Académique Documents
Professionnel Documents
Culture Documents
THEME :
AUDIT BANCAIRE
Stage effectué à :
LA DIRECTION AUDIT INTERNE
BANQUE POPULAIRE
Période de stage:
Du 05 /06 au 05/07.
1
Dédicace
2
TABLE DES MATIERES :
Introduction générale .......................................................................................... 8
3
1-1 Principes Fondamentaux : ........................................................................................................... 42
1-3 Rôle de l'audit interne et son interaction avec les acteurs du système de contrôle interne : ....... 44
4
REMERCIEMENTS
Avant d’entamer ce rapport, je tiens avant tout à exprimer ma sincère reconnaissance envers
l’ensemble du personnel qui ont contribué à mon initiation dans le domaine d’audit interne
bancaire, à savoir : Mohamed HAMOUDOU, Directeur de l’Audit interne à la BPCS, ainsi
qu’à tous les membres de son équipe.
5
Liste des tableaux :
Figure 2:Liste des établissements des crédits et les banques offshore .............................. 15
6
Liste des Principales Abréviations
7
Introduction Générale
Dans le cadre de ma formation en audit et contrôle de gestion, j’ai été amenée à effectuer un
stage thématique d’un mois, et ce, dans l’objectif d’approcher davantage le monde de
l’entreprise et de parfaire mes acquis théoriques à la lumière de la réalité du monde du travail.
C’est dans cette optique que j’ai rejoint, le temps d’un mois, la BPCS et plus précisément au
niveau de la direction audit interne (DAI).
Le présent rapport se divise en deux parties distinctes, une première partie descriptive où il
sera question de la banque centrale populaire, de son historique, de ses subdivisions, avec un
accent particulier sur la direction d’audit interne.
En effet, les banques marocaines comme les banques étrangères ont vécu de profonds
bouleversements dans les années quatre-vingt se traduisant par la décentralisation et
l’internationalisation des activités, la croissance des volumes d’opérations, le développement
des produits sophistiqués et la prise de risques dans un contexte de baisse des marges.
Depuis le début du troisième millénaire, en Europe, on constate une accélération des fusions
et des acquisitions dans le secteur bancaire. Phénomène qui semble se propager pour toucher
ainsi le paysage bancaire marocain.
8
Ainsi, avec les évolutions qui marquent le secteur bancaire et qui se caractérisent notamment
par la rapidité de renouvellement des processors, l’automatisation accélérée des traitements
ainsi que par la technicité et la diversité croissantes des produits, les risques auxquels les
banques sont confrontées sont devenus plus nombreux, plus significatifs et plus complexes
Ces mutations posent d’une part des problèmes de difficultés d’analyse et de contrôle des
risques, de protection des investisseurs et de transparence des marchés et d’autre part, des
exigences toujours plus élevées à la gestion des risques et à l’organisation des établissements
bancaires.
Les établissements bancaires sont aujourd’hui conduits à s’investir davantage pour tirer les
conclusions de ces évolutions.
9
[PARTIE DESCRIPTIVE]
10
Introduction
Depuis le début des années 90, le secteur financier au Maroc a connu une période de
libéralisation marquée par des réformes appuyées par une série d'initiatives de la Banque
Mondiale. Ces réformes portaient sur le secteur bancaire (1991-1995), le développement du
marché des capitaux et la poursuite de la libéralisation du secteur financier (1996).
Parmi les principales réformes mises en œuvre pendant cette période, il faut souligner
l'élimination de l'encadrement du crédit, la libéralisation des taux d'intérêt, la refonte du cadre
législatif de l'activité des établissements de crédit par l'adoption en 1993 d'une nouvelle Loi
Bancaire, la suppression progressive des emplois obligatoires (Plancher d'Effets Publics) et le
renforcement de la réglementation prudentielle des banques en s'inspirant des normes
internationales.
Plus récemment, la refonte des nouveaux statuts de Bank Al-Maghreb en janvier 2005 et la
nouvelle loi bancaire en février 2006 ont renforcé les prérogatives de la Banque Centrale dans
le domaine de la supervision bancaire et de la politique monétaire.
L'intermédiation financière des banques marocaines s'est développée par rapport à la taille de
l'économie, mais à un rythme qui ne menace pas de déstabiliser l'équilibre financier des
principales banques commerciales.
Avec la réduction de la présence de l'Etat dans le système bancaire, une part nettement plus
importante des crédits est destinée au financement du secteur privé. Néanmoins, la croissance
relative des crédits à moyen et long terme et de l'épargne bancaire à terme ne s'est pas
sensiblement améliorée. Le financement du Trésor continue de représenter une partie non
négligeable des emplois du secteur bancaire.
11
I. Le système bancaire marocain : vue d’ensemble.
1-1 Réglementation et supervision bancaires :
La Ministère des finances n’est pas impliqué dans le contrôle des opérations courantes des
établissements de crédit, mission dévolue exclusivement aux services de BANK Al-Maghreb
qui trouve ses prérogatives renforcées par la nouvelle loi bancaire du 14 février 2006 en
particulier dans le domaine de la supervision bancaire.
12
Le Groupement Professionnel des Banques du Maroc (GPBM) est l'instance professionnelle
des banques. Il communique notamment les décisions et positions communes de la profession
en matière d'environnement opérationnel des banques et publie régulièrement des
recommandations sur les taux de base bancaire. Les autres associations professionnelles
incluent l'Association Professionnelle des Sociétés de Financement (APSF) et l'Association
Professionnelle des Sociétés de Bourse (APSB) et des OPCVM (ASFIM).
13
o SANTUSA Holding (Espagne) avec 14,48% du capital d’ATTIJARIWAFA
Bank,
o Le Crédit Agricole avec 1,44% du capital d’ATTIJARIWAFA Bank, mais
présent hauteur de 34% dans les filiales stratégiques que sont WAFASALAF
(2ème société de crédit à la consommation de la place, après EQDOM, la
filiale du groupe Société Générale) et WAFAGESTION.
Le secteur bancaire marocain se partage en quatre catégories d'établissements :
14
Implantation des banques : 5024 guichets au Maroc, 20 filiales, 10 succursales et
agences bancaire ainsi que 58 bureaux de représentation à l’étranger.
Implantation de BARID AL-Maghreb : 1.653 guichets au Maroc.
Effectif des établissements de crédit : 26.251 dont 24.000 environ pour les banques.
1
1
-
P
r
é
s
e
n
t
a
t
i
o
n
d
u
C
r
é
d
i
t
F
Figure 2:Liste des établissements des crédits et les banques offshore
15
II. Présentation du crédit banque populaire :
Le Crédit Banque Populaire est un groupement constitué de la Banque Centrale Banque Populaire, ses
filiales, les Fondations Banque Populaire et les Banques Populaires Régionales.
L'instance suprême du Crédit Populaire Marocain est le comité directeur qui a pour mission de définir
des orientations stratégique du groupe, contrôler son fonctionnement et veiller à la réalisation de son
équilibre financier, il est présidé par un directeur élu parmi les membres dudit Comité et sa nomination
est ratifiée par le Ministre chargé des Finances.
Le comité directeur est composé de :
Cinq Présidents des Conseils de Surveillance des Banques Populaires
Régionales élus par leurs pairs,
Cinq représentants du Conseil d'Administration de la Banque Centrale
Populaire, nommés par ledit Conseil.
Le CPM concrétise alors une approche fédérative, qui permet la participation des sociétaires par le
biais de leur représentant aux organes de la gouvernance en vue de définir l'orientation stratégique, les
valeurs du groupe à travers son histoire.
La valeur du GBP s'appuie sur le principe de la solidarité et l'intérêt commun, ceci se traduise à travers
l'esprit mutualiste en interne mais aussi l'engagement de la banque dans le projet citoyen qui est le
développement économique et social du pays.
La mission du GBP qui est de propulser l'économie nationale notamment par la bancarisation de la
masse populaire, l'accompagnement des PME et PMI dans leurs mises à niveau, la promotion de
l'emploi grâce à l'assistance apporté aux jeunes promoteurs, fait de la banque une entreprise citoyenne
par excellence.
16
Consolidation de la position acquise sur le marché : d'abord à travers le développement des
activités de la banque au quotidien grâce à un réseau d'agence étendu renforcé par l'ouverture
chaque année d'une centaine de point de vente, ensuite en mettant sur le marché une Business
Project qui concrétise une nouvelle approche du GPB visant la personnalisation de la relation
avec la clientèle des entreprises.
Jouer son rôle de banque citoyenne : grâce à la proximité avec toutes catégories de la
clientèle ce qui permet une grande bancarisation de la population, une mobilisation de
l'épargne au sociaux, et l'accompagnement Profit des acteurs économiques et des PME/PMI
dans leurs démarches de mise à niveau des PME.
L'amélioration des performances : elle passe par trois volets, d'abord la rentabilité en
améliorant la productivité des agences grâce notamment à l'automatisation des opérations
effectuées au niveau des agences et la maîtrise des charges d'exploitation, ensuite la croissance
des commissions qui enregistre une évolution moyenne annuelle de 10%, enfin la maîtrise des
risque en respectant la norme dans les règles prudentielles de solvabilité, liquidité, division de
risque et de créance en souffrance.
La conquête de nouveaux territoires et la croissance externe : en cherchant à se
positionner sur des nouveaux marchés spécifiquement celui de l'entreprise et de l'ingénierie
financière, d'émission obligataire, du capital-risque, de la gestion collective d'épargne, de
l'intermédiation financière, et de financement du commerce international
17
III. Présentation de la banque centrale Populaire
La Banque Centrale Populaire est un établissement de crédit, sous forme de société anonyme à
Conseil d’ Administration. Elle est cotée en bourse depuis le 8 juillet 2004.
La BCP est chargé d'exécuter les décisions du Comité Directeur notamment à des Banques Populaires
Régionales. Elle peut également effectuer directement toute opération pratiquée par les banques en
vertu des dispositions de la loi bancaire.
Toutefois, elle ne peut intervenir directement dans les circonscriptions territoriales ou les Banques
Populaires Régionales exercent leurs activités.
Par ailleurs, la BCP peut participer au capital d'une Banque Populaire Régionale sans limitation des
parts, à titre provisoire et exceptionnel, lorsque la situation financière de la banque concernée le
justifie. Elle peut toutefois prendre 5% des parts du capital d’une Banque Populaire Régionale ou d'un
groupe de Banques Populaires à titre permanent.
La BCP exerce sa tutelle sur les différents organismes la composant (BPR et Filiales), par le biais du
comité directeur.
18
19
IV. Présentation de la Banque Régionale BPR
Etablissements de crédit habilités à effectuer toutes les opérations de banque dans leurs
circonscriptions territoriales respectives, les BPR ont pour mission de contribuer au
développement de leur région par la diversité des produits qu'elles offrent, le financement de
l'investissement et la bancarisation de l'économie.
Elles constituent le levier du Crédit Populaire du Maroc dans la collecte de J'épargneau niveau
régional, sa mobilisation et son utilisation dans la région où elle est collectée.
Outre le fait qu'ils bénéficient des différents services bancaires, les clients sociétaires
participent également à la vie sociale de leur banque (Participation aux Assemblées
Générales, possibilité de siéger au Conseil de Surveillance).
Les coopératives fonctionnent selon des principes qui reposent sur les valeurs de prise en
main et de responsabilité personnelles et mutuelles, de démocratie, d'égalité, d'équité et de
solidarité.
20
4-2 Structure et organisation :
La structure organisationnelle de la BPR vise l'adaptation de la banque à son environnement
en adoptant une spécialisation par marché qui permet aux différentes entités du groupe
d'optimiser leurs relations clients.
Les Banques Populaires sont organisées sous la forme coopérative à capital variable, à
Directoire et à Conseil de Surveillance. Ce mode d'organisation est unique au sein du système
bancaire du fait que les clients sont également les détenteurs du capital, formant ainsi ce que
l'on appelle « le sociétariat », ils peuvent donc participer activement à la vie de la banque, à
travers notamment les Conseils de Surveillance, dont les membres sont élus par l'Assemblée
Générale des sociétaires, et dont les présidents siègent au comité Directeur.
21
22
4-3 Descriptif des fonctions :
La structure de la BPR trouve son efficacité dans la clarté des fonctions, une définition précise
de leurs attributions respectives et leurs capacités à assurer un développement continu des
domaines qu'elles couvrent en s'adaptant continuellement avec son environnement et en
mettant le client au centre de leurs missions.
Elle a pour mission de définir les axes de développement du marché MDM & P2P en fonction
des opportunités de la région, sa mission est :
•Animation réseau : dynamiser, animer, former et suivre les actions entreprises au niveau du
réseau, mener les compagnes périodiques, mesurer les performances et mettre en place les
mesures correctives et veiller à la qualité des données clients.
23
b) Direction Marché de l'entreprise et de l'international :
24
Entité de contrôle, son rôle consiste a surveillé la mise en place et les utilisations y afférentes,
contrôler la qualité des engagements au niveau du réseau (délégation de pouvoir, habilitation
informatique, application des procédures, dépassement).
25
Département Back-office comptes, épargnes et Moyens de paiements :
26
Département Gestion Prévisionnel des Emplois et Compétences la Formation et la
Communication Interne :
Il définit les besoins et le comble par des recrutements interne ou externe et met en œuvre
les plans de carrière, et de formations.
La Direction Audit Interne vise donc à fournir au Directoire de la BPR (et/ou au comité
d'audit) une évaluation quant à la façon dont les activités de la BPR sont réalisées et une
assurance raisonnable que les risques associés à ces activités sont bien gérés, avec des
observations et des recommandations visant à mettre en place une gestion efficace,
sécuritaire et d'une bonne gouvernance des ressources et processus du CPM.
Définir l'Audit Interne n'est pas, contrairement à ce que l'on peut penser, chose aisée. Il
existe en effet une myriade de définitions, aussi intéressantes les unes que les autres, qui
souvent se complètent mais ne reflètent pas toujours la complexité du concept.
« L'audit interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
27
améliorer, et contribue à créer de la valeur ajoutée » (Définition de l'International Institut
of Auditors ).
Ainsi il est attendu des auditeurs internes de respecter et d'appliquer les principes
fondamentaux suivants :
L'objectivité : les auditeurs internes doivent montrer le plus haut niveau d'objectivité
professionnelle en collectant, évaluant et communiquant des informations relatives à
l'activité ou au processus examiné. Ainsi, ils :
Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s'ils n'étaient
pas révélés, auraient pour conséquence de fausser le rapport sur les activités
examinées.
Ne doivent pas prendre part des activités ou établir des relations qui risque de
compromettre le caractère impartial de leur jugement.
Ils sont tenus donc, d'évaluer de manière équitable tous les éléments pertinents et ne se laissent pas
influencés dans leur jugement par leurs propres intérêts ou par autrui.
28
5-2 La charte de contrôle interne du CPM
Conçue sur la base du circulaire n° 06 de BAM, la charte de contrôle interne constitue le cadre
référentiel du système de contrôle au sein du CPM et ses filiales.
Département Audit Interne : Fonction chargée d'effectuer des missions surplace auprès des
agences, des succursales et des services centraux de la BPR.
Département Contrôle sur Documents : Fonction chargée des différentes entités de la BPR à
travers le contrôle à distance par le traitement des différents supports (états informatiques,
réclamations de la clientèle, etc.)permettant de déceler les anomalies, les suspens, les
dépassements de limites en matière d'utilisation des lignes de crédit, le respect des délégations
et des habilitations.
L'ensemble des actions de la DAI sont menées dans le sens de l'objectif de toute l'institution, à
savoir :
29
L'audit interne fait ainsi, partie des fonctions clés du management des risques, dont l'efficacité
est un gage de l'efficience du système de contrôle interne et du dispositif de la maîtrise des
risques.
Les rôles et les missions de tous les cadres de la DAI sont définis par des fiches d'emplois :
Ces missions sont panifiées dans le cadre du plan annuel d'audit et traitent
des thèmes particuliers. Elles peuvent toucher un domaine, un processus ou
une procédure et peuvent ainsi avoir pour champ d'action plusieurs entités
(Agences, succursales et fonctions du siège).
Le déroulement d'une mission d'audit est subordonné au passage par cinq phases
essentielles :
La planification de la mission :
Une fois le choix de la mission est arrêté, la phase de sa planification constitue une phase
importante du processus de conduite d'une mission. En effet, elle permet, partir de la
31
connaissance du domaine à auditer et d'une analyse des circulaires, procédures et autres
documents lié au domaine à auditer, de définir les objectifs globaux et spécifiques ainsi que
l'tendue de la mission, et d'élaborer, par la suite, un programme d'audit qui servira de point de
départ à la conduite ordonnée, efficiente et rentable de la mission ; et qui permettra de tirer
des conclusions sur les objectifs arrêtés.
La préparation :
La préparation de la mission revêt une importance particulière, et doit être sanctionnée par la
production d'un plan d'approche et d'orientation traçant les objectifs de la mission, l'approche
d'audit à adopter, le budget temps...
La réalisation :
Il existe en effet, un ensemble de procédures d'audit telles que, les observations physiques, les
interviews, l'examen de documents, l'échantillonnage, etc.
Cette phase est sanctionnée par la production d'un dossier de mission référencié, d'un plan
d'approche mis à jour et d'un état des forces et faiblesses.
L'élaboration du rapport :
Toute mission d'audit interne doit mener à un Procès-Verbal et une fiche de mission rédigée
de manière claire, précise, convaincante et efficace.
Le Directeur de l'Audit Interne révise et approuve le procès-verbal final avant qu'il soit
adressé à l'entité auditée, par voie hiérarchique, pour annotations.
32
Toute mission d'audit interne doit donner lieu, ultérieurement, à une mission de suivi de
réalisation des recommandations qui en résultent. Cette mission a pour objectif de déterminer
si les actions entreprises par l'audité sont adéquates et répondent aux observations contenues
dans le PV et la fiche de mission.
Le rapport de suivi établi la liste des mesures prises par l'entité pour remédier aux
insuffisances stipulées dans le PV. Les situations non résolues sont reportées dans le rapport
de suivi accompagnées d'une description de celles-ci, tout en émettant des recommandations à
cet égard.
A signaler que toutes ces phases doivent avoir lieu dans le respect rigoureux des
dispositions de la réglementation en vigueur.
En entend par réclamation, toute doléance exprimée suite à une prestation perçue comme
insuffisante ou suite à non adhésion totale ou partielle, de la banque à une demande formulée
par un client.
De ce fait, la gestion des réclamations revêt de l'importance à plus d'un titre, vu qu'elle
constitue :
33
Pour la première forme, dans le cas où la réclamation n'est pas traitée et dénouée
immédiatement, il y a lieu de reporter son contenu selon un imprimé modèle. La réclamation
est ainsi matérialisée sur un support papier en vue d'en faciliter la circulation entre les
fonctions intervenant dans le processus de traitement.
Toute réclamation reçue fait objet d'enregistrement à travers l'application dédie à cet effet «
SGR ».
Toute évolution concernant la réclamation doit être enregistrée à travers la même application
(mise à jour commentaire).
Une réclamation est considérée résolue, une fois réalisées les actions pour dépasser le
problème exprimé par le réclamant et communiquées les explications nécessaires au client. En
effet, une lettre de réponse est adressée au client dans la même langue que la réclamation et
selon une formulation simple et claire.
Une fois résolue, la réclamation est enregistrée au niveau de l'applicatif précité (mise à jour
résolution).
34
L'ensemble de ces thèmes revêt une grande importance pour l'exercice du métier de l'audit
interne.
La circulaire 40/G/2007 :
Elle définit le contrôle interne comme étant l'ensemble de dispositifs conçus et mis en
œuvre par l'organe de direction (direction générale, directoire ou toute autre instance
équivalente) et validé par l'organe d'administration (conseil d'administration, conseil de
surveillance ou toute autre instance équivalente) en vue d'assurer en permanence,
notamment :
Les apports de la dite circulaire consiste en la présentation détaillée des obligations incombant
aux établissements de crédit en matière:
Considérant les dispositions réglementaires internes et les normes édictées par le Comité
de Bâle en matière de devoir de diligence au sujet de la clientèle et standards
internationaux en matière de la lutte contre la criminalité financière, Bank Al-Maghreb
35
fixe à travers la circulaire n° 41/G/2007 les règles minimales que les établissements de
crédit sont tenus d'adopter eu titre du devoir de vigilance au sujet de la clientèle.
A l'issue de cette circulaire la Banque Populaire a mis en place tous les moyens
nécessaires lui permettant :
La lutte contre l'argent sale est devenue depuis la convention de vienne de 1988 une
priorité de la communauté internationale. L'objectif Vié est d'empêcher la réintégration
dans le secteur économique de l'argent issue des activités illégale.
Il est primordial que toutes les parties intervenantes prennent conscience du danger et
soient capables de déceler les opérations suspectes.
La globalisation des marchés et la libre circulation des capitaux, quelle que soit leur
origine ou leur nature, offrent aujourd'hui des moyens faciles pour blanchir de l'argent
acquis illégalement dans des activités diverses. Les progrès des techniques bancaires et
des télécommunications permettent à l'argent de circuler facilement et anonymement par
transaction électronique, repoussant ainsi à l'infini les frontières de l'escroquerie.
Pour le Maroc une panoplie de lois est mise en place afin de lutter contre la criminalité
financière.
36
- Le fait d'aider toute personne impliquée dans le trafic des stupéfiants, d'êtres
humains ; d'armes et munitions, la corruption, le détournement des biens
publics et privés ; le terrorisme et la contrefaçon des monnaies et moyens de
paiement .
- Le fait de faciliter la justification mensongère de l'origine des biens ou des
produits de l'une des infractions précitées.
- Le fait d'apporter un concours ou de donner des conseils à une opération d
garde, de placement, de dissimulation, de conversion ou de transfert du produit
de l'une de ces infractions.
La responsabilité juridique de la banque :
Pour l'exercice de son activité normale consistant à prendre des risques sur ses débiteurs,
la banque est tenue de disposer d'informations précises et complètes sur ces derniers et
d'être vigilante quant à l'exercice de son activité.
37
[PARTIE THEMATIQUE : LES SPECIFITES DE L’AUDIT BANCAIRE]
38
Introduction
La complexité de la gestion moderne, les exigences requises pour le maintien de la bonne
organisation et le désir des dirigeants de s'assurer des vertus des systèmes de contrôle interne,
ont favorisé l'épanouissement des activités de l'audit.
Le vocable d'audit, d'origine anglaise, décrivant la perception par le sens de l'ouïe, est une
activité dont la signification recouvre, à la fois, celles de vérification, d'examen, de contrôle,
de conseil, d'inspection et de révision et les dépasse même.
On peut ainsi définir l'audit comme une démarche spécifique d'investigation et d'évaluation à
partir d'un référentiel, incluant un diagnostic et conduisant éventuellement à des
recommandations. Ce dernier aspect est en quelque sorte une extension de la notion puisque
l'audit consiste en un éclairage sur une situation à risque, un instrument d'aide à la décision.
La notion d'audit est large, d'une part parce que la méthode est définie par l'auditeur lui-même
(la qualité repose sur le savoir-faire), et d'autre part parce que la nature et le type de l'audit
sont diverses.
Nous nous attacherons, dans ce chapitre à la présentation de l'audit bancaire qui Présente
quelques spécificités sur la base des particularités de l'environnement analysé.
De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Nous allons tenter de cerner le contenu du concept d'audit en général, et celui d'audit bancaire
en particulier. L'audit systémique quant à lui, sera présenté au chapitre suivant.
39
I. Principes d'audit en général.
• Définitions de l'audit interne :
Le mot audit nous vient du latin par l'anglais ! En latin : audio - adire signifie : écouter
entendre, et, par extension : donner audience.
Dès cet emploi, on a trois caractéristiques de ce qu'est un audit quels que soient le
Domaine où il s'applique et l'évolution des pratiques :
40
« L’audit interne est le département d’une entreprise chargé d’examiner et d'évaluer le
contrôle interne dans tous les domaines et à tous les niveaux. Au-delà de ce rôle
traditionnel, il peut aussi assumer une fonction de conseil».
« L'audit interne est une fonction d'expertise indépendante au sein de l'entreprise,
assistant la direction de celle-ci pour le contrôle général de ses activités ».
« L'audit interne est à l'intérieur d'une organisation une fonction indépendante
d'évaluation périodique des opérations pour le compte de l'organisation.
• Audit ne signifie pas inspection : inspecter c'est observer, examiner et rendre.
• Audit ne signifie pas contrôle : contrôler c'est inspecter par rapport à une norme
imposée ou une règle non remise en cause.
• Auditer c’est :
o contrôler par rapport à une norme à (ré) bâtir et justifier.
o Identifier les causes de l'écart,
o et proposer ce qu'il faut faire.
L'audit interne est une activité indépendante et impartiale menée pour produire de la valeur
ajoutée pour une organisation en lui apportant assurance sur son fonctionnement et conseils
pour l'améliorer. Il aide cette organisation à atteindre ses objectifs par une approche
systématique et méthodique d'évaluation et d'amélioration des processus de maîtrise des
risques, de contrôle et de gouvernement d'entreprise, et en faisant des propositions pour
renforcer leur efficacité. (Version française de la définition internationale, approuvée le 21
mars 2000 par le Conseil d'Administration de l'Institut de l'Audit Interne).
Chaque responsable doit mettre en place une organisation qui doit permettre en permanence :
41
La déclaration des responsables de l'audit interne de I'I.I.A indique que :
L'audit interne est à 'l'intérieur d'une ' entreprise, une activité indépendante d'appréciation du
contrôle des opérations. C'est, dans ce domaine, un contrôle qui a pour fonction d'estimer et
d'évaluer l'efficacité des autres contrôles.
Son objectif est d'assister les membres de l'entreprise dans l'exercice efficace de leurs
responsabilités. Dans ce but, l'audit interne fournit des analyses, des appréciations, des
recommandations, des avis et des informations concernant les activités examinées. Ceci inclut
la promotion du contrôle efficace à un coût raisonnable.
Intégrité :
Objectivité :
Les auditeurs internes doivent montrer le plus haut degré d'objectivité professionnelle en
collectant, évaluant et communiquant les informations relatives à l'activité ou au processus
examiné. Les auditeurs internes doivent évaluer de manière équitable tousles éléments
pertinents et ne se laissent pas influencer dans leur jugement par leurspropres intérêts ou
par autrui.
42
Confidentialité :
Les auditeurs internes doivent respecter la valeur et la propriété des informations qu'ils
reçoivent. Ils ne divulguent ces informations qu'avec les autorisations requises, à moins
qu'une obligation légale ou professionnelle ne les oblige à le faire. Les auditeurs internes :
doivent utiliser avec prudence et protéger les informations recueillies dans lecadre
de leurs activités ;
ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou
d'une manière qui contreviendrait aux dispositions légales ou porterait préjudice
aux objectifs éthiques et légitimes de leur organisation.
Compétence :
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les
expériences requis pour la réalisation de leurs travaux :
ils ne doivent s'engager que dans des travaux pour lesquels ils ont les Connaissances,
le savoir-faire et l'expérience nécessaires ;
doivent réaliser leurs travaux d'audit interne dans le respect des normes pour la
pratique professionnelle de l'audit Interne ;
doivent toujours s'efforcer d'améliorer leur compétence, l'efficacité et la qualité de
leurs travaux.
Indépendance et impartialité :
L'auditeur n'a pas d'autorité et de responsabilité à l'égard des activités auditées. Il est
indépendant mais autocratique et doit être rattaché à une personne ou une instance dont
l'autorité lui assure la liberté de ses opinions, la liberté d'action et d'investigation et la
prise en compte de ses recommandations.
43
1-2 Positionnement de l'audit interne au sein de l'organisation :
La structure d'organisation des normes pour la pratique professionnelle de l'audit interne est
composée des éléments suivants :
• Le code de déontologie,
1-3 Rôle de l'audit interne et son interaction avec les acteurs du système de contrôle
interne :
Afin de sécuriser les actifs, de fiabiliser les informations, d'assurer l'efficacité des Opérations
et l'efficience de l'organisation, l'audit interne doit :
44
• dresser un pronostic pour la direction et préconiser une thérapeutique.
L'audit interne joue un double rôle aussi bien pour le comité de direction que pour les Risk
managers :
• L'audité attend de l'audit interne une évaluation, qu'il remonte ses problèmes et ses
contraintes et qu'il fasse preuve de pédagogie à son égard ;
• La Direction, quant à elle, attend de l'audit interne l'assurance que le contrôle interne
fonctionne correctement, une appréciation sur la qualité du système d'information et
de pilotage et un jugement sur la rigueur de gestion.
45
1-4 Lever la confusion : audit interne et inspection :
Au cours des missions de conseil, les auditeurs internes considèrent l'ensemble des risques
rencontrés, y compris ceux qui n'entrent pas dans le périmètre de la mission, dans la mesure
où ils sont significatifs.
Les auditeurs internes doivent intégrer dans le processus d'identification et d'évaluation des
risques significatifs de l'organisation (cartographie des risques) les risques révélés lors de
missions de conseil.
Sur la base des résultats de l'évaluation des risques, l'audit interne doit évaluer la pertinence et
l'efficacité du dispositif de contrôle portant sur le gouvernement D'entreprise, les opérations et
les systèmes d'information de l'organisation. Cette Evaluation doit porter sur les aspects
suivants :
• la protection du patrimoine ;
47
• le respect des lois, règlements et contrats.
Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle etApprécier si les
objectifs et les buts ont été atteints par le management.
• garantir une gestion efficace des performances, assortie d'une obligation de rendre
• bien communiquer au sein de l'organisation, les informations relatives aux risques et aux
contrôles
• évaluer la conception, la mise en œuvre et l'efficacité des objectifs, des programmes et des
activités de l'organisation liés à l'éthique.
• veiller sur la cohérence des objectifs des missions réalisées avec les valeurs et les objectifs
généraux de l'organisation.
48
o signaler les irrégularités,
o analyser les causes et conséquences,
o formuler les recommandations.
• Audit de d'efficacité et de management : permet d'évaluer :
o la pertinence de l'organisation et l'efficacité de son fonctionnement.
o la pertinence des objectifs et la cohérence des actions entreprises par
rapport à la stratégie de l'entreprise.
• comparer les résultats et les objectifs pour faire apparaître des écarts.
Définir les objectifs opérationnels de l'audit, c'est expliquer sur quoi l'audit va porter, et
comment vont s'articuler les différentes actions ou degrés d'intervention.
Notion d'efficacité :
Une réponse positive à la question " est-ce que l'objectif est atteint ? " souvent donne
naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour
atteindre les mêmes résultats ? L'efficacité examine le rapport entre l'effort et la
performance. L'efficacité est définie comme étant "la mesure dans laquelle un programme
atteint les buts visés ou les autres effets recherchés.
Notion d'efficience :
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part, et
les ressources utilisées pour les produire, d'autre part. Dans une opération basée sur
l'efficience, pour tout ensemble de ressources utilisées le produit obtenu est maximum, ou
encore les moyens utilisés sont minimaux pour toute qualité et quantité données de
produits ou de services.
Notion de pertinence. :
Notion d'économie :
Par économie, on entend les conditions dans lesquelles on acquiert des ressources
Humaines et matérielles. Pour qu'une opération soit économique, l'acquisition des
Ressources doit être faite d'une qualité acceptable et au coût le plus bas possible. En
résumé, on peut schématiser par une représentation triangulaire les relations entre
objectifs, moyens et résultats.
50
2-4 Les différents degrés d'intérêt de l'audit.
• Degré de réalité ou d'exactitude : comparer les faits rapportés aux pièces Existantes et
vérifier que l'institution a bien réalisé ce qu'elle dit avoir fait.
• Degré de conformité aux règles : comparer les pratiques effectives avec les Procédures
prescrites (législation, impératifs techniques).
• Degré de cohérence et de pertinence : vérifier que l'institution est capable de Faire ce qu'elle
dit vouloir faire en comparant les objectifs visés avec les moyens Mis en œuvre.
• Degré d'efficacité : comparer les objectifs visés avec les résultats atteints.
On peut les regrouper en 3 grands groupes selon Vatier, selon le degré d'exactitude et de
conformité, les comparaisons dans le temps et l'espace (benchmarking), et enfin l'efficacité et
l'efficience, Ce qui aboutit sur l'audit de conformité, l'audit d'efficacité et l'audit stratégique ou
de management.
51
Pour autant, chaque audit suit le même déroulement : constat du fonctionnement et qualité de
gestion, risques et préconisations.
l'constat -interrogation-hypothèse-constat ;
approche systémique et examen multidisciplinaire;
constituer les repères et les systèmes de référence;
opérer des comparaisons susceptibles de mettre en évidence des écarts significatifs et
d’en apprécier la valeur.
partir des faits pour remonter vers les causes : démarche inductive.
Introduire la quantification.
Quelle que soit l'approche adoptée, l'audit doit être rigoureux et répondre à des Exigences
précises. Cela exige des techniques et des outils qui vont permettre à la fois de préparer
l'investigation et de formuler, analyser et interpréter des constats. Ainsi, 3 phases se
distinguent : étude, vérification et conclusion.
La finalité d'une telle phase est de former une vision d'ensemble de l'organisation objet de la
mission et des contrôles internes mis en place. Il s'agit, à travers l'analyse des risques, de
concentrer l'attention sur les points essentiels pour ne pas perdre le temps sur les détails
inutiles. Elle permet d'organiser et de planifier la mission en fonction des objectifs définis par
l'auditeur et de renforcer l'image de l'auditeur chez les audités en La démarche adoptée durant
cette phase est la prise de connaissance générale, L'identification des risques et la définition
des objectifs.
La prise de connaissance se fait suivant la "note d'orientation" qui définit les objectifs
Généraux, les objectifs spécifiques et le champ d'action.
Elle constitue la synthèse des forces et faiblesses de l'entité, des priorités et des
Préoccupations du management.
La note d'orientation permet de confirmer l'existence des forces et d'évaluer l'impact des
faiblesses. Elle ne mentionne pas les travaux d'audit qui seront répertoriés dans le programme
de vérification.
53
2-5-4 La phase réalisation :
La feuille de révélation et d'analyse de problème (FRAP) : permet de formuler le
Raisonnement de l'auditeur, de mettre en évidence les dysfonctionnements et les solutions
proposées, de conclure chaque section de travail de terrain et de communiquer avec l'audité.
Elle doit reprendre le but de l'action prévue dans le programme de vérification et Préciser les
modalités d'exécution, permettre à tout auditeur de comprendre et D'exécuter de manière
fiable et objective les actions prévues.
Les conclusions dressées doivent répondre de manière précise, concise et contrôlable aux buts
assignés à l'action.
L'ossature du rapport élaborée à partir des « problèmes » figurant sur les FRAP et des
conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est
l'enchaînement des messages que l'auditeur veut livrer lors des présentations et dans le
rapport concluant la mission. L'ossature du rapport constitue :
Compte rendu final, mise au point ou débriefing, Le compte rendu final au site, appelé
également mise au point ou débriefing, est la Présentation orale par le chef de mission, au
54
principal responsable de l'entité auditée, des observations les plus importantes. Il est effectué
à la fin du travail sur le terrain.
Le compte rendu final sur site répond au souhait légitime du principal responsable de l'entité
auditée d'être informé. Il incite le responsable à agir immédiatement, en cas d'irrégularité sans
attente du rapport et peut être utilisé pour mettre en valeur la qualité de la démarche de l'audit.
Le débriefing doit être programmé dans le cadre du travail sur le terrain. Sa préparation se fait
en tenant une réunion de synthèse de l'équipe d'audit avant d'effectuer les dernières
vérifications du travail sur le terrain.
Hier contrôleur de la régularité des traitements et des opérations, I auditeur bancaire est
aujourd'hui un expert du diagnostic des processus opérationnels et de contrôle des risques, un
chef de projet évoluant dans un environnement complexe et un spécialiste du métier bancaire.
Ce profil en fait également un acteur majeur en matière de gestion des risques et de création
de valeur ajoutée pour la banque.
L'efficacité globale des contrôles internes de la banque devrait être surveillée en permanence.
Le suivi des principaux risques devrait faire partie des activités quotidiennes de la banque de
même que les évaluations périodiques effectuées par les secteurs d'activité et l'audit interne.
Comme l'activité bancaire est un secteur dynamique, où tout évolue rapidement, les Banques
doivent en permanence surveiller et évaluer leurs systèmes de contrôle interne en fonction des
modifications des conditions internes et externes et les renforcer, au besoin, pour en garantir
l'efficacité.
Surveiller l'efficacité des contrôles internes est une tâche qui peut être accomplie par le
personnel de plusieurs secteurs différents, dont celui en charge des opérations elles-mêmes, le
contrôle financier et l'audit interne.
55
Pour cette raison, il est important que la direction générale désigne clairement les auditeurs en
précisant leurs fonctions de surveillance. La surveillance devrait faire partie des activités
quotidiennes de la banque mais commande également de procéder à des évaluations
périodiques spécifiques de l'ensemble du processus de contrôle interne.
La fréquence de la surveillance des différentes activités devrait être fonction des risques
encourus ainsi que du rythme et de la nature des changements affectant l'environnement
opérationnel.
Les documents et résultats concernant les évaluations sont ensuite soumis à l'attention de la
direction générale. Les examens effectués à tous les niveaux devraient être étayés par une
documentation adéquate et communiqués dans les meilleurs délais à l'échelon de la direction
appropriée.
Cet audit devrait être effectué par un personnel bien formé et compétent bénéficiant d'une
indépendance opérationnelle. La fonction d'audit interne, en tant qu'élément de la surveillance
56
du système de contrôle interne, devrait rendre compte directement au conseil d'administration,
ou à son comité d'audit, ainsi qu'à la direction générale.
En rendant compte directement au conseil d'administration ou à son comité d'audit ainsi qu'à
la direction générale, les auditeurs internes procurent des informations objectives sur les
différentes activités.
En raison de l'importance de cette fonction, l'audit interne doit être assuré par un Personnel
compétent et bien formé ayant une parfaite compréhension de son rôle et de ses
responsabilités.
La fréquence et l'ampleur des examens et tests des contrôles internes effectués au sein d'une
banque par les auditeurs internes devraient correspondre à la nature et à la complexité des
activités de l'organisation et aux risques associés. Le rattachement de la fonction d'audit
interne au plus haut niveau de l'organisation bancaire, permet à la gouvernance d'entreprise de
s'exercer correctement.
Le conseil bénéficie d'informations qui ne peuvent être aucunement adaptées par les niveaux
de direction couverts par ces comptes rendus. Le conseil devrait également renforcer
l'indépendance des auditeurs internes, en faisant en sorte que des questions ayant trait, par
exemple, à leur rémunération ou aux affectations budgétaires les concernant soient traitées par
le conseil ou par les niveaux de direction supérieurs plutôt que par des responsables qui sont
affectés par les travaux des auditeurs internes.
c)- Notification par l’audit interne des déficiences des contrôles internes au Conseil :
Les déficiences des contrôles internes, qu'elles soient détectées par un secteur D'activité,
l'audit interne ou un autre personnel de contrôle, devraient être notifiées dans les meilleurs
57
délais au niveau de la direction appropriée et faire l'objet d'un traitement rapide. Les
déficiences importantes devraient être signalées à la direction générale et au conseil
d’administration.
Les auditeurs internes doivent assurer un suivi ou toute autre forme appropriée de surveillance
et informer immédiatement la direction générale ou le conseil de toute insuffisance non
corrigée. Pour faire en sorte que toutes les déficiences soient traitées au plus tôt, la direction
générale devrait être responsable de l'instauration d'un système destiné à suivre les faiblesses
du contrôle interne ainsi que les actions destinées à y remédier.
Vers la fin des années 80, on commence à parler beaucoup de contrôle interne : il s'agit de
l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrôle bien ses
opérations, qu'il n'y ait pas de problèmes de sécurité ou de fiabilité.
Dans les années 90, quelques faillites célèbres alertent les autorités de tutelle Internationales.
Une globalisation qui change tout. Auparavant, les banques ne Dépendaient que de la
supervision des autorités nationales. Mais le système bancaire s'est mondialisé et les autorités
de tutelle se sont regroupées dans le fameux Comité de Bâle, pour édicter des règles générales
valables pour tous les pays. Et tout naturellement, on se cale alors sur les meilleures pratiques.
Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une règle
commune beaucoup plus exigeante que les règles habituelles. Il leur faut donc se mettre à
niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent tirer avantage de
ces contraintes nouvelles en termes de productivité et de compétitivité.
Parallèlement, les sujets auxquels s'intéresse l'auditeur évoluent et sont de plus en plus perçus
comme stratégiques par ses clients en l'occurrence le top management et les risk managers.
Aujourd'hui, la situation s'est totalement inversée, la plupart des banques sont cotées et
parallèlement, les investisseurs deviennent de plus en plus exigeants. Ils réclament des
investissements plus intéressants et veulent pouvoir comprendre comment la banque gère sa
rentabilité dans le temps et quels risques elle prend.
La pression du marché pour obtenir une information pertinente est permanente. Le périmètre
de l'information fournie s'élargit donc, et dans le même temps, le champ d'intervention de
l'auditeur bancaire, qui, là encore, touche des domaines de plus en plus stratégiques de
l'entreprise tels que le contrôle des risques, les problématiques de rentabilité ajustée des
risques, la répartition des fonds propres entre les différentes activités, etc.
Le contrôle interne est le processus mis en œuvre par le conseil d'administration, les
dirigeants et le personnel d'une organisation, destiné à fournir l'assurance raisonnable quant
aux objectifs suivants : la réalisation et l'optimisation des opérations, la fiabilité des
opérations financières, la conformité aux lois et aux réglementations en vigueur.
Le contrôle interne se définit généralement comme l'ensemble des mesures qui, sous la
responsabilité de la direction de l'entreprise, doivent assurer, avec une certitude raisonnable,
59
la réalisation des éléments suivants : une conduite des affaires ordonnée et prudente, encadrée
d'objectifs bien définis; une utilisation économique et efficace des moyens engagés; une
connaissance et une maîtrise adéquate des risques en vue de protéger le patrimoine; l'intégrité
et la fiabilité de l'information financière et de celle relative à la gestions, le respect des lois et
règlements ainsi que des politiques générales, plans d'actions et des procédures internes.
Une partie de ces mesures est axée sur la vérification et l'encouragement du respect, par
l'entreprise, des règles qui ont trait à l'intégrité de la fourniture de services financiers. Elle
porte, en d'autres termes, sur la fonction dite de complaisance.
Enfin, la fonction d'audit interne est un instrument important pour vérifier le bon
fonctionnement, l'efficacité et l'efficience du contrôle interne et ce compris la fonction de
complaisance.
Dans le cadre de ses travaux, l'audit interne fournit à la direction de l'entreprise des analyses,
des évaluations, des recommandations, des avis et des informations sur les activités
examinées et contribue ainsi à une meilleure gestion de l'entreprise.
L'objectif principal du contrôle interne est d'analyser, surveiller, détecter et prévenir les
risques auxquels les établissements bancaires sont confrontés. Les principaux risques sont : le
risque de crédit, de marché, de taux, de liquidité, de règlement, opérationnel et juridique.
Le contrôle bancaire doit se concevoir à travers une approche préventive pour que
l'établissement exerce ses activités de manière saine et sûre. Ce contrôle ne se limite pas au
seul examen du respect des normes quantitatives, mais repose aussi sur la qualité des
dirigeants, sur la discipline de marché (par une meilleure transparence financière) et sur la
qualité du contrôle et de la maîtrise des risques par les Etablissements bancaires.
Le contrôle interne est un système qui fonctionne en continu à tous les niveaux de la banque.
A ce titre, il constitue une composante essentielle de la gestion d'un établissement et un
élément de la culture de celui-ci en faisant partager à l'ensemble du personnel l'importance du
contrôle.
60
Le contrôle interne doit permettre à l'établissement de conserver sa capacité d'identification,
de réaction et d'adaptation lors de la survenance de risques.
contrôles quotidiens réalisés par les exécutants (contrôle premier niveau, premier
degré);
contrôles critiques continus assurés par les personnes chargées du traitement
administratif des opérations (contrôle premier niveau, deuxième degré).
contrôles réalisés par les membres de la direction sur les activités ou fonctions qui
tombent sous leur responsabilité directe (contrôle premier niveau, troisième degré);
contrôles réalisés par le service d'audit interne (contrôle deuxième niveau).
Rappelons que : « L'audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
Pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à
atteindre ses objectifs en évaluant, Par une approche systématique et méthodique, ses
processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en
faisant des propositions pour renforcer leur efficacité.
Caractère permanent;
Indépendance ;
Charte d'audit;
Objectivité;
Compétence professionnelle.
Empruntant la démarche d'audit interne décrite supra pour l'exécution de ses travaux, l’audit
bancaire repose en plus sur quelques particularités :
Le plan annuel d'audit est déterminé selon la méthodologie « ANA » (Audit Needs
Assessment) en déterminant les priorités d'audit et la fréquence des audits qui doit être en
fonction du degré de risque.
Ainsi pour mener à bien sa mission et contribuer à créer de la valeur ajoutée pour la banque,
l'audit bancaire doit adopter une approche simple, pragmatique et efficace.
L'audit interne effectue périodiquement et autant que de besoin, des missions, surplace et ou
sur pièces et dont l’objectif est la vérification :
62
de la fiabilité et de l'exhaustivité des informations reportées au niveau Central en vue
de leur consolidation;
de l'existence, de la pertinence et de la correcte application des Procédures
opérationnelles;
de la qualité ainsi que de la juste évaluation et comptabilisation des Éléments d'actif et
de passif;
de la mise en place des procédures et moyens suffisants pour assurer la Continuité de
l'activité;
de la traçabilité des opérations et de leurs traitements;
de l'efficacité et de la cohérence du dispositif de contrôle interne.
Ainsi, pour mettre en œuvre cette démarche de manière efficace et crédible, il faut faire
intervenir uniquement des auditeurs spécialistes et lorsque nécessaire, leur apporter l'appui
d'experts très pointus pour les aspects les plus techniques.
Exemple parmi d'autres : les risques de marché, risques de système d’information et les
moyens mis en œuvre pour Y faire face. Aujourd'hui, on demande aux banques de maîtriser,
de gérer et de contrôler ces risques. A partir du moment où elles entrent dans la cartographie
des risques de la banque, cela signifie qu'il faut avoir les compétences nécessaires pour avoir
un regard critique sur ces risques.
ce sont des horizons nouveaux pour le métier de l'audit bancaire, on doit donc avoir des
équipes compétentes formées et de spécialistes qui peuvent comprendre en détail tout ce qu'il
y a derrière et parler d'égal à égal avec les audités. Pour ce type de risques, on recrute
notamment des ingénieurs financiers ayant des connaissances mathématiques extrêmement
63
poussées, parfois complétées par une expérience de trading ou de contrôle des risques dans
une banque.
Les banques font face à un environnement socioéconomique de plus en plus difficile. Les
risques auxquels elles sont confrontées sont devenus plus nombreux, plus significatifs et plus
complexes.
Dans le contexte économique actuel, les banques doivent plus que ne jamais disposer d’un
système de gestion de risque efficace et élaboré, susceptible d'assurer une réaction rapide face
à l'apparition de nouveaux risques. La finalité d'un tel système serait de préserver leur solidité
financière, de continuer de croître et d'apporter la confiance au marché.
La fonction d'audit interne est un instrument important pour vérifier le bon fonctionnement,
l'efficacité et l'efficience du contrôle interne, en ce compris la fonction de compliance.
Dans le ses travaux, l'audit interne fournit au management de la banque des analyses,
évaluations, recommandations, avis et informations sur les activités examinées et contribue
ainsi à une meilleure gestion de la banque.
Les autorités de tutelle, en l'occurrence BAM exige Pour chaque banque l'existence d'une
organisation interne adéquate par rapport à l'activité exercée et aux risques en courus. D'où la
nécessité d'un système d'audit et de gestion de risques performant.
64
b) Rôle : vérification du bon fonctionnement du contrôle interne.
Pour tenir compte de l'importance de la gestion de risque dans une banque, un certain nombre
de principes ont été clairement définis, notamment le rôle et les responsabilités du
management (conseil d'administration et direction générale), les activités de contrôle et la
séparation des fonctions, la nécessité de disposer des informations actualisées, fiables,
cohérentes et accessibles.
Le conseil d'administration doit veiller à la mise en place et au maintien d'un contrôle interne
conséquent, établir des limites à l'intérieur desquelles les risques sont encourus et garantir la
mise en place des mesures d'identification, d'évaluation, de surveillance et de contrôle des
risques. Il appartient, par la suite, à la direction générale de mettre en œuvre ces principes et
notamment de développer des procédures de contrôle y relatives.
Dans le cadre du concept de surveillance dualiste au Maroc, BAM exerce une surveillance des
établissements bancaires et ce de manière indirecte. C'est-à-dire en se basant sur les travaux
des auditeurs internes et externes.
Ainsi, dans son rôle d'organe de vérification du bon fonctionnement du contrôle interne,
l'auditeur bancaire se voit attribuer un rôle beaucoup plus étendu. Il ne vérifie pas seulement
la régularité de traitement des opérations. Il doit également prendre position, dans un rapport
adressé au conseil d'administration de la banque sur le respect des conditions d'autorisation
d'une banque.
65
Par ailleurs, il doit aussi constater le (non)-respect de la réglementation bancaire, se prononcer
sur la situation financière et notamment présenter des indications Quantitatives et qualitatives
sur la situation des risques (adéquation de la politique des risques, gestion et contrôle).
Pour remplir leur rôle, les auditeurs utilisent des méthodologies basées sur l'analyse de
l'environnement, des risques existants ou potentiels et de l'organisation interne.
Compréhension de l'environnement :
En premier lieu, un diagnostic est posé sur l'interaction de la banque dans son environnement.
Quels Sont les clients? Quels sont les produits proposés? Sur quels marchés et quelles régions
géographiques la banque intervient-elle? Qui sont les stakeholders et quelles sont leurs
attentes? Quelle est la conjoncture économique? Quels sont les changements réglementaires?
Cette première étape permet d'identifier les risques découlant des activités bancaires (business
Risks), comme par exemple: sensibilité à l'évolution des indicateurs économiques (taux de
change, taux d'intérêt, etc.); concurrence; tendance et développement de l'environnement (par
exemple, de la taxation de l'épargne, de la nouvelle ordonnance sur le blanchiment d'argent de
BAM); technologie (e-business, fournisseurs informatiques, disponibilité et sécurité de
l'information...).
Face à chacun d'eux, les établissements adoptent certains comportements: éviter un risque
(par exemple, ne pas rentrer sur un nouveau marché ou offrir tel type de services); réduire ou
transférer un risque (par exemple, utilisation des dérivés de crédit), et enfin, accepter un
risque. Une fois ce cadre posé, la banque doit identifier, définir et mesurer les risques et
attribuer un Risk Owner pour chacun d'eux.
66
Ensuite, il est nécessaire de fixer des tolérances aux risques (limites), puis d'établir un suivi et
un Reporting de l'évolution de l'exposition aux risques, et ceci de manière individuelle et
globale.
L'auditeur procède à une estimation des risques inhérents à chaque domaine d'activité (crédit,
ressources humaines, système d'information, etc.).
Une fois que le niveau des risques inhérents a été ainsi estimé, l'auditeur doit Comprendre
comment ceux-ci sont gérés et contrôlés.
Autrement dit, il doit apprécier l'adéquation et I efficacité des mesures prises par la banque en
vue de minimiser les risques encourus. Si donc l'importance du risque se définit Par le risque
inhérent, la capacité de gérer ce risque se définit par le dispositif La conjonction des niveaux
estimés du risque inhérent et du risque de contrôle permet ensuite à l'auditeur de déterminer
l'étendue, la périodicité et les méthodes de vérification qu'il doit entreprendre, en accord avec
les principes de la profession.
L'analyse des risques inhérents et les contrôles internes mis en place permet de s'assurer que
les risques Sont bien identifiés et correctement reflétés dans les comptes annuels. Ces travaux
permettent également de se prononcer sur le respect des conditions d'autorisation et des règles
de comportement.
Enfin, l'application d'une telle méthodologie permet également d'identifier des opportunités
d'amélioration et d'optimisation du système de contrôle interne et de les communiquer à la
banque sous forme de recommandations ou de plans d'actions.
Dans le contexte économique actuel, une gestion de risque efficace se révèle plus que jamais
capitale, pour préserver la solidité financière d'une banque et apporter la confiance au marché.
Les autorités bancaires de surveillance doivent intégrer cette nécessité dans la réglementation
en vigueur, qui va toutefois encore se renforcer avec l'introduction des nouveaux accords de
Bâle II.
67
Le développement récent du corpo rate gouvernance, à l'image des fondements du contrôle
interne récemment redéfinis par BAM, gagne en importance dans la gestion de risque.
La gestion de risque et le contrôle interne doivent ainsi être entendus en tant que processus
continu dont l'application doit être garantie en permanence. Ce processus doit assurer
l'identification des déficiences et la prise de mesures de correction adéquates.
L'analyse des risques et les approches d'audit bancaire en découlant doivent être
communiquées et validées avec le conseil d'administration ou le comité d'audit.
Conclusion :
Dans un environnement changeant, l'auditeur interne peut jouer un rôle dépassant largement
celui de "contrôleur" Pour devenir un 'catalyseur encourageant les dirigeants à agir…
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein" d'une banque traduit la
volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter
les risques, de rendre l'organisation existante plus performante et L'audit interne peut jouer un
rôle non négligeable en matière d'efficacité de la banque. Ainsi, dans le cadre de l'exercice de
sa mission, l'auditeur est bien placé pour identifier, outre les problèmes de contrôle, les
domaines dans lesquels les contrôles sont inutiles, inefficaces et coûteux.
L'auditeur peut également identifier les inefficacités des opérations et peut se voir charger, au-
delà de sa mission habituelle, de mission de conseil.
Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission qu'on
lui a assignée. Des conditions sont à remplir pour que l'audit interne puisse être un véritable
outil d'efficacité.
68
L'efficacité, et donc le résultat pour la banque, seront d'autant plus grands, que chacun de ses
critères aura pu être optimisé, apportant ainsi une contribution significative à l'ensemble.
Cette optimisation a toutefois ses limites, qui peuvent être classées en quatre grandes
catégories, selon leur nature :
Une première limite est liée aux hommes, aux auditeurs bien sûr, compte tenu de leurs
aptitudes à assumer la fonction, de leurs connaissances, de leur formation, de leurs
qualités intrinsèques, mais aussi aux audités et à leur comportement ou à la remise en
cause éventuelle de leur façon de travailler et de leurs habitudes.
Enfin, l'attitude des dirigeants et le soutien qu'ils apportent à leur structure d'audit
interne, est un gage majeur de réussite.
Une deuxième limite est constituée par le rapport efficacité/coût. L'existence d'une
structure performante d'audit coûte cher en termes de salaires, de frais de
Déplacements, de frais de structure, Il faut donc que l'équipe se rentabilise et il n'est
pas toujours évident de mesurer concrètement sa productivité.
La troisième limite est liée au fait que la mise en place du contrôle interne vient
Souvent à l'encontre de l'efficacité immédiate.
Le quatrième type de limite concerne l'évolution rapide des techniques et des
Méthodes de travail. L'exemple de l'informatique qui permet désormais de travailler en
temps réel, va tout à fait dans le sens de l'efficacité, mais par contre, conduit souvent à
des systèmes inauditables.
Par ailleurs, avec l'audit systémique qui sera présenté et développé en détail à la deuxième
partie, nous verrons que des systèmes réputés auparavant comme inauditables pour
l'auditeur bancaire, le seront désormais avec la méthodologie présentée.
69
Conclusion générale
Le pilotage des risques bancaires via le Risk management et l'audit interne est une
problématique largement d'actualité. Le paysage bancaire marocain fait actuellement face à un
environnement socioéconomique mouvant et de plus en plus complexe.
.Ces mutations posent d'une part des problèmes de difficultés d'audit et de management des
risques et d'autre part, elles accroissent le risque d'audit inadapté voir défaillant.
Des systèmes déficients en matière de gestion et d'audit des risques dans le secteur bancaire
peuvent rapidement provoquer des pertes financières considérables lesquelles, si elles ne sont
pas contenues adéquatement par des tampons solides aptes à endiguer le risque systémique,
sont susceptibles d'engendrer un effet de domino auprès d'autres opérateurs sur les marchés
avec des conséquences difficilement calculables pour le système financier.
S'il est vrai que l'audit bancaire comporte des coûts élevés, il s'est avéré qu'un audit déficient
ou insuffisant coûte encore plus cher.
70
ANNEXES
ANNEXE 1 : Extraits du circulaire N° 40/G 2007 du 2 aout relative au contrôle interne.
71
ANNAXE 1 : Extrait du circulaire n°40/G/2007 du 2 aout relative au contrôle interne
72
73
74
75
76
77
78
ANNEXE 2 :
Chiffres clés du GBP
79
Figure 8: Chiffres clés du GBP 2
80