Académique Documents
Professionnel Documents
Culture Documents
Remerciements
Je n’oublie pas Madame Nicole PALANDRI, Directrice du service Audit pour avoir
accepté ma présence au sein de son service et contribué au bon déroulement de mon
stage.
1
Sommaire
Introduction 3
Conclusion 43
Bibliographie 45
Table des annexes 48
Résumé 56
2
Introduction
Malgré ces transformations, plus de la moitié des banques ont disparu ces vingt
dernières années dans le monde. Nous pouvons prendre pour exemple la quasi-faillite
du Crédit Lyonnais en 1993 ou encore la faillite de la banque Pallas-Stern en 1995.
Ces faits montrent clairement l’importance des risques que subissent les
établissements de crédit au quotidien et confirme ainsi le constat d’Antoine Sardi en
1996 :
1
Committee Of Sponsoring Organizations of the Treadway Commission
3
Au sein du milieu bancaire cette notion de risque est omniprésente et a toujours
existé.
En 2001, Juvin analyse cette « multitude » de dangers pouvant nuire à l’activité d’une
banque et distingue huit classes de risque comme suit :
« Le risque commercial, le risque informatique, le risque opératoire, le risque juridique
et fiscal, le risque politique, le risque de concurrence, le risque d'environnement et le
risque des ressources ».
Ces derniers peuvent se regrouper en deux grands types de risques tels que les risques
financiers et ceux non financiers dit « Risques opérationnels ». Le premier regroupe
trois aspects tels que les risques de liquidité, de marché (taux de change, perte de
valeur sur les instruments financiers), et de crédit (incapacité des clients ou autres
acteur de la banque à respecter leurs engagements sur les sommes empruntées).
Le second lui, inclut les risques de pertes ou de sanctions du fait de fraudes, de
défaillances de procédures, de faiblesse dans le système d’information, d’événement
externe à l’entreprise ou encore de mauvaises exécutions d’opérations.
Les risques étant multiples et variés, nous limiterons notre analyse au risque
opérationnel. Celui-ci est à l’origine de lourdes pertes estimées par certain analyste tel
qu’A.Mourad (2001), à 12 milliards de dollars sur les 10 dernières années. A ces
dommages financiers s’associent de nombreux scandales tant à l’international
(Banque Baring) qu’en France (Affaire Kerviel).
Outre les pertes qu’un risque financier peut générer, ce dernier est aussi une source de
rentabilité (Théorie du risque profit mise en évidence au 19ème Siècle par Raymond
Saleilles et Labbé ).
Il est donc nécessaire de gérer, d’évaluer et de maitriser au mieux ces menaces. Ainsi
pour « garantir la résilience du système financier » (Cartapanis & Gilles, 2003, p175)
et faire face aux exigences réglementaire (réglementation Bâloise) prévue à cet effet,
les autorités prudentielles imposent à tous les établissements bancaires depuis 1997
(CRBF-97), de mettre en place un service de contrôle interne.
Malgré ces mesures, le contrôle interne a été très souvent contredit du fait de ces
quelques défaillances. Pour un grand nombre de cas, ces derniers sont relatifs aux
4
risques opérationnels remettant ainsi en cause l’efficacité de ce dispositif et nous
amène à nous poser cette question :
Notre question de recherche, comme nous l’avons présenté est d’un intérêt certain
puisque celle ci s’inscrit en plein cœur du cadre de notre formation2 qui conduit aux
métiers d’auditeurs et de contrôleurs de gestion. Le stage de fin d’étude s’effectuant à
la Direction de l’Audit de la Caisse d’Epargne est pour moi un véritable atout pour
répondre à cette problématique. En effet, ma participation dans de nombreuses
missions m’a permis d’apprécier en partie comment les banques gèrent leurs risques
opérationnels au quotidien mais aussi d’acquérir et découvrir de nouveaux concepts
que nous illustrerons à travers des encarts au fond orange pâles. Des encarts de
couleurs orange pâles feront référence à cette expérience.
Pour répondre à cette interrogation, nous exposerons dans une première partie les
enjeux du contrôle interne dans la gestion du risque opérationnel. Un sous-chapitre
définira le concept du risque opérationnel relatif à ce dernier et les méthodes
permettant d’évaluer et de le quantifier. Un second sous-chapitre s’attachera à
expliquer en détails le rôle du contrôle interne dans la maitrise de ce risque.
Nous avons fait le choix de nous focaliser sur l’affaire Kerviel, étant donné que c’est
avec cette dernière qu’il aura été permis de mettre en avant la faiblesse des différents
leviers du contrôle interne dans le circuit boursier. Un premier sous chapitre tentera
de présenter les dispositifs qui auraient pu permettre d’éviter cette perte n’ayant jamais
2
Il s’agit du master CAC (Contrôle, Audit et Conseil) qui forme aux métiers de l’audit et de Contrôle de
gestion, FEG faculté d’Economie et de gestion Aix-Marseille.
5
eu d’équivalent dans l’histoire de la finance en France. Un second sous chapitre nous
amènera à exposer les limites du contrôle interne.
6
Présentation du cas Kerviel
Jérôme KERVIEL exerçait depuis début 2005 au front office de la banque Société
Générale. Ce jeune trader intervenait essentiellement sur deux types de produits
dérivés tel que :
Ces deux opérations ont pour particularité de se fonder uniquement sur l’évolution
escomptée des indices boursiers (Eurostoxx, Dax, Footsie) à la hausse comme à la
baisse de manière à ce qu’un trader puisse s’engager et prendre ainsi une position
directionnelle lui permettant théoriquement de dégager du profit.
Afin d’éviter toutes détériorations des fonds propres, les banques pilotent et
contrôlent ces risques dits « de marché » en fixant des règles et en procédant à divers
contrôles que nous expliquerons par la suite, leurs permettant de vérifier que ces
dernières soient bien respectés.
7
En effet chaque trader a un portefeuille avec une somme, défini par sa hiérarchie en
fonction de son expérience sur les marchés. En général cette somme avoisine les
centaines de Millions d’Euros. Ainsi il est de la responsabilité de chaque trader de ne
pas émettre des opérations à hauteur d’une certaine somme et/ou de retirer toutes
positions en pertes qui dépasseraient les limites autorisées.
En ne respectant pas ces règles, Jérôme Kerviel est à l’origine d’un déficit ayant couté
4.9 Milliard d’Euros à la société générale.
La fraude
Ce dernier, qui avait l’habilitation pour placer jusqu'à 250 millions d’Euros sur les
marchés, va « jouer » durant cette période un total de 50 Milliard d’euros soit « une
somme que la banque est loin de posséder puisqu’à l’époque, ses fonds propres
atteignent à peine 35 milliards d’euros » (Article Les Echos-18/02/2011).
Selon les rapports de l’enquête du 28 Janvier 2008, le trader aurait délibérément été à
l’encontre des choix de sa hiérarchie et aurait mis en place un montage frauduleux lui
permettant de continuer à passer ses opérations financières au delà des sommes
plafonds fixées par la banque et cela sans que personne ne s’en aperçoive.
En parallèle, les gains ainsi que les pertes associées à ces transactions été masqués
dans des comptes fictifs de façon à les repartir mensuellement en fonction des objectifs
fixés par sa hiérarchie. Il est aujourd’hui encore difficile de comprendre comment un
jeune trader a pu échapper à l’ensemble des contrôles mis en place par la direction
mais surtout à masquer par le biais d’opérations fictives ses gains et ses pertes pendant
plusieurs années.
9
Ainsi, le choix de ce cas est donc d’un intérêt certain, d’une part car elle illustre bien
le thème et la question de réflexions posées et d’autre part du fait de son influence
médiatique et de par son rebondissement dernièrement aux informations que nous
évoquerons plus tard.
10
1ere PARTIE :
Les enjeux du contrôle interne
dans la gestion du risque
opérationnel
11
1. Le concept général du risque Opérationnel
En 2003, selon C.Pardo, le point de départ d’une bonne gestion d’un risque quel qu’il
soit revient à le définir, l’identifier et l’évaluer. Nous allons ainsi suivre ce
cheminement et développer ces trois points afin de nous permettre d’appréhender avec
précision la notion de risque opérationnel au sein du milieu Bancaire.
1.1 Définitions
En 2004, le comite de Bâle tient compte de toutes ces critiques, suscitant de vifs
débats et modifie le périmètre du risque opérationnel au travers d’une définition
précise et applicable à l’ensemble de l’environnement bancaire :
12
« Le risque opérationnel se définit comme le risque de perte résultant de carences ou
de défaillances attribuables à des procédures, personnes et systèmes internes ou à
des événements extérieures. La définition inclut le risque juridique, mais exclut le
risque stratégique et d'atteinte à la réputation » (Comité de Bâle ,2004).
1.2 Identification
Cette définition semble être plus complète. En effet d’une part elle délimite de manière
claire le périmètre de ce risque et d’autre part elle nous permet d’identifier plusieurs
sous risques propices à une perte opérationnelle tels que :
13
Les Fraudes :
Les actifs peuvent être transférés instantanément et virtuellement via les marchés
financiers à travers des plateformes en ligne, en relation avec les systèmes
d’information de la banque. A cet effet sans équivoque, certains trader voient cela
comme un jeu. Ces tentatives de fraudes coutent très cher à la banque.
En effet en pénétrant dans un fichier informatique pour remplacer
frauduleusement certaines données du système de traitement automatisé, le cas
Kerviel reflète bien ce point.
Ex : Un bugg du logiciel qui permet au trader de passer des opérations sur le marché
peut engendrer une perte financière sévère si celle-ci n’est pas retirée à temps.
Comme son nom le précise, ce risque provient d’une défaillance des processus
internes de la banque, amenant à des erreurs portées au compte d'un tiers et non du
bénéficiaire.
Ces erreurs qui interviennent en général lors de l’insertion de données d’un client
dans l’ERP sont très souvent associées à des erreurs humaines et non comme on
pourrait le croire à une défaillance du logiciel.
Ces personnes, peuvent soit commettre des erreurs dites involontaires, soit agir de
manière intentionnelle.
14
Dans la première hypothèse, cela peut être expliqué par une mauvaise adaptation aux
évolutions technologiques d’un des collaborateurs de l’établissement. En effet un
changement ou une mise à jour du logiciel peut plus facilement amener à une faute.
Le deuxième cas fait clairement référence à l’Affaire Kerviel. Pour arriver à de tels
pertes, Jérôme Kerviel connaissait les processus qui permettaient de faire valider ses
opérations ; de ce fait et par la connaissance des métiers de la finance en Banque, le
trader a réussi à détourner certaines contraintes du logiciel.
Ce point révèle les limites du système d’information et des dispositifs de contrôle et
fera l’objet de notre seconde partie.
La norme ISO 31000 définit en 2009 ces risques comme « la possibilité qu’un
événement survienne et dont les conséquences (ou effets de l’incertitude) seraient
susceptibles d’affecter les personnes, les actifs de l'entreprise, son environnement, les
objectifs de la société ou sa réputation ».
Pour une banque comme pour une entreprise, ce risque est multidimensionnel et peut
amener à un dysfonctionnement de l’activité et des systèmes. En effet de lourdes
pertes peuvent être enregistrées suite à un changement de politique, d’environnement
réglementaire ou bien même d’une catastrophe naturelle.
Le risque juridique
15
On a affaire à un risque de perte ancré à de nombreuses causes qui sont envisagées par
Dircks-Dilly et Kromarek en 2002 :
Une insécurité juridique, c’est l’hypothèse qui prend naissance dans l'éventuelle
Lors de mon stage, j’ai pu m’apercevoir des lourds impacts financiers que ce risque
pouvait avoir sur un établissement de crédit. En effet, au cours d’une mission relative à
Ces remises comme son nom l’indique vise à indemniser un client ayant une raison
inclut tous les frais et rémunérations liés au placement. Un grand nombre d’éléments
sont donc à prendre en compte tels que les frais de courtages, les frais de dossiers, les
coûts de garantis.
La complexité de ce dernier révèle être un calcul difficile pour les banques. En effet
A cela, des erreurs juridiques peuvent être constatées dans la rédaction du contrat .La
Juridiction impose que le TEG soit calculé par an et par période, alors que les
16
En cas d’apparition d’une des ces erreurs ou l’absence de TEG, la jurisprudence
indique que « le taux d’intérêt légal est substitué au taux d’intérêt conventionnel que prévoyait la clause
annulée, pendant toute la durée de la convention de crédit, la clause de taux d’intérêt conventionnel étant
Au cours de cette mission, j’ai pu constater que sur les six réclamations concernant ce sujet , seulement
trois ont perçu la nullité de leurs taux d’intérêts , soit au total une perte de plus de 70 000 Euros .
Cette annulation des taux d’intérêt implique donc de lourdes pertes pour les
Par ce constat et par la multiplicité des risques opérationnels évoqués ci-dessus et des
pertes qui leurs sont associées, la maitrise de ce risque reste essentiel. Cette gestion du
risque est en outre guidé par une réglementation stricte et ferme.
17
Contrôle Prudentiel (ACPR) et de l’Autorité des Marchés Financiers (AMF).
Différents sur le fond et la forme, ils viennent en complémentarité harmoniser et
définir la réglementation dans le cadre du contrôle du risque opérationnel.
Celui – ci a imposé aux banques un ratio de fonds propres de 8% dit « ratio Cooke »
(Comité de Bâle, 1988) par rapport à leurs engagements de crédit. Accusant la crise
des Subprimes et des multiples affaires faisant perdre des millions voir des milliards
aux banques, ce système a en 2009 entrainé Bâle II et en 2011 Bâle III avec des
exigences de plus en plus strictes en terme de taux.
Ces derniers ont permis de pouvoir mener une veille sur le risque opérationnel en
exigeant une couverture quasi totale de ces derniers par des fonds propres. Ainsi plus
une banque prend des risques, plus elle devra disposer de fonds propres pour couvrir
ces pertes.
18
Cette méthode est identique à celle à dessus et se différencie sur les pourcentages
affectés à chaque ligne de métier.
A travers ce procédé, on s’aperçoit ici que ce sont les banques elles mêmes qui
déterminent leur pourcentage d’expositions bien évidemment sur la base de « leurs
modèles internes » (Danièle Nouy, 2010, p117).
Selon une étude menée par le cabinet SIA conseil (3eme trimestre 2003), il apparaît
que plus de la moitié des instituions financières utilisent l’approche avancée et
standard pour évaluer leurs expositions au risque.
Toutefois, une « banque ne doit pas subir la gestion des risques mais la piloter ».
(Dietsch &Joël, 2008).
C’est ainsi que le contrôle interne intervient ici comme un outil crucial dans la gestion
et le pilotage des risques opérationnels au sein d’un établissement de crédit.
Le point qui suivra va nous permettre d’aborder l’ensemble des procédures et
pratiques qu’utilise ce dispositif pour limiter de manière considérable le risque
opérationnel.
19
2. Le contrôle interne : Un véritable outil de
maitrise du risque opérationnel
De ce fait avant de montrer les méthodes de pilotage adoptées par les banques, dans
le but de gérer de manière efficace le risque opérationnel il reste important d’intégrer 3
concepts :
• Contrôles internes :
Dis aussi, contrôles permanents celui-ci se définit comme étant un moyen permettant
à la direction d’une organisation de s’assurer de la réalisation et de l’optimisation des
opérations. En se déclinant à tous les niveaux de l’entreprise, il veille à ce que les
méthodes de travail et les procédures internes répondent aux objectifs de la banque.
Nous apporterons dans la suite de notre mémoire plus de détail à cette notion.
• Audit interne :
« L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité ».
La définition citée ci-dessus pose les bases de l’activité d’audit interne dans toutes les
organisations. On y retrouve les grands rôles que jouent l’audit et les valeurs
20
attenantes à son activité. On retient donc que l’audit sert principalement à avoir une
vision sur les risques d’une organisation et à évaluer le système de contrôle interne. Il
ne définit ni ne gère ces dispositifs, il en évalue simplement la qualité et contribue à
son amélioration par des recommandations.
L’audit interne dans les établissements bancaires est règlementairement établi par
l’article 6 du règlement 97/023 c’est donc une obligation pour toutes les banques de
disposer d’un service d’audit. Il détaille globalement l’organisation du contrôle interne
dont doit être pourvue chaque établissement.
• Audit externe :
Il s’agit ici d’un contrôle par un organe externe des états financiers de l’institution.
Ex : Certification des comptes par les commissaires aux comptes.
A ce titre, Elisabeth Bertin confirme dans son livre « qu’il n’y a pas d’audit interne
sans dispositifs de contrôle ». Cette réflexion semble tout à fait logique, et montre
ainsi que ces deux notions sont indissociables l’une de l’autre.
De ce fait, le concept de contrôle interne apparait ici avec un rôle à jouer majeur dans
la gestion du risque opérationnel.
3
Règlement relatif au contrôle interne des établissements de crédit et des entreprises
d'investissement.
4
Cadre règlementaire relatif au système de contrôle interne des établissements de crédit.
21
2.1 Définitions
La définition citée ci-dessus pose les bases de la fonction du contrôle interne au sein
d’une entité financière. On y retrouve ainsi les grands rôles que joue le contrôle interne
dans la gestion du risque opérationnel.
Deux aspects essentiels sont à souligner dans cette définition. Tout d’abord le contrôle
interne intervient en tant que « Processus» mobilisant tous les acteurs de la banque :
Ainsi pour être efficace le contrôle interne doit faire l’objet d’une implication de
toutes les équipes de direction afin d’impulser la dynamique, promouvoir,
accompagner et coordonner ses actions au sein de l’établissement.
Cependant il est important de souligner que le processus de contrôle interne doit être
accepté par l’ensemble des collaborateurs pour ensuite être mis en œuvre plus
facilement.
22
De ce fait, ce processus nécessite l’implication de l’ensemble des acteurs de
l’établissement bancaire.
Niveau 1 :
Le niveau opérationnel animé par la réalisation des objectifs de l’organisation :
Il concerne les contrôles effectués par les unités opérationnelles et destinés à garantir
en permanence la bonne gestion et la bonne maîtrise des risques.
Concrètement, il peut s’agir d’un auto-contrôle par le collaborateur lui-même ou bien
d’un contrôle du respect des procédures par le niveau hiérarchique supérieur.
(Exemple : manager de l’unité).
Niveau 2 :
Il s’agit de la fonction à proprement parler du contrôle interne :
Des contrôles sont réalisés par des équipes encadrant le contrôle permanent et destinés
à garantir une bonne gestion et maîtrise de l’ensemble des risques des entités
opérationnelles. Autrement dit il permet de s’assurer que les contrôles de niveau 1
soient conforme.
Niveau 3 :
Il entoure le dispositif de contrôle assuré par un audit interne ou externe
(Commissaire aux Comptes ).
Les contrôles qui lui sont destinés ont pour but d’évaluer périodiquement l’adéquation
et le bon fonctionnement des contrôles permanents (premier et deuxième niveau). A ce
titre on parle aussi de contrôle périodique, puisque l’audit n’intervient pas de manière
continue à la différence du contrôle permanent.(Plan Pluri Annuel d’Audit).
23
A présent, après avoir défini le rôle du contrôle interne il est indispensable de
présenter à ce mémoire les réels enjeux de ce dispositif dans la gestion du risque
opérationnel.
24
Ces dispositifs ont pour rôle d’assurer :
Nous détaillerons ainsi ces trois points afin de constater l’importance que porte le
contrôle interne dans la gestion du risque opérationnel.
La fiabilité des informations, quelque soit leur nature, est l’un des objectifs principaux
du contrôle interne.
En effet, en 2008 Jean Tirole prix Nobel d’économie 2014, conçoit dans une
conférence que l’entreprise est une énorme base de données, qui reçoit et stocke de
l’information, et qui en génère également.
Pour obtenir une bonne gestion de son activité, une banque doit s’assurer de la qualité
des informations qu’elle reçoit, afin de l’utiliser dans ses décisions à la fois
stratégiques et de production.
Cela dit, la complexité de l’information ne rend pas ce travail facile pour une banque.
Selon LE MOIGNE (1994), il existe 3 types d’informations distinctes :
- D’une part, les informations primaires qui regroupent les informations courantes
générées par l’entreprise à chacune de ses transactions. Plus précisément il s’agit des
informations qui rentrent dans les indicateurs de gestion et entourent également les
besoins légaux (impôts, décorations…). On parle d’informations intra-
organisationnelles.
- D’autre part, les informations extérieures que l’entreprise se procure pour éclairer
ses décisions de gestion. Elles concernent de manière générale tout ce qui peut avoir
trait à l’étude de marché dans sa globalité, et notamment les taux de croissance d’un
secteur d’activité, les parts de marché, l’inflation, le niveau de concurrence.
25
- Enfin, les informations liées au fonctionnement interne de l’entreprise qui
recouvre les échanges d’informations entre différents services, et sites géographiques.
En ce sens on parle d’informations inter-organisationnelles.
-
A ce stade de réflexion, l’objectif est d’obtenir l’assurance que l’information transmise
permette de tirer des conclusions favorables. Sans information fiable, on navigue à
l’aveugle, le risque est ici interne et bien opérationnel.
Il est donc important de juger de la fiabilité de ces informations. A cet effet, Jacques
Renard (IFACI ,2013,p.127) énonce le fait qu’une information est crédible si elle
répond aux trois critères :
- Exhaustivité.
Il est nécessaire d’avoir à disposition au sein de l’entreprise toutes les informations et
chaque information doit être complète. Le contrôle interne doit donc garantir la qualité
des enregistrements des informations et faire en sorte que tous les éléments soient pris
en compte.
- Pertinence.
Le contrôle interne doit permettre de définir quelles sont les informations importantes
et nécessaires, que l’on classe selon un degré de précision. Il n’est pas question de
garder toutes les informations mais seulement celles qui sont nécessaires pour
atteindre les objectifs. Il doit donc être capable d’éliminer les informations jugées
« superflues », qui ne feraient qu’alourdir les bases de données et qui n’améliore en
rien la connaissance nécessaire à une bonne gestion du risque opérationnel.
- Disponibilité.
Il est impératif que l’information soit accessible, au bon endroit et au bon moment.
Cela rentre en compte dans l’objectif de transparence des organisations. Ceci est
facilité par le développement du système d’informations.
26
Cependant pour pouvoir juger d’une information comme étant correcte (une fois un
niveau de fiabilité défini), il faut pouvoir rapporter un élément de preuve.
A ce titre les procédures de contrôle interne jouent un rôle majeur dans la fiabilité de
ces informations et notamment dans la prévention du risque de nature opérationnel
Ce dispositif doit être capable de saisir et enregistrer toutes les transactions que
l’organisation réalise tant au niveau interne qu’au niveau externe. Autrement dit, on ne
se limite plus aux informations purement financières et comptables, on s’intéresse
d’avantage aux effets environnementaux.
De plus le contrôle interne, à travers la formalisation qu’il met en place, permet ainsi
de reconstituer un ordre logique et chronologique des informations présentes au sein
de l’organisation, pour permettre ainsi de justifier chacune d’entre elles en remontant
jusqu’à la pièce originale.
Dans ce contexte, le contrôle interne doit permettre de faire respecter les « règles du
jeu » en instaurant des vérifications régulières afin de dissuader « les mauvaises
intentions ». En effet, le contrôle interne ne doit en aucun cas permettre de passer outre
la législation en vigueur. Par exemple dans la gestion du risque opérationnel, l’organe
de contrôle d’une banque doit s’assurer que les ratios imposés par le comité de Bâle
soient bien respectées
Le contrôle interne doit aussi permettre de suivre des règles qu’elle a elle même mis en
place, comme des chartes d’éthiques.
27
Il faut donc s’assurer que les agents de tous niveaux soient informés des règles qui leur
sont applicables et des éventuelles modifications qui pourraient intervenir.
Cette nouvelle dimension, dont est issue la Responsabilité sociétale des entreprises
(RSE), doit être prise en compte par les banque car l’image et les valeurs morales
qu’elle diffuse peuvent être porteuse d’une véritable valeur ajoutée.
En effet la mise en place d’un dispositif de contrôle interne efficace permet de
rassurer les investisseurs grâce aux valeurs déontologiques qu’il suscite.
Un exemple simple serait de citer la chute du cours boursier de la Société générale
après la révélation au grand public de la fraude d’un de leurs traders.
Ainsi, l'analyse du processus met en évidence des tâches non effectuées, des activités
effectuées par des personnes ne disposant pas de la compétence ou des informations
nécessaires à l'accomplissement correct de ces tâches, ces constatations peuvent ainsi
conduire à réorganiser certaines fonctions, et à automatiser certains contrôles.
En effet, les dispositifs de contrôle interne doivent permettre d’assurer dans une
logique de conformité que chaque processus concoure à l’atteinte d’un objectif
stratégique décrit par le plan d’audit5.
Ces dispositifs de contrôle visent notamment à s’assurer que les processus liés à la
production des états financiers sont mis sous contrôle et que les dysfonctionnements
associés à ces derniers ne peuvent altérer la sincérité des comptes.
5
Description et planification des missions d’audit sur une période variant selon l’établissement
bancaire.
28
Il permet ainsi de réfléchir à la bonne conduite des activités en s’appuyant sur un cadre
structuré de réflexion, permettant d’éliminer les mauvaises pratiques et de garder les
meilleures.
En outre, une bonne gestion des processus par le contrôle interne permet de les
identifier et par la suite de les gérer de manière efficace.
Pour ce faire, le contrôle interne dispose de moyens permettant d’identifier tous
risques opérationnels liés à une éventuelle défaillance de ces deniers, pour les
optimiser par la suite.
Au sein des entités, la mise en œuvre du dispositif d’un contrôle permanent repose
principalement sur les auto-contrôles effectués par les operateurs eux même.
Le dispositif mis en place a pour rôle :
29
Chaque établissement fait l’objet d’un comité spécifique permettant de lutter contre
toutes pertes relatives aux risques opérationnels.
- Le module cartographie
- Le module de gestion des incidents
- Le module de la veille
- Le module des indicateurs de risques
- Le module de tableau de bord des différents reportings
- Le questionnaire qualitatif.
30
Détaillons le rôle de chacun de ces outils afin d’illustrer les méthodes de management
et de pilotage qu’utilisent les banques dans la gestion du risque opérationnel :
Réaliser cette cartographie permettra à la banque de définir quel est le profil risque
pour cette dernière. L’action de cartographie va aider la banque à caractériser la
nature des incidents qui vont être contrôlés et vérifiés.
De plus, cette cartographie permet une hiérarchie des différents risques qui sont
susceptibles de se réaliser au sein des banques.
31
Gestion des incidents
Celui-ci à pour rôle d’accompagner les utilisateurs dans la gestion des incidents et
d’assurer une gestion coordonnée des incidents entre différents acteurs. Il permet
également de générer à tout moment des reportings d’analyse et de synthèse
réalisables à tous les niveaux hiérarchiques de l’entité.
Questionnaire
Indicateurs
Tableau de Bord
Ces tableaux de bords ont pour but d’offrir une vue synthétique du profil de risque de
l’établissement.
Ils permettent également d’alerter et de mobiliser les principaux responsables
concernés par les incidents.
32
L’ensemble des dispositifs que l’on a présentés permettent d’engager des actions et/ou
des préventions afin de contenir les impacts et limiter la probabilité de survenance des
incidents.
Cependant ces méthodes de gestion propres au contrôle interne ont révélés parfois des
défaillances au sein de ce système nous amenant ainsi à en présenter les limites.
33
2ème Partie :
Les obstacles au contrôle
interne dans la maitrise du
risque opérationnel
Avant d’exposer les limites du contrôle interne, nous reviendrons sur le cas Kerviel.
Nous tenterons ainsi de mettre en exergue les défaillances qu’a rencontrées le contrôle
interne de la Société Générale.
34
Concernant le middle-office comme son nom l’indique, il a pour mission de faire le
lien entre le back-office et le front-office. L’employé du middle-office se charge de
gérer les différentes opérations bancaires mais également de vérifier que les
transactions soient effectuées dans le respect des procédures internes.
Les définitions du front, middle et back – office étant posées, il convient de rappeler
un principe fondamental du contrôle interne mentionné dans le règlement numéro 97 /
02 du 21 février 1997 du comité de la règlementation bancaire et financière à savoir
celui de l’importance d’assurer une réelle séparation des pouvoirs de ces trois
institutions.
Jérôme Kerviel avait commencé sa carrière au sein de l’établissement dans les services
du middle-office où à ce poste il a acquis une parfaite maîtrise du fonctionnement du
contrôle interne, de telle sorte que cela lui a permis par la suite d’être capable de
contourner les procédures de surveillance. En d’autres termes et pour marteler cette
réflexion Jérôme Kerviel s’est directement inspiré des procédures internes qu’il a
utilisées pour aller au-delà des limites autorisées en dépassant les montants paliers.
35
2.1 Les limites du contrôle interne
Ces limites résultent de nombreux facteurs dont l’existence même a été clairement
abordée depuis le cas Kerviel ; il s’agit des facteurs humains, de la résistance aux
changements en passant par la fraude organisée.
A cet effet on distingue différentes hypothèses dans lesquelles l’homme peut être
amené à se tromper.
• L’erreur de jugement :
Le risque d’erreur humaine lors de la prise de décisions ayant un impact sur les
processus peut limiter l’efficacité des contrôles. Les personnes responsables sont
souvent appelées à prendre des décisions dans un temps limité, en se basant sur les
informations disponibles mais parfois incomplètes et en supportant de surcroît la
pression liée à la conduite des activités.
• Les dysfonctionnements :
• La collusion
Sur ce point il faut comprendre qu’à chaque échelon d’activités, le personnel qu’il soit
en bas ou en haut du système bancaire peut être réfractaire au système de contrôle. En
effet, le cadre qui par péché d’orgueil s’abstient dans un souci de simplification de la
lourdeur des tâches administratives de procéder au contrôle, ou que ce soit les
administrateurs et collaborateurs de la banque qui par un défaut de formation
considèrent le contrôle interne comme une punition, au lieu de l’envisager comme une
source de valeur ajoutée pour la banque.
Elle anéantit littéralement le système du contrôle interne, car tout d’abord c’est le
système de direction lui-même en passant par les cadres ou encore les experts qui
peuvent en être à l’origine. De ce fait, les manœuvres dolosives caractérisées par
l’entente entre les différents organes entourant le contrôle empêche toute découverte
de la fraude.
Et enfin, une autre limitation tient à une conception purement économique à savoir le
rapport coût/avantages attendus.
37
En effet, il est important de rappeler que la conception du système de contrôle interne
doit tenir compte des contraintes en matière de ressources.
Le contrôle interne doit ainsi être à la mesure du risque qu’il doit couvrir. On doit ainsi
souligner que si le risque encouru est faible, la mise en place d’une procédure dont le
coût serait supérieur au risque encouru deviendrait une faiblesse dans l’optique du
rapport coût/efficacité.
Par ailleurs, il est à craindre que l’accumulation des règles enferme les acteurs de
l’organisation dans une sorte de « conformisme » qui se traduit par l’absence
d’initiatives, toutes leurs actions étant d’ores et déjà guidées par des processus. Dans
cette optique l’organisation dynamique serait enfermée dans un immobilisme non
performant.
38
2.2 Les limites de la règlementation bâloise
Il est constant que les banques reconnaissent unanimement qu’il est indispensable de
renforcer les mesures préventives et plus particulièrement en matière d’exigences en
capital, qu’il y a lieu de revoir au niveau du montant exigé et de l’instauration du ratio
levier sources de mécontentement.
L’étude menée par la BRI estime néanmoins que « l’impact sur la croissance sera
limité : une augmentation de 1% des fonds propres conduirait à une diminution de
0,2% du PIB en 4 ans, soit une baisse de 0,04% de la croissance. L’ensemble de
l’économie européenne sera davantage impactée car son financement est assuré à près
de 80% par les banques, à la différence de l’économie américaine qui repose
essentiellement sur le marché. Sur le long terme, les bénéfices des nouvelles règles se
révèleront bien supérieurs, en termes de stabilité financière et donc de croissance».
(Etude AUREXIA conseil, 2010, p.17).
Dans ce contexte le contrôle interne risque d’être non efficace et rejoint la limite
évoquée précédemment sur les résistances au changement (2.1).
Les banques pensent à juste titre que les investisseurs vont se désintéresser de leurs
services en raison de la diminution de la distribution des dividendes nécessaire à
l’augmentation du niveau de fonds propres.
Il faudra attendre 2018 pour pouvoir faire un point sur l’évaluation du ratio Bâle III et
envisager son impact sur la rentabilité des banques. (G Arnould, S Dehmej, 2014,
p18).
39
3. Une réponse à ces limites
A cet effet , l’article 14 a pour objectif d’« assurer une stricte indépendance entre,
d'une part, les unités chargées de l'engagement des opérations et, d'autre part, les
unités chargées de leur validation, notamment comptable, de leur règlement ainsi
que du suivi des diligences liées aux missions de la fonction de gestion des
risques. Cette indépendance est assurée par un rattachement hiérarchique différent de
ces unités jusqu'à un niveau suffisamment élevé ou par une organisation qui garantit
une séparation claire des fonctions ou encore par des procédures, éventuellement
informatiques, conçues dans ce but et dont l'entreprise est en mesure de justifier
l'adéquation. » .
Cet arrêté fait bien référence à la fraude perpétrée par l’Affaire Kerviel suite à une
mauvaise séparation des pouvoirs.
Cette législation permet ainsi de fixer un cadre de référence stricte afin que cette
dernière ne se reproduise plus.
Au delà de ces mutations, des référentiels internationaux de contrôles internes,
réunissant les compétences de différents professionnels, de grandes entreprises et de
cabinets d’audits peuvent être proposés aux banques afin de répondre aux défaillances
du contrôle interne dans la gestion du risque opérationnel.
Le COSO Report s’inscrit dans cette démarche générale depuis plus de 20 ans et
permet de comprendre comment relier :
41
Ainsi après un simple constat on peut voir qu’en l’espace de 10 ans celui-ci s’est
enrichi de deux nouveaux points, à savoir « La définition des objectifs » et
« l’évaluation des risques » (Cf. schémas)
Ce référentiel a connu de nouveaux changements, lui aussi peu de temps après le cas
Kerviel.
Cependant ce dispositif ne tient pas compte du facteur humain, celui-ci étant jugé
comme impossible à mesurer. Il indique en revanche différentes méthodes permettant
soit de le prévenir à l’avance, soit d’arrêter la fraude avant qu’elle engage de fortes
pertes.
Ce nouveau dispositif ne consiste pas à ajouter de nouvelles procédures là où celles-ci
sont déjà existantes. Ce référentiel permet d’éviter les mêmes erreurs produites liées
aux risques opérationnels.
En effet décliné sous 17 principes, ce nouveau référentiel à pour rôle de renforcer
l’ensemble des contrôles sur « les opérations, le reporting et les objectifs de
conformité ». (COSO, 2013, p11)
Ainsi en multipliant ces contrôles, une banque pourrait ainsi « identifier de nouveaux
risques et définir des dispositifs de maitrise appropriés » après « avoir ciblé les
contrôles pour mieux répondre aux évolutions de l’environnement » (COSO, 2013,
p13).
En attendant un nouveau référentiel toujours plus performant le COSO semble être le
dispositif le plus adaptés pour répondre à l’ensemble des limites évoquées ci-dessus et
ainsi gérer de manière efficace le risque opérationnel.
42
Conclusion
La réponse est oui, le contrôle interne permet bien de gérer le risque opérationnel mais
comme tout dispositif il présente des failles, remettant parfois en doute son efficacité.
A l’appui de notre première partie, nous avons pu définir, identifier et donner les
méthodes permettant d’évaluer le risque opérationnel. Ces trois points qui sont les
fondements d’une bonne gestion d’un risque ont été appréhendés et guidés par le
comité de Bâle.
À ce titre, la mise en place d’un service de contrôle interne a permis de pointer les
dysfonctionnements affectant directement l’efficience d’un établissement de crédit.
C’est ainsi en proposant des améliorations sur les processus que le contrôle interne
agit ici comme un protagoniste dans la lutte du risque opérationnel.
Néanmoins, celui-ci ne doit pas se limiter simplement à mettre en place des règles et
procédures, il doit avant tout prendre en compte l’environnement global de
l’organisation .De ce fait nous avons vu que le management par les risques reste une
bonne pratique pour rester au plus près des fluctuations de leurs environnements et
ainsi anticiper toutes pertes.
Les méthodes et outils de pilotages utilisés par les contrôleurs internes (les tableaux de
bord, une cartographie des risques, des indicateurs de performance du risque
opérationnel) sont des outils adaptés pour prévenir tout risque opérationnel.
6
Evaluation des risques opérationnels par 3 approches : simple - standard-Avancées
43
Malgré ces mesures, et d’après notre cas, on peut s’apercevoir que le système de
contrôle interne peut être limité par certains facteurs ou événements qui ne lui
permettent pas de garantir la réalisation de ces objectifs. C’est pourquoi le contrôle
interne ne peut fournir qu’une assurance raisonnable et non absolue à la direction.
Pour aller plus loin, dernièrement, un rebondissement majeur dans l’affaire Kerviel
révèle que les dirigeants du trader étaient au fait de tous ces agissements. Toute cette
réflexion repose sur la primauté du système de contrôle et sur l’efficacité qui découle
de son existence même. Cependant on peut avancer l’argument de son effondrement
toutes les fois où le système lui-même s’avèrerait corrompu par le maillon dirigeant de
cette chaîne. Plus précisément l’affaire Kerviel met en exergue que dans ce système de
contrôle les dirigeants auraient eu connaissance des agissements frauduleux du trader
et qu’ils auraient feints d’en avoir été avertis au moment de leur découverte. En réalité
on peut s’interroger sur les possibilités et les intentions des hauts dirigeants à pouvoir
contourner le système de contrôle interne.
7
Affaire en cours, révision du procès.
44
Bibliographie
Livres, documents, revues :
Raulin N., 2010, Kerviel avait un excès de confiance similaire à celui d’un
délinquant, Libération.
Assouly, J., & de Blic, D. (2013). Les traders peuvent-ils provoquer des
krachs?. L’affaire Kerviel et les difficultés à imputer des responsabilités dans
les crises financières. Champ Pénal field.
Mayer, N., & Humbert, J. P. (2006). La gestion des risques pour les systèmes
d’information. Magazine MISC, (24).
Pardo, C. (2003). Quels outils pour une régulation efficace des risques
opérationnels de la gestion pour compte de tiers?. Revue d'économie
financière, 175-187.
Dietsch, M., & Petey, J. (2008). Mesure et gestion du risque de crédit dans les
institutions financières. RB Revue banque.
http://www.slate.fr/story/28237/kerviel-rembourser-5-milliards , Grégoire
Fleurot (2010).
http://www.forum-republicain-frejus.fr/articles/l-audit/.
46
http://www.groupeonepoint.com/sites/groupeonepoint.com/files/nodes/letter_a
rticle/de_la_gestion_des_risques_operationnels_a_lamelioration_de_la_perfor
mance.pdf (Olivier stoband).
47
Table des annexes
48
Annexe 1 : Présentation du département risques opérationnels de
la DRG
49
Annexe 2 : Présentation de l’outil groupe : Pilotage et gestion du
risque opérationnel.
Veille
Questionnaire Qualitatif
Tableau de Bord
Reportings
50
Gestion du dispositif et reporting via ORiS
ORiS – Module Incidents
ORiS - Modules Incidents et Indicateurs :
accompagner les utilisateurs dans la gestion des incidents;
assurer une gestion coordonnée des incidents entre différents acteurs;
générer à tout moment des reportings d’analyse et de synthèse réalisables à tous les niveaux
hiérarchiques de l’entité.
51
Gestion du dispositif et reporting via ORiS
ORiS Module Tableau de bord RO
Objectifs :
Ce tableau de bord s’appuie sur les différents éléments de l’outil ORiS
Il se fonde pour partie sur les états de reportings du Corep (groupe de travail Européen sur les reportings
réglementaires issu du Comité Européen des superviseurs bancaires)
Il vise à offrir une vue synthétique du profil de risque de l’établissement
52
Annexe 4 : Rebondissement à l’Affaire Kerviel (extrait Journal Metro)
53
Table des matières
Remerciements 1
Introduction …..………………………………………….3
54
2°PARTIE : Les obstacles au contrôle interne dans
la maitrise du risque opérationnel…………………34
Conclusion.…………………………………………………… 45
Bibliographie…………………………………………………… 45
Table des annexes……………………………………… 48
Résumé………………………………………………… 56
55
La gestion du risque opérationnel par le contrôle interne au
sein d’une banque
Résumé :
Dans un contexte économique de plus en plus concurrentiel, globalisé et à un rythme
qui ne cesse de s’accélérer, les banques doivent faire face à de nouvelle formes de
risques.
La perte de 4.9 milliards d’un des trader de la Société Générale a permis de prendre
conscience des risques liés à des défaillances opérationnelles.
A cet effet, ce mémoire détaillera l’ensemble des techniques et des moyens utilisés par
le contrôle interne dans la gestion du risque opérationnel.
En prenant pour exemple le cas cité ci-dessus à savoir l’Affaire Kerviel, il convient
dans un premier temps de révéler les difficultés que peut rencontrer ce dispositif et
dans un second temps d’apporter une réflexion sur les leviers d’amélioration de ces
contrôles.
Mots clefs : Contrôle interne – Gestion –outils de pilotage –Banque- Risques
opérationnels
Abstract
In an economy increasingly competitive, globalized and at a pace that continues to
accelerate, banks face new forms of risk .
The loss of 4.9 billion of traders at “Société Générale” has raised awareness of the
risks of operational failures.
To this end, this thesis will detail all the techniques and means used by the internal
control in the management of operational risk.
Taking as an example the case cited above namely Kerviel Case should be initially
reveal the difficulties faced in this system and a second time to make a reflection on
the levers for improving these controls.
Keywords: Internal control - steering -tools Operational Risk Management –Bank.
56