elle est convaincue que ce
dpassement est d un phnomne passager et non des critres dvaluation dfi-
cients.

11. Pour aider les autorits de contrle dterminer si un TDC sinscrit dans une fourchette
acceptable pour quune notation corresponde une pondration donne, deux rfrences
seraient tablies pour chaque valuation : niveau de suivi et niveau de seuil.
a) Niveau de suivi

12. Si le TDC dpasse le niveau de suivi, cela signifie que les rsultats actuels dun OEEC en
matire de dfaut pour une notation donne sont sensiblement plus levs que lhisto-
rique international. Mme si lvaluation reste gnralement considre acceptable pour
le coefficient de pondration correspondant, lautorit de contrle devrait interroger
lOEEC concern sur la raison de cet cart. Si elle le juge attribuable des critres dva-
luation du risque de crdit dficients, elle devrait affecter lvaluation de cet OEEC une

66 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

catgorie de risque suprieure.


b) Niveau de seuil

13. Si le TDC dpasse le niveau de seuil, cela signifie que les rsultats de lOEEC en matire
de dfaut pour une notation donne sont beaucoup plus levs que les antcdents inter-
nationaux. Il est donc prsum que ses critres sont trop faibles ou ne sont pas appliqus
de manire approprie. Lorsque le TDC observ sur trois ans dpasse le niveau de seuil
deux annes conscutives, lautorit de contrle devrait affecter la notation une catgo-
rie de risque moins favorable. Si elle estime que lcart nest pas attribuable des critres
dvaluation du risque dficients, elle peut toutefois, sur la base de son jugement, dcider
de conserver la pondration dorigine1.

14. Dans tous les cas o lautorit de contrle dcide de laisser la catgorie de risque inchan-
ge, elle peut, au titre du deuxime pilier du prsent dispositif, inciter les banques
accrotre provisoirement leurs fonds propres ou constituer des rserves plus impor-
tantes.

ANNEXE
15. Lorsque lautorit de contrle a relev la catgorie de risque, un retour en arrire est
possible si lOEEC peut dmontrer que son TDC sur trois ans sest inscrit en baisse et
reste en de du niveau de suivi deux annes conscutives.
c) Calibrage des TDC de rfrence

16. Aprs avoir examin diverses mthodologies, le Comit a dcid dutiliser des simula-
tions Monte-Carlo pour calibrer les niveaux de suivi et de seuil correspondant chaque
notation. En particulier, le niveau de suivi propos repose sur lintervalle de confiance
correspondant au 99e centile et le niveau de seuil au 99,9e centile. Les simulations repo-
sent sur les donnes historiques de dfauts publies par les grandes agences de notation
internationales. Le tableau 3 ci-aprs prsente les niveaux ainsi obtenus, arrondis la
premire dcimale.

Tableau 3
TDC de rfrence sur trois ans (proposition)

S&P AAA-AA A BBB BB B


(Moodys) (Aaa-Aa) (A) (Baa) (Ba) (B)
Niveau de suivi 0,8% 1,0% 2,4% 11,0% 28,6%

Niveau de seuil 1,2% 1,3% 3,0% 12,4% 35,0%

1 Si, par exemple, lautorit de contrle juge quil sagit dun phnomne temporaire rsultant peut-tre dun choc passager ou exogne
comme une catastrophe naturelle, alors la pondration de risque propose dans lapproche standard pourrait encore sappliquer. De
mme, le dpassement simultan du niveau de seuil par plusieurs OEEC peut indiquer une modification passagre du march ou
une influence exogne, et non une dtrioration des critres. Dans lun ou lautre cas, lautorit de contrle se devrait de surveiller
les valuations de lOEEC pour sassurer quil ny a pas relchement des critres dvaluation du risque de crdit.

IFACI 67
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

A NNEXE 6 : E XEMPLE DE F ICHE D OBJET AUDITABLE

MJ
5 3 2
20XX

+
2 ans
+
XX_ Dfinir, suivre et piloter la confor-

Importance
mit aux exigences rglementaires et -
3 ans
mettre en uvre les principes de +
contrle interne : Scurit Financire -
5 ans
-

++ +- --
Prvision :
20XX Niveau de matrise actuel
ANNEXE

1. Primtre daudit
Le primtre daudit couvre le pilotage de la scurit financire et notamment :

2. Mesure des risques inhrents

Elments de contexte (constats, dispositifs de


Typologie de risque Cotation
matrise des risques, rglementations...)
Crdit

March

Ex : Un risque de non respect de procdures peut


subvenir et avoir des impacts importants (blanchi-
ment de capitaux, financement du terrorisme).
Le non respect de la rglementation (contrle sur
les PPE, professions risques, liste des terroristes)
Oprationnel
entrane un risque juridique.
Le non respect des rgles relatives lexploitation
des listes terroristes peut conduire ltablissement
financer un terroriste ou participer aux blanchi-
ments de capitaux.

Risques inhrents

Qualit des Contrles


Permanents

68 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

3. Conclusions des prcdentes missions daudit

4. Suivi des recommandations sur les 5 dernires annes

5. Points dattention ventuels

6. Avis ventuels des intervenants externes : CAC, Missions dexpertise de


consultants externes, actionnaires, ACPR

ANNEXE
7. Dtermination du risque rsiduel et de la priodicit daudit :

Le niveau de risque rsiduel est valu

Une priodicit daudit de N ans est retenue.

8. Thmes daudit possibles

IFACI 69
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

B IBLIOGRAHIE

70 IFACI
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

B IBLIOGRAPHIE

Rglementation

Ble III : dispositif rglementaire mondial visant renforcer la rsilience des tablissements et
systmes bancaires : dcembre 2010 (document rvis juin 2011) / Comit de Ble sur le
contrle bancaire. - Banque des Rglements Internationaux, 2010.
Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit
et des entreprises d'investissement. Modifi par les arrts du 31mars 2005, du 17 juin 2005, des
20 fvrier et 2 juillet 2007, du 11 septembre 2008, du 14 janvier 2009, du 5 mai 2009, deux arrts
du 29 octobre 2009, les arrts du 3 novembre 2009, du 19 janvier 2010, du 25 aot 2010 et par
larrt du 13 dcembre 2010.
Directive 2006/48 du Parlement europen et du Conseil du 14 juin 2006 concernant l'accs
l'activit des tablissements de crdit et son exercice.
Directive 2006/49 du 14 juin 2006 du Parlement europen et du Conseil du 14 juin 2006 sur
l'adquation des fonds propres des entreprises d'investissement et des tablissements de
crdit.
Directive 2006/43/CE du Parlement europen et du Conseil du 17 mai 2006 concernant les
contrles lgaux des comptes annuels et des comptes consolids et modifiant les directives
78/660/CEE et 83/349/CEE du Conseil, et abrogeant la directive 84/253/CEE du Conseil.
Directive 2004/39/CE du Parlement europen et du Conseil du 21 avril 2004 concernant les
marchs dinstruments financiers, modifiant les directives 85/611/CEE et 93/6/CEE du Conseil
et la directive 2000/12/CE du Parlement europen et du Conseil et abrogeant la directive
93/22/CEE du Conseil.

Rfrentiel

Cadre de Rfrence International des Pratiques Professionnelles de laudit interne / IIA ; IFACI.
2013.
Internal Control-Integrated Framework / COSO. 2013. [version franaise attendue pour dbut
2014]
IS Audit and Assurance Standards : Exposure Draft / ISACA. 2012.
Convergence Internationale de la mesure et des normes de fonds propres : dispositif rvis /
Comit de Ble sur le contrle bancaire. - Banque des Rglements Internationaux, 2006.
Le Management des risques de l'entreprise : Cadre de rfrence - techniques d'application :
COSO II report / IFACI ; PWC ; Landwell & Associs. Ed. d'organisation, 2005.

IFACI 71
DE LA CARTOGRAPHIE DES RISQUES AU PLAN DAUDIT

Ouvrages

FSA Handbook [updated 2013] / Financial Services Authority. 2013.


Supplemental Policy Statement on the Internal Audit Function and Its Outsourcing / Board of
Governors of the Federal Reserve System. 2013.
Position AMF n 2012-17 : Exigences relatives la fonction de vrification de la conformit/
AMF, 2012.
The internal audit function in banks / Basel Committee on Banking Supervision. Bank for
International Settlements, 2012.
Principes fondamentaux pour un contrle bancaire efficace / Comit de Ble sur le contrle
bancaire. Banque des Rglements Internationaux, 2012.
Principles for the Sound Management of Operational Risk / Basel Committee on Banking
Supervision. Bank for International Settlements, 2011.
Pour un urbanisme du contrle interne efficient : [Prise de position] / Groupe Professionnel
"Banque". IFACI, 2010.
Recommandation AMF n 2010-16 : Cadre de rfrence des dispositifs de gestion des risques
et de contrle interne. AMF, 2010.
International convergence of capital measurements and capital standards / Basel Committee on
Banking Supervision. Bank for International Settlements, 2006.
Prudential sourcebook for Banks, Building Societies and Investment Firms / FSA. 2006.
Standardised Approach implementing the mapping process [Annex 2] / Basel Committee on
Banking Supervision. Bank for International Settlements, 2004.
Etude du processus de management et de cartographie des risques : Conception, mise en place
et valuation / Commerce et Services Groupe Professionnel Industrie . IFACI, 2003.
A glossary of terms used in payments and settlement systems / Committee on Payment and
Settlement Systems. Bank for International Settlements, 2003.
Ebzone Communication (www.ebzone.fr)
Ralisation :

72 IFACI