1

Remerciements

Je souhaite débuter la rédaction de ce mémoire par des remerciements. En

tout premier lieu je remercie Marion Vieux pour ses conseils et son aide
précieuse dans l’élaboration de mon mémoire.

Je remercie également Monsieur Franck Brulhart, directeur du master Contrôle Audit

et Conseil ainsi que les enseignants et intervenants de cette formation pour toutes les
notions qu’ils nous ont communiqués, et qui m’ont été fortement utiles en entreprise.

Je remercie plus particulièrement Monsieur Renaud BAUDONNIERE, mon tuteur de

stage, pour son écoute, sa disponibilité et son implication pour la réussite de celui-ci.
Également, tous les collaborateurs de l’entreprise que j’ai été amené à côtoyer pour
leur accueil, et spécialement ceux de la Direction de l’Audit Général.

Je n’oublie pas Madame Nicole PALANDRI, Directrice du service Audit pour avoir
accepté ma présence au sein de son service et contribué au bon déroulement de mon
stage.

1
 Sommaire

Introduction 3

1°PARTIE : Les enjeux du contrôle interne dans la

gestion du Risque opérationnel 11

1- Le concept général du Risque opérationnel 12

2- Le contrôle interne : Un véritable outil de maitrise du

risque opérationnel 20

2°PARTIE : Les obstacles au contrôle interne dans la

maitrise du risque opérationnel 33

1- Le cas Kerviel : une réponse à la fraude 34

2- Les déficiences du contrôle interne 35

Conclusion 43
Bibliographie 45
Table des annexes 48
Résumé 56

2
 Introduction

Au cours de ces dernières décennies l’environnement économique et financier a

connu de profondes mutations stratégiques. En grande partie marqué par la
mondialisation et les crises économiques, le système bancaire Français doit faire face à
de nombreux changements.

La Désintermédiation, le Décloisonnement et la Déréglementation (règle des 3D mise

en évidence par Henri Bourguinat) des marchés financiers sont les conséquences de
cette globalisation financière dans les années 1980.

Face à ces évolutions et à l’augmentation de l’intensité concurrentielle menaçant le

secteur Bancaire Français à l’échelle internationale, les banques ont dû adopter
différentes stratégies de croissance, telle que la fusion-acquisition (La Banque
nationale de Paris (BNP) a fusionné en 2000 avec Paribas pour former la BNP
Paribas.), la privatisation (Crédit commercial de France, SUEZ, Paribas …) ou encore
l’introduction en bourse comme ce fut le cas pour un grand nombre d’établissements.

Malgré ces transformations, plus de la moitié des banques ont disparu ces vingt
dernières années dans le monde. Nous pouvons prendre pour exemple la quasi-faillite
du Crédit Lyonnais en 1993 ou encore la faillite de la banque Pallas-Stern en 1995.
Ces faits montrent clairement l’importance des risques que subissent les
établissements de crédit au quotidien et confirme ainsi le constat d’Antoine Sardi en
1996 :

« Un établissement de crédit, comme toute entreprise est exposé à une multitude

de risques qui peuvent entrainer sa défaillance et sa faillite »

Le référentiel comptable international dit COSO 1 définit un « risque » comme

un « évènement » pouvant affecter la bonne marche des entreprises.

1
Committee Of Sponsoring Organizations of the Treadway Commission
3
Au sein du milieu bancaire cette notion de risque est omniprésente et a toujours
existé.
En 2001, Juvin analyse cette « multitude » de dangers pouvant nuire à l’activité d’une
banque et distingue huit classes de risque comme suit :
« Le risque commercial, le risque informatique, le risque opératoire, le risque juridique
et fiscal, le risque politique, le risque de concurrence, le risque d'environnement et le
risque des ressources ».

Ces derniers peuvent se regrouper en deux grands types de risques tels que les risques
financiers et ceux non financiers dit « Risques opérationnels ». Le premier regroupe
trois aspects tels que les risques de liquidité, de marché (taux de change, perte de
valeur sur les instruments financiers), et de crédit (incapacité des clients ou autres
acteur de la banque à respecter leurs engagements sur les sommes empruntées).
Le second lui, inclut les risques de pertes ou de sanctions du fait de fraudes, de
défaillances de procédures, de faiblesse dans le système d’information, d’événement
externe à l’entreprise ou encore de mauvaises exécutions d’opérations.

Les risques étant multiples et variés, nous limiterons notre analyse au risque
opérationnel. Celui-ci est à l’origine de lourdes pertes estimées par certain analyste tel
qu’A.Mourad (2001), à 12 milliards de dollars sur les 10 dernières années. A ces
dommages financiers s’associent de nombreux scandales tant à l’international
(Banque Baring) qu’en France (Affaire Kerviel).

Outre les pertes qu’un risque financier peut générer, ce dernier est aussi une source de
rentabilité (Théorie du risque profit mise en évidence au 19ème Siècle par Raymond
Saleilles et Labbé ).
Il est donc nécessaire de gérer, d’évaluer et de maitriser au mieux ces menaces. Ainsi
pour « garantir la résilience du système financier » (Cartapanis & Gilles, 2003, p175)
et faire face aux exigences réglementaire (réglementation Bâloise) prévue à cet effet,
les autorités prudentielles imposent à tous les établissements bancaires depuis 1997
(CRBF-97), de mettre en place un service de contrôle interne.
Malgré ces mesures, le contrôle interne a été très souvent contredit du fait de ces
quelques défaillances. Pour un grand nombre de cas, ces derniers sont relatifs aux

4
risques opérationnels remettant ainsi en cause l’efficacité de ce dispositif et nous
amène à nous poser cette question :

Le contrôle interne permet-il de gérer efficacement dans le temps le risque

opérationnel au sein du secteur bancaire ?

Notre question de recherche, comme nous l’avons présenté est d’un intérêt certain
puisque celle ci s’inscrit en plein cœur du cadre de notre formation2 qui conduit aux
métiers d’auditeurs et de contrôleurs de gestion. Le stage de fin d’étude s’effectuant à
la Direction de l’Audit de la Caisse d’Epargne est pour moi un véritable atout pour
répondre à cette problématique. En effet, ma participation dans de nombreuses
missions m’a permis d’apprécier en partie comment les banques gèrent leurs risques
opérationnels au quotidien mais aussi d’acquérir et découvrir de nouveaux concepts
que nous illustrerons à travers des encarts au fond orange pâles. Des encarts de
couleurs orange pâles feront référence à cette expérience.

Pour répondre à cette interrogation, nous exposerons dans une première partie les
enjeux du contrôle interne dans la gestion du risque opérationnel. Un sous-chapitre
définira le concept du risque opérationnel relatif à ce dernier et les méthodes
permettant d’évaluer et de le quantifier. Un second sous-chapitre s’attachera à
expliquer en détails le rôle du contrôle interne dans la maitrise de ce risque.

Concernant la seconde partie, nous soulignerons l’importance des fraudes

opérationnelles sur l’avenir du contrôle interne. C’est pourquoi, nous illustrerons notre
raisonnement théorique au travers du « plus grand scandale de l’histoire des marchés
financier » (Delhommais, 2008), à savoir l’Affaire Kerviel. Des encadrés à fonds gris
claires feront référence à ce dernier tous au long de notre mémoire.

Nous avons fait le choix de nous focaliser sur l’affaire Kerviel, étant donné que c’est
avec cette dernière qu’il aura été permis de mettre en avant la faiblesse des différents
leviers du contrôle interne dans le circuit boursier. Un premier sous chapitre tentera
de présenter les dispositifs qui auraient pu permettre d’éviter cette perte n’ayant jamais

2
Il s’agit du master CAC (Contrôle, Audit et Conseil) qui forme aux métiers de l’audit et de Contrôle de
gestion, FEG faculté d’Economie et de gestion Aix-Marseille.
5
eu d’équivalent dans l’histoire de la finance en France. Un second sous chapitre nous
amènera à exposer les limites du contrôle interne.

6
 Présentation du cas Kerviel

 Présentation du cadre opérationnel

Jérôme KERVIEL exerçait depuis début 2005 au front office de la banque Société
Générale. Ce jeune trader intervenait essentiellement sur deux types de produits
dérivés tel que :

 les options, lui accordant le droit d’acheter (option d’achat : « call ») ou de

vendre (option de vente « put ») à terme une certaine quantité de produits à un prix et
à une échéance fixée à l’avance appelée prix d’exercice (ou Strike).

 Les contrats à terme (« futur » en anglais), à savoir des engagements fermes

de livraison standardisée de produits financiers passés entre deux contreparties et dont
toutes les caractéristiques sont determinées à l’avance (la date de règlement, de
livraison mais aussi le prix à terme).

Ces deux opérations ont pour particularité de se fonder uniquement sur l’évolution
escomptée des indices boursiers (Eurostoxx, Dax, Footsie) à la hausse comme à la
baisse de manière à ce qu’un trader puisse s’engager et prendre ainsi une position
directionnelle lui permettant théoriquement de dégager du profit.

Cependant il n’existe malheureusement pas de méthodes gagnantes, chaque opérateur

à sa propre stratégie qui dépend clairement de sa psychologie et de l’aversion que ce
dernier porte au risque.

Afin d’éviter toutes détériorations des fonds propres, les banques pilotent et
contrôlent ces risques dits « de marché » en fixant des règles et en procédant à divers
contrôles que nous expliquerons par la suite, leurs permettant de vérifier que ces
dernières soient bien respectés.
7
En effet chaque trader a un portefeuille avec une somme, défini par sa hiérarchie en
fonction de son expérience sur les marchés. En général cette somme avoisine les
centaines de Millions d’Euros. Ainsi il est de la responsabilité de chaque trader de ne
pas émettre des opérations à hauteur d’une certaine somme et/ou de retirer toutes
positions en pertes qui dépasseraient les limites autorisées.

En ne respectant pas ces règles, Jérôme Kerviel est à l’origine d’un déficit ayant couté
4.9 Milliard d’Euros à la société générale.

 La fraude

Ce dernier, qui avait l’habilitation pour placer jusqu'à 250 millions d’Euros sur les
marchés, va « jouer » durant cette période un total de 50 Milliard d’euros soit « une
somme que la banque est loin de posséder puisqu’à l’époque, ses fonds propres
atteignent à peine 35 milliards d’euros » (Article Les Echos-18/02/2011).

Selon les rapports de l’enquête du 28 Janvier 2008, le trader aurait délibérément été à
l’encontre des choix de sa hiérarchie et aurait mis en place un montage frauduleux lui
permettant de continuer à passer ses opérations financières au delà des sommes
plafonds fixées par la banque et cela sans que personne ne s’en aperçoive.

En parallèle, les gains ainsi que les pertes associées à ces transactions été masqués
dans des comptes fictifs de façon à les repartir mensuellement en fonction des objectifs
fixés par sa hiérarchie. Il est aujourd’hui encore difficile de comprendre comment un
jeune trader a pu échapper à l’ensemble des contrôles mis en place par la direction
mais surtout à masquer par le biais d’opérations fictives ses gains et ses pertes pendant
plusieurs années.

 Les pertes et la sanction

Le 20 janvier 2008, après la publication des résultats annuels, l’établissement

remarque une anomalie. En pleine crise des Subprimes, là ou en général les cours
boursiers diminuent, celui-ci arrivait à obtenir une hausse de ces indices. La direction
8
s’aperçoit de l’accumulation des positions prises par Jérôme Kerviel, dépassant de
très loin les limites autorisées.

Dés cette date, sa hiérarchie décide de « déboucler », (autrement dit « se dégager de »)

( Farrokh,2008) les engagements entrepris par Jérôme Kerviel et se retrouve avec
une perte atteignant les 6.3 Milliard d’Euros. Ce n’est qu’au moment de l’enquête
qu’ils s’aperçoivent que ce dernier ²avait masqué depuis 2005 ses positions. Par
ailleurs un gain de 1.4 Milliard d’Euros se trouvait dans un de ces comptes fictifs
ramenant le solde finale à une perte de 4.9 Milliard D’euros.

A la suite de deux plaintes, l’une émanant directement de son établissement la Société

Général et une autre d’un des actionnaires du groupe, le jeune Trader comparait pour
faux et usage de faux, abus de confiance et pénétration dans un fichier informatique
pour avoir, au cours des années 2005 à 2008, introduit et remplacé frauduleusement
« des données dans un système de traitement automatisé » (Extrait du rapport de
plainte de Police,2008).

Jugé responsable, la cour de cassation condamne Jérôme Kerviel à 5 ans

d’emprisonnement dont 3 fermes, et a payer des dommages et intérêts correspondant
aux pertes enregistrées par ces opérations. Apres avoir fait appel, la cour décide de lui
enlever cette amende jugée par l’opinion publique comme « insolvable et
incohérente » et de le placer sous bracelet électronique après 5 mois
d’emprisonnement.

Même si le montant de sa fraude représente une somme historique dans l’histoire de la

finance, il est important de souligner que Jérôme Kerviel n’est pas un cas à part.
Avant lui d’autres traders dans le monde tels que Juant Pablo Davila (Codelco, 1993),
Nick Leeson (Baring, 1995), Richard Bierbaum (Calyon,2007), ont fait perdre
plusieurs millions voire milliards d’Euros aux banques les employant. En 2013, dans
un article, Judith Assouly et Damien de Blic mettent en parallèle plusieurs fraudes
opérationnelles internes en banque. Pour chacun de ces faits les modes opératoires
présentent de réelles similitudes avec l’Affaire Kerviel. Néanmoins cette dernière
révèle plusieurs fraudes internes à la fois, remettant réellement en cause l’efficacité du
contrôle interne.

9
Ainsi, le choix de ce cas est donc d’un intérêt certain, d’une part car elle illustre bien
le thème et la question de réflexions posées et d’autre part du fait de son influence
médiatique et de par son rebondissement dernièrement aux informations que nous
évoquerons plus tard.

10
 1ere PARTIE :
Les enjeux du contrôle interne
dans la gestion du risque
opérationnel

L’ensemble des évolutions macro-économiques mais aussi technologiques évoquées

précédemment ont fait connaitre au risque opérationnel une croissance fulgurante ces
dix dernières années.
Très souvent associé à de lourdes pertes, les établissements de crédit en parti guidés
par une réglementation bancaire et financière stricte (comité de Bâle et CRBF 97) ont
développé de réelles méthodes de gestion du risque (dit aussi « Risk Management »).
Ce procédé est défini par l’Organisation internationale de normalisation comme
« l’ensemble des activités coordonnées visant à diriger et piloter un organisme vis-à-
vis du risque ». (Mayer & Humbert ,2006,p1)
Ainsi à travers cette partie, après avoir défini le périmètre du risque opérationnel nous
analyserons l’ensemble des outils et pratiques qu’utilisent au quotidien les
établissements de crédit afin de gérer au mieux ces menaces.

11
1. Le concept général du risque Opérationnel

En 2003, selon C.Pardo, le point de départ d’une bonne gestion d’un risque quel qu’il
soit revient à le définir, l’identifier et l’évaluer. Nous allons ainsi suivre ce
cheminement et développer ces trois points afin de nous permettre d’appréhender avec
précision la notion de risque opérationnel au sein du milieu Bancaire.

1.1 Définitions

Plusieurs auteurs et institutions réglementaires sont venus apporter leurs propres

conceptions du risque opérationnel :

Le comité de Bâle définit en 1974 le risque opérationnel comme le « risque de pertes

directes et indirectes résultant de l'inadéquation ou de la défaillance de procédures, de
personnes et de systèmes ou résultant d'événements extérieurs ».

Jugé comme incomplète, Vanini, en 2002 définit « le risque opérationnel comme le

risque de déviation associé à la production d’un service et les attentes de la
planification managériale. ». A cette même date Kuritzkes confirme que « le risque
opérationnel agit comme un risque non financier ayant 3 ressources : le risque
interne, le risque externe et le risque stratégique ». Par l’explication de ces 3 risques,
ce dernier « pointe du doigt » les risques de pertes relatives à un dysfonctionnement
des systèmes d’informations, du contrôle interne ou d’une erreur humaine.

En 2004, le comite de Bâle tient compte de toutes ces critiques, suscitant de vifs
débats et modifie le périmètre du risque opérationnel au travers d’une définition
précise et applicable à l’ensemble de l’environnement bancaire :

12
« Le risque opérationnel se définit comme le risque de perte résultant de carences ou
de défaillances attribuables à des procédures, personnes et systèmes internes ou à
des événements extérieures. La définition inclut le risque juridique, mais exclut le
risque stratégique et d'atteinte à la réputation » (Comité de Bâle ,2004).

1.2 Identification

Cette définition semble être plus complète. En effet d’une part elle délimite de manière
claire le périmètre de ce risque et d’autre part elle nous permet d’identifier plusieurs
sous risques propices à une perte opérationnelle tels que :

 Le risque lié au système d'information

Les risques en termes de sécurité du système d’information ne cessent d’évoluer dans

le temps. Face à la rapidité de l’innovation technologique liée aux Nouvelles
Technologies de l’Information et de la Communication (NTIC), de nouvelles menaces
sont apparues. Ces dernières ont été recensées en 1991 par Aglietta et sont classées
comme suit :

 La diffusion non autorisée d’informations :

Les informations bancaires sont accessibles à un grand nombre d’employés au sein

d’une banque. Ainsi les informations concernant les clients (compte, projet...), ou les
sociétés peuvent être divulguées à des tiers violant ainsi le secret professionnel de ces
derniers.
Si le client s’aperçoit de ces actes, celui ci est susceptible de porter l’établissement en
justice, ce qui impliquerait de lourds préjudices pour la banque.

13
 Les Fraudes :

Les actifs peuvent être transférés instantanément et virtuellement via les marchés
financiers à travers des plateformes en ligne, en relation avec les systèmes
d’information de la banque. A cet effet sans équivoque, certains trader voient cela
comme un jeu. Ces tentatives de fraudes coutent très cher à la banque.
En effet en pénétrant dans un fichier informatique pour remplacer
frauduleusement certaines données du système de traitement automatisé, le cas
Kerviel reflète bien ce point.

 Une défaillance du matériel ou du logiciel :

Une panne du système provisoire ou prolongée des moyens indispensables à la

réalisation de transactions habituelles et à l'exercice de l'activité peut entrainer des
pertes colossales pour une banque.

Ex : Un bugg du logiciel qui permet au trader de passer des opérations sur le marché
peut engendrer une perte financière sévère si celle-ci n’est pas retirée à temps.

 Le risque lié aux processus

Comme son nom le précise, ce risque provient d’une défaillance des processus
internes de la banque, amenant à des erreurs portées au compte d'un tiers et non du
bénéficiaire.

Ex : un double encaissement de chèque, le non-respect d’un schéma délégataire dans

la signature d’un crédit, le versement d’un crédit à une personne autre que le
bénéficiaire…

Ces erreurs qui interviennent en général lors de l’insertion de données d’un client
dans l’ERP sont très souvent associées à des erreurs humaines et non comme on
pourrait le croire à une défaillance du logiciel.
Ces personnes, peuvent soit commettre des erreurs dites involontaires, soit agir de
manière intentionnelle.

14
Dans la première hypothèse, cela peut être expliqué par une mauvaise adaptation aux
évolutions technologiques d’un des collaborateurs de l’établissement. En effet un
changement ou une mise à jour du logiciel peut plus facilement amener à une faute.

Le deuxième cas fait clairement référence à l’Affaire Kerviel. Pour arriver à de tels
pertes, Jérôme Kerviel connaissait les processus qui permettaient de faire valider ses
opérations ; de ce fait et par la connaissance des métiers de la finance en Banque, le
trader a réussi à détourner certaines contraintes du logiciel.
Ce point révèle les limites du système d’information et des dispositifs de contrôle et
fera l’objet de notre seconde partie.

 Le risque lié aux événements extérieurs :

La norme ISO 31000 définit en 2009 ces risques comme « la possibilité qu’un
événement survienne et dont les conséquences (ou effets de l’incertitude) seraient
susceptibles d’affecter les personnes, les actifs de l'entreprise, son environnement, les
objectifs de la société ou sa réputation ».

Pour une banque comme pour une entreprise, ce risque est multidimensionnel et peut
amener à un dysfonctionnement de l’activité et des systèmes. En effet de lourdes
pertes peuvent être enregistrées suite à un changement de politique, d’environnement
réglementaire ou bien même d’une catastrophe naturelle.

 Le risque juridique

Le risque juridique est en corrélation étroite avec le risque opérationnel, le premier

n’exclut pas le second. Ces menaces entraînent des sanctions financières,
administratives qui impactent directement l’activité et la performance financière de
l’entreprise.

15
On a affaire à un risque de perte ancré à de nombreuses causes qui sont envisagées par
Dircks-Dilly et Kromarek en 2002 :

 Une insécurité juridique, c’est l’hypothèse qui prend naissance dans l'éventuelle

mauvaise conception de la règle de droit,

 Des situations d’inaptitude à évaluer et connaître le risque,

 La négligence volontaire des personnes physiques ou morales qui y sont soumises

de respecter les normes juridiques applicables.

Lors de mon stage, j’ai pu m’apercevoir des lourds impacts financiers que ce risque

pouvait avoir sur un établissement de crédit. En effet, au cours d’une mission relative à

la « Tarification », j’avais pour objectifs d’évaluer la sincérité et la cohérence des

remises commerciales attribuées aux clients.

Ces remises comme son nom l’indique vise à indemniser un client ayant une raison

valable après contestation de sa part sur un produit ou un service. Pour un grand

nombre de cas analysés, il s’agissait ici de contester le Taux Effectif Global.

Ce pourcentage que l’on retrouve automatiquement sur chaque contrat immobilier,

inclut tous les frais et rémunérations liés au placement. Un grand nombre d’éléments

sont donc à prendre en compte tels que les frais de courtages, les frais de dossiers, les

coûts de garantis.

La complexité de ce dernier révèle être un calcul difficile pour les banques. En effet

malgré les calculs automatiques et informatiques, une erreur de frappe ou un oubli

d’un de ces frais peut facilement fausser le taux.

A cela, des erreurs juridiques peuvent être constatées dans la rédaction du contrat .La

Juridiction impose que le TEG soit calculé par an et par période, alors que les

établissements de crédit se contentent d’indiquer la valeur annuelle.

16
En cas d’apparition d’une des ces erreurs ou l’absence de TEG, la jurisprudence

indique que « le taux d’intérêt légal est substitué au taux d’intérêt conventionnel que prévoyait la clause

annulée, pendant toute la durée de la convention de crédit, la clause de taux d’intérêt conventionnel étant

considérée comme nulle et non avenue. ».

Au cours de cette mission, j’ai pu constater que sur les six réclamations concernant ce sujet , seulement

trois ont perçu la nullité de leurs taux d’intérêts , soit au total une perte de plus de 70 000 Euros .

Cette annulation des taux d’intérêt implique donc de lourdes pertes pour les

banques et reflète bien une « défaillance des procédures » comme le cite la

définition du risque opérationnel.

1.3 Les Méthodes d’évaluation du risque opérationnel par

la réglementation Bâloise

Selon les analyses de Markovitch, le risque se trouve étroitement lié à la rentabilité. En

effet, ces deux variables évoluent de façon similaire.

Dans une revue de Management, Karfoul et Lamarque (2012) reviennent sur ce

modèle et montrent que le risque opérationnel suit une logique différente des autres
risques. Plus il augmente pour « des raisons de comportement du personnel,
d’inefficacité des systèmes, d’exposition à des fraudes externes ou de tout événement
extérieur, plus les pertes enregistrées augmentent et donc la rentabilité diminue. »

Par ce constat et par la multiplicité des risques opérationnels évoqués ci-dessus et des
pertes qui leurs sont associées, la maitrise de ce risque reste essentiel. Cette gestion du
risque est en outre guidé par une réglementation stricte et ferme.

D’une part, le renforcement de la solidité du système financier a pu être solidifié par le

Comité de Bâle.

D’autre part, différents organismes de réglementation viennent en amont du comité de

Bâle dans le contrôle du monde de la finance et de la banque, il s’agit du Comité
consultatif de la législation et de la réglementation financière, de l’Autorité de

17
Contrôle Prudentiel (ACPR) et de l’Autorité des Marchés Financiers (AMF).
Différents sur le fond et la forme, ils viennent en complémentarité harmoniser et
définir la réglementation dans le cadre du contrôle du risque opérationnel.

Cette législation a pour objectif principal de maintenir la stabilité du système bancaire,

tous en améliorant son fonctionnement et en limitant les risques à un niveau
acceptable.

A cet effet, le Comité de Bâle créé en 1988 vise à améliorer la consolidation du

système financier mondial ainsi que l’efficacité des contrôles et des pratiques
bancaires.

Celui – ci a imposé aux banques un ratio de fonds propres de 8% dit « ratio Cooke »
(Comité de Bâle, 1988) par rapport à leurs engagements de crédit. Accusant la crise
des Subprimes et des multiples affaires faisant perdre des millions voir des milliards
aux banques, ce système a en 2009 entrainé Bâle II et en 2011 Bâle III avec des
exigences de plus en plus strictes en terme de taux.

Ces derniers ont permis de pouvoir mener une veille sur le risque opérationnel en
exigeant une couverture quasi totale de ces derniers par des fonds propres. Ainsi plus
une banque prend des risques, plus elle devra disposer de fonds propres pour couvrir
ces pertes.

Le but ultime de ce comité est d’atteindre un ratio de solvabilité suffisamment

important, qui permette une auto régulation des fonds propres.

Ce dispositif qui s’oriente vers la mesure et la modélisation des risques opérationnels

et leurs impacts sur l’allocation des fonds propres propose trois approches pour
évaluer l’exposition à ce type de risque :

 Approche de base : Cette méthode « consiste en un calcul forfaitaire des

exigences sur la base du produit net bancaire des trois derniers exercices ».
Le régulateur fixe un pourcentage à 15% du PNB moyen des 3 années précédentes.

 Approche standard : Ce procédé implique que l’on va tenir compte de

« chaque ligne de métiers de la banque en un calcul forfaitaire des exigences sur la
base du produit net bancaire enregistré sur cette ligne sur les trois derniers exercices»

18
Cette méthode est identique à celle à dessus et se différencie sur les pourcentages
affectés à chaque ligne de métier.

 Approche avancée : Cette méthode implique « un calcul des exigences par le

modèle interne de mesures développées par une banque et l’autorité de contrôle ».
(Comité de Bâle, 2002)

A travers ce procédé, on s’aperçoit ici que ce sont les banques elles mêmes qui
déterminent leur pourcentage d’expositions bien évidemment sur la base de « leurs
modèles internes » (Danièle Nouy, 2010, p117).

Selon une étude menée par le cabinet SIA conseil (3eme trimestre 2003), il apparaît
que plus de la moitié des instituions financières utilisent l’approche avancée et
standard pour évaluer leurs expositions au risque.

Ainsi, au moyen de ces approches quantitatives permettant d’évaluer le risque

opérationnel, une banque parvient à mieux contrôler ce dernier.

Toutefois, une « banque ne doit pas subir la gestion des risques mais la piloter ».
(Dietsch &Joël, 2008).

C’est ainsi que le contrôle interne intervient ici comme un outil crucial dans la gestion
et le pilotage des risques opérationnels au sein d’un établissement de crédit.
Le point qui suivra va nous permettre d’aborder l’ensemble des procédures et
pratiques qu’utilise ce dispositif pour limiter de manière considérable le risque
opérationnel.

19
2. Le contrôle interne : Un véritable outil de
maitrise du risque opérationnel

Selon Burlaud, « toute activité de contrôle suppose que l’on définisse un

périmètre, une entité ou un ‘territoire’ auquel cette activité s’applique » (2009, p.
526).

De ce fait avant de montrer les méthodes de pilotage adoptées par les banques, dans
le but de gérer de manière efficace le risque opérationnel il reste important d’intégrer 3
concepts :

• Contrôles internes :

Dis aussi, contrôles permanents celui-ci se définit comme étant un moyen permettant
à la direction d’une organisation de s’assurer de la réalisation et de l’optimisation des
opérations. En se déclinant à tous les niveaux de l’entreprise, il veille à ce que les
méthodes de travail et les procédures internes répondent aux objectifs de la banque.
Nous apporterons dans la suite de notre mémoire plus de détail à cette notion.

• Audit interne :

« L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité ».

(Définition française de l’audit interne Approuvée par l’Institut Français de l’Audit

et du Contrôle Internes (IFACI), 21 mars 2000).

La définition citée ci-dessus pose les bases de l’activité d’audit interne dans toutes les
organisations. On y retrouve les grands rôles que jouent l’audit et les valeurs
20
attenantes à son activité. On retient donc que l’audit sert principalement à avoir une
vision sur les risques d’une organisation et à évaluer le système de contrôle interne. Il
ne définit ni ne gère ces dispositifs, il en évalue simplement la qualité et contribue à
son amélioration par des recommandations.

L’audit interne dans les établissements bancaires est règlementairement établi par
l’article 6 du règlement 97/023 c’est donc une obligation pour toutes les banques de
disposer d’un service d’audit. Il détaille globalement l’organisation du contrôle interne
dont doit être pourvue chaque établissement.

• Audit externe :

Il s’agit ici d’un contrôle par un organe externe des états financiers de l’institution.
Ex : Certification des comptes par les commissaires aux comptes.

L’esprit du règlement « 97-02 » 4 est bien de distinguer le contrôle permanent de

l’audit, le premier s’attache concrètement à un contrôle sur pièces tandis que le second
a un rôle d’appréciation du système de contrôle. L’audit est un « rouage important
dans le dispositif » (Véron, 2002, p 613) de contrôle décrit, il est le « rouage » qui
transmet l’information (sur l’efficience du système de contrôle) à l’organe délibérant
(le conseil d’administration). A la notion de vérification pure et simple des
enregistrements comptables sont venus s’ajouter la notion de prévention et de maitrise
du risque opérationnel au sein de chaque activité du secteur bancaire.

A ce titre, Elisabeth Bertin confirme dans son livre « qu’il n’y a pas d’audit interne
sans dispositifs de contrôle ». Cette réflexion semble tout à fait logique, et montre
ainsi que ces deux notions sont indissociables l’une de l’autre.

De ce fait, le concept de contrôle interne apparait ici avec un rôle à jouer majeur dans
la gestion du risque opérationnel.

3
Règlement relatif au contrôle interne des établissements de crédit et des entreprises
d'investissement.
4
Cadre règlementaire relatif au système de contrôle interne des établissements de crédit.
21
2.1 Définitions

Selon le COSO report (1994):

« Le contrôle interne est un processus intégré mis en œuvre par le conseil

d’administration, les dirigeants et le personnel d’une organisation, destinés à traiter les
risques et à fournir une assurance raisonnable quant à la réalisation des objectifs
suivants :
- La réalisation et l’optimisation des opérations
- La fiabilité des informations financières
- La conformité aux lois et réglementation en vigueur » (COSO report ,1994).

La définition citée ci-dessus pose les bases de la fonction du contrôle interne au sein
d’une entité financière. On y retrouve ainsi les grands rôles que joue le contrôle interne
dans la gestion du risque opérationnel.

Deux aspects essentiels sont à souligner dans cette définition. Tout d’abord le contrôle
interne intervient en tant que « Processus» mobilisant tous les acteurs de la banque :

« Le contrôle interne n’est pas un ensemble statique » (Jacques Renard, 2013

,p.125). Celui-ci se limite à un ensemble de procédures et à une accumulation de
vérifications ou d’actions de contrôle.
Ce processus permanent fait donc partie intégrante de l’ensemble des activités
bancaires. Celui-ci ne remet pas en cause le dispositif existant mais s’attache à
l’améliorer en mieux structurant l’organisation et en déterminant ses composantes à
partir des risques et des enjeux.

Ainsi pour être efficace le contrôle interne doit faire l’objet d’une implication de
toutes les équipes de direction afin d’impulser la dynamique, promouvoir,
accompagner et coordonner ses actions au sein de l’établissement.

Cependant il est important de souligner que le processus de contrôle interne doit être
accepté par l’ensemble des collaborateurs pour ensuite être mis en œuvre plus
facilement.

22
De ce fait, ce processus nécessite l’implication de l’ensemble des acteurs de
l’établissement bancaire.

En effet, comme le montre le schéma de la page suivante, le contrôle interne

agit à trois niveaux de l’organisation :

Niveau 1 :
Le niveau opérationnel animé par la réalisation des objectifs de l’organisation :
Il concerne les contrôles effectués par les unités opérationnelles et destinés à garantir
en permanence la bonne gestion et la bonne maîtrise des risques.
Concrètement, il peut s’agir d’un auto-contrôle par le collaborateur lui-même ou bien
d’un contrôle du respect des procédures par le niveau hiérarchique supérieur.
(Exemple : manager de l’unité).

Niveau 2 :
Il s’agit de la fonction à proprement parler du contrôle interne :
Des contrôles sont réalisés par des équipes encadrant le contrôle permanent et destinés
à garantir une bonne gestion et maîtrise de l’ensemble des risques des entités
opérationnelles. Autrement dit il permet de s’assurer que les contrôles de niveau 1
soient conforme.

Niveau 3 :
Il entoure le dispositif de contrôle assuré par un audit interne ou externe
(Commissaire aux Comptes ).
Les contrôles qui lui sont destinés ont pour but d’évaluer périodiquement l’adéquation
et le bon fonctionnement des contrôles permanents (premier et deuxième niveau). A ce
titre on parle aussi de contrôle périodique, puisque l’audit n’intervient pas de manière
continue à la différence du contrôle permanent.(Plan Pluri Annuel d’Audit).

23
A présent, après avoir défini le rôle du contrôle interne il est indispensable de
présenter à ce mémoire les réels enjeux de ce dispositif dans la gestion du risque
opérationnel.

2.2 Les enjeux

Les objectifs du contrôle interne s’imprègnent de la vision de l’AMF. Ainsi la

contribution du contrôle interne peut s’entendre comme la « maîtrise (des) activités,
l’efficacité (des) opérations et l’utilisation efficiente (des) ressources » (L'Institut
Français des Auditeurs et Contrôleurs Internes (IFACI) ,2014).

24
Ces dispositifs ont pour rôle d’assurer :

- La fiabilité des informations financières et opérationnelles.

- La conformité aux lois, aux règlements et aux instructions fixées par les équipes
dirigeantes,
- Le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs,

Nous détaillerons ainsi ces trois points afin de constater l’importance que porte le
contrôle interne dans la gestion du risque opérationnel.

Le contrôle interne permet de fiabiliser l’information

La fiabilité des informations, quelque soit leur nature, est l’un des objectifs principaux
du contrôle interne.

En effet, en 2008 Jean Tirole prix Nobel d’économie 2014, conçoit dans une
conférence que l’entreprise est une énorme base de données, qui reçoit et stocke de
l’information, et qui en génère également.

Pour obtenir une bonne gestion de son activité, une banque doit s’assurer de la qualité
des informations qu’elle reçoit, afin de l’utiliser dans ses décisions à la fois
stratégiques et de production.

Cela dit, la complexité de l’information ne rend pas ce travail facile pour une banque.
Selon LE MOIGNE (1994), il existe 3 types d’informations distinctes :

- D’une part, les informations primaires qui regroupent les informations courantes
générées par l’entreprise à chacune de ses transactions. Plus précisément il s’agit des
informations qui rentrent dans les indicateurs de gestion et entourent également les
besoins légaux (impôts, décorations…). On parle d’informations intra-
organisationnelles.

- D’autre part, les informations extérieures que l’entreprise se procure pour éclairer
ses décisions de gestion. Elles concernent de manière générale tout ce qui peut avoir
trait à l’étude de marché dans sa globalité, et notamment les taux de croissance d’un
secteur d’activité, les parts de marché, l’inflation, le niveau de concurrence.

25
- Enfin, les informations liées au fonctionnement interne de l’entreprise qui
recouvre les échanges d’informations entre différents services, et sites géographiques.
En ce sens on parle d’informations inter-organisationnelles.
-
A ce stade de réflexion, l’objectif est d’obtenir l’assurance que l’information transmise
permette de tirer des conclusions favorables. Sans information fiable, on navigue à
l’aveugle, le risque est ici interne et bien opérationnel.

Il est donc important de juger de la fiabilité de ces informations. A cet effet, Jacques
Renard (IFACI ,2013,p.127) énonce le fait qu’une information est crédible si elle
répond aux trois critères :

- Exhaustivité.
Il est nécessaire d’avoir à disposition au sein de l’entreprise toutes les informations et
chaque information doit être complète. Le contrôle interne doit donc garantir la qualité
des enregistrements des informations et faire en sorte que tous les éléments soient pris
en compte.

- Pertinence.
Le contrôle interne doit permettre de définir quelles sont les informations importantes
et nécessaires, que l’on classe selon un degré de précision. Il n’est pas question de
garder toutes les informations mais seulement celles qui sont nécessaires pour
atteindre les objectifs. Il doit donc être capable d’éliminer les informations jugées
« superflues », qui ne feraient qu’alourdir les bases de données et qui n’améliore en
rien la connaissance nécessaire à une bonne gestion du risque opérationnel.

- Disponibilité.
Il est impératif que l’information soit accessible, au bon endroit et au bon moment.
Cela rentre en compte dans l’objectif de transparence des organisations. Ceci est
facilité par le développement du système d’informations.

26
 Cependant pour pouvoir juger d’une information comme étant correcte (une fois un
niveau de fiabilité défini), il faut pouvoir rapporter un élément de preuve.

A ce titre les procédures de contrôle interne jouent un rôle majeur dans la fiabilité de
ces informations et notamment dans la prévention du risque de nature opérationnel

Ce dispositif doit être capable de saisir et enregistrer toutes les transactions que
l’organisation réalise tant au niveau interne qu’au niveau externe. Autrement dit, on ne
se limite plus aux informations purement financières et comptables, on s’intéresse
d’avantage aux effets environnementaux.

De plus le contrôle interne, à travers la formalisation qu’il met en place, permet ainsi
de reconstituer un ordre logique et chronologique des informations présentes au sein
de l’organisation, pour permettre ainsi de justifier chacune d’entre elles en remontant
jusqu’à la pièce originale.

Ainsi, un contrôleur qui souhaitera évaluer l’efficacité des dispositifs du contrôle

interne suivra cette piste, pour s’assurer ainsi de l’intégrité et du bon fonctionnement
du dispositif.

 Le contrôle interne comme outil de respect des lois, règlements et

contrats

L’entreprise est au quotidien confrontée à un certain nombre de contraintes issues de

son environnement direct. Ces contraintes sont à la fois nombreuses et variées
(comptables, fiscales, qualité…). L’entreprise est tenue de les respecter si elle ne veut
pas être sujette à des pénalités.

Dans ce contexte, le contrôle interne doit permettre de faire respecter les « règles du
jeu » en instaurant des vérifications régulières afin de dissuader « les mauvaises
intentions ». En effet, le contrôle interne ne doit en aucun cas permettre de passer outre
la législation en vigueur. Par exemple dans la gestion du risque opérationnel, l’organe
de contrôle d’une banque doit s’assurer que les ratios imposés par le comité de Bâle
soient bien respectées

Le contrôle interne doit aussi permettre de suivre des règles qu’elle a elle même mis en
place, comme des chartes d’éthiques.
27
Il faut donc s’assurer que les agents de tous niveaux soient informés des règles qui leur
sont applicables et des éventuelles modifications qui pourraient intervenir.

Cette nouvelle dimension, dont est issue la Responsabilité sociétale des entreprises
(RSE), doit être prise en compte par les banque car l’image et les valeurs morales
qu’elle diffuse peuvent être porteuse d’une véritable valeur ajoutée.
En effet la mise en place d’un dispositif de contrôle interne efficace permet de
rassurer les investisseurs grâce aux valeurs déontologiques qu’il suscite.
Un exemple simple serait de citer la chute du cours boursier de la Société générale
après la révélation au grand public de la fraude d’un de leurs traders.

 Le contrôle interne permet un bon fonctionnement des processus

internes

Le processus de contrôle interne a pour but d’optimiser les opérations en permettant

d'identifier des insuffisances dans l'organisation et dans l'exécution des différentes
activités de l'entreprise.

Ainsi, l'analyse du processus met en évidence des tâches non effectuées, des activités
effectuées par des personnes ne disposant pas de la compétence ou des informations
nécessaires à l'accomplissement correct de ces tâches, ces constatations peuvent ainsi
conduire à réorganiser certaines fonctions, et à automatiser certains contrôles.

En effet, les dispositifs de contrôle interne doivent permettre d’assurer dans une
logique de conformité que chaque processus concoure à l’atteinte d’un objectif
stratégique décrit par le plan d’audit5.

Ces dispositifs de contrôle visent notamment à s’assurer que les processus liés à la
production des états financiers sont mis sous contrôle et que les dysfonctionnements
associés à ces derniers ne peuvent altérer la sincérité des comptes.

5
Description et planification des missions d’audit sur une période variant selon l’établissement
bancaire.
28
Il permet ainsi de réfléchir à la bonne conduite des activités en s’appuyant sur un cadre
structuré de réflexion, permettant d’éliminer les mauvaises pratiques et de garder les
meilleures.

En outre, une bonne gestion des processus par le contrôle interne permet de les
identifier et par la suite de les gérer de manière efficace.
Pour ce faire, le contrôle interne dispose de moyens permettant d’identifier tous
risques opérationnels liés à une éventuelle défaillance de ces deniers, pour les
optimiser par la suite.

2.3 Outils de pilotage

Au sein des entités, la mise en œuvre du dispositif d’un contrôle permanent repose
principalement sur les auto-contrôles effectués par les operateurs eux même.
Le dispositif mis en place a pour rôle :

- De procéder à l’identification et à la cotation régulière des risques opérationnels

susceptible d’impacter leurs périmètres et/ou domaine d’activité,
- D’alimenter et produire les informations permettant de renseigner les outils de
gestion des risques opérationnels,
- De limiter la récurrence des incidents à travers la mise en œuvre de plan
d’actions préventifs
- De traiter et gérer les incidents.

De manière préliminaire il convient d’abord de préciser qu’au sein de la BPCE, la

filière risques/opérations se décompose de la manière suivante :

Le comité des risques opérationnels se réunit trimestriellement et gère les incidents et

plans d’actions et définis les méthodes.

Le département des risques opérationnels qui s’occupe de la politique

Risque/Opérations du Groupe BPCE, des méthodologies et des outils de pilotage. Ils
concourent à définir les reportings, préparent et animent le comité des Risques.

29
Chaque établissement fait l’objet d’un comité spécifique permettant de lutter contre
toutes pertes relatives aux risques opérationnels.

Le consultant Olivier STOBAND, approuve dans un article la réelle nécessité de

posséder un dispositif afin de suivre de « manière pragmatique les expositions aux
risques opérationnels ».
A cet effet, la direction générale de chaque établissement vise donc à définir quelles
seront les méthodes adéquates à mettre en application pour gérer de la meilleure
manière possible le risque opérationnel.

Les banques se doivent de mettre en place plusieurs méthodes permettant d’identifier

et de piloter les processus supportant les risques opérationnels (Arrêté du 14
janvier2009).

Au cœur de mon stage j’ai eu l’occasion de prendre connaissance de l’outil Groupe

gérant les risques opérationnels.
Le système est en vigueur depuis le 31 décembre 2005 et a pour rôle de mettre en
avant « les lignes directives et les règles de gouvernance en matière de gestion des
risques opérationnels ».
Les modules de cet outil sont présentés sous forme de schémas en annexe. Cet outil de
groupe est semblable à d’autres établissements du fait de ces modules comme suit,
permettant de piloter de manière efficace le risque :

- Le module cartographie
- Le module de gestion des incidents
- Le module de la veille
- Le module des indicateurs de risques
- Le module de tableau de bord des différents reportings
- Le questionnaire qualitatif.

30
Détaillons le rôle de chacun de ces outils afin d’illustrer les méthodes de management
et de pilotage qu’utilisent les banques dans la gestion du risque opérationnel :

 Cartographie des risques

A ce stade il apparaît opportun de souligner l’intérêt de réaliser avec minutie une

cartographie des risques. Elle a pour but la définition des impacts potentiels du risque
opérationnel, ainsi que la détermination des facteurs qui ont un effet sur la réalisation
du risque et sur les facteurs qui définissent l’étendue des méfaits.

Réaliser cette cartographie permettra à la banque de définir quel est le profil risque
pour cette dernière. L’action de cartographie va aider la banque à caractériser la
nature des incidents qui vont être contrôlés et vérifiés.

De plus, cette cartographie permet une hiérarchie des différents risques qui sont
susceptibles de se réaliser au sein des banques.

Cette hiérarchie des risques va favoriser la mise en application d’une pratique de

traitement homogène des risques, par toute l’équipe dirigeante et par tout le collectif.
Cela aura pour effet une récolte minutieuse et pertinente de tous les incidents.

Cette cartographie se découpe en quatre étapes différentes :

- La première étape consiste à détailler l’activité qui engendre un risque

opérationnel.
- La seconde étape repose sur la mise en évidence par activité des risques
encourus.
- La troisième étape revient à partir d’un risque à faire le détail exhaustif des
pertes et leur probabilité d’occurrence.
- La quatrième étape passe par l’élaboration de la matrice des risques sur les
axes fréquence et préjudice.

31
  Gestion des incidents

Celui-ci à pour rôle d’accompagner les utilisateurs dans la gestion des incidents et
d’assurer une gestion coordonnée des incidents entre différents acteurs. Il permet
également de générer à tout moment des reportings d’analyse et de synthèse
réalisables à tous les niveaux hiérarchiques de l’entité.

 Questionnaire

A travers différentes questions, le contrôleur peut ainsi inventorier et faire un point-

étape sur les dispositifs relatifs au risque opérationnel mis en place. Ces questions
permettent aussi d’apprécier les travaux à mener pour se conformer aux exigences
qualitatives de Bâle II.

 Indicateurs

A l’aide de différents indicateurs financiers et environnementaux, le contrôleur peut

être alerté suite à une évolution non habituelle de ces derniers sur un process donné.

Les orientations prises en matière de gestion des risques opérationnels permettent

d’être en mesure de détecter le plus tôt possible les risques et incidents qui pourraient
avoir des conséquences financières (ou image) pour l’établissement.
A titre d’exemple, l’analyse d’un ratio risques (potentiels) / incidents permet
d’apprécier plus précisément et de façon dynamique leurs impacts.

 Tableau de Bord

Ces tableaux de bords ont pour but d’offrir une vue synthétique du profil de risque de
l’établissement.
Ils permettent également d’alerter et de mobiliser les principaux responsables
concernés par les incidents.

32
L’ensemble des dispositifs que l’on a présentés permettent d’engager des actions et/ou
des préventions afin de contenir les impacts et limiter la probabilité de survenance des
incidents.
Cependant ces méthodes de gestion propres au contrôle interne ont révélés parfois des
défaillances au sein de ce système nous amenant ainsi à en présenter les limites.

33
 2ème Partie :
Les obstacles au contrôle
interne dans la maitrise du
risque opérationnel

Avant d’exposer les limites du contrôle interne, nous reviendrons sur le cas Kerviel.
Nous tenterons ainsi de mettre en exergue les défaillances qu’a rencontrées le contrôle
interne de la Société Générale.

1. Le cas Kerviel : Les mécanismes de fraude

1.1 Présentation du cadre opérationnel du marché bancaire

Le cadre opérationnel du marché bancaire comprend trois institutions telles que le

middle, le front et le back – office. Il convient ici de définir chacune d’entre elles pour
comprendre l’origine de la fraude de notre cas.

Le back-office a pour rôle d’effectuer les procédures administratives des opérations de

marché passées par les traders.

En opposition à ce dernier, le Front Office comprend l’ensemble des tâches liées à la

vente ou à la gestion qui se font par l’intermédiaire des clients de la banque.

34
Concernant le middle-office comme son nom l’indique, il a pour mission de faire le
lien entre le back-office et le front-office. L’employé du middle-office se charge de
gérer les différentes opérations bancaires mais également de vérifier que les
transactions soient effectuées dans le respect des procédures internes.

Les définitions du front, middle et back – office étant posées, il convient de rappeler
un principe fondamental du contrôle interne mentionné dans le règlement numéro 97 /
02 du 21 février 1997 du comité de la règlementation bancaire et financière à savoir
celui de l’importance d’assurer une réelle séparation des pouvoirs de ces trois
institutions.

1.2 Explications de la fraude Kerviel

Pour comprendre l’ensemble des comportements fautifs imputables à ce trader

évoqués supra succinctement après l’introduction, il faut remonter à ses débuts au sein
du système bancaire.

Jérôme Kerviel avait commencé sa carrière au sein de l’établissement dans les services
du middle-office où à ce poste il a acquis une parfaite maîtrise du fonctionnement du
contrôle interne, de telle sorte que cela lui a permis par la suite d’être capable de
contourner les procédures de surveillance. En d’autres termes et pour marteler cette
réflexion Jérôme Kerviel s’est directement inspiré des procédures internes qu’il a
utilisées pour aller au-delà des limites autorisées en dépassant les montants paliers.

2. Les déficiences au contrôle interne

De par le cas Kerviel et l’ensemble des facteurs ou événements ne lui permettant pas
de garantir la réalisation des objectifs de l’entreprise, le système de contrôle interne
présente de nombreuses limites.

35
 2.1 Les limites du contrôle interne

A ce titre l’efficacité d’un système de contrôle interne nécessite de minimiser

l’éventuelle survenance de la non atteinte des objectifs, cependant il n’en demeure pas
moins que persiste toujours le risque de complications dans son déroulement.

De ce fait chaque établissement de crédit doit de manière impérative prendre

conscience des réelles limites du contrôle interne dans la gestion du risque
opérationnel.

Ces limites résultent de nombreux facteurs dont l’existence même a été clairement
abordée depuis le cas Kerviel ; il s’agit des facteurs humains, de la résistance aux
changements en passant par la fraude organisée.

D’une part, les facteurs humains :

En effet, l’homme est à la fois le principal acteur du contrôle interne même si ce

dernier est un facteur difficile à mesurer et souvent source de dysfonctionnement.

A cet effet on distingue différentes hypothèses dans lesquelles l’homme peut être
amené à se tromper.

• L’erreur de jugement :

Le risque d’erreur humaine lors de la prise de décisions ayant un impact sur les
processus peut limiter l’efficacité des contrôles. Les personnes responsables sont
souvent appelées à prendre des décisions dans un temps limité, en se basant sur les
informations disponibles mais parfois incomplètes et en supportant de surcroît la
pression liée à la conduite des activités.

• Les dysfonctionnements :

Même les systèmes de contrôle bien conçus peuvent faire l’objet de

dysfonctionnements, notamment dans les situations où les collaborateurs interprètent
36
les instructions de manière erronée.

• La collusion

La séparation des fonctions constitue souvent un instrument privilégié du contrôle

interne.
Dans la pratique, ce type de contrôle a ses limites: deux ou plusieurs individus agissant
collectivement pour accomplir et dissimuler une action peuvent fausser les
informations financières ou de gestion d’une manière qui ne puisse être prévenue par
la séparation des fonctions.
Un employé chargé d’effectuer des contrôles peut réduire ceux-ci à néant en agissant
en collusion avec d’autres membres du personnel ou des tiers.

D’autre part, la résistance aux changements :

Sur ce point il faut comprendre qu’à chaque échelon d’activités, le personnel qu’il soit
en bas ou en haut du système bancaire peut être réfractaire au système de contrôle. En
effet, le cadre qui par péché d’orgueil s’abstient dans un souci de simplification de la
lourdeur des tâches administratives de procéder au contrôle, ou que ce soit les
administrateurs et collaborateurs de la banque qui par un défaut de formation
considèrent le contrôle interne comme une punition, au lieu de l’envisager comme une
source de valeur ajoutée pour la banque.

En outre, la fraude organisée :

Elle anéantit littéralement le système du contrôle interne, car tout d’abord c’est le
système de direction lui-même en passant par les cadres ou encore les experts qui
peuvent en être à l’origine. De ce fait, les manœuvres dolosives caractérisées par
l’entente entre les différents organes entourant le contrôle empêche toute découverte
de la fraude.

Et enfin, une autre limitation tient à une conception purement économique à savoir le
rapport coût/avantages attendus.
37
En effet, il est important de rappeler que la conception du système de contrôle interne
doit tenir compte des contraintes en matière de ressources.

Le contrôle interne doit ainsi être à la mesure du risque qu’il doit couvrir. On doit ainsi
souligner que si le risque encouru est faible, la mise en place d’une procédure dont le
coût serait supérieur au risque encouru deviendrait une faiblesse dans l’optique du
rapport coût/efficacité.

Cependant, la décision prise par la direction quant à l’affectation des moyens et

ressources attribué au contrôle interne restera toujours partiellement basée sur des
critères subjectifs. Toute la difficulté consistant à définir le risque résiduel tolérable.

Par ailleurs, il est à craindre que l’accumulation des règles enferme les acteurs de
l’organisation dans une sorte de « conformisme » qui se traduit par l’absence
d’initiatives, toutes leurs actions étant d’ores et déjà guidées par des processus. Dans
cette optique l’organisation dynamique serait enfermée dans un immobilisme non
performant.

De plus une annexe détaillant les procédures de contrôle interne de la production

financière de la société Général démontre le peu de dispositifs mis en place. En effet,
la série de contrôle définis par les procédures de la banque employant Jerome Kerviel
reposait uniquement sur deux tests à savoir :

- « vérification quotidienne de la réalité économique de l’ensemble des

informations reportées »
- « Réconciliation dans les délais impartis entre les données comptable et les
données de gestion selon des procédures spécifiques ».

Les limites du contrôle interne se juxtaposent avec la règlementation bâloise expliquée

supra (1.3).

38
 2.2 Les limites de la règlementation bâloise

Il est constant que les banques reconnaissent unanimement qu’il est indispensable de
renforcer les mesures préventives et plus particulièrement en matière d’exigences en
capital, qu’il y a lieu de revoir au niveau du montant exigé et de l’instauration du ratio
levier sources de mécontentement.

Aujourd’hui avec Bale 3, les banques considèrent que la règlementation imposant de

trop lourds contrôles aura un impact direct sur le système financier économique mais
aussi de manière pragmatique sur le nombre et le coût du crédit.

L’étude menée par la BRI estime néanmoins que « l’impact sur la croissance sera
limité : une augmentation de 1% des fonds propres conduirait à une diminution de
0,2% du PIB en 4 ans, soit une baisse de 0,04% de la croissance. L’ensemble de
l’économie européenne sera davantage impactée car son financement est assuré à près
de 80% par les banques, à la différence de l’économie américaine qui repose
essentiellement sur le marché. Sur le long terme, les bénéfices des nouvelles règles se
révèleront bien supérieurs, en termes de stabilité financière et donc de croissance».
(Etude AUREXIA conseil, 2010, p.17).

De ce constat, il est important de souligner que les établissements bancaires critiquent

le ratio de levier qu’ils voient d’un mauvais œil, et considèrent sans rapport avec le
risque, et plus particulièrement incompatible avec sa pondération.

Dans ce contexte le contrôle interne risque d’être non efficace et rejoint la limite
évoquée précédemment sur les résistances au changement (2.1).

Les banques pensent à juste titre que les investisseurs vont se désintéresser de leurs
services en raison de la diminution de la distribution des dividendes nécessaire à
l’augmentation du niveau de fonds propres.

Il faudra attendre 2018 pour pouvoir faire un point sur l’évaluation du ratio Bâle III et
envisager son impact sur la rentabilité des banques. (G Arnould, S Dehmej, 2014,
p18).

39
 3. Une réponse à ces limites

Le contexte réglementaire relatif aux contrôles s’est considérablement modifié ces

dernières années, du fait de l’augmentation de pertes liées aux risques opérationnels.
L’arrêté du 4 novembre 2014 est venu remplacer le règlement du comité de la
réglementation bancaire n°97/02 du 21 février 1997.

A cet effet , l’article 14 a pour objectif d’« assurer une stricte indépendance entre,
d'une part, les unités chargées de l'engagement des opérations et, d'autre part, les
unités chargées de leur validation, notamment comptable, de leur règlement ainsi
que du suivi des diligences liées aux missions de la fonction de gestion des
risques. Cette indépendance est assurée par un rattachement hiérarchique différent de
ces unités jusqu'à un niveau suffisamment élevé ou par une organisation qui garantit
une séparation claire des fonctions ou encore par des procédures, éventuellement
informatiques, conçues dans ce but et dont l'entreprise est en mesure de justifier
l'adéquation. » .

Cet arrêté fait bien référence à la fraude perpétrée par l’Affaire Kerviel suite à une
mauvaise séparation des pouvoirs.
Cette législation permet ainsi de fixer un cadre de référence stricte afin que cette
dernière ne se reproduise plus.
Au delà de ces mutations, des référentiels internationaux de contrôles internes,
réunissant les compétences de différents professionnels, de grandes entreprises et de
cabinets d’audits peuvent être proposés aux banques afin de répondre aux défaillances
du contrôle interne dans la gestion du risque opérationnel.

Le COSO Report s’inscrit dans cette démarche générale depuis plus de 20 ans et
permet de comprendre comment relier :

- Les risques et leurs couvertures,

- Les procédures métiers et les points de contrôles métiers,
- Le système comptable et les points de contrôles comptables,
- L’audit interne et les points de contrôle associés à ce dernier,
- Les démarches de qualité et les processus.

L’évolution rapide de l’environnement et des moyens technologiques ne permettent

pas de répondre aux objectifs de manière efficace.
40
De ce fait, le référentiel a donné naissance à un nouveau cube dit COSO 2 dont les
trois faces visibles donnent la base des évaluations à réaliser de manière plus précise.
Celui-ci est constitué de 8 composantes comme on peut le voir sur la face centrale du
cube ci-dessous du schéma numéro 2.

Schéma 1-Le cube COSO 1

Schéma 2-Le cube COSO 2

41
Ainsi après un simple constat on peut voir qu’en l’espace de 10 ans celui-ci s’est
enrichi de deux nouveaux points, à savoir « La définition des objectifs » et
« l’évaluation des risques » (Cf. schémas)

A la différence du COSO 1 qui était un cadre de référence pour le contrôle interne, le

COSO 2 lui permet de fixer le cadre de référence du management des risques. Ce
dernier permet d’apporter une certaine rigueur dans l’identification et l’évaluation du
risque opérationnel.

Ce référentiel a connu de nouveaux changements, lui aussi peu de temps après le cas
Kerviel.
Cependant ce dispositif ne tient pas compte du facteur humain, celui-ci étant jugé
comme impossible à mesurer. Il indique en revanche différentes méthodes permettant
soit de le prévenir à l’avance, soit d’arrêter la fraude avant qu’elle engage de fortes
pertes.
Ce nouveau dispositif ne consiste pas à ajouter de nouvelles procédures là où celles-ci
sont déjà existantes. Ce référentiel permet d’éviter les mêmes erreurs produites liées
aux risques opérationnels.
En effet décliné sous 17 principes, ce nouveau référentiel à pour rôle de renforcer
l’ensemble des contrôles sur « les opérations, le reporting et les objectifs de
conformité ». (COSO, 2013, p11)
Ainsi en multipliant ces contrôles, une banque pourrait ainsi « identifier de nouveaux
risques et définir des dispositifs de maitrise appropriés » après « avoir ciblé les
contrôles pour mieux répondre aux évolutions de l’environnement » (COSO, 2013,
p13).
En attendant un nouveau référentiel toujours plus performant le COSO semble être le
dispositif le plus adaptés pour répondre à l’ensemble des limites évoquées ci-dessus et
ainsi gérer de manière efficace le risque opérationnel.

42
 Conclusion

L’objectif de ce mémoire était de répondre à la question suivante : Le contrôle interne

permet-il de gérer efficacement le risque opérationnel au sein du secteur bancaire ?

La réponse est oui, le contrôle interne permet bien de gérer le risque opérationnel mais
comme tout dispositif il présente des failles, remettant parfois en doute son efficacité.

A l’appui de notre première partie, nous avons pu définir, identifier et donner les
méthodes permettant d’évaluer le risque opérationnel. Ces trois points qui sont les
fondements d’une bonne gestion d’un risque ont été appréhendés et guidés par le
comité de Bâle.

Ce dispositif a permis d’instaurer une veille sur le risque opérationnel en exigeant un

niveau de fonds propres nécessaires à la couverture de ce dernier. Sous le nom de
Bâle (II et III), il a pour vocation d'inciter les banques à mieux gérer leurs risques par
l'usage de meilleures pratiques6et de méthodes déjà existantes.

À ce titre, la mise en place d’un service de contrôle interne a permis de pointer les
dysfonctionnements affectant directement l’efficience d’un établissement de crédit.
C’est ainsi en proposant des améliorations sur les processus que le contrôle interne
agit ici comme un protagoniste dans la lutte du risque opérationnel.

Néanmoins, celui-ci ne doit pas se limiter simplement à mettre en place des règles et
procédures, il doit avant tout prendre en compte l’environnement global de
l’organisation .De ce fait nous avons vu que le management par les risques reste une
bonne pratique pour rester au plus près des fluctuations de leurs environnements et
ainsi anticiper toutes pertes.

Les méthodes et outils de pilotages utilisés par les contrôleurs internes (les tableaux de
bord, une cartographie des risques, des indicateurs de performance du risque
opérationnel) sont des outils adaptés pour prévenir tout risque opérationnel.

6
Evaluation des risques opérationnels par 3 approches : simple - standard-Avancées
43
Malgré ces mesures, et d’après notre cas, on peut s’apercevoir que le système de
contrôle interne peut être limité par certains facteurs ou événements qui ne lui
permettent pas de garantir la réalisation de ces objectifs. C’est pourquoi le contrôle
interne ne peut fournir qu’une assurance raisonnable et non absolue à la direction.

En ce sens, un système de contrôle interne efficace réduit la probabilité de ne pas

atteindre les objectifs mais n’en élimine pas pour autant le risque toujours présent de
dysfonctionnement dans son déroulement.

Pour aller plus loin, dernièrement, un rebondissement majeur dans l’affaire Kerviel
révèle que les dirigeants du trader étaient au fait de tous ces agissements. Toute cette
réflexion repose sur la primauté du système de contrôle et sur l’efficacité qui découle
de son existence même. Cependant on peut avancer l’argument de son effondrement
toutes les fois où le système lui-même s’avèrerait corrompu par le maillon dirigeant de
cette chaîne. Plus précisément l’affaire Kerviel met en exergue que dans ce système de
contrôle les dirigeants auraient eu connaissance des agissements frauduleux du trader
et qu’ils auraient feints d’en avoir été avertis au moment de leur découverte. En réalité
on peut s’interroger sur les possibilités et les intentions des hauts dirigeants à pouvoir
contourner le système de contrôle interne.

Si le témoignage du commandant de Police Nathalie Le Roy dénonçant ce

comportement fautif des hauts dirigeants de la banque semble juste7, « on passerait de
l’Affaire Kerviel à une Affaire Société générale » comme le souligne Paul Laubacher
dans un article de l’OBS en Mai 2015.

7
Affaire en cours, révision du procès.
44
Bibliographie
Livres, documents, revues :

 Juvin, H. (2001). Le risque bancaire. Equinoxe.

 ZMARROU, H., Professionnelle, T., FERRARIO, F. X., & Professionnelle,

T. (2005).

 Mourad, A. (2011). Analyse et impact du risque opérationnel dans le secteur

bancaire (2009).

 Cartapanis, A., & Gilles, P. (2003). Prévention et gestion des crises

financières internationales: une analyse rétrospective de H. Thornton. Cahiers
d'économie politique/Papers in Political Economy, 45(2), 175-210.

 Pierre-Antoine Delhommais, Cinq Milliards en fumée.

 Kerviel K., 2010, L’engrenage : mémoires d’un trader, Paris, Flammarion.

 Raulin N., 2010, Kerviel avait un excès de confiance similaire à celui d’un
délinquant, Libération.

 Farrokh, M. (2008). Crise financière: une fusée à plusieurs étages.

 Assouly, J., & de Blic, D. (2013). Les traders peuvent-ils provoquer des
krachs?. L’affaire Kerviel et les difficultés à imputer des responsabilités dans
les crises financières. Champ Pénal field.

 Mayer, N., & Humbert, J. P. (2006). La gestion des risques pour les systèmes
d’information. Magazine MISC, (24).

 Pardo, C. (2003). Quels outils pour une régulation efficace des risques
opérationnels de la gestion pour compte de tiers?. Revue d'économie
financière, 175-187.

 Jezzini, M. (2005). Revue de la littérature: Risque Opérationnel

45
  Karima, B., & AERES, D. (2008). Réglementation du comité de Bâle, prise de
risque et performance.

 Aglietta, M. (1991). Le risque de système. Revue d'économie financière, 61-

89. rmance des banques européennes''. Revue Banque et Marchés.

 DIRCKS-DILLY, A., KROMAREK, P., & DELAHOUSSE, E. (2002). Les

risques bancaires liés à l’environnement. Banque & droit, 81, 3-11..

 Karfoul, H., & Lamarque, E. (2012). Proposition d'une mesure de l'efficacité

du système de contrôle interne d'un établissement bancaire. Management &
Avenir, 48(8), 362-381.

 Nouy, D. (2011). La réévaluation du risque de solvabilité et de liquidité: le

point de vue du superviseur. Revue d'économie financière, 101(1), 117-128.

 Dietsch, M., & Petey, J. (2008). Mesure et gestion du risque de crédit dans les
institutions financières. RB Revue banque.

 Véron, N. (2002). Après Enron et WorldCom: information financière et

capitalisme. Commentaire, (3), 609-618.

 Le Moigne, J. L. (1994). La théorie du système général: théorie de la

modélisation. jeanlouis le moigne-ae mcx.

 Règlement 97/02 consolidé.

 Jacques Renard (2010). Théorie et pratique de l’audit

interne.

Sites internet consultés

 http://www.slate.fr/story/28237/kerviel-rembourser-5-milliards , Grégoire
Fleurot (2010).

 http://www.forum-republicain-frejus.fr/articles/l-audit/.

46
 http://www.groupeonepoint.com/sites/groupeonepoint.com/files/nodes/letter_a
rticle/de_la_gestion_des_risques_operationnels_a_lamelioration_de_la_perfor
mance.pdf (Olivier stoband).

47
 Table des annexes

 Annexe 1 : Présentation du département risques opérationnels du Département Risques

Opérationnels (DRG)

 Annexe 2 : Présentation de l’outil groupe : Pilotage et gestion du risque opérationnel.

 Annexe 3 : Les procédures de contrôle interne de la production financière et comptable

(Société Générale)

 Annexe 4 : Rebondissement à l’Affaire Kerviel (extrait Journal Metro)

48
 Annexe 1 : Présentation du département risques opérationnels de
la DRG

Brochure CEPAC « risques opérationnels »

49
 Annexe 2 : Présentation de l’outil groupe : Pilotage et gestion du
risque opérationnel.

Les différents modules d’ORIS, outil Groupe de gestion et

pilotage des risques opérationnels
Cartographie

Gestion des incidents Indicateurs de

risques

Veille
Questionnaire Qualitatif

Tableau de Bord
Reportings

Contrôleurs Généraux – 19 janvier 2007 9

50
 Gestion du dispositif et reporting via ORiS
ORiS – Module Incidents
 ORiS - Modules Incidents et Indicateurs :
 accompagner les utilisateurs dans la gestion des incidents;
 assurer une gestion coordonnée des incidents entre différents acteurs;
 générer à tout moment des reportings d’analyse et de synthèse réalisables à tous les niveaux
hiérarchiques de l’entité.

Contrôleurs Généraux – 19 janvier 2007 16

Gestion du dispositif et reporting via ORiS

ORiS – Module Indicateurs
 Objectifs :
 Suivre les facteurs environnementaux du risque.
 Être alerté et alerter d’une évolution non habituelle sur un process donné

Contrôleurs Généraux – 19 janvier 2007 17

51
 Gestion du dispositif et reporting via ORiS
ORiS Module Tableau de bord RO
 Objectifs :
 Ce tableau de bord s’appuie sur les différents éléments de l’outil ORiS
 Il se fonde pour partie sur les états de reportings du Corep (groupe de travail Européen sur les reportings
réglementaires issu du Comité Européen des superviseurs bancaires)
 Il vise à offrir une vue synthétique du profil de risque de l’établissement

Contrôleurs Généraux – 19 janvier 2007 19

 Annexe 3 : Les procédures de contrôle interne de la production financière et

comptable (Société Générale)

52
 Annexe 4 : Rebondissement à l’Affaire Kerviel (extrait Journal Metro)

53
 Table des matières

Remerciements 1

Introduction …..………………………………………….3

Présentation du Cas : Affaire Kerviel …………… 7

1°PARTIE : Les enjeux du contrôle interne dans la

gestion du Risque opérationnel………………… .11
1. Le concept général du Risque opérationnel…………12

1.1 Définition du risque opérationnel …………………………… 12

1.2 Identification …………………………………………………………… 13
1.3 Evaluation ………………………………………………………………… 17

2. Le contrôle interne : Un véritable outil de maitrise du

risque opérationnel ..............................................20
2.1 Définition du contrôle interne …………………………………… . 21
2.2 Enjeux ………………………………………………………………………… 24
2.3 Outils de pilotage ………………………………………………………. .29

54
2°PARTIE : Les obstacles au contrôle interne dans
la maitrise du risque opérationnel…………………34

1. Le cas Kerviel : Les mécanismes de la

fraude…………………………………………………………………….34
1.1 Une présentation du cadre opérationnel………………… 34
1.2 Explication de la fraude……………………………………………… 35

2. Les déficiences du contrôle interne ……………………..35

2.1 Les limites du contrôle interne………………………………… 36
2.2 Les limites à la règlementation bancaire………………………. 39
2.3 Une réponse à ces limites …………………………………………… .40

Conclusion.…………………………………………………… 45
Bibliographie…………………………………………………… 45
Table des annexes……………………………………… 48
Résumé………………………………………………… 56

55
 La gestion du risque opérationnel par le contrôle interne au
sein d’une banque

Résumé :
Dans un contexte économique de plus en plus concurrentiel, globalisé et à un rythme
qui ne cesse de s’accélérer, les banques doivent faire face à de nouvelle formes de
risques.
La perte de 4.9 milliards d’un des trader de la Société Générale a permis de prendre
conscience des risques liés à des défaillances opérationnelles.
A cet effet, ce mémoire détaillera l’ensemble des techniques et des moyens utilisés par
le contrôle interne dans la gestion du risque opérationnel.
En prenant pour exemple le cas cité ci-dessus à savoir l’Affaire Kerviel, il convient
dans un premier temps de révéler les difficultés que peut rencontrer ce dispositif et
dans un second temps d’apporter une réflexion sur les leviers d’amélioration de ces
contrôles.
Mots clefs : Contrôle interne – Gestion –outils de pilotage –Banque- Risques
opérationnels

Abstract
In an economy increasingly competitive, globalized and at a pace that continues to
accelerate, banks face new forms of risk .
The loss of 4.9 billion of traders at “Société Générale” has raised awareness of the
risks of operational failures.
To this end, this thesis will detail all the techniques and means used by the internal
control in the management of operational risk.
Taking as an example the case cited above namely Kerviel Case should be initially
reveal the difficulties faced in this system and a second time to make a reflection on
the levers for improving these controls.
Keywords: Internal control - steering -tools Operational Risk Management –Bank.

Master « Conseil-Audit-Contrôle » (C.A.C)

Université de la Méditerrannée – Faculté de Sciences Economiques et de Gestion 14
Avenue Jules Ferry 13100 Aix-en-Provence Tel : 0033(0)4 42 91 48 47.

56