Vous êtes sur la page 1sur 194

UNIVERSITE 7 NOVEMBRE DE CARTHAGE

INSTITUT DES HAUTES ETUDES


COMMERCIALES
CARTHAGE
IHEC CARTHAGE

COMMISSION D’EXPERTISE COMPTABLE

Mémoire en vue de l'obtention du diplôme d'expertise comptable

Contrôle interne Bancaire :


Outil d’évaluation et de Scoring

Hatem Ghozzi

Directeur de Recherche :

Ahmed Mansour Expert Comptable membre de l’Ordre des experts comptables de


Tunisie

Octobre 2010
2|Pa ge
Dédicaces

A ma mère,

A mon père,

A ma femme,

A mes enfants,

Pour la patience et le dévouement dont ils ont fait preuve

3|Pa ge
Remerciements

Mes remerciements les plus sincères s’adressent tout d’abord à mon Directeur de recherche,
Monsieur Ahmed Mansour :

- parce qu’il a su m’encourager et me soutenir dans cette aventure singulière par son
caractère à la fois académique et professionnel,
- pour la qualité de son encadrement, sa disponibilité et ses conseils avisés qui m’ont
permis de progresser tout au long de ce travail de recherche,
- enfin, pour la confiance qu’il me témoigne ainsi que son précieux encadrement tout au
long de ma carrière professionnelle

En me donnant la possibilité de mener à bien ces missions, il m’a permis de confirmer ma


vocation pour me spécialiser dans le domaine financier et bancaire.

Je voudrais également remercier vivement mon épouse, qui m’a beaucoup soutenu dans le
cadre de mes recherches bibliographiques, l’organisation des analyses techniques et les
travaux de finalisation de ce mémoire. Je lui souhaite le plein succès dans la préparation et la
soutenance de son mémoire d’expertise comptable et la réussite parfaite dans sa carrière
professionnelle.

Je souhaite aussi rendre hommage aux cadres de la firme RSM Ahmed Mansour & Associés
pour leur contribution constructive et pour les précieux conseils qu'ils ont bien voulu me
prodiguer.

Je tiens enfin à remercier tous les membres du jury pour l’honneur qu’ils m’ont fait en
acceptant de juger ce travail.

4|Pa ge
Introduction Générale

Depuis une vingtaine d’années, le métier de banquier a considérablement évolué. Cette


évolution est multidimensionnelle, elle est focalisée sur la recherche d’une meilleure
rentabilité dans un contexte économique caractérisé par une concurrence plus vive, un volume
de transactions plus important portant parfois sur des montants jamais égalés par le passé, le
tout dans un environnement comportant de plus en plus de risques et nécessitant une veille
permanente sur l’efficacité des systèmes de contrôle interne.

Le rythme effréné de l’évolution des instruments financiers et des mécanismes de régulation


constitue un facteur d’accentuation des risques qui deviennent de plus en plus diffus dans
l’organisation et qui imposent au management d’adapter et de concevoir continuellement des
sécurités à la dimension des innovations tant sur le plan transactionnel que sur le plan de
l’ingénierie.

Les asymétries générées par l’ensemble des facteurs précédemment énoncés au niveau de
l’organisation des établissements bancaires impliquent l’identification des voies et moyens
adéquats pour y pallier et assurer à la gestion les garanties d’une conduite ordonnée et
coordonnée des opérations au sein de l’organisation.

Amplifiés par le rôle économique éminemment important qui leur est dévolu, les
établissements bancaires, qui au-delà des intérêts de leurs actionnaires, sont tenus pour
responsables de la croissance et du bien être général et surtout d’une solvabilité à toute
épreuve à l’égard tant des bénéficiaires des concours financiers que des déposants ; Ce qui
accroit à l’extrême l’amplitude des difficultés qui surgissent par moment et les dommages
collatéraux causés par les défaillances des banques et leur incapacité à honorer leurs
engagements

Face à cette évolution et aux risques qui y sont attachés, les cadres de références publiés par
les instances internationales (Comité de Bâle pour la supervision Bancaire, le comité
COSO…) sont devenus plutôt énonciatifs sur les procédures de contrôle à mettre en œuvre,
mutisme compensé par davantage de précisions concernant les risques encourus.

Les régulateurs inspirés par cette nouvelle attitude des instances de normalisation ont adopté
une nouvelle démarche qui rompt avec le passé en substituant aux règles et recommandations
antérieurement édictées sur les impératifs organisationnels permettant la maîtrise interne des
5|Pa ge
opérations par des développements et des alertes orientés principalement sur les risques
devant être couverts. Chemin faisant, les organismes de normalisation laissent ainsi davantage
de latitude aux établissements bancaires pour concevoir et choisir les contrôles internes
adaptés à l’organisation de chacun d’eux et permettant de pallier aux risques énoncés

La présente étude visera à réduire l’effet de ce vide en essayant d’apporter à chaque risque les
palliatifs structurels et opérationnels moyennant un mode pratique d’appréciation présenté
sous forme d’objectifs explicites par composante de contrôle et par cycle de gestion ainsi que
par un questionnaire détaillé couvrant l’ensemble des domaines générateurs de risques.

L’intérêt d’une telle approche est de permettre, au moyen d’un Scoring modulé en fonction de
l’impact de chaque activité de contrôle sur l’appréciation globale de la qualité du système de
contrôle interne et en fonction du niveau d’implémentation et du caractère opérationnel ou
non desdites activités, l’obtention d’un modèle objectif et structuré en mesure de fournir une
information synthétique et quantifiée servant comme instrument de mesure du degré de
maîtrise des risques par l’établissement.

Cet intérêt peut apparaitre également à travers la fourniture de support permettant à tous les
échelons au sein de l’établissement de s’auto-évaluer et d’un moyen permettant la
surveillance de la bonne application des politiques de maitrise des risques par l’entité.

Le support d’évaluation des activités de contrôle combiné avec une matrice de Scoring que
nous nous efforcerons de fournir en guise de conclusion à la présente étude en tenant compte
des paramètres professionnels usuels et des meilleures pratiques employées au sein du secteur
constituera notre modeste contribution à enrichir la littérature professionnelle et à couvrir un
domaine de réflexion présentement peu documenté.

Le plan que nous proposons pour couvrir les aspects en rapport avec les objectifs
précédemment énoncés sera présenté en trois parties traitant respectivement de ce qui suit :

- Le cadre normatif des systèmes de contrôle interne :

- L’évaluation des composantes du système de contrôle interne : Proposition de matrice


des politiques et des contrôles clés

- L’évaluation des activités de contrôle : Proposition de matrice des risques et des


contrôles clés par cycle de gestion principal.

6|Pa ge
Sommaire
TABLE OF CONTENTS

PARTIE I CADRE NORMATIF DES SYSTEMES DE CONTROLE INTERNE ................. 10

CHAPITRE 1 – SOURCES DU CONTROLE INTERNE ........................................................... 11

Section 1 - Définition du contrôle interne .......................................................................................................11

Section 2 - Les objectifs du contrôle interne ...................................................................................................17

Section 3 – Les composantes du contrôle interne ...........................................................................................20

Section 4 – Les limites du contrôle interne......................................................................................................24

CHAPITRE 2 – EVOLUTIONS DE LA REGLEMENTATION ET DES CADRES DE


REFERENCE INTERNATIONAUX REGISSANT LE CONTROLE INTERNE DES
ETABLISSEMENTS BANCAIRES.............................................................................................. 28

Section 1 – Evolution de la règlementation sur le contrôle interne à l’échelle internationale .........................28

Section 2 – Efforts des Banques pour améliorer le contrôle interne................................................................40

CHAPITRE 3 - CADRE LEGAL ET REGLEMENTAIRE REGISSANT LE CONTROLE


INTERNE DES ETABLISSEMENTS BANCAIRES EN TUNISIE ............................................ 47

Section 1 – Le cadre légal en Tunisie ...............................................................................................................48

Section 2 - Les normes comptables Bancaires .................................................................................................53

Section 3 - Les circulaires de la Banque Centrale de Tunisie ............................................................................54

SYNTHESE DE LA PREMIERE PARTIE ............................................................................... 59

PARTIE II EVALUATION DES COMPOSANTES DU SYSTEME DE CONTROLE


INTERNE : PROPOSITION DE MATRICES DES POLITIQUES ET DES CONTROLE CLES
....................................................................................................................................................... 63

CHAPITRE INTRODUCTIF : LES NOTATIONS PRIVEES ET PRUDENTIELLES DES


SYSTEMES DE CONTROLE INTERNE..................................................................................... 64

Section 1 - L’émergence de l’autocontrôle ......................................................................................................64

Section 2 – Notation des systèmes de contrôle interne...................................................................................65

CHAPITRE 1 –L’ENVIRONNEMENT DE CONTROLE........................................................... 78

7|Pa ge
Section 1 – Définitions et objectifs ..................................................................................................................78

Section 2 – Principales politiques et activités..................................................................................................78

Section 3 – Matrice intermédiaire d’évaluation de l’environnement de contrôle ...........................................90

CHAPITRE 2 – L’EVALUATION DES RISQUES ..................................................................... 91

Section 1 – Définitions et objectifs ..................................................................................................................91

Section 2 – Principales politiques et activités..................................................................................................92

Section 3 – Matrice intermédiaire d’évaluation des risques ..........................................................................104

CHAPITRE 3 –LE SYSTEME D’INFORMATION ET DE COMMUNICATION................... 105

Section 1 – Définitions et objectifs ................................................................................................................105

Section 2 – Principales politiques et activités................................................................................................106

Section 3 – Matrice intermédiaire d’évaluation ............................................................................................110

CHAPITRE 4 – LA SURVEILLANCE....................................................................................... 111

Section 1 – Définitions et objectifs ................................................................................................................111

Section 2 – Principales politiques et activités................................................................................................111

Section 3 – Matrice intermédiaire d’évaluation ............................................................................................117

SYNTHESE DE LA 2EME PARTIE.......................................................................................... 118

PARTIE III EVALUATION DES ACTIVITES DE CONTROLE : PROPOSITION DE


MATRICES DES RISQUES ET DES CONTROLES CLES PAR CYCLE DE GESTION
PRINCIPAL ................................................................................................................................ 121

CHAPITRE INTRODUCTIF : DEFINITION ET TYPOLOGIE DES ACTIVITES DE


CONTROLE ................................................................................................................................ 122

Section 1 – Définition....................................................................................................................................122

Section 2 – Typologie des activités de contrôle .............................................................................................122

Section 3 – Note méthodologique sur l’identification et l’évaluation des activités de contrôle ....................128

CHAPITRE 1 – LA GESTION DES CREDITS......................................................................... 135

Section 1 – Objectifs de contrôle...................................................................................................................136

Section 2 – Matrice des activités de contrôle ................................................................................................137

CHAPITRE 2 – LA GESTION DES PAIEMENTS ET DES TRANSFERTS .......................... 141


8|Pa ge
Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................142

Section 2 – Matrice des activités de contrôle ................................................................................................142

CHAPITRE 3 – LA GESTION DES COMPTES DE LA CLIENTELE..................................... 144

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................145

Section 2 – Matrice des activités de contrôle ................................................................................................145

CHAPITRE 4 – LA GESTION DE LA TRESORERIE ET DES RESSOURCES ..................... 147

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................148

Section 2 – Matrice des activités de contrôle ................................................................................................148

CHAPITRE 5 – LA GESTION DU PERSONNEL .................................................................... 152

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................152

Section 2 – Matrice des activités de contrôle ................................................................................................152

CHAPITRE 6 – LA GESTION DES DEPENSES D’EXPLOITATION ET


D’INVESTISSEMENT ............................................................................................................... 154

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................155

Section 2 – Matrice des activités de contrôle ................................................................................................156

CHAPITRE 7 – L’ENVIRONNEMENT DE TRAITEMENT INFORMATIQUE ................... 159

Section 1 – Objectifs de contrôle...................................................................................................................161

Section 2 – Matrice des activités de contrôle ................................................................................................162

SYNTHESE DE LA 3EME PARTIE ....................................................................................... 166

SYNTHESE ET CONCLUSION PROPOSITION D’UN REFERENTIEL DE SYNTHESE


POUR L’EVALUATION DU SYSTEME DE CONTROLE INTERNE D’UN ETABLISSEMENT
BANCAIRE ................................................................................................................................. 168

BIBLIOGRAPHIE ...................................................................................................................... 177

LISTE DES SCHEMAS, TABLEAUX, MATRICES, GRILLES DE CONTROLE, ENCADRES


ET ABREVIATIONS.................................................................................................................. 187

TABLE DES MATIERES ........................................................................................................... 190

9|Pa ge
Partie I

Cadre normatif
des systèmes
de contrôle
interne

10 | P a g e
Chapitre 1 – Sources du contrôle interne
Section 1 - Définition du contrôle interne

§1- Evolution de la notion


Les définitions du contrôle interne sont nombreuses et ont eu le plus souvent comme auteurs
des organisations professionnelles de comptables.

Il en est ainsi de la définition du contrôle interne donnée en 1977 par le conseil de l’ordre des
experts Comptables français : « Le contrôle interne est l’ensemble des sécurités contribuant à
la maitrise de l’entreprise. Il a pour but d’un coté d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre l’application des instructions de la
Direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation,
les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la
pérennité de celle-ci. »

En Tunisie, c’est la norme comptable générale NC1 qui a défini le contrôle interne
globalement, comme étant un processus mis en œuvre par la direction, la hiérarchie, le
personnel d’une entreprise, et destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants :

- promouvoir l’efficience et l’efficacité,

- protéger les actifs,

- garantir la fiabilité de l’information financière,

- assurer la conformité aux dispositions légales et réglementaires.

La même norme précise et définit les composantes du contrôle interne :

- l’environnement de contrôle,

- l’évaluation et la maîtrise des risques,

- les activités de contrôle,

- l’information et la communication,

- le pilotage.

11 | P a g e
En 2006, la circulaire de la Banque Centrale de Tunisie n° 2006-19 a défini le système de
contrôle interne comme étant « l’ensemble des processus, méthodes et mesures visant à
assurer en permanence la sécurité, l’efficacité et l’efficience des opérations, la protection des
actifs de l’établissement de crédit ou de la banque non résidente, la fiabilité de l’information
financière et la conformité de ces opérations avec les lois et les réglementations en vigueur. »

Ainsi, la circulaire de la Banque Centrale reprend les objectifs du contrôle interne énoncés par
la règlementation comptable.

Le cadre de référence de l’AMF a défini le contrôle interne comme étant « un dispositif de la


société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de
comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque
société qui :

- contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation


efficiente de ses ressources, et

- doit lui permettre de prendre en compte de manière appropriée les risques


significatifs, qu’ils soient opérationnels, financiers ou de conformité.

Le dispositif vise plus particulièrement à assurer :

- la conformité aux lois et règlements ;

- l’application des instructions et des orientations fixées par la Direction Générale ou


le Directoire ;

- le bon fonctionnement des processus internes de la société, notamment ceux


concourant à la sauvegarde de ses actifs ;

- la fiabilité des informations financières.

Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus
comptables et financiers.

Il ne recouvre pas non plus toutes les initiatives prises par les organes dirigeants ou le
management comme par exemple la définition de la stratégie de la société, la détermination
des objectifs, les décisions de gestion, le traitement des risques ou le suivi des
performances. »

12 | P a g e
§2 - Reconnaissance du Cadre de référence sur le contrôle interne publié par COSO
En octobre 1985, la Treadway Commission a constitué aux Etats unis d’Amérique un groupe
de travail (COSO) réunissant les grandes entreprises, les cabinets d’audit et les associations
professionnelles afin d’établir les règles efficaces de contrôle financier interne et d'améliorer
la qualité des reportings financiers.
Depuis sa constitution, l'alliance de COSO a été une voix forte et respectée dans les milieux
d'affaires. L'alliance était la première à définir le contrôle interne et à développer un cadre de
référence pour la mise en place d’une structure de contrôle interne.
COSO a été constituée en 1985 sous forme d’alliance regroupant cinq organismes
professionnels 1, cette coalition a été établie pour créer une voix simple dans les milieux des
affaires financiers sur les questions liées au problème des informations financières
frauduleuses. Le comité décrit sa mission comme : « Une organisation volontaire du secteur
privé dédiée à améliorer la qualité des informations financières par l'éthique d'affaires,
l’efficacité du contrôle interne et la gouvernance corporative ».
Le cadre relatif au contrôle interne a été publié en 1992 en trois volumes par le comité COSO.
En 1994, le Cadre a été modifié pour augmenter l'étendue du rapport de direction sur le
contrôle interne et pour adresser des contrôles supplémentaires se rapportant à la protection
des actifs. Ce cadre a offert une définition du contrôle interne et constitue un guide aux
utilisateurs permettant d’évaluer et d’améliorer les systèmes de contrôle interne des
entreprises.
Bien que la reconnaissance de ce dispositif a été très limitée initialement à l’exception des
commentaires formulés par l’AICPA et l’IIA dans quelques publications, les firmes
internationales d’expertise comptable ont commencé à apprécier sa valeur. Depuis, il a
commencé à être référencé dans les différents livres professionnels et comme une offrande à
des séminaires publics.

Aux Etats unis d’Amérique, les normes d'audit étaient établies sous la responsabilité de
l'AICPA (ASB Audit Standard Board). Ce dernier les a publiées sous la forme de documents
numérotés appelés Statements on Auditing Standards (SAS). Ces normes étaient publiées
chaque fois qu’il y a un besoin de clarification. Le cadre de contrôle interne du COSO a
obtenu son approbation officielle avec la publication du SAS 78 2 qui a rendu obligatoire

1
Financial Executives International (FEI), the American Accounting Association (AAA), the American Institute of Certified
Public Accountants (AICPA), the Institute of Internal Auditors (IIA) and the Institute of Management Accountants (IMA)
(formerly the National Association of Accountants).
2
SAS 78, Consideration of Internal Control in a Financial Statement Audit: An Amendment to SAS No. 55, New York,
AICPA, 1995
13 | P a g e
l'utilisation du rapport de contrôle interne publié par COSO. Bien que ce SAS suit
généralement la publication de COSO, il mettait l'accent sur l’objectif de fiabilité de
l'information financière en le plaçant sur le premier plan, contrairement au cadre COSO qui
mettait l’accent sur l'efficacité des opérations et la conformité aux lois et règlements
applicables. Le SAS 78 a été publié sous forme d'amendement à la norme précédente de
contrôle interne, le SAS 55, et a rendu obligatoire l'utilisation des normes de contrôle interne
publiées par COSO pour l’audit des sociétés américaines à partir de 1996.

La responsabilité de l'AICPA pour la publication des normes d'audit a changé avec


l’apparition de la loi américaine Sarbanes Oxley (SOX Act) en 2002. Une nouvelle entité
appelée Public Company Accounting Oversight Board (PCAOB) a été créée pour superviser
tous les cabinets d'audit indépendants et assumer la responsabilité de la publication des
normes d'audit. L’importance accordée au référentiel COSO s’est accrue lorsque la loi
américaine a été adoptée. SOX ne fournit pas de directives spécifiques quant à la définition du
contrôle interne approprié, ce dernier pouvant varier sensiblement d'une entreprise à l'autre.
Cependant, dans ses règles édictées en juin 2003, la SEC a identifié l'infrastructure de
contrôle interne COSO en tant qu'infrastructure répondant à ses critères en matière de
recommandations pour l'évaluation et le développement des contrôles. Ce n’est qu’en 2005
que le PCAOB a annoncé qu'il reconnaît et accepte le cadre du COSO3.
De nos jours, la définition du contrôle interne la plus usitée demeure sans doute celle retenue
par le comité COSO. Ainsi, le contrôle interne a été défini comme « un processus mis en
œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance
raisonnable quant à la réalisation des trois objectifs suivants :

- la réalisation et l'optimisation des opérations,

- la fiabilité des informations financières,

- la conformité aux lois et règlements ».4

Cette définition reflète certains concepts fondamentaux:


- Le contrôle interne est un processus. Ceci veut dire qu’il n’est pas une fin en soi.

3
PCAOB, Rule 3100, Compliance with Public Accounting and Related Professional Practice Standards, February 15, 2005,
http://www.pcaobus.org
4
La protection des actifs n’a pas été retenue au niveau des objectifs du contrôle interne au niveau de la définition de COSO
de 1992 contrairement à celle donnée par la norme comptable générale en Tunisie et contrairement aux prescriptions de la loi
américaine de 1977 traitant des pratiques de corruption. Un addendum a été publié en 1994 par le comité COSO pour préciser
que les objectifs liés à la sauvegarde des ressources sont en premier lieu des objectifs liés aux opérations et s’intègre en
second lieu aux objectifs liés aux informations financières et à la conformité et par conséquent, la définition fournit par le
même comité en 2002 demeure pertinente.
14 | P a g e
- Le contrôle interne est mis en œuvre par des personnes. Il ne s’agit pas d’un simple
manuel de procédures mais concerne tous les niveaux d’une organisation.

- Le contrôle interne ne peut fournir qu’une assurance raisonnable et non absolue pour
la direction de la société et son conseil d’administration.

- Le contrôle interne est adapté à l'accomplissement des objectifs dans une ou plusieurs
catégories séparées mais en chevauchement.

Cette définition du contrôle interne est large pour deux raisons. D'abord, c'est la forme la plus
adéquate du contrôle interne que la plupart des cadres supérieurs adoptent dans le processus
de leur gestion. En second lieu, elle s’adapte à des sous-ensembles de contrôle interne. En
effet on peut parler, par exemple, des contrôles des informations financières ou des contrôles
se rattachant à la conformité aux lois et aux règlements. De même, la mise en place d’un
contrôle dans une unité ou une activité particulière de l’entité peut être adaptée.

La définition constitue également une base pour définir l'efficacité du contrôle interne. Les
concepts fondamentaux décrits ci-dessus sont détaillés dans les paragraphes suivants.

§3 - Le contrôle interne est un processus


Le contrôle interne n’est pas un évènement ou une circonstance, mais une série d’actions qui
se diffusent dans les activités d’une entité. Ces actions sont omniprésentes et sont inhérentes
au style de gestion de la direction. Les processus sont gérés à travers un modèle basique de
planification, d’exécution et de suivi. Le contrôle interne fait partie intégrante de ces
processus et s’y intègre. Il s’agit d’un outil utilisé par la direction et non pas un substitut à la
gestion.

Cette conceptualisation du contrôle interne est très différente de la perspective de quelques


observateurs qui voient dans le contrôle interne un supplément aux activités d'une entité, ou
un fardeau nécessaire, imposé par les régulateurs.

Le système de contrôle interne est entrelacé avec les activités d’exploitation d'une entité et
existe pour des raisons fondamentales d'affaires.

Les contrôles internes sont plus efficaces quand ils sont établis à travers l'infrastructure de
l'entité et font partie de l'essence de l'entreprise. Ils devraient y être incorporés plutôt que
construits au dessus. Les contrôles incorporés peuvent directement affecter la capacité d'une
entité d'atteindre ses objectifs. La recherche de la qualité est directement liée à la façon dont

15 | P a g e
des entreprises sont dirigées et à la façon dont elles sont commandées. Les initiatives de
qualité deviennent une partie du tissu d'opération de l'entreprise :

- Garantir à la direction générale que ces valeurs sont intégrées dans la façon
d’entreprendre les affaires.

- Mettre en place des objectifs de qualité reliés aux informations collectées, aux
analyses et aux autres processus.

- L'utilisation de la connaissance des pratiques compétitives et de l’attente de la


clientèle pour conduire l'amélioration continue de la qualité.

En fait, le contrôle interne est non intégré seulement avec les programmes de qualité, il est
d'ordinaire critique à leur succès. Incorporer des contrôles a aussi des implications
importantes sur le coût et le temps de réponse : La plupart des entreprises sont confrontées à
des marchés extrêmement compétitifs et ont besoin de contenir des coûts. L'ajout de nouvelles
procédures à celles existantes augmente les coûts. En se focalisant sur les opérations
existantes et leur contribution au contrôle interne efficace et sur la construction de contrôles
au sein des activités d'exploitation fondamentales, une entreprise peut éviter souvent des
procédures et des coûts inutiles.

§4 - Le contrôle interne est mis en œuvre par des personnes

Le contrôle interne est mis en place par un conseil d'administration, une direction et tout autre
personnel dans une entité. Le personnel établit les objectifs de l'entité et met en place les
mécanismes de contrôle.
Le contrôle interne affecte également les actions du personnel. Le contrôle interne reconnaît
que les personnes ne comprennent pas toujours, ne communiquent pas ou n’exécutent pas les
tâches qui leurs sont assignées d’une manière régulière. Chaque individu a des besoins et des
priorités différentes au sein de l’entreprise. Ces réalités affectent, et sont affectées par, le
contrôle interne. Les personnes doivent savoir leurs responsabilités et leurs limites d'autorité.
En conséquence, un lien clair devrait exister entre les devoirs des personnes et la façon dans
laquelle elles exécutent leurs tâches, de même qu'avec les objectifs de l'entité. Les personnes
de l'organisation incluent le conseil d'administration, la direction et l'ensemble du personnel
de l’entité. Bien que les directeurs puissent être à l’origine dans certains cas d'inadvertances,
ils définissent le chemin de l’entreprise et approuvent certaines transactions et certaines
politiques. Le conseil d'administration est également un élément important du contrôle
interne.
16 | P a g e
Section 2 - Les objectifs du contrôle interne
Chaque entité doit mettre en place des objectifs dans le cadre de la définition de sa stratégie.
Certains objectifs sont spécifiques à une entité, d’autres sont partagés par l’ensemble des
entités. Les études menées par le comité COSO ont montré que la majorité des objectifs
définis par les entreprises s’inscrit dans l’une des catégories suivantes :

- la réalisation et l'optimisation des opérations : objectifs de performance


- la fiabilité des informations financières : objectifs d’information
- la conformité aux lois et règlements : objectifs de conformité
Cette catégorisation permet de se fixer sur les aspects séparés de contrôle interne. Ces
catégories distinctes mais chevauchant, (un objectif particulier peut relever de plus qu'une
catégorie) adressent des besoins différents et peuvent être la responsabilité directe de cadres
différents. Cette catégorisation permet aussi de distinguer entre ce que peut être attendu de
chaque catégorie de contrôle interne.

On peut attendre d’un système de contrôle interne de fournir l'assurance raisonnable


d'atteindre des objectifs se rattachant à la fiabilité des informations et à la conformité
financières avec les lois et aux règlements. L'accomplissement de ces objectifs, qui sont
principalement basés sur les normes imposées par les partis externes, dépend de la manière
dont les activités de contrôle de l'entité sont exécutées.

Cependant, l'accomplissement des objectifs se rattachant à la réalisation et l'optimisation des


opérations, comme un retour particulier sur l'investissement, la part du marché ou l'entrée
dans les nouvelles gammes de produits, ne dépend pas toujours des contrôles mis en place par
l’entité. Le contrôle interne ne peut empêcher ni les mauvais jugements ou décisions ni les
événements externes qui peuvent constituer une contrainte quant à la réalisation des objectifs.
Pour ces motifs, le système de contrôle interne ne peut fournir qu’une assurance raisonnable
quant à la réalisation des objectifs.

Nous développons ci-après les principaux objectifs du contrôle interne.

§1 - La réalisation et l'optimisation des opérations, (Objectifs de performance)


Les objectifs liés aux opérations se rattachent à la réalisation de la mission de base d’une
entreprise et incluent notamment la performance, la profitabilité et la sauvegarde des
ressources contre les risques de perte. Ces objectifs varient en fonction des choix de la
direction.

17 | P a g e
Les objectifs de performance sont liés à l’efficacité et l’efficience de l’entité dans l’utilisation
de ses actifs et ses autres ressources ainsi que dans la protection de l’établissement vis-à-vis
des pertes. Le processus de contrôle interne cherche à s’assurer que l’ensemble du personnel
œuvre avec efficience et intégrité à la réalisation des objectifs, sans occasionner des coûts
imprévus ou excessifs ni privilégier des intérêts (tels que ceux d’un employé, d’un fournisseur
ou d’un client) autres que ceux de l’organisation.

Une définition claire des objectifs et des stratégies, liés directement à des sous-objectifs et se
basant sur la réalité et la demande du marché, est fondamentale pour le succès.

§2 - La fiabilité des informations financières (objectifs d’information)


La fiabilité d’une information financière ne peut s’obtenir que grâce à la mise en place de
procédures de contrôle interne susceptibles de saisir fidèlement toutes les opérations que
l’entité réalise.

Les objectifs d’information portent sur la préparation de rapports pertinents, fiables et aussi
récents que possible, indispensables à la prise de décision au sein de l’organisation. Ils
recouvrent également la nécessité d’établir des comptes annuels, états financiers et autres
communications et rapports de caractère financier qui soient fiables pour les actionnaires,
autorités de contrôle et autres parties extérieures. Les données reçues par la direction, le
conseil d’administration, les actionnaires et les autorités de contrôle devraient être d’une
qualité et d’une intégrité suffisantes pour que leurs utilisateurs puissent s’y référer pour fonder
leurs décisions. Le terme fiable, tel qu’il s’applique aux états financiers, se rapporte à la
préparation de documents établis sur une base sincère à partir de principes et règles
comptables exhaustifs et bien définis.

La qualité de ce dispositif de contrôle interne peut-être recherchée au moyen :

- d’une séparation des tâches qui permet de bien distinguer les tâches d’enregistrement,
les tâches opérationnelles et les tâches de conservation ;
- d’une description des fonctions devant permettre d’identifier les origines des
informations produites, et leurs destinataires ;
- d’un système de contrôle interne comptable permettant de s’assurer que les opérations
sont effectuées conformément aux instructions générales et spécifiques, et qu’elles
sont comptabilisées de manière à produire une information financière conforme aux
principes comptables généralement admis5.
Les états financiers constituent le principal moyen de communication de l’information
financière aux différents utilisateurs qui sont les utilisateurs internes et externes à

5
Le dispositif de Contrôle Interne : Cadre de référence, AMF, 31 octobre 2006
18 | P a g e
l’entreprise.6 Pour satisfaire les besoins des utilisateurs, l’information contenue dans les états
financiers doit répondre aux quatre principales caractéristiques qualitatives : l’intelligibilité, la
pertinence, la fiabilité et la comparabilité.

Le terme fiabilité suppose la préparation des états financiers selon une présentation fidèle et
en conformité avec les normes comptables généralement admises.

Un enregistrement correct suppose un certain nombre de caractéristiques clés (assertions):

- Validité : Les transactions font l’objet des autorisations appropriées et sont reflétées
avec sincérité lors de l’enregistrement les concernant. Seules sont enregistrées les
opérations qui se sont réellement produites et susceptibles d’avoir un impact sur
l’entreprise. Des pièces justificatives doivent permettre de vérifier les opérations.

- Exhaustivité : Toutes les transactions et les effets des événements associés qui se sont
produits pendant la période concernée sont enregistrés

- Exactitude : Les montants des opérations sont correctement énoncés ou calculés. Les
soldes sont correctement cumulés en termes de valeur, d’exercice comptable et de
classement. Les actifs et les passifs ont été correctement évalués et les montants exacts
imputés correctement aux postes de charges et de produits de l’exercice comptable.

- Enregistrement: Les enregistrements sont opérés en temps voulu, rapidement après la


survenance de l’opération, sont rattachés à la bonne période et sont correctement
reflétés dans les livres et documents comptables.7

La présentation fidèle peut être considérée comme l’objectif de base au niveau des états
financiers. Cet objectif est soutenu par des sous-objectifs qui sont les assertions

§3 - La conformité aux lois et règlements.


Les objectifs de conformité garantissent que toute l’activité est conforme aux lois,
réglementations et exigences prudentielles applicables ainsi qu’aux politiques et procédures
de l’organisation. Cet objectif doit être satisfait pour préserver les droits et la réputation de
l’entreprise.

Compte tenu du grand nombre de domaines existants (droit des sociétés, droit commercial,
environnement, social, etc.), il est nécessaire que la société dispose d’une organisation lui
permettant de :

6
Décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre conceptuel de la comptabilité
7
Norme comptable tunisienne générale, §18.
19 | P a g e
- connaître les diverses règles qui lui sont applicables ;

- être en mesure d’être informée en temps opportun des modifications qui leur sont
apportées (veille juridique) ;

- transcrire ces règles dans ses procédures internes;

- informer et former les collaborateurs sur les règles qui les concernent.

La conformité d’une Banque peut affecter, positivement ou négativement selon le cas, sa


réputation dans son environnement.

Section 3 – Les composantes du contrôle interne


Un système de contrôle interne consiste en 5 composantes inter-liées. Ces composantes sont
dérivées de la méthode de gestion et devraient être intégrées dans les processus de
management. Ces composantes sont :

- L’environnement de contrôle
- L’appréciation ou l’évaluation des risques
- Le système d’information et de communication
- La surveillance
- Les activités de contrôle

§1 - L’environnement de contrôle
L’environnement de contrôle est défini comme étant l'attitude générale, le degré de
sensibilisation et les actions des administrateurs et de la direction à l'égard de l'importance du
contrôle interne dans l’entité

L’environnement de contrôle représente les conditions dans lesquelles les contrôles


comptables et les contrôles internes sont conçus et mis en œuvre au sein de l’entité.
L’environnement de contrôle englobe les fonctions de gouvernance et de direction, ainsi que
les attitudes, la sensibilisation et les actions des responsables de la gouvernance et de la
direction à l’égard du contrôle interne et de son importance au sein de l’entité.
L’environnement de contrôle donne le ton de la mobilisation de l’organisation, et contribue à
conscientiser les membres de l’organisation sur l’importance du contrôle. L’environnement
de contrôle est à la base de toutes les autres composantes du contrôle interne et permet de
discipliner et de structurer la manière dont les principales activités d’affaires sont exercées et
les objectifs sont établis.

L’existence d’un environnement de contrôle satisfaisant peut constituer un facteur positif pour
l’appréciation des risques d’inexactitudes importantes dans les états financiers. L’existence

20 | P a g e
d’un environnement de contrôle satisfaisant peut notamment contribuer à atténuer le risque
d’erreurs ou de fraudes, même si un environnement de contrôle satisfaisant ne constitue pas
un facteur dissuasif absolu. À l’opposé, des lacunes dans l’environnement de contrôle
peuvent compromettre l’efficacité des autres composantes du contrôle interne et augmenter
les risques de fraudes.

§2 - L’appréciation des risques


L’appréciation des risques est définie comme le processus mis en place pour identifier,
analyser et gérer les risques auxquels est confrontée l'entreprise.

L’identification et l’analyse des risques est un processus continu et un élément crucial d’un
contrôle interne efficace. La direction doit étudier attentivement les risques à tous les niveaux
de l’entité, y compris les unités d’exploitation individuelles et les processus, et prendre les
mesures nécessaires pour les gérer. Le processus d'appréciation des risques de l'entité, en tant
qu'élément constitutif du contrôle interne à l’égard de l'information financière, concerne la
réalisation des objectifs d’information financière de l’entité et est exécuté par la direction de
cette dernière. Aux fins de la présentation de l’information financière, le processus
d’appréciation des risques de l’entité englobe la manière dont la direction identifie les risques
pertinents pour l’établissement d’états financiers conformément aux normes professionnelles
applicables et dont elle décide des mesures à prendre pour les gérer.

§3 - Le système d’information et les communications


Le système d’information et les communications servent à recueillir et à échanger les
informations nécessaires à la conduite, à la gestion et au contrôle de l’exploitation.

La présentation d’informations exactes en temps opportun est l’élément central du contrôle


interne. L’information pertinente doit être identifiée, recueillie et communiquée sous une
forme et dans un délai qui permettent aux personnes concernées de s’acquitter de leurs tâches.

Les systèmes d’information influent sur le contrôle interne et renseignent sur divers points tels
que les systèmes importants sur lesquels la direction s’appuie pour gérer et contrôler
l’entreprise, la pertinence de l’information fournie par les systèmes, le crédit qu’accorde la
direction à l’information produite à l’interne, du point de vue de son exactitude, de son
exhaustivité et de sa disponibilité au moment opportun et la cohérence des informations
fournies par les différents systèmes.

21 | P a g e
§4 - La surveillance
La surveillance est définie comme le processus d’évaluation du fonctionnement des contrôles
dans le temps.

La surveillance des contrôles est un processus qui vise à évaluer l’efficacité du contrôle
interne au fil du temps. Elle consiste à évaluer la conception et le fonctionnement des
contrôles en temps opportun et à apporter les correctifs nécessaires en fonction de l’évolution
des conditions. Elle est assurée par la direction au moyen de mesures continues,
d’évaluations distinctes, ou d’une combinaison des deux. Les activités de surveillance
continues sont souvent intégrées aux activités récurrentes normales d’une entité et
comprennent les activités courantes de gestion et de supervision et d’autres mesures prises par
le personnel pour s’acquitter des tâches qui leur sont attribuées. L’étendue et la fréquence des
évaluations distinctes dépendront de l’appréciation des risques et de l’efficacité des procédés
de surveillance continue.

§5 - Les activités de contrôle


Les activités de contrôle sont les lignes directrices et les procédés servant à assurer le respect
et à assurer l’exécution des directives de la direction. Elles aident l’entité à s’assurer que les
mesures nécessaires sont prises pour faire face au risque de ne pas réaliser ses objectifs
d’information financière. Les activités de contrôle qui sont habituellement pertinentes pour
une vérification des états financiers sont celles qui permettent de prévenir ou de détecter et de
corriger rapidement dans les états financiers les inexactitudes jugées importantes par la
direction, ainsi que de prévenir ou de détecter rapidement les biens cédés ou les passifs
engagés sans autorisation.

§6 – Le Cube de COSO
Ces composantes du contrôle interne et leurs interdépendance ont été schématisées par le
comité COSO sous forme d’un cube couramment appelé « Le cube COSO ». Ce modèle
présente le dynamisme du système de contrôle interne. A titre d’exemple, l’évaluation des
risques n’influence pas seulement les activités de contrôle, mais peuvent être à l’origine d’un
besoin pour reconsidérer la composante « information et communication » ou les activités
surveillance de l’entité.

Ainsi, le contrôle interne n’est pas une série de processus, où une composante affecte
seulement celle qui la suive. C’est un processus interactif multidirectionnel dans lequel
chaque composante peut influencer les autres.

22 | P a g e
Deux entités ne peuvent en aucun cas avoir les mêmes systèmes de contrôle interne qui
diffèrent en fonction du secteur, la taille, la culture et la philosophie managériale.

Le référentiel COSO a donné naissance à un cube dont les 3 faces visibles représentent les 3
objectifs, les 5 composantes et les activités de l'entreprise.

Ce modèle peut être interprété dans le sens de 5*3*3 ou 45 composantes individuelles.


Cependant, il ne s’agit pas de composantes individuelles car elles sont en réalité inter-liées.

Dans cette approche en « cube », chaque activité contribue à la réalisation des 3 objectifs.
Pour chacune d’elles, et pour chacun de ces 3 objectifs, il s’agit d’analyser les 5 composantes
du contrôle interne.

L'environnement de
contrôle vise à établir
et à promouvoir une
attitude collective
propice à l'exécution
Le processus d'un contrôle interne
d'appréciation des efficient à l'égard de
risques de l'entité vise l'information financière
à établir et à maintenir et à la production
un processus efficace d'états financiers
pour identifier, fiables.
analyser et gérer les
risques pertinents à Environnement de contrôle
l'établissement d'états

Site
financiers fiables.
Entité
Evaluation des risques
Activité

Activité de contrôle

Les activités de
contrôle représentent Information et communication
les lignes directrices et Le système
les procédés servant à d'information et les
assurer le respect des communications ont
Supervision (surveillance)
directives de la pour raison d'être
direction d'assurer que
l'information pertinente
à l'établissement
d'états financiers La surveillance vise à
fiables et au maintien détecter et à corriger
des contrôles internes les lacunes des
et des comptes sont contrôles à travers
identifiés, saisis et l'ensemble du système
communiqués aux de contrôle interne à
personnes appropriées l'égard de l'information
et dans le délai voulu. financière.

Schéma 1: Le cube de COSO

23 | P a g e
Section 4 – Les limites du contrôle interne
Un système de contrôle interne efficace, aussi bien conçu et appliqué soit-il, ne peut fournir à
la direction qu’une assurance raisonnable — et non absolue — quant à la réalisation des
objectifs d’une organisation ou à sa pérennité. La probabilité d’atteinte des objectifs est
affectée par les limitations inhérentes à l’ensemble des systèmes de contrôle interne. Dans la
mesure où le contrôle interne repose sur le facteur humain, il est susceptible de pâtir d’erreurs
de conception, de jugement ou d’interprétation, de malentendus, de négligence ou de la
distraction, voire de manœuvres telles que collusion, abus ou transgression. En plus, les
contrôles peuvent être manipulés dans le cas où la direction outrepasse cette fonction. La
considération du coût de l’implémentation d’un contrôle par rapport aux bénéfices escomptés
constitue une autre limite au contrôle8.

Le contrôle interne peut fournir des informations à la direction permettant d’apprécier le degré
de réalisation des objectifs fixés mais ne peut pas influer sur les performances du personnel.
Bien qu’un système de contrôle interne efficace puisse constituer un vecteur permettant
d’augmenter la probabilité d’atteindre les objectifs, il n’en élimine pas pour autant le risque
toujours présent qu’il soit mal conçu ou ne fonctionnant pas comme prévu.

§1 - Le jugement
L’efficacité des contrôles est limitée par la fragilité humaine dans le processus de prise de
décision. Lesdites décisions sont sujettes au jugement humain dans les limites du temps
disponible et basées sur les informations disponibles et sous la pression de la conduite des
affaires.

Certaines décisions peuvent ainsi ne pas produire les résultats escomptés et devraient
conséquemment être changées.

§2 - Les pannes et les défaillances


Même les activités de contrôle conçues de manière satisfaisante ne sont pas à l’abri des
défaillances. Le personnel peut mal saisir des directives, commettre des erreurs de jugement
ou se tromper par suite d’inattention, de distraction ou de fatigue. A titre d’exemple, le
personnel temporaire en cas de vacance du responsable peut ne pas exécuter les contrôles
efficacement.

8
INTERNAL CONTROL – INTEGRATED FRAMEWORK, COSO, Chapter 7.

24 | P a g e
§3 - Outre-passage par la direction
Le Système de contrôle interne ne peut être efficace que si les personnes qui l’exécutent le
soient aussi. Egalement, dans des entreprises parfaitement contrôlées, les directeurs peuvent
être capables d’outrepasser le contrôle.

Le terme « outrepassage par la Direction »9 ou la dérogation aux contrôles par la Direction est
utilisé ici dans le sens de rejet des politiques et procédures prescrites pour des raisons
illégitimes avec l’intention d’un gain personnel ou l’amélioration de la présentation de la
situation financière de l’entité. Outre passer le système de contrôle interne par la haute
direction peut avoir plusieurs raisons : Augmenter le niveau des revenus pour anticiper une
baisse probable de la valeur de l’action, améliorer les résultats pour atteindre les budgets ou
pour augmenter les bonus qui sont fonction de ces résultats, Augmenter la valeur de marché
de l’entité avant une introduction en bourse… Les pratiques d’outre passage des contrôle
incluent les fausses affirmations aux avocats, comptables, banquiers… et l’utilisation
intentionnelle de faux documents.

Outre passer le contrôle ne doit pas être confondu avec les interventions que peut faire la
direction pour des raisons légitimes. Les interventions sont parfois nécessaires pour effectuer
des transactions non récurrentes et non standards, et les systèmes de contrôle interne ne
peuvent exclure ce type d’intervention. Toutefois, ces interventions devraient être
suffisamment documentées et présentées aux personnes appropriées.

§4 - La collusion
La collusion des activités des personnes peut générer des défaillances au niveau des contrôles.

Les activités exercées par au moins deux personnes agissant de connivence peuvent fausser
les contrôles. Les personnes qui agissent de concert pour perpétrer ou dissimuler une action
peuvent souvent modifier des données financières ou d’autres informations pertinentes d’une
manière qui ne peut pas être détectée par les activités de contrôle.

A titre d’exemple, il peut y avoir une collusion entre un employé chargé d’un contrôle
important et un client, un fournisseur ou un autre employé. Ainsi, plusieurs responsables de la
Vente et des comptables délocalisés pourraient s'entendre à contourner les contrôles de sorte
que les résultats de vente respectent les budgets ou des objectifs cibles.

9
Management override
25 | P a g e
§5 - Les coûts par rapport au bénéfice
Une autre limite tient au fait que la conception d’un système de contrôle interne doit tenir
compte de contraintes financières. Les bénéfices tirés des contrôles doivent, par conséquent,
être évalués par rapport à leur coût. La volonté de faire fonctionner un système de contrôle
interne qui éliminerait tout risque de perte n’est pas réaliste et sa mise en œuvre serait
probablement plus coûteuse que ne le justifierait le bénéfice qui en découlerait dans les faits.
Pour déterminer si un contrôle particulier doit être mis en place, on doit prendre en compte
non seulement la probabilité de survenance du risque correspondant et son incidence
potentielle sur l’organisation mais aussi les coûts afférents à la mise en place de ce nouveau
contrôle.

A titre d’exemple, il serait inopportun pour une Banque d’installer un contrôle sophistiqué sur
le stock de matières consommables si leur coût est relativement bas et qu’elles ne sont pas
périssables.

Les changements organisationnels et l’attitude du management peuvent avoir un impact réel


sur l’efficacité du contrôle interne et sur le personnel qui le met en œuvre. C’est pourquoi il
est nécessaire que la direction vérifie et actualise continuellement les contrôles, communique
les changements au personnel et montre l’exemple en se conformant elle-même à ces
contrôles.

Cependant, il peut être difficile de quantifier les coûts, le temps et les efforts liés, par
exemple, à certains facteurs de l'environnement de contrôle, tels que l'engagement de la
direction en faveur des valeurs éthiques ou de la compétence du personnel, des évaluations
des risques, et la détection de certaines informations externes telle que l'intelligence
économique sur l'évolution des préférences des clients. La mesure des avantages nécessite
souvent une évaluation subjective. Par exemple, les avantages des programmes efficaces de
formation sont généralement évidents, mais difficiles à quantifier.

La complexité de détermination de l’équation coûts-avantages est aggravée par la corrélation


des contrôles avec les opérations. Lorsque des contrôles sont intégrés dans les processus de
gestion, il est difficile d'isoler leurs coûts des bénéfices. De même, à plusieurs reprises, une
série de contrôles peuvent servir, individuellement ou ensemble, pour atténuer un risque
particulier (Cf. §1 de la Section 3 du chapitre introductif de la troisième partie).

La détermination de l’équation coûts-avantages varie aussi considérablement selon la nature


de l'entreprise. Par exemple, un système informatique fournissant des informations sur la

26 | P a g e
fréquence avec laquelle les clients passent des commandes, la valeur totale des commandes et
le nombre d'articles achetés par commande, est très important pour une entreprise de vente par
correspondance. Pour un fabricant de bateaux à voiles sur mesure, ces informations détaillées
sur les profils de la clientèle seraient nettement moins utiles. Pour le fabricant de bateaux, par
exemple un système d'information ne serait probablement pas considéré comme rentable. En
raison de la relative insignifiance d'une activité particulière ou des risques connexes, il peut ne
pas être nécessaire, même pour faire une analyse coûts-avantages. Le défi consiste à trouver le
juste équilibre. Un contrôle excessif est coûteux et contreproductif. Les clients faisant les
commandes par téléphone ne toléreront pas des procédures d'acceptation trop lourdes. Une
banque qui accentue les procédures d’octroi de crédit et d’évaluation de la solvabilité dans un
environnement concurrentiel ne sera pas en mesure de produire une masse importante de
nouveaux crédits. Trop peu de contrôle, d'autre part, présente un risque excessif de créances
douteuses. Un bon équilibre est nécessaire dans un environnement hautement concurrentiel.
Et, malgré les difficultés, les décisions basées sur l’équation coûts-avantages continueront à
être considérées.

27 | P a g e
Chapitre 2 – Evolutions de la
règlementation et des cadres de
référence internationaux régissant le
contrôle interne des établissements
bancaires
Section 1 – Evolution de la règlementation sur le contrôle
interne à l’échelle internationale
§1 - L’Organisation de Coopération et de Développement Économiques
L’Organisation de Coopération et de Développement Économiques (OCDE) a pour objectif
de promouvoir des politiques visant :

- à réaliser la plus forte expansion de l’économie et de l’emploi et une progression du


niveau de vie dans les pays membres, tout en maintenant la stabilité financière, et à
contribuer ainsi au développement de l’économie mondiale ;
- à contribuer à une saine expansion économique dans les pays membres, ainsi que les
pays non membres, en voie de développement économique ;
- à contribuer à l’expansion du commerce mondial sur une base multilatérale et non
discriminatoire conformément aux obligations internationales.

Les Principes de gouvernement d’entreprise de l’OCDE ont été approuvés en 1999 par les
Ministres des pays membres de l’OCDE et se sont depuis lors imposés comme une référence à
l’échelle internationale pour les responsables de l’action gouvernementale, les investisseurs,
les sociétés et autres parties prenantes. Ces Principes ont été revus en profondeur en 2004 afin
de tenir compte des évolutions internationales et des enseignements de l’expérience acquise
dans les pays membres et non membres.

Les Principes de gouvernement d’entreprise ont pour objet d’aider les gouvernements des
pays membres et non membres de l’OCDE à évaluer et améliorer le cadre juridique,
institutionnel et réglementaire organisant, à l’échelle nationale, le gouvernement d’entreprise,
et de formuler des orientations et des propositions à l’intention des autorités boursières, des
investisseurs, des sociétés et d’autres parties intervenant dans l’élaboration d’un régime
efficace de gouvernement d’entreprise.

28 | P a g e
Cependant, les Principes de gouvernement d’entreprise n’ont pas de caractère contraignant et
ne contiennent pas de prescriptions détaillées devant être reprises dans chaque législation
nationale ; Contrairement aux réglementations nationales comme celles de Sarbanes-Oxley
SOX des États-Unis, le cadre publié par l’OCDE propose plutôt certains objectifs ou résultats
et suggère diverses manières de les atteindre.

Les principes de bonne gouvernance publiés par l’OCDE visent à promouvoir une culture de
contrôle adaptée à l’environnement de chaque pays. Ils reposent sur 6 principes
fondamentaux :

1. Mise en place des fondements d’un régime de gouvernement d’entreprise efficace. Le


régime de gouvernement d’entreprise devrait concourir à la transparence et à
l’efficience des marchés, être compatible avec l’état de droit et définir clairement la
répartition des compétences entre les instances chargées de la surveillance, de la
réglementation et de l’application des textes.
2. Mise en place d’un régime de gouvernement d’entreprise permettant de protéger les
droits des actionnaires et de faciliter leur exercice.
3. Mise en place d’un régime de gouvernement d’entreprise permettant d’assurer un
traitement équitable de tous les actionnaires, y compris les actionnaires minoritaires et
étrangers. Tout actionnaire doit avoir la possibilité d’obtenir la réparation effective de
toute violation de ses droits.
4. Mise en place d’un régime de gouvernement d’entreprise permettant de reconnaître les
droits des différentes parties prenantes à la vie d’une société tels qu’ils sont définis par
le droit en vigueur ou par des accords mutuels, et d’encourager une coopération active
entre les sociétés et les différentes parties prenantes pour créer de la richesse et des
emplois et assurer la pérennité des entreprises financièrement saines.
5. Mise en place d’un régime de gouvernement d’entreprise permettant de garantir la
diffusion en temps opportun d’informations exactes sur tous les sujets significatifs
concernant l’entreprise, notamment la situation financière, les résultats, l’actionnariat
et le gouvernement de cette entreprise
6. Mise en place d’un régime de gouvernement d’entreprise permettant d’assurer le
pilotage stratégique de l’entreprise et la surveillance effective de la gestion par le

29 | P a g e
conseil d’administration, ainsi que la responsabilité et la loyauté du conseil
d’administration vis-à-vis de la société et de ses actionnaires.10

L'OCDE a introduit le concept de l'utilisation de matrice de benchmarking et de gouvernance,


disponible chez les services de gouvernance de Standard & Poor's (S&P), pour fournir aux
investisseurs et aux régulateurs la possibilité de comparer des sociétés. Nick Brady, au
deuxième Groupe de travail de l'Union européenne sur la gouvernance d'entreprise, a décrit
comment l'analyse comparative et les mesures pourraient être utilisées. Les services de
gouvernance de S&P fournissent des évaluations indépendantes des structures de
gouvernance. Les évaluations peuvent être fournies à des sociétés sur une base confidentielle,
peuvent être publiées sous forme d’une note sur la gouvernance, ou peuvent être entreprises
de manière confidentielle, au nom des participants au marché financier tels que les régulateurs
et les investisseurs .... C’est ainsi que jusqu’à septembre 2004, environ une centaine
d’évaluation ont été effectuées aux États-Unis, Royaume-Uni, France, Allemagne, Italie,
Espagne, Hongrie, Russie, Chine, Inde, Indonésie, Brésil, Japon, Corée, Hong Kong, et la
Suisse.11

§2 – Loi de Sarbney Oxley (SOX) aux Etats Unis d’Amérique


2.1 – Apports du nouveau cadre règlementaire régissant le contrôle interne aux Etats Unis
d’Amérique.
Aucun domaine de la loi Sarbanes-Oxley SOX des États-Unis n’a suscité plus d'intérêt et de
controverses que la section 404, qui appelle à la création et le maintien de contrôles internes
viables. Au fil des décennies, la Securities and Exchange Commission SEC a décidé que les
contrôles internes comprennent les politiques, procédures, programmes de formation et
d'autres processus au-delà des contrôles financiers. La SEC a défini les contrôles internes pour
y inclure "la protection des biens contre l'acquisition, l'utilisation, ou de l'aliénation." Les
entreprises auront besoin de documenter et tester l'adéquation de ces processus de contrôle
interne.

La SEC n’est pas amenée à permettre à une société de prétendre à des contrôles internes
adéquats en vertu de la section 404 jusqu'à ce que toutes les faiblesses importantes signalées
aient été réglées et un plan d'action ait été documenté.

Dans sa décision finale, la SEC a noté «... il a été reconnu que le contrôle interne est un
concept large qui s'étend au-delà des fonctions de comptabilité d'une entreprise. Les premières

10
Principes de gouvernement d’entreprise de l’OCDE , 2004
11
Manager’s Guide to Compliance : Anthony Tarantino, 2006
30 | P a g e
tentatives de définir le terme ont porté principalement sur la clarification de la partie du
contrôle interne que l’auditeur d’une entreprise doit examiner lors de la planification et
l'exécution d'un audit de ses états financiers. Toutefois, cela n'a pas permis d'améliorer le
niveau de compréhension du terme contrôle interne, ni de fixer d’une manière satisfaisante les
orientations recherchées par les auditeurs. »

La règlementation de la SEC promulguée dans Foreign Corrupt Practices Act (FCPA) en


1977 a exigé des entreprises «de concevoir et de maintenir un système de contrôle interne
adéquat permettant de fournir une assurance raisonnable que :

- Les transactions sont exécutées en conformité avec l'autorisation générale ou


particulière de la direction;

- Les transactions sont enregistrées (1) pour permettre la préparation des états financiers
conformément aux principes comptables généralement reconnus ou tout autre critère
applicable à ces déclarations, et (2) pour sauvegarder les actifs;

- L'accès aux actifs n'est autorisé que conformément à l'autorisation générale ou


particulière de la direction, et

- Les Actifs enregistrés sont comparés aux Actifs existant à intervalles raisonnables et
des mesures appropriées sont prises à l'égard des différences. »

Les règles définitives adoptées par la SEC ont défini « le contrôle interne de l’information
comptable et financière» comme un «processus conçu par ou sous la supervision de la
direction générale de l'entreprise et ses principaux officiers financiers, et effectué par le
conseil d’administration de la société, la direction et d'autres personnes, pour fournir une
assurance raisonnable quant à la fiabilité des informations financière et la préparation des
états financiers à des fins externes, conformément aux principes comptables généralement
reconnus et comprend les politiques et procédures qui permettent de:

- Maintenir des enregistrements suffisamment détaillés qui donnent une image fidèle
des opérations et des cessions d'actifs de la société;

- Fournir une assurance raisonnable que les opérations sont enregistrées de façon à
permettre la préparation des états financiers conformément aux principes comptables
généralement reconnus, et que les encaissements et décaissements de la société ne sont
effectués que conformément à l'autorisation de la direction et des administrateurs de la
société;

31 | P a g e
- Fournir une assurance raisonnable quant à la prévention ou la détection en temps
opportun de l'acquisition, l'utilisation, ou de l'aliénation des actifs de la société qui
pourraient avoir une incidence importante sur les états financiers. »

La SEC a publié en juin 2003, suite à la publication de la section 404 de la loi SOX, les règles
finales à suivre par les entreprises cotées. Dans ce cadre, Ces dernières doivent inclure dans
leurs rapports annuels, un rapport de la direction sur le contrôle interne qui contient :

- Une attestation de la responsabilité de la direction quant à la conception, la mise en


place et le suivi d’un contrôle interne relatif à l’établissement et la présentation d’états
financiers.

- Une attestation identifiant la cadre utilisé par la direction pour conduire l’évaluation
requise de l’efficacité du contrôle interne relatif à l’établissement et la présentation
d’états financiers

- L’évaluation par la Direction de l’efficacité du contrôle interne relatif à


l’établissement et la présentation d’états financiers à la clôture du dernier exercice
comptable incluant une attestation que le contrôle interne au sein de la société relatif à
l’établissement et la présentation d’états financiers est efficace ou non. L’évaluation
devrait inclure une énonciation des déficiences majeures 12 dans le contrôle interne
relatif à l’établissement et la présentation d’états financiers identifiées par la Direction.
La Direction n’est pas autorisée de conclure que le contrôle interne au sein de la
société relatif à l’établissement et la présentation d’états financiers est efficace s’il y a
une ou plusieurs déficiences majeures entachant le dit contrôle.

- Une attestation que la firme ayant audité les états financiers publiés dans le rapport
annuel a émis une opinion sur l’évaluation faite par la direction du contrôle interne
relatif à l’établissement et la présentation d’états financiers.

12
Selon la norme ISA 265 publiée par l’IFAC, Une Déficience existe dans le contrôle interne lorsqu’ :
(i) un contrôle est conçu, mis en place et fonctionne de telle manière qu'il ne permet pas de prévenir, ou de détecter
et corriger, des anomalies contenues dans les états financiers en temps opportun; ou
(ii) un contrôle nécessaire pour prévenir, ou pour détecter et corriger, une anomalie contenue dans les états
financiers en temps opportun n'existe pas.
Une déficience majeure dans le contrôle interne est une déficience, ou un ensemble de déficiences dans le contrôle interne
qui, selon le jugement professionnel de l'auditeur, est suffisamment importante pour mériter l'attention des personnes
constituant le gouvernement d'entreprise.
32 | P a g e
2.2 – Rapport de l’auditeur externe sur l’évaluation faite par la direction du contrôle interne
Le rapport annuel des entreprises cotées en bourses aux Etats-Unis d’Amérique devrait
inclure l’opinion de l’auditeur externe sur l’évaluation faite par la direction du contrôle
interne relatif à l’établissement et la présentation d’états financiers.

Le rapport de l’auditeur externe doit contenir13 :

(a) un titre incluant le mot « indépendant »,


(b) Un paragraphe rappelant que la Direction est responsable de maintenir un
contrôle interne relatif à l’établissement et la présentation d’états financiers
efficace et d’évaluer l’efficacité dudit contrôle interne,
(c) Une identification du rapport de la Direction sur le contrôle interne ;
(d) Un paragraphe rappelant la responsabilité de l’auditeur d’exprimer une opinion
sur le contrôle interne relatif à l’établissement et la présentation d’états
financiers en se basant sur son audit ;
(e) Une définition du contrôle interne relatif à l’établissement et la présentation
d’états financiers.
(f) Un paragraphe attestant que l’audit a été conduit conformément aux normes du
Public Company Accounting Oversight Board (United States) ;
(g) Un paragraphe rappelant que les normes du Public Company Accounting
Oversight Board (United States) requièrent que l’auditeur planifie et conduit
son audit afin d’obtenir une assurance raisonnable qu’un contrôle interne relatif
à l’établissement et la présentation d’états financiers a été maintenu par la
société dans tous ses aspects significatifs ;
(h) Un paragraphe rappelant que l’audit implique l’obtention d’une compréhension
du contrôle interne relatif à l’établissement et la présentation d’états financiers,
l’évaluation du risque d’existence de déficiences majeures, l’examen et
l’évaluation de la conception et de l’efficacité opérationnelle du contrôle
interne en se basant sur l’évaluation du risque et la mise en œuvre d’autres
procédures que l’auditeur juge nécessaire au regard des circonstances ;
(i) Une attestation que l’auditeur estime que l’audit fournit une base raisonnable
pour fonder son opinion ;

13
Parag. 85, Auditing Standard No. 5 – An Audit of Internal Control Over Financial Reporting That Is Integrated with An
Audit of Financial Statements, Public Company Accounting Oversight Board
33 | P a g e
(j) Un paragraphe rappelant, qu’en raison des limitations inhérentes, le contrôle
interne relatif à l’établissement et la présentation d’états financiers peut ne pas
prévenir ou détecter des erreurs et que le contrôle interne peut s’avérer
inapproprié pour les périodes futures en raison du changement des conditions
ou suite à la détérioration du niveau de conformité aux politiques et procédures
mises en place par l’entité.
(k) L’opinion de l’auditeur sur le maintien par l’entité d’un contrôle interne relatif
à l’établissement et la présentation d’états financiers à une date spécifiée, basé
sur les critères de contrôle
(l) Signature de l’auditeur
(m)Date et lieu

L’encadré ci-dessous illustre un exemple d’opinion émise par les auditeurs externes sur le
contrôle interne d’une société cotée au NYSE.

34 | P a g e
REPORT OF INDEPENDENT REGISTERED PUBLIC ACCOUNTING FIRM ON INTERNAL CONTROL
OVER FINANCIAL REPORTING

To the Board of Directors and Stockholders of [company name]

We have audited management’s assessment, included in Management’s Report on Internal Control Over
Financial Reporting, that [company name] (the ‘‘Company’’) maintained effective internal control over
financial reporting as of [date], based on criteria established in Internal Control—Integrated Framework
issued by the Committee of Sponsoring Organizations of the Treadway Commission (‘‘COSO’’). The
Company’s management is responsible for maintaining effective internal control over financial reporting
and for its assessment of the effectiveness of internal control over financial reporting. Our responsibility is
to express an opinion on management’s assessment and an opinion on the effectiveness of the Company’s
internal control over financial reporting based on our audit.

We conducted our audit in accordance with the standards of the [Public Company Accounting Oversight
Board (United States). Those standards require that we plan and perform the audit to obtain reasonable
assurance about whether effective internal control over financial reporting was maintained in all material
respects. Our audit included obtaining an understanding of internal control over financial reporting,
evaluating management’s assessment, testing and evaluating the design and operating effectiveness of
internal control, and performing such other procedures as we considered necessary in the circumstances.
We believe that our audit provides a reasonable basis for our opinions.

A company’s internal control over financial reporting is a process designed by, or under the supervision of,
the company’s principal executive and principal financial officers, or persons performing similar functions,
and effected by the company’s board of directors, management, and other personnel to provide reasonable
assurance regarding the reliability of financial reporting and the preparation of financial statements for
external purposes in accordance with generally accepted accounting principles. A company’s internal
control over financial reporting includes those policies and procedures that (1) pertain to the maintenance
of records that, in reasonable detail, accurately and fairly reflect the transactions and dispositions of the
assets of the company; (2) provide reasonable assurance that transactions are recorded as necessary to
permit preparation of financial statements in accordance with generally accepted accounting principles, and
that receipts and expenditures of the company are being made only in accordance with authorizations of
management and directors of the company; and (3) provide reasonable assurance regarding prevention or
timely detection of unauthorized acquisition, use, or disposition of the company’s assets that could have a
material effect on the financial statements.

Because of the inherent limitations of internal control over financial reporting, including the possibility of
collusion or improper management override of controls, material misstatements due to error or fraud may
not be prevented or detected on a timely basis. Also, projections of any evaluation of the effectiveness of the
internal control over financial reporting to future periods are subject to the risk that the controls may
become inadequate because of changes in conditions, or that the degree of compliance with the policies or
procedures may deteriorate.

In our opinion, management’s assessment that the Company maintained effective internal control over
financial reporting as of [date], is fairly stated, in all material respects, based on the criteria established in
Internal Control—Integrated Framework issued by COSO. Also in our opinion, the Company maintained, in
all material respects, effective internal control over financial reporting as of [date], based on the criteria
established in Internal Control—Integrated Framework issued by COSO.

[Report Date]

[Auditor]

Encadré 1 : Rapport de l’auditeur indépendant sur le contrôle interne relatif à l’établissement et la présentation
d’états financiers

35 | P a g e
La loi SOX a ainsi apporté un changement majeur dans les contrôles internes en rendant les
dirigeants et les directeurs financiers personnellement et pénalement responsables de la
qualité et l'efficacité des contrôles internes de leur organisation.

Avec la publication de la section 404 de la loi de Sarbanes-Oxley promulguée en 2002 et la


norme n°5 du PCAOB, un cadre règlementaire régissant l’évaluation du contrôle interne par
la direction et le contrôle de cette évaluation par l’auditeur externe a vu le jour. Ce cadre a le
mérite de mettre en place une méthodologie claire, indépendante et contrôlable régissant
l’évaluation du contrôle interne conformément au cadre de référence publié par le comité
COSO.

2.3 - Documentation des contrôles internes


Aucune forme de documents n’est spécifiée par la loi SOX (section 404) ou d'autres
initiatives de conformité, mais au minimum, la documentation doit fournir un fondement
raisonnable pour ce qui suit:

- La conception des contrôles pour les assertions pertinentes des états financiers

- Comment les transactions significatives sont initiées, enregistrées, traitées et déclarées

- Identification des inexactitudes importantes qui pourraient se produire

- Identification des contrôles visant à prévenir ou détecter les fraudes

- Identification des contrôles sur les processus de clôture des états financiers

- Identification des contrôles sur la protection des actifs

- Les résultats des tests et des évaluations effectués par la direction.

La section 404 a souligné la nécessité de normaliser, de documenter, de former et de tester les


contrôles clés dans la gestion des entreprises. Dans de nombreux cas, les contrôles internes
ont été négligés pendant de nombreuses années, ou sont devenus disparates suite à des fusions
et des acquisitions multiples. Les organisations ont généralement été bien conscientes de la
nécessité d'améliorer les contrôles internes. Toutefois, de nombreuses plaintes concernant le
coût de la conformité avec la section 404 de la loi SOX ont été déposées, ce qui a amené la
SEC à proposer des lignes directrices visant à réduire ces coûts.

§3 - Les 10 principes de bonne gouvernance d'entreprises de l’ASX en Australie

L'Australie a adopté une approche à la gouvernance d'entreprise et l'amélioration des


contrôles internes qui devraient être considérés comme un modèle en ce qu'il donne des

36 | P a g e
orientations fondées sur les meilleures pratiques pour 10 domaines de processus clés. Les
entreprises peuvent choisir de ne pas suivre les meilleures pratiques recommandées, mais ils
doivent expliquer la cause. Créé en août 2002, le conseil de la Gouvernance d'entreprise de la
bourse de l’Australie (ASX) a réuni 21 professionnels et groupes d'entreprises dont la mission
est «d'élaborer et d'offrir un cadre de référence pour l’ensemble des industries de gouvernance
d'entreprise qui pourrait constituer un guide pratique pour les sociétés cotées, les investisseurs
et le marché d’une façon générale. »

Compte tenu des différences qui pourraient exister entre les sociétés en termes de taille, de
complexité et d’opérations, une flexibilité a été prévue dans les structures organisationnelles
pour optimiser les performances individuelles. Cette flexibilité doit toutefois être tempérée
par la responsabilisation, l'obligation d'expliquer aux investisseurs pourquoi une autre
approche est adoptée. Le renforcement de la responsabilisation des entreprises et l'adoption de
ce cadre pour les rapports est une évolution majeure dans la pratique de gouvernance
d'entreprise en Australie. L'impact sur les systèmes de contrôle interne des entreprises
australiennes ne doit pas être sous-estimé.

L'approche sous forme de directives prend en considération le fait qu'une liste de contrôles
applicables à l’ensemble des sociétés n'est pas réaliste, ce que la SEC et le PCAOB ont
seulement reconnu au printemps de 2005. Selon l’introduction de la version de 2003 de
l’ASX « Si une entreprise estime qu'une recommandation n'est pas appropriée à sa situation
particulière, elle a la possibilité de ne pas l'adopter. Cette flexibilité est tempérée par
l'obligation d'expliquer la cause. Les entreprises sont encouragées à utiliser les directives
fournies par ce document comme point focal pour réexaminer leurs pratiques de gouvernance
et pour déterminer si et dans quelle mesure elles peuvent bénéficier d'un changement dans
l'approche, compte tenu des circonstances particulières de l'entreprise. Une démarche fondée
sur des listes de contrôle pour la gouvernance d'entreprise qui ne sont pas axées sur les
besoins particuliers de l’entreprise ainsi que sur ses forces et faiblesses pourrait s’avérer
inefficace. Le Conseil reconnaît que la gamme des tailles et la diversité des entreprises sont
importantes et que les petites entreprises peuvent être confrontées à des problèmes
particuliers dans la réalisation de toutes les recommandations dès le départ. La performance
et l’efficacité peuvent être compromises suite à un changement matériel qui n'est pas géré
sagement. Lorsqu'une entreprise envisage de généraliser des changements structurels afin de
mieux répondre à la pratique, l'entreprise est encouragée à donner la priorité à ses besoins et

37 | P a g e
d'établir et de présenter les objectifs de bonnes pratiques contre un calendrier indicatif pour
les atteindre. »

Une seconde édition des principes australiens de gouvernance a été publiée en Août 2007.
Cette seconde édition a été amendée le 30 juin 2010. Ces amendements concernent
essentiellement la présentation par la société de son processus de gestion des risques et ce
notamment après la publication du deuxième cadre de référence du COSO sur la gestion des
risques, de la méthode de sélection des administrateurs et les compétences qu’ils doivent
présenter. Les sociétés ont été encouragées à publier des politiques de diversité et les
recommandations se rattachant au comité des rémunérations ont été modifiées. 14

§4 - Les Règlements Canadiens n°52-109 et n°52-111


En réaction à la croissance des scandales financiers aux États-Unis et en Europe, le Canada a
adopté sa propre version de la loi SOX, qui est entrée en vigueur à compter de 2006. Connu
sous le nom de la Commission des valeurs mobilières de l'Ontario, le Règlement 52-109
(similaire à la loi SOX section 302) et le Règlement 52-111 (similaire à la loi SOX Section
404), s’apparentent aux dispositions de la loi Sarbanes-Oxley et suivent le cadre publié par
COSO.15

Le Règlement 52-111 couvrent l’environnement de contrôle, l'évaluation des risques, les


activités de contrôle, la définition de la matérialité et la Correction des faiblesses importantes.
Il exige que pour toute société commerciale cotée sur une bourse canadienne, la direction doit
fournir un rapport de contrôle interne devant faire partie intégrante de son rapport annuel. Ce
rapport doit contenir :

- Une reconnaissance de la responsabilité juridique de la société pour établir et


maintenir des contrôles internes adéquats sur ses informations financières;

- Les conclusions quant à l'efficacité de ces contrôles internes sur les informations
financières basées sur l'évaluation faite par la direction en fin d'année et

- Un rapport des auditeurs externes de la société qui atteste de l'évaluation faite par la
direction ; ce rapport devient une partie intégrante des états financiers publiés par cette
société.

14
Marked-Up Amendments dated 30 June 2010 to the Second Edition August 2007 of the Corporate Governance Principles
and Recommendations http://www.asx.com.au/about/pdf/cg_marked_up_amendments_30_june_10.pdf
15
Chapter 11, Manager’s Guide to Compliance, Anthony Tarantino, 2006
38 | P a g e
L’entrée en vigueur de cette loi a été temporisée en fonction de la capitalisation boursière des
sociétés:

- Plus de 500 000 000 CAD-30 Juin 2006


- Plus de 250 000 000 CAD-29 Juin 2007
- Plus de 75 000 000 CAD-29 Juin 2008
- Au dessous de 75 000 000 CAD -29 Juin 2009
§5 - Le Turnbull Guidance au Royaume Uni et le Code combiné

Le Code Combiné de gouvernance d'entreprise a été publié en Juillet 2003, par le Financial
Reporting Council et intègre le contrôle interne. Ce guide est également connu sous le nom
Turnbull Guidance. La première version de ce guide a été publiée en 1999 et précède ainsi la
loi SOX des états unis de trois ans. D’ailleurs la SEC Américaine a référencé le Turnbull
Guidance en tant que cadre approprié pour évaluer l'efficacité des systèmes de contrôle
interne. Toutefois, ce guide n’est entré en vigueur qu’en Janvier 2006 suite à sa révision en
Octobre 2005.

Le Turnbull Guidance utilise une terminologie cohérente avec le cadre du COSO et la loi
SOX.16 La direction doit évaluer :

- L'efficacité de contrôle interne sur l'information financière

- Le cadre dans lequel l'évaluation faite par la direction du contrôle interne est fondée;

- Tout changement dans le système de contrôle interne de l'émetteur de l'information


financière;

- Une déclaration de la responsabilité de la direction pour établir et maintenir une


structure de contrôle interne adéquate et des procédures d'information financière.

Ce guide développe des pratiques saines d’affaires et intègre les contrôles internes dans les
processus courants des entreprises. Les contrôles internes doivent demeurer pertinents dans le
temps malgré la constante évolution de l’environnement des entreprises et doivent permettre à
chacune d’elles de les appliquer d'une manière qui tient compte de sa situation particulière. 17

16
Chapter 11, Manager’s Guide to Compliance, Anthony Tarantino, 2006
17
Internal control - Revised guidance for directors on the combined code, UK Financial
reporting council, October 2005
39 | P a g e
§6 – Les standards basics de contrôle interne en Chine
Les standards basics de contrôle interne ont été publiés en chine en 2008 afin de spécifier les
principes et les composantes permettant d’implémenter un contrôle interne effectif au sein des
entreprises. Toutefois, le cadre de référence d’implémentation de ces standards n’a été publié
qu’en Avril 2010 et la date effective de son application a été retardée pour le 1 janvier 2011.

Le 26 avril 2010, le ministère des finances, la commission de la bourse chinoise, la cour des
comptes, la commission bancaire et le régulateur chinois des assurances ont publié des Guides
d’application des standards basics de contrôle interne, d’évaluation du contrôle interne au sein
des entreprises et d’audit desdits contrôles.

Ce nouveau guide d’application présente les lignes directrices pour l’implémentation d’un
système de contrôle interne et pour son évaluation et son audit. les lignes directrices
concernent 18 composantes : La structure organisationnelle, la stratégie de développement, les
ressources humaines, la responsabilité sociale, la culture d’entreprise, la gestion des fonds, la
passation de marché, la gestion des actifs, les activités commerciales, la recherche et le
développement, les projets de construction, la gestion des garanties, l’externalisation, les
rapports financiers, la budgétisation, la gestion des contrats, la communication des
informations internes et le système d’information.

Le guide présente aussi les principes permettant l’évaluation par le conseil d’administration
du système de contrôle interne notamment les étapes, les procédures, l’identification des
défaillances et le rapport d’évaluation. Il présente également les procédures à suivre par les
firmes d’expertise comptables pour auditer le contrôle interne des entreprises.

Ce guide a été évalué comme étant proche de la réglementation SOX américaine 18 bien qu’il
n’a pas retenu le cadre COSO comme référence pour l’évaluation du contrôle interne.

Section 2 – Efforts des Banques pour améliorer le contrôle


interne
§1 - L’institut Monétaire Européen
La question des systèmes de contrôle interne des établissements de crédit a fait l'objet d'une
étude approfondie de la part de l’Institut Monétaire Européen IME (avant sa transformation en
Banque centrale Européenne BCE) ayant pour objectif essentiel de recenser les éléments

18
China Boardroom update, Internal Control Regulatory developments, KPMG China Advisory, Issue 2 – April 2010

40 | P a g e
susceptibles d'aider notamment les contrôleurs bancaires à évaluer les caractéristiques et
l'efficacité de ces systèmes.

Cette étude menée dans le cadre du Sous-Comité de Surveillance Bancaire de l’Institut


Monétaire Européen, a été publié en 1997 sous forme d’un rapport intitulé « Les systèmes de
contrôle interne des établissements de crédit ».

Cette étude a débouché sur un ensemble de principes fondamentaux portant sur tous les
aspects jugés propres à favoriser la mise en place et la gestion de systèmes de contrôle interne
dans les établissements de crédit.

Les travaux ont été centrés sur trois grands points19 :

1. Convenir d'une définition commune du concept de système de contrôle interne à partir


des études menées dans ce domaine par les organisations internationales et
professionnelles.
2. Arrêter des principes fondamentaux permettant d’assurer la solidité d'un système de
contrôle interne. Ces principes traitent de quatre aspects essentiels, à savoir :
l'organisation administrative, le contrôle des risques, les systèmes d'information et les
systèmes informatiques.
3. Examiner le rôle des divers organismes intervenant dans le domaine des systèmes de
contrôle interne. Le rôle déterminant des organes de décision d'un établissement de
crédit (conseil d'administration et dirigeants) est mis en évidence. C'est au conseil
d'administration qu'incombe la responsabilité en dernier ressort de veiller à l'efficacité
du système de contrôle interne, alors que les dirigeants ont pour mission de mettre en
œuvre la stratégie définie dans ce domaine par le conseil d'administration. Ces rôles
sont inspirés directement des deux premiers principes du cadre publié par le comité de
Bâle. Le rôle du comité d'audit a été tout particulièrement souligné. Enfin,
l'importance de la mission des auditeurs internes ainsi que le rôle que devraient jouer
les auditeurs externes dans l'adoption et la gestion de systèmes de contrôle interne
satisfaisants au sein des établissements de crédit ont été mis en relief.

19
Rapport Annuel 2006, Institut Monétaire Européen, Avril 1997.
41 | P a g e
§2 – Les contrôles internes Bancaires sous la section 39 de la Règlementation
Britannique
Un document consultatif a été publié par la Banque d’Angleterre en 1997 se rattachant au
contrôle interne Bancaire. Ce document a mis en valeur une proposition pour améliorer le
fonctionnement de la section 39 de la loi bancaire britannique publiée en 1987. Cette section
constitue le principal outil de supervision bancaire en Angleterre à l’époque. Cette proposition
s’est rendue célèbre car elle a inclus une obligation de la part du conseil d’administration des
Banques de confirmer l’efficience des contrôles internes mis en place par l’institution et une
obligation de la part des auditeurs desdites Banques d’affirmer que rien n’est venu à leur
attention qui laisse à penser que des exceptions par rapport aux critères d’autorisation sont
commises. Bien que ce document ne revêt qu’un caractère consultatif, il a probablement joué
un rôle fondamental dans le développement du contrôle interne notamment dans le domaine
Bancaire. En effet, ce document avait le mérite de mettre en place la notion d’autoévaluation
par la direction du contrôle interne et l’audit externe de cette évaluation par un organisme
indépendant. Ce même mécanisme a été rendu obligatoire par la loi SOX aux Etats Unis cinq
ans après la publication de ce document consultatif en Angleterre.

Ce même document a également servi comme principale référence documentaire pour la


publication par le comité de Bâle intervenue en Septembre 1998. (Paragraphe 3)

§3 – Le Comité de Bâle
En Septembre 1998, le comité de Bâle sur la supervision bancaire a publié un cadre de
référence pour les systèmes de contrôle interne dans les organisations bancaires. Ce cadre
décrit les éléments clés d’un système de contrôle interne sain, en se fondant sur l’expérience
enregistrée dans les pays développés. Il a défini ainsi certains principes destinés aux autorités
prudentielles dans leur évaluation des systèmes de contrôle interne des banques. Tous les
membres du Comité de Bâle ont reconnu que les principes établis dans ce document devraient être
utilisés pour évaluer le système de contrôle interne d’une banque.

Ce cadre a énoncé 13 principes en reprenant les objectifs et les composantes du système de


contrôle interne énoncé précédemment par le comité COSO mais en les adaptant à
l’environnement bancaire :

- Surveillance par la direction et culture de contrôle : (Principe 1, 2 et 3)

- Reconnaissance et évaluation des risques (Principe 4)

- Activités de contrôle et séparation des tâches (Principes 5 et 6)

42 | P a g e
- Information et communication (Principes 7, 8 et 9)

- Surveillance des activités et correction des déficiences (Principes 10,11 et 12)

- Evaluation des systèmes de contrôle interne par les autorités prudentielles (Principe 13)

Les travaux réalisés par le comité de Bâle rejoignent les réflexions faites au niveau européen
dans le cadre du Sous-Comité de Surveillance Bancaire de l’Institut Monétaire Européen, qui
a publié en 1997 un rapport intitulé « Les systèmes de contrôle interne des établissements de
crédit ».

L’une des idées directrices des réflexions faites par le comité de Bâle, à savoir le Sous Comité
de Surveillance Bancaire et la Commission Bancaire est que le contrôle interne n’est pas une
simple procédure ou une politique appliquée à un certain moment, ni même simplement une
fonction d’audit, mais un système qui fonctionne en continu à tous les niveaux de
l’établissement. (Heem 2003)

En 2004, les gouverneurs des Banques centrales et les dirigeants de la supervision bancaire
dans le Groupe des dix (G10) ont publié un nouveau cadre pour l'adéquation du capital appelé
« The International Convergence of Capital Measurement and Capital Standards: A Revised
Framework » (Bâle II). Le premier Accord de Bâle, publié en 1988, a mis en place des
normes pour l’adéquation du capital car les régulateurs ont compris que les faiblesses dans le
contrôle interne présentent un risque majeur pour les banques.

Le référentiel de Bâle II inclut :

- Un cadre pour les banques pour évaluer l’adéquation de leur capital en vu de couvrir
leurs risques

- Un cadre pour les banques pour maintenir une discipline du marché en améliorant la
transparence de leurs publications financières ;

Le nouveau cadre a été implémenté dans les juridictions des pays membres à partir de fin
2006. Les approches les plus avancées pour la mesure des risques ont été implémentées fin
2007, ce qui a permis aux banques et aux directeurs de profiter d'un an supplémentaire
d'analyse d'impact ou de calcul des capitaux parallèlement avec les anciens cadres.

Beaucoup d'analogies existent entre le deuxième pilier de Bâle II et les provisions de


contrôles internes de la section 404 de la loi SOX. Les deux sont construits sur le cadre du
COSO et sont conçus pour empêcher l'échec de contrôles internes majeurs et incluent les
moyens pour identifier et maitriser les risques.
43 | P a g e
L’ICAAP (Internal Capital Adequacy Assesment Process) est une procédure réglementaire
qui permet d’évaluer si les fonds propres sont suffisants pour couvrir l’ensemble des risques
auxquels sont soumis les établissements bancaires. L’ICAAP doit décrire les procédures de
calcul et de stress test des différents risques d’un établissement financier. Les principaux
risques qui doivent inévitablement être encadrés par l’ICAAP sont les suivants :

- Le risque de Crédit

- Le risque de Marché

- Le risque opérationnel

- Le risque de liquidité

- Le risque de concentration

- Le risque résiduel

- Le risque sur les garanties

- Le risque d’affaire

- Le risque structurel du taux d’intérêt

Le capital économique permet de couvrir les pertes inattendues, ou exceptionnelles, de tous


les types de risques adressés par la direction des risques d’une banque, dont ceux qui n’ont
pas été pris en compte dans le pilier I de Bâle II. Ces risques doivent, en effet, être intégrés
dans le calcul du capital réglementaire pour répondre aux exigences du pilier II.

Le capital économique n’est pas constitué par la somme algébrique des risques élémentaires,
il intègre également les corrélations entre différents actifs, ce qui permet de réduire le coût du
risque global supporté par une banque dont le portefeuille d’activité est suffisamment
diversifié.

Avec l'accent mis sur la sensibilisation et la culture, le processus de contrôle interne est
essentiel à la réussite de l'implémentation du pilier II.
Les sections 744 et 745 de Bâle II couvrent le processus de revue de contrôle interne : « La
structure du contrôle interne de la banque est essentielle dans le processus d'évaluation de
l’adéquation du capital. Un contrôle efficace du processus d'évaluation de l’adéquation du
capital inclut une revue indépendante par les auditeurs internes et/ou externes. Le conseil
d'administration de la banque a comme responsabilité de garantir que la direction a établi un
système pour évaluer les divers risques, a développé un système pour prendre les risques en

44 | P a g e
fonction du niveau du capital de la Banque et a établi une méthode pour contrôler la
conformité aux politiques internes. Le conseil doit vérifier régulièrement si son système de
contrôle interne est suffisant pour garantir la conduite adéquate et prudente des affaires ».

« La banque doit effectuer des revues périodiques de son processus de gestion des risques
pour garantir son intégrité, sa précision, et son bien-fondé. Les champs qui devraient être
réexaminés incluent :

- L’adéquation du processus d'évaluation du capital de la banque au point de vue nature,


étendue et la complexité de ses activités ;

- L'identification de grandes expositions et les concentrations de risques ;

- La validité et l’exhaustivité des données de base utilisées dans le processus


d'évaluation ;

- Le bien-fondé et la validité de scénarios utilisés dans le processus d'évaluation ; et

- Le stress testing et l'analyse des présomptions et des entrées. »

Les sections 751 et 752 couvrent l'évaluation de l'environnement de contrôle : « Les


superviseurs devraient considérer la qualité de la gestion de l’information, du reporting et des
systèmes, la façon avec laquelle les risques d’affaires et les activités sont agrégés, et la
réponse de la direction aux risques naissants ou changeants. Dans tous les cas, le niveau
capital d’une banque devrait être déterminé conformément à son profil de risque, à
l’adéquation des processus de sa gestion des risques et à son profil…»

§4 – Le Règlement Bancaire en France


L’organisation et le contrôle du système bancaire français sont régis par la loi bancaire du 24
janvier 1984, loi qui remplace celle du 13 juin 1941 et du 2 décembre 1945. La loi bancaire
édicte des règles communes à tous les établissements, le but étant de les regrouper au sein
d’un même texte.

En matière de contrôle interne, le Comité de la Réglementation Bancaire a publié un


règlement qui prévoit un renforcement du contrôle interne des établissements de crédit (le
règlement « 97-02 » du 21 février 1997). L’objectif du règlement de 1997 est de s’assurer que
tous les risques sont analysés et surveillés et de contribuer à la détection précoce et à la
prévention des difficultés.

Ce règlement tient compte des préoccupations et des réflexions menées par les instances
internationales. À ce titre, il convient de souligner la très forte convergence des principes
45 | P a g e
dégagés dans ces réflexions internationales et ceux qui ressortent, en France, du règlement n°
97-02 relatif au contrôle interne, qui est entré en vigueur le 1er octobre 199720.

L’une des idées directrices du règlement de 1997 est que le contrôle interne est un système
qui fonctionne en continu à tous les niveaux de l’établissement. À ce titre, il constitue une
composante essentielle de la gestion d’un établissement et un élément de la culture de celui-ci,
afin de faire partager, à l’ensemble du personnel, l’importance du contrôle.

C’est la raison pour laquelle cette notion de contrôle interne doit comprendre des principes
relatifs à l’organisation des activités de contrôle et la maîtrise des risques encourus, en
permettant à l’établissement de conserver sa capacité à la fois à identifier, à mettre à profit des
opportunités et à réagir lorsque des risques apparaissent.

Le rôle de l’inspection est renforcé et en particulier sa fonction de coordination ayant pour


mission, d’animer les réflexions des directions sur la définition de leur système de contrôle
interne, avec l’objectif d’améliorer la cohérence du dispositif.

La fonction du contrôle interne doit concerner désormais plus la prévention que la répression.
Le but du contrôle interne n’est pas de surprendre les erreurs et les fraudes, mais d’avoir un
dispositif permanent qui donne une assurance raisonnable de sécurité. Enfin, au niveau des
systèmes d’information, ceux-ci doivent évoluer pour offrir des informations pertinentes
(qualité, fiabilité, sécurité) et adaptées aux besoins de l’utilisateur.

20
Les réflexions internationales en matière de contrôle interne, Bulletin de la commission bancaire n°18, Avril 1998
46 | P a g e
Chapitre 3 - Cadre légal et réglementaire
régissant le contrôle interne des
établissements bancaires en Tunisie
Le contrôle bancaire n'est qu’un élément d'un dispositif plus vaste, nécessaire pour
promouvoir la stabilité sur les marchés financiers. Les publications du comité de Bâle 21 ont
recensé cinq conditions préalables pour un contrôle bancaire efficace :

1. des politiques macroéconomiques saines et soutenables,


2. une infrastructure publique bien développée,
3. une discipline de marché efficace,
4. des procédures pour résoudre de manière efficiente les problèmes des banques et
5. des mécanismes assurant un niveau approprié de protection systémique.

L’évaluation faite par le FMI22 a montré que la plupart des préalables à l’efficacité du contrôle
bancaire sont réunies en Tunisie : stabilité de l'environnement macroéconomique,
infrastructures publiques en général bien développées, discipline de marché et procédures de
résolution des situations d’insolvabilité bancaire. Il existe cependant quelques carences, telles
que la lenteur des procédures judiciaires ou l'absence de mécanismes efficaces de règlement
extrajudiciaire. L'enregistrement des titres fonciers et l'inscription des hypothèques sont
d’autres sources de retard.

Le dynamisme des banques tunisiennes a permis d’initier une transformation en profondeur


du secteur bancaire courant la dernière décennie. Les prochaines années verront également un
renforcement du système financier notamment par la mise en place des grands axes de
réforme prévus par le programme présidentiel 2009-2014. Ce programme prévoit notamment
la consolidation des fondamentaux financiers du secteur bancaire à travers l’augmentation du
capital minimum des banques à 100 millions de dinars et l’abaissement du taux des créances
accrochées à 7%, la promotion des services bancaires à travers le développement de réseaux
d’agences dans tout le pays et l’utilisation des nouvelles technologies de l’information
(comme le paiement par la téléphonie mobile, la restructuration du secteur bancaire public
notamment par la création de Tunisie holding et du pôle Al Moubadara et l’ouverture sur
l’étranger à travers l’élargissement du réseau d’agences de la « Tunisian Foreign-Bank » en

21
Principes fondamentaux pour un contrôle bancaire efficace, Comité de Bâle sur le contrôle bancaire, Septembre 1997
22
Rapport du FMI n°06/448, Tunisie – Mise à jour de l’évaluation de la stabilité du système financier, Décembre 2006
47 | P a g e
Europe, la consolidation de la présence des Banques en Afrique et la promotion de la Tunisie
en tant que place financière internationale.

La mise en place desdits axes va conforter les groupes existants, faciliter l’émergence des
PME et soutenir le rayonnement des industries tunisiennes à l’étranger.

Cette émergence s’est accompagnée par une évolution du cadre règlementaire et juridique
régissant la gouvernance bancaire d’une manière générale et le contrôle interne plus
particulièrement.

Le comité Bâlois a énoncé vingt-cinq principes fondamentaux de base indispensables pour


qu'un système prudentiel soit efficace. Ils recouvrent les domaines suivants:

- Conditions préalables à un contrôle bancaire efficace (principe 1)

- Agrément et structure de propriété (principes 2-5)

- Réglementations et exigences prudentielles (principes 6-15)

- Méthodes de contrôle bancaire permanent (principes 16-20)

- Exigences en matière d'information (principe 21)

- Pouvoirs institutionnels des autorités prudentielles (principe 22)

- Activité bancaire transfrontalière (principes 23-25).23

Les Principes fondamentaux sont destinés à constituer une référence de base pour les autorités
prudentielles et autres instances officielles dans tous les pays ainsi qu'à l'échelle
internationale. Nous avons opté dans le cadre de cette étude d'utiliser les principes énoncés
par ce comité ayant trait aux systèmes de contrôle interne pour revoir les procédures
prudentielles en Tunisie et d'identifier d'éventuelles insuffisances. De par leur conception, les
principes sont vérifiables par les autorités de contrôle, les groupes prudentiels régionaux et le
marché dans son ensemble. Le FMI et la Banque mondiale recourent généralement à ces
principes pour aider les pays à renforcer leur dispositif prudentiel dans le cadre de leur action
en faveur de la stabilité macroéconomique et financière globale.

Section 1 – Le cadre légal en Tunisie


Le cadre légal et réglementaire régissant le contrôle bancaire en Tunisie s’inspire assez
largement du référentiel français. Deux textes législatifs intéressant le contrôle des
établissements de crédit ont été adoptés :

23
Principes fondamentaux pour un contrôle bancaire efficace, Comité de Bâle sur le contrôle bancaire, Septembre 1997
48 | P a g e
- la loi 2001-65 du 10 juillet 2001, qui a été modifiée par la loi 2006-19 du 2 mai 2006 ;

- la loi 2005-96 relative au renforcement de la sécurité des relations financières, qui met
à la charge des sociétés faisant appel public à l’épargne, dont les établissements de
crédit, à faire certifier leurs états financiers par deux commissaires aux comptes.

§1 – Les instruments de surveillance de la BCT


La loi n° 2001-65 a confié à la Banque Centrale de Tunisie le pouvoir de contrôler les
établissements de crédit. Elle dote la BCT, à cet effet, des instruments de surveillance
suivants:

Le Droit d'information

Les établissements de crédit sont tenus de fournir à la Banque Centrale de Tunisie tous
documents, renseignements, éclaircissements et justifications nécessaires à l'examen de leurs
situations et permettant de s'assurer qu'elles font une application correcte de la réglementation
édictée en matière de contrôle du crédit et des changes et de contrôle des établissements de
crédit.
Les commissaires aux comptes des établissements de crédit sont tenus de remettre à la
Banque Centrale de Tunisie dans les six mois suivant la clôture de chaque exercice, un
rapport concernant le contrôle qu'ils ont effectué et de lui adresser une copie de leur rapport
destiné à l'Assemblée Générale et aux organes de l'établissement de crédit qu'ils contrôlent.
Ils sont également tenus de signaler immédiatement à la Banque Centrale de Tunisie tout fait
de nature à mettre en péril les intérêts de l'établissement du crédit ou des déposants.

En application de l’article 7 de la loi 2005-96, les commissaires aux comptes sont tenus de
communiquer à la Banque Centrale de Tunisie une copie de chaque rapport adressé aux
assemblées générales, et ce pour :

- les sociétés faisant appel public à l’épargne,

- les sociétés tenues d’établir des états financiers consolidés conformément à la


législation en vigueur si le total de leur bilan au titre des comptes consolidés dépasse
un montant fixé par décret,

- les sociétés dont le total de leurs engagements auprès des établissements de crédit et
l’encours de leurs émissions obligataires dépasse un montant fixé par décret.

49 | P a g e
Le Contrôle sur pièces

Ce contrôle est exercé sur la base des documents comptables et financiers et des données
statistiques communiquées périodiquement par les établissements de crédit.

Le Contrôle sur place

Ce contrôle est effectué par le biais des missions d'inspection globale inscrites dans le cadre
d'un programme annuel établi par la BCT. Il constitue un moyen de vérification de
l'exactitude des informations transmises et d'appréciation de l'organisation et du
fonctionnement interne des établissements de crédit.

L'objectif de ces missions est de faire un diagnostic financier et organisationnel de


l'établissement de crédit inspecté afin de prévenir les différents risques inhérents à l'activité.

En plus de ces vérifications périodiques, le contrôle sur place peut revêtir la forme d'une
mission d'inspection ponctuelle ayant l'aspect d'une enquête de courte durée et portant sur des
opérations particulières.

§2 - Mesures préventives et répressives de la BCT


La BCT est dotée de mesures préventives et répressives. La loi n°2001-65 relative aux
établissements de crédit a prévu un mécanisme propre d'administration provisoire pour le
traitement des établissements de crédit en difficulté économique. Dans ce cadre, la Banque
Centrale désigne un administrateur provisoire auquel sont transférés les pouvoirs nécessaires à
l'administration et à la gestion de l'établissement de crédit et sa présentation auprès des tiers.

L'administration provisoire cesse d'avoir effet à partir du moment où l'établissement de crédit


est en état de cessation de paiement. Dans ce cas, l'administrateur provisoire propose la
liquidation judiciaire dudit établissement.

Lorsque la situation d'un établissement de crédit le justifie, le Gouverneur peut faire appel à
l'actionnaire de référence et aux principaux actionnaires pour soutenir leur établissement et
recourir, le cas échéant, à la solidarité en organisant le concours de l'ensemble des
établissements de crédit pour assister l'établissement en difficulté, protéger les intérêts des
déposants et préserver le renom de la place.

Tous les établissements de crédit agrées en qualité de banque doivent adhérer à un mécanisme
de garantie des dépôts destiné à indemniser les déposants en cas d'indisponibilité de leurs
dépôts ou autres fonds remboursables. Toutefois, ce mécanisme n’est toujours pas
fonctionnel.

50 | P a g e
La BCT a également un pouvoir d'injonction à l'égard des établissements de crédit à l'effet
notamment d'augmenter le capital, d'interdire toute distribution de dividendes et de constituer
des provisions.

La Banque Centrale de Tunisie dispose d'un pouvoir disciplinaire qu'elle partage avec la
Commission bancaire, à l'effet de sanctionner les manquements commis par les banques et
leurs dirigeants à la législation et à la règlementation bancaires. Ces sanctions sont de
différentes catégories: avertissement, blâme, amende pouvant atteindre cinq fois le montant de
l'infraction, suspension de tout concours de la Banque Centrale de Tunisie, mise en garde
adressée aux dirigeants d'un établissement de crédit qui ont manqué aux règles de bonne
conduite de la profession.

D'autres sanctions peuvent être prononcées à l'initiative du Gouverneur de la Banque


Centrale, par une instance collégiale de nature juridictionnelle appelée "Commission
bancaire", présidée par un magistrat et qui comprend les représentants de la Banque Centrale,
du Ministère des Finances et de l'Association Professionnelle Tunisienne des Banques et des
établissements financiers. Ces sanctions peuvent revêtir la forme d’une interdiction d'effectuer
certaines opérations et toutes autres limitations dans l'exercice de l'activité, d’un retrait de la
qualité d'intermédiaire agréé et même d’un retrait de l'agrément.

Cette Commission peut également prononcer, contre les dirigeants des banques coupables
d'infractions à la législation et à la réglementation bancaire, la suspension temporaire de toute
fonction avec ou sans nomination d'administrateur provisoire, la cessation de fonction avec ou
sans nomination d'administrateur provisoire, une amende pouvant atteindre cinq fois le
montant de l'infraction.

§3 – Institution des organes de contrôle au sein des établissements de crédit


La loi n°2001-65 a mis à la charge des établissements de crédit, en application de l’article 34,
de créer un comité permanent d’audit interne, chargé notamment

- de veiller à ce que les mécanismes appropriés de contrôle interne soient mis en


place par l'établissement,
- de réviser et de donner son avis sur le rapport annuel y compris les états
financiers de l'établissement avant leur transmission au conseil d'administration
ou au conseil de surveillance pour approbation,
- de revoir tout relevé de l'établissement avant sa soumission aux autorités de
supervision,

51 | P a g e
- d'examiner tous placements ou opérations susceptibles de nuire à la situation
financière de l'établissement et portés à sa connaissance par les commissaires
aux comptes ou les auditeurs externes.

Les établissements de crédit doivent ainsi mettre en place un système approprié de contrôle
interne qui garantit l'évaluation permanente des procédures internes, la détermination, le suivi
et la maîtrise des risques liés à l'activité de l'établissement de crédit. L’audit interne devrait
être rattaché directement à la direction générale.

La loi n°2006-19, qui modifie la loi n°2001-65, introduit plusieurs nouvelles dispositions en
matière de contrôle interne. Ces dernières portent en particulier sur l’obligation faite aux
établissements de crédit :

(1) de mettre en place un « système approprié de contrôle interne » (article 34 bis) ;


(2) de se doter d’un comité exécutif de crédit, distinct du comité de crédit, chargé
notamment d’examiner l’activité de financement et de formuler des propositions au
conseil d’administration ou au conseil de surveillance sur la politique de financement
de l’établissement (article 34 ter) ;
(3) de mettre en place un système de contrôle de la conformité, approuvé par le conseil
d'administration ou le conseil de surveillance et revu annuellement. Les établissements
de crédit doivent instituer dans leur organigramme un organe permanent de contrôle
de la conformité chargé notamment de déterminer et d'évaluer les risques de non
conformité aux lois et règlements en vigueur, aux règles de bon fonctionnement de la
profession et aux bonnes pratiques (article 34 quater). La mise en œuvre de ces
dispositions a fait l’objet de la circulaire n°2006-06 de la BCT du 24 juillet 2006
relative à la mise en place d’un système de contrôle de la conformité dans les
établissements de crédit.

Le contrôle des établissements de crédit a été également renforcé par la loi n°2005-96 selon
laquelle les comptes annuels des établissements de crédit faisant appel public à l'épargne sont
soumis à la certification de deux commissaires aux comptes inscrits au tableau de l'ordre des
experts comptables de Tunisie.

Le rôle confié aux commissaires aux comptes d’établissements de crédit dans le dispositif de
supervision est important, puisqu’ils doivent adresser chaque année plusieurs rapports à la BCT,
portant en particulier sur les ajustements apportés aux états financiers, le contrôle interne et de

52 | P a g e
gestion, le portefeuille de crédits et les ratios arrêtés au 31 décembre. En outre, les auditeurs
externes sont tenus d’assister aux réunions périodiques organisées par la BCT avec les banques.

Les commissaires aux comptes doivent vérifier périodiquement l'efficacité du système de


contrôle interne24 et leurs rapports doivent contenir une évaluation générale du contrôle
interne25. Il est ainsi de la responsabilité du commissaire aux comptes d’évaluer l’efficacité du
système de contrôle interne des établissements bancaires. Bien que la responsabilité du
conseil d’administration quant à la mise en place d’un système approprié de contrôle interne
soit clairement instituée par la règlementation tunisienne, l’évaluation d’un tel système
demeure de la responsabilité du commissaire aux comptes contrairement aux dispositifs
adoptés à l’échelle internationale qui confient une telle évaluation au conseil d’administration
ou à la direction générale et chargent les auditeurs externes de donner une opinion
professionnelle sur la base d’un audit mené sur la base d’un cadre de contrôle interne bien
déterminé (Comme COSO) sur l’évaluation faite par la direction du système de contrôle
interne.

Section 2 - Les normes comptables Bancaires


Les règles comptables en vigueur pour les établissements de crédit sont généralement proches
de celles reconnues sur le plan international. Plusieurs normes (NC35 à 39), proches des
normes IFRS, ont été adoptées en 2003 par le Conseil national de la comptabilité pour définir
les règles d’élaboration des comptes consolidés, que les établissements sont tenus de produire
depuis l’exercice 2003. Toutefois, certaines divergences subsistent dont notamment les règles
fixées par la circulaire n°91-24 de la BCT pour le provisionnement des créances non
performantes. Ces règles ne prévoient pas l’actualisation des flux annuels de trésorerie
estimés. Compte tenu des délais relativement longs d’apurement des créances douteuses et de
la faiblesse des sommes recouvrées après ouverture d’une procédure contentieuse,
l’application du référentiel comptable international aura sans doute un impact significatif sur
les capitaux propres des Banques Tunisiennes.

La norme comptable 22 constituait le principal référentiel de contrôle interne au plan


réglementaire. Cette norme a défini les objectifs du contrôle interne au sein des établissements
bancaires et a énuméré ses facteurs essentiels. Elle donne à la direction des banques la tâche

24
Article 266 du code des sociétés commerciales
25
Article 3 (nouveau) de la loi 94-117 portant réorganisation du marché financier
53 | P a g e
de « déterminer les procédures et les moyens adéquats pour atteindre les objectifs de contrôle
interne »

Section 3 - Les circulaires de la Banque Centrale de Tunisie


§ 1 – La circulaire de la BCT sur le contrôle interne
La circulaire de la BCT sur le contrôle interne, adoptée en novembre 2006 et dont les
dispositions sont entrées en vigueur depuis le 2 janvier 2008, passe en revue les principaux
risques bancaires et fixe les obligations auxquelles sont soumis les établissements pour
chacun d’entre eux. Elle précise également les attributions et la composition du comité
permanent d’audit et impose aux établissements de désigner un responsable d’audit interne.
En outre, elle soumet les établissements à la remise de deux rapports annuels à la BCT : l’un
sur les risques (article 53), l’autre sur les conditions dans lesquelles le contrôle interne est
assuré (article 52).

Cette circulaire a défini le système de contrôle interne comme étant « l’ensemble des
processus, méthodes et mesures visant à assurer en permanence la sécurité, l’efficacité et
l’efficience des opérations, la protection des actifs de l’établissement de crédit ou de la
banque non résidente, la fiabilité de l’information financière et la conformité de ces
opérations avec les lois et les réglementations en vigueur »26. Cette définition rejoint cette
définition énoncée par la norme comptable tunisienne NC22. Toutefois, cette circulaire n’a
retenu que quatre composantes du système de contrôle interne :

- un système de contrôle des opérations et des procédures internes ;


- une organisation comptable et du traitement de l’information ;
- des systèmes de mesure, de surveillance et de maîtrise des risques ;
- un système de documentation et d’information.

Les deux premières composantes diffèrent aussi bien des composantes énoncées par les
standards internationaux (dont notamment COSO et Bâle) que des composantes énoncées par
les normes comptables bancaires tunisiennes. Elles semblent s’orienter vers la composante
comptable des opérations bancaires et ne couvrent pas ainsi l’ensemble des processus
fonctionnels devant être couverts par le système de contrôle interne. L’organisation comptable
constitue un volet important de l’environnement de contrôle mais elle ne peut à elle seule
assurer l’ensemble des objectifs de cette composante. De même, la composante surveillance
semble être écartée de la définition énoncée par la circulaire de la BCT.

26
Art. 3 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
54 | P a g e
Certaines obligations prévues par la circulaire de la BCT sur le contrôle interne ont été jugés
par le FMI comme « ambitieuses », telles que l’attribution à chaque client d’une notation ou la
réalisation de simulations de crise (stress tests) destinées à évaluer l’adéquation des fonds
propres, en cas de survenance d’événements de nature à accroître sensiblement les risques
bancaires. Cette circulaire s’inscrit toutefois pleinement dans le cadre de l’implémentation du
dispositif de Bâle II en Tunisie.27

La BCT a renforcé la culture de crédit des établissements bancaires en leur demandant


d’exiger la production d’états financiers certifiés par un commissaire aux comptes, lorsque les
engagements bancaires sur une même entreprise dépassent 5 millions de dinars et une notation
récente si leur montant atteint 25 millions de dinars et que la société n’est pas cotée.

La circulaire n°2006-19 de la BCT relative au contrôle interne fixe des règles pour la gestion
du risque de crédit, détaillées dans les articles 22 à 30. Celles-ci portent notamment sur
l’élaboration de procédures, la constitution de dossiers de crédit, l’évaluation du risque, la
mise en place d’une notation interne, la prise en compte de la rentabilité et la revue
trimestrielle des engagements. Ces règles sont généralement conformes au principe 7 des
Principes fondamentaux pour un contrôle bancaire efficace publié par le comité de Bâle.

§ 2– La circulaire de la BCT relative à la division et la couverture des risques


Les établissements de crédit sont tenus de respecter deux ratios de gestion : celui de
couverture (ratio de solvabilité calé sur le ratio Cooke, qui doit être au moins égal à 8 %) et de
division des risques. Les fonds propres en constituent le numérateur ; le dénominateur inclut
l’ensemble des risques de crédit encourus, qu’il s’agisse des créances inscrites à l’actif ou des
engagements de hors bilan. Les établissements de crédit sont tenus de déclarer
trimestriellement à la BCT leur ratio de couverture des risques, qui comprend le détail de
leurs fonds propres.

Les établissements de crédit ne déclarent leurs fonds propres que sur une base individuelle, en
l’absence de ratios prudentiels consolidés. L’instauration d’une supervision sur une base
consolidée constitue un objectif important, tant pour les banques qui détiennent des
participations que pour la BCT.

La circulaire de la BCT relative au contrôle interne introduit de nouvelles obligations pour les
groupes bancaires, qui sont désormais tenus de suivre leurs risques sur une base consolidée

27
Rapport du FMI n° 07/98, Tunisie—Mise à jour de l’évaluation de la stabilité du système financier : évaluation détaillée
de la conformité aux principes fondamentaux de Bâle pour un contrôle bancaire efficace, Mars 2007
55 | P a g e
(Article 18) et de mettre en place des procédures de contrôle interne homogènes au sein de
leurs filiales financières (Article 5).

La BCT devrait ainsi introduire des ratios consolidés, de façon à ce que les règles de
supervision en vigueur s’appliquent aux groupes bancaires. Les participations détenues par les
groupes bancaires en Tunisie constituent une source additionnelle de risques. Ainsi, des
engagements sur un débiteur, déjà lourdement endetté auprès de la banque, société mère,
pourraient être consentis par sa SICAR. En outre, les cessions de créances ne doivent pas
conduire, dès lors que la banque conserve un risque, à une baisse de l’exigence en fonds
propres par rapport à la situation initiale.

L’article 5, relatif au calcul des fonds propres, de la circulaire n°91-24 de la BCT gagnerait à
être modifié, afin que les banques déduisent de leurs fonds propres, déclarés sur base
individuelle, les participations ainsi que toute créance assimilable à des fonds propres qu’elles
détiennent dans d’autres établissements financiers. En effet, bien que ces participations soient
aujourd’hui limitées, l’Accord sur le ratio Cooke prévoit que les investissements dans les
filiales ayant une activité bancaire et financière, à savoir les participations et autres éléments
ayant la nature de fonds propres dans les établissements qui en bénéficient, doivent être
déduits des fonds propres de la société mère, dès lors que leur calcul ne se fait pas sur une
base consolidée. Cette déduction est destinée à éviter une utilisation multiple des mêmes
fonds propres dans différentes unités financières d’un même groupe bancaire (chez la so ciété
mère et sa filiale). En contrepartie, les éléments déduits des fonds propres de la société mère
ne sont pas inclus dans le total de ses actifs pondérés.

D’une manière générale, la circulaire n°91-24 relative à la division, couverture des risques et
suivi des engagements gagnerait à être revue en profondeur pour inclure des ratios consolidés
et s’adapter au nouvel accord de Bâle II pour couvrir aussi bien les risques prévus au niveau
de son premier pilier (risque de marché et risque opérationnel en plus du risque de crédit) que
ceux du deuxième pilier (risques non couverts par le pilier 1 générés essentiellement par les
tests de détresse sur la liquidité, le taux d’intérêt, la concentration …). Aucune exigence en
fonds propres n’est requise actuellement pour les risques autres que de crédit.

§ 3 – Externalisation des opérations bancaires


La tendance à externaliser les opérations clés et les processus techniques a crée des défis dans
la conformité réglementaire et l’amélioration des contrôles internes.

56 | P a g e
L'externalisation est définie par le forum commun du comité de Bâle, de l’organisation
internationale des commissions de bourses (IOSCO) et l’association internationale des
superviseurs des assurances28 comme étant l'utilisation d'une entité dont l’activité est
réglementée d'un tiers (apparenté ou non apparenté) chargé d’assurer sur une base permanente
des activités qui auraient dues être normalement entreprises par l’entité.
L'externalisation auprès de tiers de certaines activités de la Banque ne supprime pas toutefois
la responsabilité qui incombe à son conseil d’administration quant au maintien d’un système
de contrôle interne efficient sur les processus externalisés.

L’externalisation des processus a touché en majorité les fonctions de technologie de


l’information, l’administration, les finances, la distribution et la logistique, la gestion des
ressources humaines et les centres d’appel. Les raisons principales de l’externalisation
demeurent sans doute liées aux objectifs de réduction des coûts, de concentration des entités
sur leurs métiers de base et l’accès à des technologies nouvelles permettant une meilleure
gestion des affaires29.

Le développement des externalisations a suscité plusieurs pays à organiser cette activité pour
les secteurs règlementés comme les Banques. (L’Allemagne et le japon en 2001, l’Australie
en 2002, la Belgique en 2004, la France en 2005…30). La BCT a publié en 2006 la circulaire
n°2006-01 relative à la règlementation des opérations d’externalisation.

Cette circulaire a soumis l’externalisation de certains processus à l’obtention préalable de


l’autorisation de la BCT, notamment les processus ayant trait au traitement des données de la
clientèle, le processus d’appui logistique lié à l’activité de crédit ainsi que l’utilisation des
services d’un tiers non résident. La Banque Centrale a également gardé un droit d’information
préalable des autres externalisations à entreprendre par les Banques Tunisiennes.

Cette circulaire a permis d’arrêter certaines opérations d’externalisation jugées par la Banque
Centrale comme non conformes à la règlementation.31

Toutefois, cette circulaire n’a pas expressément interdit l’externalisation de certains


processus. Les publications du comité de Bâle sur la supervision bancaire ont montré que la

28
Outsourcing in Financial Services, the joint forum, February 2005
29
Outsourcing Institute - 5th Annual Outsourcing Index 2004
30
Regulatory Developments, Outsourcing in Financial Services, the joint forum, February 2005
31
C’est le cas de la Société « Tasshil » qui a été chargée de gérer une partie du portefeuille crédit à la consommation de
l'UIB. L’activité de cette société a été suspendue par la Banque Centrale de Tunisie au cours de l’exercice 2006.
57 | P a g e
responsabilité finale de certaines fonctions clés au sein de la Banque ne peut pas être
externalisée. C’est le cas du responsable de conformité32 et de l’audit interne33.

Le même comité a exigé que les Banques ayant recourt à l’externalisation devraient mettre en
place des politiques, approuvées par leurs conseils d’administration, qui seraient à la base des
décisions d’externalisation. Des programmes spécifiques de gestion des risques liés aux
activités externalisées devraient également être implémentés. Ces programmes devraient tenir
compte de dix natures différentes de risques liés à l’externalisation dont les risques
opérationnels, stratégiques, de conformité et de réputation34.

32
Principal 10, Compliance and the compliance function in banks, Basel Committee on Banking Supervision, April 2005
33
Principal 20, Internal audit in banks and the supervisor's relationship with auditors Basel Committee on Banking
Supervision, August 2001
34
Key Risks of Outsourcing, Outsourcing in Financial Services, the joint forum, February 2005
58 | P a g e
Synthèse de la première Partie
Le cadre de référence sur le contrôle interne publié par COSO a le mérite d’avoir défini,
clarifié et mis en place depuis le début des années quatre-vingt dix, les contours et le contenu
de la notion de contrôle interne à l’échelle internationale. Ainsi, l’ensemble des Règlements
ultérieurs publiés par les différents pays se sont basés sur les travaux et les concepts
développé par COSO qu’ils ont adopté comme base pour l’organisation et l’évaluation des
systèmes du contrôle interne. Ce cadre demeure valable jusqu’à nos jours.

C’est ainsi que les règlementations de plusieurs pays développés ainsi que les normes
comptables Tunisiennes ont retenu globalement la définition, les objectifs et les composantes
du contrôle interne tels qu’adoptés par COSO.

Le Cadre de référence sur le contrôle interne du COSO a fait l’objet de plusieurs


interprétations et éclaircissements depuis sa publication. C’est ainsi que les Banques ont
fourni un effort considérable pour adapter ce cadre à l’environnement qui est le leur sans
modifier substantiellement pour autant sa structure. Les publications du comité de Bâle et de
la Banque Centrale Européenne demeurent à ce propos les références régissant de contrôle
interne Bancaire.

Schéma 2 : Principaux développements règlementaires et prudentiels des cadres de contrôle interne à l’échelle
internationale

59 | P a g e
L’ouverture de l’économie tunisienne, les réformes de la règlementation bancaire et les
mesures adoptés par la BCT ont contribué au cours des dernières années à sensibiliser les
établissements de crédit aux risques et à la nécessité de renforcer leur dispositif de contrôle
interne. Il convient d’assortir cette évolution par la surveillance de la mise en place effective
par les établissements des dispositions édictées par la circulaire de la BCT sur le contrôle
interne.

La BCT est dotée de plusieurs instruments de surveillance dont le droit à l’information, le


contrôle des établissements de crédit sur pièce et sur place. Elle est dotée également du
pouvoir de prendre des mesures préventives et répressives qui lui permettent d’accomplir
convenablement son rôle de superviseur.

La revue de la règlementation tunisienne régissant l’activité bancaire par rapport aux critères
fondamentaux publiés par le comité de Bâle, montre telle que développé au niveau du dernier
chapitre de cette partie qu’il est possible d’identifier les axes d’amélioration de la
règlementation tunisienne. A ce sujet, nous avons retenu dans le cadre de la présente synthèse
les axes majeurs suivants :

- Sur le plan comptable, l’apparition des normes comptables bancaires n’a pas mis fin à
certaines règles comptables antérieurement publiées par la BCT. A titre d’exemple, les règles
de provisionnement des engagements demeurent régies par la circulaire de la BCT n°91-24.
Cette dernière ne tient pas compte de l’effet temps par le biais de l’actualisation des flux
annuels de trésorerie estimés. L’actualisation permet un meilleur rattachement des charges
aux produits et évite la couverture indéfinie des engagements douteux par des garanties dont
la réalisation se trouve parfois bloquée par des procédures contentieuses qui s’étalent sur des
périodes assez longues.

- Sur le plan prudentiel, la surveillance par la BCT des établissements de crédit sur une base
consolidée s’avère de plus en plus nécessaire. Le développement de la structure des Banques
et la filialisation de certaines activités (Recouvrement, collecte de dépôts, Leasing, capital
risque…) n’ont pas été accompagnés par une évolution des normes prudentielles de
couverture des risques. La surveillance devrait inclure également l’ensemble des risques
d’affaires propres aux établissements de crédit. Les risques de marchés, opérationnels, de
concentration, de liquidité, de taux d’intérêt… demeurent non couverts par des exigences
portant sur le niveau minimal de capitaux propres tel le cas pour le risque de crédit. Par
ailleurs, la BCT ne dispose pas d’un système de prévention des difficultés des banques de type

60 | P a g e
CAMEL (voir chapitre introductif de la deuxième partie ci-dessous), qu’il conviendrait donc de
mettre en place.

Le plan d’action recommandé par le FMI pour la BCT a mis en relief 8 actions prioritaires à
mettre en œuvre au niveau de la règlementation bancaire en Tunisie :

- Améliorer les conditions d’octroi de crédits et le suivi de la qualité du portefeuille.

- Renforcer le provisionnement des créances classées et réduire le taux des créances


improductives

- Renforcer la maîtrise des risques et le dispositif de contrôle interne dans les


établissements de crédit

- Mettre en place une surveillance sur une base consolidée

- Adapter les contrôles de la BCT aux nouvelles dispositions fixées par la circulaire sur
le contrôle interne sur les prêts aux apparentés et abaisser la limite globale applicable à
ces concours

- Mettre en force le système de sanctions

- Conclure des conventions avec les autres autorités de contrôle

- Renforcer l’indépendance du Gouverneur de la BCT.

Plusieurs principes liés à la bonne gouvernance des entreprises en général et des banques en
particulier ont été promulgués en Tunisie. Ces principes demeurent éparses, répartis dans
plusieurs lois et normes qu’il convient de rassembler dans un même code unique regroupant
les principes de bonne gouvernance. La bonne gouvernance des établissements bancaires est
un domaine prioritaire permettant de maintenir un système de contrôle interne approprié. La
promulgation d’un code unique de bonne gouvernance regroupant les six principes de bonne
gouvernance publiés par l’OCDE permettrait à notre avis de concourir à la transparence et à
l’efficience des marchés et définir clairement la répartition des compétences entre les
instances chargées de la surveillance, de la réglementation et de la bonne application de la
législation.

Bien que la responsabilité du conseil d’administration quant à la mise en place d’un système
approprié de contrôle interne soit clairement instituée par la règlementation tunisienne,
l’évaluation d’un tel système demeure de la responsabilité du commissaire aux comptes. Cette
tâche d’évaluation est incompatible avec la nature de l’intervention du commissaire aux
comptes et peut altérer son indépendance. L’évaluation du système de contrôle interne devrait
61 | P a g e
être de la responsabilité des conseils d’administration qui devraient dresser une telle
évaluation et la soumettre aux tiers investisseurs et superviseurs. Cette évaluation est un
vecteur de transparence sur l’environnement de contrôle de l’établissement et de son profil de
risque. Le commissaire aux comptes peut auditer une telle évaluation et être responsable de
son appréciation conformément à un référentiel généralement accepté. Cette solution, retenue
par plusieurs pays développés et émergents, devrait être accompagnée par l’approbation de
normes sous forme de standards généralement reconnus pouvant servir de base pour une telle
évaluation. La responsabilité des normalisateurs tunisiens dans ce cadre est de mettre en place
un référentiel de contrôle interne comparable à celui publié par le comité COSO.

Dans son rapport n° 09/329, le FMI a recommandé en décembre 2009 aux autorités
prudentielles tunisiennes d’adapter les cadres réglementaires et de contrôle à l’évolution du
secteur financier. Il sera utile d’aborder le contrôle bancaire dans une optique plus
prospective, notamment dans la perspective de Bâle II.

Nous nous efforcerons dans la deuxième et la troisième partie de cette étude à construire un
référentiel pouvant servir comme base pour l’évaluation et la notation des systèmes de
contrôle interne des établissements bancaires se basant sur les pratiques et la règlementation
en vigueur tout en essayant d’adapter les exigences de Bâle II, notamment le deuxième pilier,
à l’environnement des Banques tunisiennes.

62 | P a g e
Partie II

Evaluation des
composantes du
système de contrôle
interne :
Proposition de matrices
des politiques et des
contrôle clés

63 | P a g e
Chapitre introductif : les notations
privées et prudentielles des systèmes de
contrôle interne
Le contrôle interne demeure la clef de voute du dispositif du contrôle bancaire ; Cependant la
question se pose quant à la manière de son évaluation en interne comme en externe.

Section 1 - L’émergence de l’autocontrôle

Les accords bâlois ont institué une nouvelle vision du contrôle notamment suite à la
publication des accords de BALE II, à savoir L’autocontrôle35. L’introduction des risques de
marché dans le ratio Cooke en 1996 a été accompagnée par la possibilité d’utilisation de
modèles d’évaluation interne par les Banques. Ceci constituait la première étape du
développement de l’autocontrôle comme principe prudentiel. Le passage à Bâle II a été
considéré comme une migration d’une règlementation fondée sur des règles à une
règlementation axée sur les méthodes. Les organismes de normalisation laissent ainsi
davantage de latitude aux établissements bancaires pour concevoir et choisir les contrôles
internes adaptés à l’organisation de chaque établissement, permettant ainsi de pallier aux
risques énoncés notamment par l’adoption des méthodes avancées pour le calcul des risques
de crédit et les risques opérationnels.

L’autocontrôle est au cœur du nouveau dispositif avec l’instauration d’une décentralisation du


contrôle et un régulateur dont la mission première est de s’assurer de la qualité de cet
autocontrôle. (Lapierre, 2008)

Le système de contrôle interne permet ainsi la fiabilisation des mesures internes des risques et
constitue la première étape de validation des nouveaux processus comme illustré au niveau du
schéma suivant :

35
L’autocontrôle représente la possibilité laissée aux établissements financiers d’utiliser des modèles internes pour contrôler
et gérer leurs risques financiers. Un modèle interne se définit par trois composantes : une méthodologie d’ensemble et des
algorithmes de calcul, une organisation des responsabilités et des procédures de contrôle, un système d’enregistrement et de
traitement des opérations. (Christian Chavagneux, 2002)
64 | P a g e
Schéma 3 : Place de l’autocontrôle dans le nouvel accord de Bâle II.

Section 2 – Notation des systèmes de contrôle interne


Le contrôle interne bancaire fait l’objet d’une évaluation externe à la fois par les agences
privées de notation, les autorités de régulation et les auditeurs externes.

§1 - Les notations par les agences privées


Les agences de notations ont vu le jour aux Etats Unis à la fin du 20ème siècle pour sécuriser le
marché financier et ont permis aux investisseurs d’accéder à des informations synthétiques sur
le risque de défaillance des émetteurs. Ces agences ont contribué à relativiser l’asymétrie
d’information entre les emprunteurs et les investisseurs.

Les accords de Bâle ont accordé une place centrale pour les acteurs privés dans la
réglementation prudentielle notamment en termes de recours aux évaluations externes pour le
calcul des risques de crédit. Les Banques n’ayant pas opté pour l’utilisation des approches
sophistiquées du calcul des risques de crédit sont désormais contraintes de recourir aux
agences de notation externe pour calculer les risques encourus.

La grille suivante a été ainsi mise en place pour le calcul des risques de crédit encourus par
l’établissement selon la notation attribuée et la contrepartie :

AAA/AA A+/A- BBB+/BBB- BB+/B- Inférieur à B- Sans notation


Etat 0% 20% 50% 100% 150% 100%
Banques 20% 50% 50% 100% 150% 50%
Entreprises 20% 50% 100% 150% 100% 100%
Clientèle de détail 75%
Tableau 1 : Coefficients de pondération dans l’approche standard d’évaluation du risque de crédit

65 | P a g e
Les agences de notation sont devenues ainsi un maillon non négligeable de la chaîne de
contrôle interne avec la prise en compte des ratings privés dans la méthode standardisée de
calcul du risque de crédit.

Si les systèmes de notation se sont fortement développés pour les industries non bancaires,
notamment suite aux accords de Bâle exposés ci-dessus, ceci n’est pas vérifié pour la notation
de l’industrie bancaire elle même, sans doute en raison de l’opacité informationnelle liée à la
notion de confidentialité mise à la charge des banques.

Les agences de notation sont nombreuses, mais seulement trois agences internationales ont
dominé le marché : Fitch, Moody’s et Standard & Poor’s. L’agence Fitch s’est
particulièrement distinguée par la notation des établissements bancaires.

Les agences de notation attribuent généralement une note selon une méthodologie propre, non
publique et par conséquent non contrôlable. Cette note résulte de l’analyse d’éléments
quantitatifs et qualitatifs relatifs à la position actuelle et prévisible de l’entreprise par rapport à
son environnement et à sa situation financière. La notation est mise à jour régulièrement. Si la
mise à jour en question aboutit à une dégradation de la note, cela se traduit généralement par
une fuite des investisseurs et un accroissement du coût de la dette de la contrepartie notée.

Les agences de notation ont intégré certains critères se rattachant à la gouvernance des
Banques et à leurs systèmes de contrôle interne. En 2000, Standard & Poor’s a créé un
nouveau produit qui s’appelle « Corporate Governance Score » basé sur une échelle de 1 à 10
(10 étant la meilleure note) ; elle s’est servie de cette échelle pour exprimer le degré
d’efficacité de l’interaction entre les dirigeants, le conseil d’administration, les actionnaires et
les autres contreparties. L’analyse usitée est basée sur les principes fondamentaux de la
gouvernance d’entreprise promulgués par l’OCDE : traitement équitable, comptabilité,
responsabilité et transparence.

Les autres agences ont également intégré un système de notation de la gouvernance. Dans la
publication « Evaluation du Gouvernement d’entreprise par les Agences de Rating : Une
analyse comparative des méthodes », Fabrice Roth et Amir Louizi ont dressé à ce sujet un
tableau récapitulant l’ensemble des critères retenus par les agences de notation pour le rating
de la Gouvernance. 51 critères ont ainsi été regroupés en 6 volets :

66 | P a g e
Critères Descriptions Agence(s)

I. Droits des actionnaires externes :


1. Principe d’une action égale à Respect du principe par la société. Il s’agit de S&P et GMI
un droit de vote préciser si l’entreprise alloue des droits de vote
doubles aux détenteurs d’actions nominatives.
(quantitatif) (variable binaire 0 et 1)

2. Ordre du jour des Participation et disposition de l’ordre du jour S&P, Fitch et GMI
assemblées avant l’assemblée. Il s’agit de préciser avant
combien de jours, les investisseurs reçoivent
l’ordre du jour. Informations sur les résolutions
mises au vote.

3. Droit de proposition des Droit d’ajouter des propositions et de participation S&P et ISS
actionnaires aux réunions.
4. Traitement équitable des Traitement équitable des actionnaires lors d’une S&P, Moody’s et
actionnaires opération comme par exemple lors d’une GMI
augmentation de capital, les droits préférentiels
de souscription.
5. Modalités de vote Méthodes et procédures de vote (date, seuil de S&P, Moody’s ,
détention.). Les actionnaires peuvent voter par Fitch et GMI
procuration et aussi par moyens électroniques. Il
s’agit de préciser les modalités offertes par
l’entreprise en matière de vote (vote par
correspondance, par procuration.). Les procédures
utilisées pour informer les actionnaires des
réunions générales devraient prévoir l’égalité
d’accès de tous les actionnaires et s’assurer que
les actionnaires disposent de l’information
opportune et suffisante. Informations sur la date
de l’assemblée générale et des réunions.
Communication de la date et du lieu des réunions.
(qualitatif)
6. La défense contre l’OPA Existe-t-il un diapositif anti OPA (pilules S&P, Moody’s ,
empoisonnées) : L’inclusion des dispositions ISS, Fitch et GMI
légales qui pourraient aider à protéger les intérêts
des obligataires sur une fusion de type limitation
des droits de vote, autorisations d’émettre des
actions en période d’OPA.
7. Election des membres du Participation des actionnaires dans les élections S&P, Moody’s et
conseil des membres du conseil d’administrations ainsi Fitch
que les procédures mises en place en matière
d’élection (critères).
8. Vote cumulatif Il s’agit de préciser si la société utilise ou non un S&P et ISS
système de vote pondéré destiné à élire plusieurs
candidats. (quantitatif)
9. La transparence de la Informations sur la structure de la propriété de la S&P, Moody’s ,
structure de propriété compagnie. La structure de propriété de Fitch, ISS et GMI
l’entreprise devrait être transparente
10. Vote par mail Les actionnaires ont-ils la possibilité de voter par S&P
mail ou non ? (quantitatif) (variable binaire 0 et 1)

II. Le conseil d’administration


11. Indépendance du conseil Le degré de respect de la définition
d’indépendance adoptée par la société. Ce critère
est en liaison avec 12. Il s’agit de préciser les
critères utilisés par l’entreprise pour considérer un
administrateur comme indépendant.

67 | P a g e
12. Les administrateurs externes Nombre des administrateurs externes dans le
conseil d’administration. Il s’agit de préciser les
administrateurs externes indépendants.
L’entreprise donne-t-elle une définition des
administrateurs indépendants ou non ?
13. Taille du conseil Nombre d’administrateurs dans le conseil S&P, Moody’s ,
Fitch, ISS et GMI
14. Composition du conseil Nombre d’administrateurs indépendants dans le S&P, Moody’s ,
conseil d’administration. Il s’agit de la fraction Fitch, ISS et GMI
des administrateurs indépendants dans le conseil.
15. Missions du conseil Informations sur les missions et les activités du S&P, Moody’s ,
conseil dans l’entreprise. Le conseil doit remplir Fitch, ISS et GMI
un certain nombre de missions comme la
définition de la stratégie de l’entreprise, la
désignation des mandataires sociaux et le contrôle
de la gestion de l’entreprise.
16. Changements dans la taille Informations des changements éventuels dans la ISS
taille du conseil
17. Comité de gouvernance Existence du comité de gouvernance au sein du ISS et GMI
conseil. (quantitatif) (variable binaire 0 et 1).
18. Comité stratégique Existence du comité stratégique. (quantitatif) S&P
(variable binaire 0 et 1).
19. Comité de nomination Existence du comité de nomination. (quantitatif) S&P, ISS, Fitch et
(variable binaire 0 et 1). GMI
20. Séparation des fonctions Dissociation entre les fonctions du directeur ISS et Fitch
du PDG et des dirigeants général et du président du conseil
21. Réunions du conseil Nombre des réunions du conseil d’administration Moody’s , ISS et
d’administration par an. Fitch
22. Taux de présence Taux de participation des administrateurs aux
réunions du conseil
23. Election des administrateurs Procédures d’élection des administrateurs dans le Moody’s et Fitch
conseil
24. Règlement intérieur Existence et respect d’un code d’éthique ISS, Moody’s et
Fitch
25. Age de retraite Informations sur l’âge de retraite des ISS
administrateurs
26. Durée des mandats La durée du mandat de chaque administrateur ISS
27. Niveau d’éducation des Informations sur le niveau de diplôme des ISS
administrateurs administrateurs (Maitrise, Master, Ingénieur.).
28. Expérience des L’expérience des administrateurs dans le cadre de ISS
administrateurs leur poste.

III. Processus d’audit et qualité de l’information financière :


29. La qualité et le contenu de L’information devrait être clairement articulée et S&P, Moody’s ,
l’information publique divulguée accomplie à un niveau élevé. Le choix des normes Fitch et GMI
comptables devrait être fait clairement.
Informations sur les pratiques de gouvernance
d’entreprise appliquées par la firme. (qualitatif)
30. Le temps et l’accès à la Des rapports doivent être introduits à temps. Les S&P et GMI
divulgation de l’information règlements, les statuts et les articles de la
compagnie devraient être clairement articulés et
aisément accessibles à tous les actionnaires. Toute
information publiquement divulguée devrait être
disponible et librement accessible à la
communauté et aux actionnaires. (qualitatif
31. Comité d’audit Existence du comité d’audit dans l’entreprise S&P, Moody’s ,
Fitch, ISS et GMI
32. Taille du comité Nombre des membres dans le comité d’audit S&P, Moody’s ,
ISS, Fitch et GMI

68 | P a g e
33. Réunions du comité Nombre des réunions du comité d’audit Fitch et Moody’s
34. Indépendance du comité Nombre des membres indépendants dans le S&P, Moody’s ,
comité d’audit Fitch et GMI
35. Election des auditeurs Informations sur l’élection des auditeurs S&P et ISS
36. Missions du comité Informations sur les activités et les missions du S&P, Moody’s ,
comité d’audit dans le conseil : examen des ISS
comptes, vérification des procédures de contrôle et Fitch
interne, relations avec les commissaires aux
comptes. (qualitatif)

IV. Conflits d’intérêt et les transactions entre les parties


37. Conflits d’intérêt Dégager les conflits significatifs du directeur, les Moody’s
conflits d’intérêt exécutifs et comment ces conflits
sont contrôlés. Il s’agit d’évaluer les procédures
mises en place pour contrôler les conflits entre les
actionnaires et les dirigeants d’une part, et entre
les dirigeants et les créanciers, d’autre part.
38. La présence des mécanismes La présence des mécanismes ou des politiques qui Fitch et GMI
s’assurent que les transactions sont négociées
correctement, avec le prix indiqué et qu’elles
atteignent un objectif économique viable.
39. Le but des transactions Indiquer le but et les motivations fondamentales Fitch
derrière la transaction.
40. Le rôle du conseil en matière Le rôle du conseil dans l’approbation des Fitch
de transactions transactions entre les parties.

V. Les intérêts des employés et relations avec l’environnement social :


41. Environnement social Informations sur la politique environnementale de GMI
l’entreprise et sa responsabilité sociale. (par
exemple la société cherche à stabiliser son
environnement par une structuration
institutionnelle des relations qu’elle entretient
avec certaines parties prenantes, plus
l’environnement est instable, plus le dirigeant
essaie de multiplier ses contacts afin de capturer
des informations capitales).
42. intérêts des employés Précisions sur les droits des employés et les GMI
questions de sûreté dans l’entreprise.

VI. Politique de rémunération et convergence des intérêts actionnaires-dirigeants :

43. Comité de rémunération Existence du comité de rémunération S&P, Moody’s ,


Fitch, ISS et GMI
44. Politique de rémunération La politique de rémunération des directeurs, la S&P, Moody’s ,
des administrateurs et des discussion des structures encourageantes et leur Fitch, ISS et GMI
directeurs impact possible sur les incitations exécutives de
risque qui semble poser des dangers à long terme
aux intérêts des actionnaires et aux intérêts des
créanciers. Critères de fixation de la part fixe et de
la part variable.
45. Plan de succession La planification de la succession exécutive ISS, Moody’s et
Fitch
46. Dilution du stock option Préciser si l’entreprise maintient un niveau de ISS
dilution remarquable du stock option ou pas.
47. Fraction détenue par le Fraction détenue par le dirigeant S&P et Moody’s
dirigeant
48. Fraction détenue par les Fraction détenue par les investisseurs S&P et Moody’s
investisseurs institutionnels institutionnels.
49. Fraction détenue par les Fraction détenue par les administrateurs. S&P et Moody’s
69 | P a g e
administrateurs
50. Fraction détenue par les Fraction détenue par les administrateurs externes S&P et Moody’s
administrateurs externes

51. L’influence de la structure L’influence de la structure de propriété sur la S&P, Moody’s et


de propriété taille du conseil d’administration (par exemple la GMI
taille du conseil est plus faible dans les entreprises
à caractère familial et plus importante dans les
sociétés managériales).
Tableau 2 : Critères de la gouvernance retenus par les agences de notation (Roth, Louizi, 2007)

Les agences ont le mérite de développer un rating externe de la gouvernance des entreprises,
intégrant des critères liés directement à certaines composantes du système de contrôle interne.

Toutefois, les critères de Scoring retenus diffèrent sensiblement d’une agence à une autre.
Certaines agences ont appuyé leur méthodologie essentiellement sur des critères liés au droit
des actionnaires non impliqués dans la gestion, au processus d’audit et à la qualité de
l’information financière privilégiant ainsi une position extérieure à l’entreprise (S&P et GMI).
D’autres agences optent dans leurs méthodologies pour des critères concernant le conseil
d’administration privilégiant ainsi une vision intérieure à l’entreprise (ISS). Fitch et Moody’s
ont corrélé leur méthodologie avec les critères de la politique de rémunération et de la
convergence des intérêts actionnaires/dirigeants.

Il est utile de préciser également qu’aucune des agences de notation n’a développé, à notre
connaissance de critères spécifiques à la gouvernance bancaire, bien que le mode de
gouvernance de ces institutions, hautement réglementées, diffère sensiblement de la
gouvernance des industries non bancaires.

§2 - Les notations par les autorités de régulation


Le contrôle des établissements bancaire est effectué par les autorités de régulation par le biais
des contrôles sur pièces et des contrôles sur place. 36 Les autorités de contrôle doivent se doter
des moyens de collecter, d'examiner et d'analyser, sur une base individuelle et consolidée, les
rapports prudentiels et les états statistiques fournis par les banques. Les autorités de contrôle
doivent également être en mesure de valider les informations prudentielles par des inspections
sur place. Le contrôle sur place devrait être structuré pour vérifier, en toute indépendance,
l'existence d'un gouvernement d'entreprise adéquat permettant l'établissement et assurant la
fiabilité des informations fournies. L'inspection sur place constitue ainsi, pour l'autorité de
contrôle, un moyen de vérifier ou d'évaluer l'adéquation des systèmes de gestion des risques et
des procédures de contrôle interne.

36
Art. 32, Loi 2001-65 relative aux établissements de crédits et 16ème principe énoncé dans « Principes fondamentaux pour
un contrôle bancaire efficace » publié par le Comité de Bâle sur le contrôle bancaire en Septembre 1997
70 | P a g e
Les études menées par Sahajwala et Van der Bergh (2000) ont démontré l’importance des
contrôles prudentiels sur place pour mesurer l’efficacité du management et du contrôle
interne. Ces auteurs ont dénombré quatre catégories de systèmes d’évaluation du risque
utilisées par les autorités réglementaires des pays du G-10 :

1- Les systèmes de rating des banques (Supervisory Bank rating systems).

2- La « peer analysis » de ratios financiers (financial ratio and peer group analysis
systems)

3- Les systèmes d’évaluation exhaustifs ou complets des risques bancaires


(comprehensive bank risk assessments systems)

4- Les modèles statistiques (statisticals models) appelés aussi Early Warning Systems
(EWS).

Le modèle CAMEL(S), utilisés depuis le début des années 1980 par les autorités de
supervision américaines (FDIC, OCC et la FED), demeure sans doute l’indicateur le plus
développé à l’échelle internationale qui s’inscrit dans la catégorie EWS. Ce modèle est un
indicateur de santé financière des banques qui consiste à évaluer chaque banque et à lui
attribuer une note (rating) à partir de six facteurs clés dont la qualité de la gestion et des
contrôles. Chacun de ces six critères est noté par le régulateur sur une échelle de 1 à 5 (1 est la
meilleure note). Les notes obtenues sont pondérées afin d’obtenir une seule note (un rating)
synthétique prenant en compte l’ensemble des informations fournies par les composantes du
CAMEL(S). Les établissements notés 4 ou 5 sont jugés en difficulté et font l’objet d’une
surveillance plus rapprochée de la part des régulateurs.

Le critère lié à la qualité de la gestion et des contrôles regroupe selon la méthodologie


CAMEL(S) les facteurs suivants :

- les compétences techniques des cadres moyens et supérieurs


- la conformité (compliance) aux règles prudentielles et aux lois
- le respect du règlement intérieur
- les tendances à l’autoévaluation
- les capacités d’adaptation
- la volonté de répondre aux besoins de la communauté en matière de crédits

71 | P a g e
Echelle Intervalles Analyse du Interprétation
de Rating de Rating Rating
1 1.0-1.4 Fort Saine en tout point, Action du superviseur inutile
2 1.6-2.4 Satisfaisant Fondamentalement saine avec quelques faiblesses
non significatives pouvant être corrigées. Actions
limitées du superviseur.
3 2.6-3.4 Equilibré (Sous Ensemble de faiblesses renfermant des risques
surveillance) sévères si elles ne sont pas traitées. Mise sous
surveillance et nécessité d’une supervision
supérieure à la normale
4 3.6-4.4 Marginal Faiblesses importantes pouvant compromettre la
(Quelques risques viabilité de la Banque à moins de leur apporter un
d’échec) traitement adéquat. Supervision rapprochée nécessaire.
5 4.6-5.0 Insatisfaisant Risque important de sérieuses difficultés à court terme.
(Evidence Actions urgentes à engager incluant une supervision
d’échec probable) constante.
Tableau 3 : Rating CAMELS et son interprétation, Sahajwala et Van der Bergh (2000)

Par la suite, les autorités de contrôle bancaires de plusieurs pays ont développé des outils
d’analyse spécifiques du type CAMEL(S). A cet égard, on peut citer le système SEER de la
Federal Reserve américaine, le système SCOR du FDIC, le système français SAAB, le
système britannique TRAM, le système italien PATROL.

La Commission Bancaire en France analyse lors des contrôles sur place différents aspects du
contrôle interne dont notamment :

- La mise en œuvre de stratégie répondant au profil de risque,


- Engagement des dirigeants envers le contrôle interne,
- Rôle du comité d’audit,
- L’organisation du contrôle interne et notamment les moyens humains et matériels,
- Le rôle de la fonction de conformité,
- La qualité du système d’information et de communication,
- Les plans de continuité de l’exploitation,
- Le contrôle des activités externalisées,
- Le système de documentation des procédures et leurs mises à jour.

La commission Bancaire a adopté également une échelle de notation comparable au modèle


CAMEL(S) pour la notation, notamment, du système de contrôle interne.

§3 - Les notations par les auditeurs externes


En Tunisie, les commissaires aux comptes doivent vérifier périodiquement l'efficacité du
système de contrôle interne37 et leurs rapports doivent contenir une évaluation générale d’un

37
Article 266 du code des sociétés commerciales
72 | P a g e
tel système38. Il en est ainsi de la responsabilité du commissaire aux comptes de fournir une
évaluation de l’efficacité du système de contrôle interne des établissements bancaires.

L’étude des rapports des commissaires aux comptes des principales Banques de la Place39
nous a permis de constater que :

- 30% des rapports comportent une confirmation de l’inexistence d’insuffisances


majeures susceptibles d'impacter l’opinion sur les états financiers.
- 70% des rapports se prononcent sur l’existence d’un certain nombre d’insuffisances ou
d’anomalies et font directement référence aux rapports sur les recommandations de
contrôle interne qu’ils ont remis aux Banques, rapports qui demeurent généralement
non publics.

La même étude nous a permis de constater que dans l’ensemble des rapports des
commissaires aux comptes, aucune note méthodologique sur le processus d’évaluation du
système de contrôle interne des Banques en question n’a été traitée au niveau des rapports.
Nous pensons que l’absence de normalisation nationale traitant de ce sujet pourrait être à
l’origine d’un tel silence.

La règlementation tunisienne comparée à la règlementation américaine et notamment à la


section 404 de la loi de Sarbanes-Oxley promulguée en 2002, laisse apparaitre l’absence
d’obligation mise à la charge des auditeurs de produire une attestation sur l’évaluation faite
par la direction du système de contrôle interne, contrairement aux standards prévus par le
PCAOB.

Avec la publication la section 404 de la loi de Sarbanes-Oxley promulguée en 2002 et la


norme n°5 édictée par le PCAOB, un cadre règlementaire régissant l’évaluation du contrôle
interne par la direction et le contrôle de cette évaluation par l’auditeur externe a vu le jour. Ce
cadre a le mérite de mettre en place une méthodologie claire, indépendante et contrôlable
régissant l’évaluation du contrôle interne conformément au référentiel publié par le comité
COSO. Ce cadre constitue une illustration de l’autoévaluation et l’autocontrôle tels que
développés plus haut.

Cette règlementation a été suivie par d’autres pays. Le cadre de référence relatif au dispositif
de contrôle interne publié par l’autorité française des marchés financiers (AMF) suite à la

38
Article 3 (nouveau) de la loi 94-117 portant réorganisation du marché financier
39
L’échantillon non statistique a couvert les rapports des commissaires aux comptes au titre de l’exercice 2008 de 13
établissements de crédit tunisiens représentant 91% du total des actifs de l’ensemble des Banques Tunisiennes.
73 | P a g e
promulgation de la loi de sécurité financière ainsi que la 4ème et la 7ème directives comptables
de la commission européenne en est une illustration supplémentaire.

§4 – Problématique du contrôle : Privé ou Autorité de supervision


Les autorités de supervision sont plus efficaces pour l’évaluation des systèmes de contrôle
interne des établissements bancaires et sont capables d’anticiper les incidents bien avant les
agences de notation externes. L’accès à des informations confidentielles en est la principale
cause. Les superviseurs bancaires ont développé diverses procédures de notation dont
certaines traitent de quelques composantes du système de contrôle interne.

Barth J.R., Caprio Jr G. et Levine R. (2002) ont étudié la relation entre les différents systèmes
de régulation, de surveillance et de structure de propriété et la performance et la stabilité des
banques. Ils ont conclu que les stratégies de régulation financière et de supervision qui
encouragent le contrôle privé indépendant du gouvernement donnent des résultats plus
satisfaisants. En effet, dans les pays où le contrôle bancaire est réalisé par une agence privée
les banques semblent être plus performantes et plus stables.

Hirtle et Lopez (1999) ont conclu également que les inspections par les autorités de régulation
sur place, bien que plus efficaces, demeurent les plus couteuses.

Il est important de signaler enfin que les notations des systèmes de contrôle interne effectuées
par les autorités de régulation ne sont pas d’ordre public et les investisseurs ne bénéficient pas
par conséquent, d’une information qui peut s’avérer parfois capitale pour une prise de
décision et pour considérer le profil de risque de la Banque.

Les agences de notation ne peuvent pas, à notre avis, constituer une source efficace de
l’évaluation du contrôle interne bancaire. Cet avis est appuyé par plusieurs constats dont
notamment :

- Les agences de notation ont fait l’objet de plusieurs critiques depuis 1997 lors de la
crise asiatique en passant par la faillite d’Enron et dernièrement à l’occasion de la
crise des Subprime.
- Les agences de notation n’ont pas démontré leurs capacités de développer des critères
objectifs, indépendants, fiables, transparents et surtout contrôlables dans les
méthodologies de notation adoptées.
- Les agences de notation ont intégré de nouvelles activités de conseil sources de conflit
d’intérêt. (Rapport 2004 de l’AMF sur les agences de notation).

74 | P a g e
- L’analyse effectuée par les agences de notation se base sur des informations publiques
et non publiques, fournies par les émetteurs ou obtenues en dehors d’eux. Elle n’inclut
pas de travail d’audit, de vérification ou de certification des données transmises.
- Les agences privées n’ont pas accès aux renseignements confidentiels que peuvent
exiger les Autorités de contrôle ou les auditeurs externes. Elles procèdent à l’examen
de comptes, peuvent effectuer des visites sur site mais travaillent sur des données en
théorie publiques, c’est à dire accessibles à l’ensemble des investisseurs et ne peuvent
pas contraindre les entreprises contrôlées à fournir certaines informations. La fiabilité
de la notation dépend donc directement des informations transmises par les entreprises
notées, les agences n’ayant pas de facto la possibilité de vérifier en amont la véracité
desdites informations.

Le modèle d’évaluation du contrôle interne effectué par la direction et contrôlé par les
auditeurs externes souffre également de certaines insuffisances et ne réponds pas
nécessairement au besoin des autorités de régulation bancaires notamment pour les raisons
suivantes :

- Les cadres de référence adoptés pour l’évaluation du contrôle interne sont


d’application générale à l’ensemble des entreprises et ne tiennent pas compte des
spécificités de l’industrie Bancaire.
- Les cadres de référence adoptés pour l’évaluation du contrôle interne ne couvrent pas
l’ensemble du système de contrôle interne et se focalisent principalement sur les
objectifs de ce système ayant trait à la fiabilité de l’établissement et à la bonne
présentation d’états financiers. Les autres objectifs se rattachant à l’efficacité de la
réalisation et l’optimisation des opérations et à la conformité aux lois et à la
règlementation n’ayant pas un lien direct avec la préparation des états financiers, sont
ainsi d’une importance secondaire.
- La direction et l’auditeur évaluent et contrôlent l’efficacité ou non du contrôle interne.
Cette évaluation du type binaire (efficace ou inefficace), ne répond pas nécessairement
aux objectifs d’une évaluation basée sur des ratings comme ceux développés par les
autorités de régulation ou par les agences de notation (voir grille de rating exposée ci-
dessus). Dans le domaine d’évaluation d’un système qualitatif tel que le contrôle
interne, où des contrôles peuvent être compensés par d’autres (contrôles
compensatoires) et où surtout l’efficacité et la méthode d’implémentation d’un
contrôle varient selon l’activité, la taille et les objectifs assignés, il est à notre avis très

75 | P a g e
difficile de se baser sur une échelle composée de deux niveaux pour la notation d’un
tel système. Ceci serait même pénalisant pour certaines entreprises.

Compte tenu des limites exposées ci-dessus, nous estimons que la responsabilité finale de
l’évaluation des systèmes de contrôle interne des établissements bancaires devrait être
maintenue par les autorités de régulation. Le recours à des acteurs privés spécialisés pour
attribuer des Scoring aux systèmes de contrôle interne des Banques serait de nature à accroitre
l’efficacité d’un tel processus. D’autant plus que les accords bâlois n’excluent pas le recours
par les autorités de contrôle à des organismes externes pour effectuer les contrôles sur place 40.

L’intérêt d’un tel processus est d’autant plus important dans le cas où les autorités de
régulation seraient contraintes de rendre public les Scoring en question et par conséquent
accessibles aux investisseurs.

L’efficacité d’un tel contrôle demeure conditionnée par la mise en place d’une méthodologie
homogène d’évaluation à l’instar de celle publiée par le comité COSO moyennant leur
adaptation à l’industrie bancaire en intégrant notamment les exigences des accords Bâlois et
les règlementations adoptées par les autorités de régulation.

Dans les chapitres suivants nous tenterons d’apporter à chaque risque les palliatifs structurels
et opérationnels moyennant un mode pratique d’appréciation présenté sous forme d’objectifs
explicites par composante de contrôle et par cycle de gestion ainsi que par un questionnaire
détaillé couvrant l’ensemble des domaines générateurs de risques.

L’intérêt d’une telle approche est de permettre, au moyen d’un Scoring modulé en fonction de
l’impact de chaque activité de contrôle sur l’appréciation globale de la qualité du système de
contrôle interne et en fonction du niveau d’implémentation et du caractère opérationnel ou
non desdites activités, l’obtention d’un modèle objectif et structuré en mesure de fournir une
information synthétique et quantifiée servant d’instrument de mesure du degré de maîtrise des
risques par l’établissement.

Cet intérêt peut apparaitre également à travers la fourniture de supports permettant à tous les
échelons au sein de l’établissement de s’auto-évaluer et d’un moyen permettant la
surveillance de la bonne application des politiques de maitrise des risques par l’entité.

Bien que les politiques présentées représentent un ensemble indissociable dans le cadre de
l’environnement bancaire, certaines, présentées en gras, ont une importance significative par

40
Principes fondamentaux pour un contrôle bancaire efficace publié par le Comité de Bâle sur le contrôle bancaire en
Septembre 1997 ; p.31
76 | P a g e
rapport aux autres politiques et vont être traitées dans le cadre de la matrice de Scoring
proposée comme des politiques Clés pour les considérations de pondération.

L’évaluateur devrait documenter pour chaque politique présentée au niveau des grilles de
contrôle présentées dans les chapitres suivants le degré d’implémentation du contrôle en
utilisant une des lettres suivantes : T : Totalement ; P : Partiellement ; N : non Implémentée ;
NA : Non applicable. Les contrôles convenablement conçus et parfaitement opérationnels
dans le temps sont considérés comme totalement implémentés. Ceux qui sont convenablement
conçus mais qui ne sont pas opérationnels dans le temps ou qui souffrent de problème liés à
la documentation ou à la séparation des tâches sont considérés comme partiellement
implémentés. Les contrôles qui sont inexistants ou mal conçus sont considérés comme non
implémentés. Enfin, les contrôles qui sont jugés non applicables à la Banque évaluée compte
tenu du jugement de l’évaluateur ou qui sont compensés par d’autres contrôles jugés
satisfaisants par l’évaluateur sont considérés comme non applicable.

L’évaluateur devrait documenter également le responsable chargé du contrôle, les supports


utilisés pour la documentation du contrôle, la date d’implémentation et de modification du
contrôle et le mode de diffusion du contrôle.

77 | P a g e
Chapitre 1 –L’environnement de
contrôle
Section 1 – Définitions et objectifs
L'environnement de contrôle vise à établir et à promouvoir une attitude collective propice à
l'exécution d'un contrôle interne efficient à l'égard de l'information financière et à la
production d'états financiers fiables.

L’environnement de contrôle est à la base de toutes les autres composantes du contrôle interne
et permet de discipliner et de structurer la manière dont les principales activités d’affaires sont
exercées et les objectifs sont établis. L'environnement de contrôle donne le ton au sein d'un
organisme en contribuant à la sensibilisation aux contrôles41 et contribue à conscientiser les
membres de l’organisation sur l’importance du contrôle.

Les facteurs ayant un impact sur l’environnement de contrôle comprennent, notamment,


l’intégrité, l’éthique et la compétence du personnel, la philosophie et le style de management
des dirigeants, la politique de délégation des responsabilités, d’organisation et de formation
du personnel et enfin, l’intérêt manifesté par le Conseil d’Administration et sa capacité à
définir les objectifs. 42

Le rôle et les responsabilités de la haute direction devraient être clairement définis et séparés
entre le conseil d’administration, chargé d’approuver les grandes stratégies et les principales
politiques de la Banque, et la direction générale, chargée de mettre en œuvre les stratégies et
les politiques approuvées et de mettre en place les procédures permettant de répondre aux
orientations de la Banque.

Section 2 – Principales politiques et activités


§1 – Intégrité et valeurs déontologiques de la Direction
Par ses attitudes et ses actions, le conseil d’administration doit démontrer sa fermeté, son intégrité
et ses valeurs déontologiques. Les objectifs de la Banque et la façon dont ils sont atteints sont
basées sur les préférences, les jugements de valeur et le style de direction. Ces préférences et ces
jugements de valeur, qui sont traduits dans les normes de comportement, reflètent l'intégrité de la
direction et son attachement aux valeurs éthiques.

41
Internal control – Integrated framework, Committee of Sponsoring Organizations of the Treadway Commission
42
Norme Comptable Générale Parag.9
78 | P a g e
Parce que la bonne réputation d'une Banque est si précieuse, les normes du comportement doivent
aller au-delà du simple respect de la loi. L'efficacité des contrôles internes ne peuvent pas s'élever
au-dessus de l'intégrité et des valeurs éthiques des personnes qui créent, gèrent et surveillent. Les
valeurs d'intégrité et d'éthique sont des éléments essentiels de l'environnement de contrôle, qui
concernent la conception, l'administration et la surveillance des autres composantes du contrôle
interne.
L'intégrité est une condition sine qua non d'un comportement éthique dans tous les aspects des
activités d'une Banque. Établir des valeurs éthiques est souvent difficile en raison de la nécessité
de tenir compte des préoccupations de plusieurs parties. Les valeurs de la direction doivent
balancer avec les préoccupations de la Banque, ses employés, clients, concurrents et du public.
L'équilibre entre ces préoccupations peut s’avérer complexe parce que les intérêts sont souvent en
désaccord.

Le conseil d’administration doit être conscient que « l’éthique paye ». Se concentrer uniquement
sur les résultats à court terme peut nuire même à court terme. Le conseil d’administration et la
direction générale sont chargés de promouvoir des critères élevés d’éthique et d’intégrité et
d’instaurer, au sein de l’organisation bancaire, une culture qui souligne et démontre, à tous les
niveaux du personnel, l’importance des contrôles internes.43 Ceci passe par l’implémentation des
politiques suivantes :

T/P/N/
Ref. Politiques NA Détail
La Banque maintient un code de déontologie et d'autres politiques au
CE101 sujet des pratiques d'affaires acceptables, des conflits d'intérêts et des
normes prévues de comportements déontologiques. 44
Les employés connaissent et comprennent les politiques concernant le
CE102 comportement acceptable et savent ce qu'ils doivent faire en présence d'un
comportement inapproprié. 45
Les sessions de formation sont conduites à l’ensemble du personnel se
CE103
rattachant au code de conduite.
L'importance d'un comportement étroitement conforme à la déontologie et
CE104 des contrôles font l'objet d'une discussion avec les nouveaux employés
notamment lors des procédures d'entrevues.
La Direction Générale communique verbalement avec les employés au sujet
CE105
des valeurs de la Banque et du comportement conforme à la déontologie46

43
Principe 3 prévu par le cadre pour les systèmes de contrôle interne dans les organisations bancaires, Comité de Bâle sur le
contrôle bancaire, Bâle, Septembre 1998
44
Selon le cadre de référence du contrôle interne publié par COSO, une des raisons de la publication d’éléments financiers
frauduleux est l’ignorance du personnel. Cette ignorance est due la plus part du temps à l’absence de documentation et de
code de conduite. Ce code doit être appuyé par des conseils liés à ce qui est bien et à ce qui est mal.
45
Le moyen le plus efficace pour transmettre le message lié au comportement éthique au niveau de la Banque est de donner
l’exemple. Partant du principe que les employés imitent leurs supérieurs hiérarchiques et suivent la même attitude que celles
suivie par les dirigeants, la diffusion d’une prise de décision conforme à l’éthique par la Direction Générale permettrait de
répondre un message fort dans toute l’organisation.
79 | P a g e
T/P/N/
Ref. Politiques NA Détail
La Banque élimine ou réduit les incitatifs qui pourraient porter le personnel à
CE106
s'engager dans des actes malhonnêtes ou non conformes à l'éthique.
Le système de détermination des Primes, Bonus et autres avantages
contribuent à l'établissement d'un climat conforme à la déontologie (p. ex.,
CE107
des primes ne sont pas octroyées à ceux qui contournent les politiques, les
procédés ou les contrôles établis). 47
Un code disciplinaire est mis en place et diffusé à l’ensemble des
CE108
employés.48
Si la Banque prend connaissance d'écarts par rapport aux politiques et aux
CE109 procédés, la Direction Générale réagit à ces violations de manière appropriée
et rapide.
Un haut directeur jouissant d’une respectabilité et d’une large
CE110
expérience est formellement nominé comme Officier de l’éthique.
L’officier de l’éthique est responsable de vérifier que les opérations réalisées
par la Banque ainsi que l’organisation et les procédures internes, sont
CE111
conformes aux normes et usages professionnels et déontologiques et aux
orientations de l’établissement.49
L’officier de l’éthique a un accès direct au conseil d’administration et au
CE112
comité d’audit.
La Banque a mis en place les canaux de communication permettant aux
employés de reporter d’une manière anonyme les problèmes identifiées
CE113
ayant trait à des situations contraires au code de conduite et à l’éthique
professionnelle50
L’officier de l’éthique entreprend les investigations adéquates pour chaque
CE114
problème identifié lié à l’éthique.
La Banque suit des lignes directrices en matière de déontologie dans ses
CE115 rapports avec les employés, les clients, les investisseurs, les bailleurs de
fonds, les concurrents et les auditeurs. 51
Toute modification aux relations établies avec des parties de l'extérieur (p.
CE116 ex., les avocats, les Auditeurs, la Banque Centrale et les bailleurs de fonds),
est approuvée par des dirigeants d'un échelon approprié.
Les relations avec des tiers professionnels font périodiquement l'objet
CE117 d'un examen visant à établir que la Banque maintient son association
seulement avec des tiers de bonne réputation.
Grille de contrôles 1 : Environnement de contrôle - Intégrité et valeurs déontologiques de la Direction

46
Selon COSO, diffuser des exemples de comportement éthique peut s’avérer parfois insuffisant. La direction Générale
devrait communiquer verbalement des messages forts liés aux valeurs éthiques de la Banque à l’occasion de réunions dédiées
ou de réunion dans le cadre normal du travail.
47
Selon COSO, les incitations financière de performance peuvent constituer une technique de gestion intéressante dans la
mesure où les objectifs sont raisonnables. Mettre en place des objectifs raisonnables constitue une pratique motivante et
permet de réduire la contre productivité liée au stress et les motivations liées à la fraude.
48
L’existence d’un code de conduite n’assure pas que les employés vont le suivre. C’est pour cette raison que la Banque
devrait mettre en place un code disciplinaire permettant à tous les employés de connaitre les risques résultant du non respect
du code de conduite ou du défaut de reporter des violations qu’ils ont pu identifier.
49
Art. 6 de la circulaire aux établissements de crédit n° 2006 – 19 du 28/11/2006 relative au Contrôle Interne.
50
Selon le paragraphe 17 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le
Comité de Bâle, un élément clé d’un système de contrôle interne fort est la conscience, pour chaque employé, de la nécessité
d’assumer ses tâches de manière efficace et de notifier au niveau de direction approprié tout problème rencontré dans le cadre
des opérations, toute infraction au code de conduite ainsi que toute violation des politiques établies ou action illégale
constatée.
51
Selon le paragraphe 16 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le
Comité de Bâle les valeurs éthiques mises en avant par la direction dans son comportement professionnel doivent être
diffusées, tant à l’intérieur qu’à l’extérieur de l’organisation.

80 | P a g e
§ 2 – L’engagement envers la compétence
La Banque doit s’engager en faveur de la compétence. La compétence doit refléter les
connaissances et les capacités nécessaires pour accomplir des tâches qui définissent le travail
des employés.

Il y a souvent un compromis entre la compétence et le coût ; ainsi, il n'est pas nécessaire, par
exemple, d'embaucher un ingénieur électricien pour changer une ampoule.
La direction doit préciser le niveau de compétence attendu pour certaines fonctions et traduire
ces exigences en connaissances et compétences. Dans le domaine bancaire, la compétence
dépend parfois de l'intelligence des individus, la formation et l'expérience. Parmi les
nombreux facteurs pris en compte dans le développement des connaissances et des capacités
nous citons la nature et le degré du jugement qui doit être appliqué à un travail spécifique.

L’engagement de la direction en faveur de la compétence est démontré par l’implémentation


des politiques suivantes :
T/P/N/
Ref. Politiques NA Détail
Le personnel de la Banque a les compétences et la formation nécessaires
CE201 pour s'acquitter des fonctions qui lui sont attribuées.

Le personnel reçoit une formation multidisciplinaire pour comprendre les


CE202 autres fonctions et les conséquences de ses tâches sur les autres secteurs de la
Banque.
La Banque possède une vaste expérience fonctionnelle (c'est-à-dire que les
membres de la direction proviennent de plusieurs secteurs fonctionnels et
CE203
non simplement de quelques-uns, comme le Marché des capitaux,
l’investissement, le juridique, le Marketing…).
La Banque consulte les professionnels, de l'interne et de l'externe, au sujet de
CE204 questions importantes concernant le contrôle interne, la comptabilité et la
présentation de l'information financière.
La Banque donne au personnel accès à des programmes de formation portant
CE205 sur les nouveaux problèmes en matière de comptabilité et de présentation de
l'information qui sont pertinents pour elle.
Des descriptions de tâches officielles ont été établies et tiennent compte
CE206 de la mesure dans laquelle des personnes doivent recourir à leur
jugement et faire l'objet d'une supervision.
La Banque effectue des analyses des connaissances et des capacités
CE207
requises permettant d’effectuer les tâches convenablement.
Lorsqu'une erreur ou une lacune est relevée, la cause en est évaluée, et des
mesures correctrices appropriées sont prises rapidement, y compris la
CE208
formation, la réaffectation, les ressources supplémentaires ou une
consultation appropriée.
Si des modifications importantes se produisent au sein de la Banque, la
direction détermine si le personnel affecté à la comptabilité et à la
CE209 présentation de l'information financière possède les compétences nécessaires
pour se charger de manière satisfaisante des nouveaux problèmes résultant
des changements.
Grille de contrôles 2 : Environnement de contrôle - L’engagement envers la compétence
81 | P a g e
§ 3 – Le comité d’audit
Le conseil d’administration devrait être chargé d’approuver et de revoir périodiquement les
grandes stratégies et les principales politiques de la banque, d’apprécier les risques
substantiels qu’elle encourt, de fixer des niveaux acceptables pour ces risques et de s’assurer
que la direction générale prend les dispositions nécessaires pour identifier, mesurer, surveiller
et contrôler ces risques, d’approuver la structure organisationnelle et de veiller à ce que la
direction générale surveille l’efficacité du système de contrôle interne. Le conseil
d’administration est responsable en dernier ressort de l’existence et du respect d’un système
de contrôle interne adéquat et performant.

Une option utilisée par les banques de nombreux pays dont la Tunisie consiste à instaurer un
comité d’audit indépendant pour assister le conseil d’administration dans l’exercice de ses
responsabilités. Cela permet d’examiner dans le détail les informations et les rapports sans
devoir mobiliser tous les administrateurs. Le comité d’audit est généralement responsable du
suivi du processus de communication financière et du système de contrôle interne. Dans le
cadre de cette responsabilité, il est attentif aux activités du département d’audit interne de la
banque, auquel il sert de contact direct; il engage également les auditeurs externes et en est
l’interlocuteur privilégié. Le comité d’audit devrait être entièrement composé
d’administrateurs extérieurs (c’est-à-dire de membres du conseil qui ne sont employés ni par
la banque ni par l’un de ses établissements affiliés) possédant une compétence en matière de
communication financière et de contrôle interne. 52

Le comité d'audit ou les responsables de la gouvernance participent activement au contrôle


interne à l'égard de l'information financière de la société et exercent une influence
considérable sur ce contrôle.

Il convient de noter que la constitution d’un comité d’audit ne devrait en aucun cas décharger
le conseil d’administration de ses tâches, lui seul étant juridiquement mandaté à prendre des
décisions.

La participation active du comité d'audit est essentielle à l'efficacité du contrôle interne à


l'égard de l'information financière. Les aspects suivants permettent d’évaluer l’efficacité de la
surveillance de l’information financière publiée et du contrôle interne à l’égard de
l’information financière :

52
Paragraphe 12 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le Comité de
Bâle
82 | P a g e
T/P/N/
Ref. Politiques NA Détail
CE301 La Banque a mis en place un comité permanent d’audit interne. 53
Le comité d’audit est entièrement composé d’administrateurs
extérieurs 54 (c’est-à-dire de membres du conseil qui ne sont employés ni
CE302 par la banque ni par l’un de ses établissements affiliés) possédant une
compétence en matière de communication financière et de contrôle
interne.
Les membres du comité d'audit possèdent des connaissances suffisantes des
CE303 exigences comptables et réglementaires, une bonne expérience du secteur
bancaire.
Les responsabilités du comité d'audit sont clairement définies (p. ex.,
CE304 dans une charte du comité d'audit), et la direction et le comité d'audit
comprennent ces responsabilités.
Le comité d’audit veille à ce que les mécanismes appropriés de contrôle
CE305
interne soient mis en place par l’établissement.
Le comité d’audit révise et donne son avis sur le rapport annuel y compris les
CE306 états financiers de l’établissement avant sa transmission au conseil
d’administration ou au conseil de surveillance pour approbation.
Le comité d’audit revoit tout relevé de l’établissement avant sa soumission
CE307
aux autorités de supervision.
Le comité d’audit examine tous placements ou opérations susceptibles de
CE308 nuire à la situation financière de l’établissement et portés à sa connaissance
par les commissaires aux comptes ou les auditeurs externes.
Le Comité d’audit vérifie la clarté des informations fournies et apprécie
CE309 la cohérence des systèmes de mesure, de surveillance et de maîtrise des
risques. 55
Le Comité d’audit examine les insuffisances du fonctionnement du système
CE310 de contrôle interne relevées par les différentes structures de la Banque et
celles chargées de l’audit et la supervision et adopte les mesures correctrices.
La Banque met à la disposition du comité d’audit tout document ou
information que ce dernier juge utile et notamment :
• Les rapports des missions d’audit interne ainsi que le suivi des
recommandations desdites missions ;
• La documentation relative aux moyens destinés à assurer le bon
fonctionnement du contrôle interne ;
• Les notes sur la stratégie de développement de l’établissement et les
CE311
projections financières ;
• Les états financiers intermédiaires et annuels ;
• les notifications des résultats de contrôle sur pièces et sur place de la
Banque Centrale de Tunisie ;
• Les rapports de contrôle effectué par les autorités publiques
compétentes, les commissaires aux comptes et les auditeurs externes ;
• Les rapports des agences de notation et des instances internationales. 56
Le comité d'audit rencontre directement et périodiquement les membres clés
CE312 de la gestion des finances, y compris le chef des finances et le chef
comptable.
Le comité d'audit est indépendant de la direction et il se réunit en privé avec
CE313 les auditeurs externes et internes pour discuter du caractère raisonnable des
processus et systèmes de l'information financière et du contrôle interne.

53
Art. 34 de la loi 2001-65 relative aux établissements de crédit
54
Art. 256 bis du code des sociétés commerciales ajouté par la loi 2005-96 du 18 octobre 2005
55
Art. 57 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
56
Art. 58 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
83 | P a g e
T/P/N/
Ref. Politiques NA Détail
Le comité d'audit est attentif aux activités du département d’audit interne de
CE314 la banque, auquel il sert de contact direct.
Le comité d’audit approuve la désignation des auditeurs internes et
CE315 externes 57
Le comité d'audit soumet les questions difficiles à la direction, y compris les
CE316 questions qui indiquent une compréhension des conventions comptables
cruciales et des estimations comptables reposant sur le jugement.58
Le comité d'audit remet en question, de façon constructive, les décisions de
CE317 la direction, les principales opérations et l'explication des résultats antérieurs.
Le comité d’audit se réunit périodiquement et au moins quatre fois par
CE318 an. 59
Les membres du comité d'audit démontrent qu'ils sont disposés à organiser,
CE319 au besoin, des réunions imprévues pour résoudre des questions importantes
relatives à l'information financière.
Le comité d'audit examine et approuve l'étendue des activités d'audit
CE320 interne.
Le comité d'audit est réceptif aux questions soulevées par l'auditeur
CE321 externe.
Le comité d'audit reçoit périodiquement de l'information de la direction au
CE322 sujet des faits nouveaux qui peuvent avoir des répercussions sur
l'information financière.
Un processus a été établi pour que le comité d'audit soit informé à temps et
CE323 de façon anonyme, au besoin, des problèmes importants.
Le comité d'audit examine et approuve tous les programmes de rémunération
et évalue les risques associés aux divers types de programmes de
CE324
rémunération (p. ex., les programmes incitatifs qui incitent la direction à
manipuler les résultats à court terme).
Le comité d'audit se penche expressément sur l'adhésion, par la direction, au
CE325 code de déontologie établi par la Banque.
Le comité d'audit établit à l'intention de la direction des directives
détaillant les mesures précises à prendre en raison de ses constatations
CE326
et assure le suivi de toutes les directives afin de déterminer si elles ont
donné lieu à des mesures appropriées.
Le Comité d’Audit informe le Conseil d’Administration de la Banque de
CE327 son programme d’activité.60
Le Comité d’Audit rend compte régulièrement au Conseil
d’Administration de l’exercice de sa mission. Il remet au Conseil
CE328 d’Administration avant la tenue, par celui-ci, de la réunion consacrée à
l’approbation des états financiers annuels, un rapport d’activité.
Une copie de ce rapport est adressée à la Banque Centrale de Tunisie.61
Les résultats et l'efficacité du comité d'audit font l'objet d'une évaluation
CE329 périodique par le conseil d’administration.
Grille de contrôles 3 : Environnement de contrôle - Le comité d’audit

57
Art. 256 bis du code des sociétés commerciales ajouté par la loi 2005-96 du 18 octobre 2005 et Art. 57 de la circulaire aux
établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
58
Cadre de référence du contrôle interne publié par COSO
59
Art. 59 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
60
Art. 60 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
61
Art. 61 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
84 | P a g e
§ 4 – La philosophie et le style de direction
La philosophie et le style de direction affecte la façon dont la Banque est gérée, y compris les
types de risques financiers acceptés. Une Banque qui a été couronnée de succès en prenant
des risques importants peut avoir une perspective différente sur le contrôle interne comparée à
une Banque qui a fait face à de sévères conséquences économiques ou réglementaires à la
suite de la prise de risques inadéquats.

D'autres éléments peuvent influer la philosophie et le style de direction. Ils comprennent les
attitudes envers l'information financière, la sélection conservatrice ou agressives des principes
comptables, la conscience et le conservatisme avec lequel les estimations comptables sont
développées et les attitudes envers la fonction comptable. Les aspects suivants permettent
d’évaluer la philosophie et le style de direction au sein de la Banque :
T/P/N/
Ref. Politiques NA Détail
La direction est plutôt conservatrice lors de l’acceptation des risques.
CE401 Une analyse des risques et des avantages potentiels est effectuée avant
d’accepter un nouveau produit.
La rotation du personnel de direction et de supervision fait l'objet d'une
CE402 surveillance, et les raisons d'une rotation élevée sont évaluées.
La direction considère la fonction comptable et financière comme un moyen
CE403 d'exercer une surveillance ou un contrôle sur les diverses activités de la
Banque.
Le choix des méthodes comptables n’est pas effectué sur la base des
méthodes qui fournissent le plus de bénéfice mais sur la base d’une
CE404
étude documentée faisant ressortir les avantages et faiblesses de
l’ensemble des méthodes disponibles.
La direction adopte des conventions comptables qui tiennent compte des
CE405 réalités économiques de la Banque.
Les fonctions centrales de comptabilité et de présentation de l'information
CE406 financière exercent l'autorité appropriée sur le personnel de comptabilité
décentralisée.
La haute direction demeure en contact fréquent avec les filiales ou les
CE407 agences et souligne constamment l'importance d'un comportement
approprié.
CE408 La direction s’écarte de la recherche poussée de profits à court terme
CE409 La direction ne contracte pas des produits risqués pour atteindre les objectifs
La direction donne l'exemple d'attitudes et d'actions qui témoignent d'un
CE410 environnement de contrôle efficace et d'un engagement en faveur de valeurs
déontologiques.
Si des pratiques inappropriées sont rapportées à la direction, toutes les parties
CE411 concernées sont mises au courant, et des mesures exhaustives sont prises à
temps.
La direction encourage et reconnaît ouvertement les pratiques des employés
ou des services qui favorisent un environnement de contrôle efficace et un
CE412
comportement conforme à la déontologie, même si ces pratiques peuvent
prêter à controverse.
Grille de contrôles 4: Environnement de contrôle - La philosophie et le style de direction

85 | P a g e
§ 5 – La structure organisationnelle
La structure organisationnelle de la Banque devrait être conçue de façon appropriée de
manière à promouvoir un environnement de contrôle efficace. La structure organisationnelle
d'une Banque s'entend de la façon dont s'articulent les fonctions de planification, de mise en
œuvre, de contrôle et de surveillance des activités visant la réalisation des objectifs généraux.

La définition des principales zones d’autorité et de responsabilité ainsi que la définition des
principaux axes de reporting constituent des aspects significatifs pour la mise en place d’une
structure organisationnelle. Ainsi, l’audit interne devrait avoir un accès illimité à l’ensemble
des directeurs même ceux n’ayant pas un lien direct avec la publication d’information
financière. Il doit avoir suffisamment d’autorité pour assurer une couverture appropriée des
opérations d’audit et pour le suivi des conclusions et des recommandations formulées.

La Banque doit développer une structure organisationnelle adéquate avec ses besoins. Cette
structure peut être centralisée pour le cas des petites Banques mais dans la plus part des cas,
les Banques sont organisées sur une base fonctionnelle décentralisée. Dans tous les cas, la
structure organisationnelle doit répondre à la stratégie globale de la Banque et doit lui
permettre d’atteindre ses objectifs.62

Le respect de la conformité à un système de contrôle interne passe en grande partie par une
structure organisationnelle parfaitement transparente et connue de l’ensemble du personnel,
montrant clairement les niveaux de responsabilité et d’autorité en matière de notification et
permettant une communication effective dans l’ensemble de l’organisation. La répartition des
tâches et responsabilités devrait garantir l’absence de ruptures dans la chaîne hiérarchique et
l’exercice d’un degré de contrôle efficace par la direction à tous les niveaux de la banque et
dans toutes ses activités.63

L’établissement d’une structure organisationnelle appropriée comprend les aspects suivants :

62
Cadre de référence du contrôle interne publié par COSO
63
Paragraphe 14 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le Comité de
Bâle
86 | P a g e
T/P/N/
Ref. Politiques NA Détail
La direction Générale a mis en place une structure organisationnelle
CE501 fixant clairement les rapports de responsabilité, d’autorité et de
notification.64
CE502 La Banque a défini des secteurs clés de l'autorité et de la responsabilité.
La Banque établit des voies hiérarchiques appropriées en tenant compte
CE503 de sa taille et de la nature de ses activités.
La structure de la Banque facilite la circulation de l'information entre ses
CE504 activités.
Les cadres comprennent clairement leurs responsabilités à l'égard des
CE505 activités de la Banque et savent comment ces activités influent sur la marche
de cette institution.
Les rapports hiérarchiques sont établis de manière à faciliter la transmission
CE506 rapide de l'information aux personnes appropriées.
La direction évalue périodiquement la structure organisationnelle de la
CE507 Banque et apporte au besoin des modifications, en fonction des changements
survenus au sein de la Banque ou au sein du secteur.
La structure organisationnelle n'est pas trop complexe et ne comprend pas
CE508 des entités juridiques nombreuses ou inhabituelles.
La raison d'être sur le plan des affaires d'entités juridiques distinctes est
CE509 évidente et raisonnable.
Le conseil d’administration a revu et approuvé les grandes stratégies et
CE510 les principales politiques de la Banque ainsi que sa structure
organisationnelle. 65
La Banque s’assure que le système de contrôle s'intègre dans l'organisation,
CE511 les méthodes et les procédures de chacune des activités. 66
une documentation écrite est maintenue spécifiant de façon explicite
CE512 l'ensemble des autorisations et définisant les responsabilités exactes de toutes
les actions entreprises.
La Banque a publié un manuel de procédures comportant l'ensemble
CE513 des procédures et politiques.
La Banque maintient une description détaillée des différents types de
CE514 travaux ; les politiques écrites assurent une continuité dans les méthodes
et sont conformes avec la stratégie de la direction générale de la banque
La Banque maintient un manuel comptable précisant la nature des
CE515 opérations qui doivent figurer dans chaque compte. Ceci est important
pour assurer une bonne imputation des transactions à enregistrer ; 67
La Banque a établi des procédés pour identifier les apparentés et les
CE516 parties liées.
Des personnes qui ne détiennent apparemment aucune participation dans
CE517 l'entité ou qui n'occupent aucun poste cadre au sein de la Banque ne sont pas
en mesure d'exercer une influence considérable sur ses affaires.
Grille de contrôles 5: Environnement de contrôle - La structure organisationnelle

64
Principe 2 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le Comité de Bâle
65
Paragraphe 10 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le Comité de
Bâle
66
Art. 11 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
67
Annexe 1 à la note de la BCT aux banques et établissements financiers n° 93-23 du 30 juillet 1993
87 | P a g e
§ 6 – Le système de délégation des pouvoirs et d’attribution des responsabilités
L'attribution des responsabilités et la délégation de l'autorité constituent une base pour la
reddition de comptes et le contrôle.

Il incombe à la direction générale de mettre en œuvre les directives du conseil


d’administration, en appliquant notamment les stratégies et politiques de la banque et en
instaurant un système de contrôle interne efficace. Pour l’élaboration des politiques et
procédures de contrôle interne plus spécifiques, les membres de la direction générale
délèguent habituellement cette responsabilité aux personnes chargées d’une unité particulière.
Déléguer est un élément essentiel de la fonction de direction; il est toutefois important que la
direction générale supervise ces personnes pour s’assurer qu’elles établissent et conduisent
des politiques et procédures appropriées.68

L’attribution appropriée des pouvoirs et des responsabilités est démontrée par


l’implémentation des politiques suivantes :
T/P/N/
Ref. Politiques NA Détail
La direction générale est responsable de garantir l’exercice effectif des
CE601 responsabilités déléguées 69
Dans l'ensemble de la Banque, les pouvoirs et les responsabilités sont
CE602 attribués aux employés en fonction des tâches particulières qui leur sont
confiées.
La Banque assigne adéquatement les responsabilités entre les cadres et les
départements. Aucune personne ou département ne doit avoir la complète
CE603 responsabilité pour la gestion de l'ensemble des phases d'une transaction :
séparation des fonctions de contrôleur et de trésorier ; séparation des tâches
d'autorisation et d'enregistrement des transactions,... etc.) ;70
Les descriptions de tâches contiennent des références particulières aux
CE604 responsabilités relatives au contrôle.
Les employés ont le pouvoir lorsqu'il y a lieu, de corriger des problèmes ou
CE605 d'apporter des améliorations.
Une structure est établie pour attribuer la responsabilité pour l'information, y
CE606 compris l'identité des personnes autorisées à initier ou à modifier des
opérations.
Des politiques et des procédés sont établis pour l'autorisation et
CE607 l'approbation des opérations.
La direction détermine et communique clairement les responsabilités et les
CE608 attentes des services des finances et de la comptabilité.
Grille de contrôles 6 : Environnement de contrôle - Le système de délégation des pouvoirs et d’attribution des
responsabilités

68
Paragraphe 13 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le Comité de
Bâle
69
Principe 2 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le Comité de Bâle
70
Annexe 1 à la note de la BCT aux banques et établissements financiers n° 93-23 du 30 juillet 1993
88 | P a g e
§ 7 – La gestion des ressources humaines
Les politiques et les procédés des ressources humaines devraient mettre en valeur le degré
d'intégrité, de comportement déontologique et de compétence attendu des employés. Ces
procédés se rattachent généralement au recrutement, à l’orientation, la formation, l’évaluation,
la promotion…71

L’implémentation des politiques de gestion des ressources humaines suivantes permettent à la


Banque une meilleure maitrise de son environnement de contrôle :

T/P/N/
Ref. Politiques NA Détail
La Direction Générale devrait avoir la responsabilité globale pour le
développement et l’implémentation et l’évaluation des talents et de la
fonction de gestion des ressources humaines au sein de la Banque.
CE701
La responsabilité de la gestion des ressources humaines devrait être
confiée à un professionnel des ressources humaines hautement qualifié
et expérimenté.
La direction établit et met en œuvre des normes pour le recrutement des
personnes les mieux qualifiées, en mettant l'accent sur leur formation, leur
CE702
expérience de travail, leurs réalisations antérieures, les preuves de leur
intégrité et de leur comportement éthique.
Les pratiques de recrutement qui comprennent les entrevues approfondies et
officielles et des présentations informatives et judicieuses au sujet de
CE703 l'historique, de la culture et du style de gestion de la Banque démontrent
l'engagement de cette dernière envers ses employés et son attitude en faveur
d'un environnement de contrôle efficace.
La Banque a développé un plan de recrutement qui tient compte des éléments
suivants :
- Besoins en personnel actuel et futur
CE704
- Critères de sélection des candidats
- Processus de sélection
- Programme pour attirer les compétences
Les politiques de formation font ressortir les rôles et les responsabilités
CE705 et renseignent sur les attentes en matière de performance et de
comportement.
La rotation du personnel et les promotions reposant sur des évaluations
périodiques de la performance montrent que la Banque est déterminée
CE706
à favoriser l'avancement du personnel compétent à des niveaux de
responsabilité supérieurs.
Les mesures disciplinaires indiquent que les violations du comportement
CE707 prévu ne seront pas tolérées.
La Banque a mis en place une formation continue permettant aux employés
CE708 de s'adapter efficacement à l'évolution de l'environnement des affaires.
Grille de contrôles 7 : Environnement de contrôle - La gestion des ressources humaines

71
Cadre de référence du contrôle interne publié par COSO
89 | P a g e
Section 3 – Matrice intermédiaire d’évaluation de l’environnement
de contrôle
Non
Nombre de Totalement Partiellement Non Applica
politiques implémentées implémentées implémentées bles

Intégrité et valeurs
déontologiques de la Direction 17

L’engagement envers la
compétence 9

Le comité d’audit 29

La philosophie et le style de
direction 12

La structure organisationnelle 17
Le système de délégation des
pouvoirs et d’attribution des 8
responsabilités
La gestion des ressources
humaines 8

Evaluation – Environnement de
contrôle 100
Matrice 1 : Matrice intermédiaire d’évaluation de l’environnement de contrôle

90 | P a g e
Chapitre 2 – L’évaluation des risques
Section 1 – Définitions et objectifs
L’identification et l’analyse des risques sont un processus continu et un élément crucial d’un
contrôle interne efficace. L’activité bancaire comporte une prise de risques. Il est donc
impératif que, dans le cadre d’un système de contrôle interne, ces risques soient reconnus et
évalués en permanence. Compte tenu de l’évolution permanente de l’environnement micro et
macro-économique, du contexte réglementaire et des conditions d’exploitation, il est
nécessaire de disposer de méthodes permettant d’identifier et de maîtriser les risques
spécifiques liés au changement72. Une révision des contrôles internes peut s’avérer
indispensable pour traiter de manière appropriée tout risque nouveau ou précédemment
incontrôlé.73

L’appréciation des risques est une composante du contrôle interne de l’entité qui comporte
l’identification et l’analyse des risques (interne et externe) pertinents à l’atteinte des objectifs
de la Banque et des objectifs liés à l’établissement d'états financiers fiables. Aux fins du
contrôle interne à l’égard de l’information financière, l’étendue de l’activité d’appréciation
des risques se limite à l’identification, l’analyse et la gestion des risques pertinents à
l’établissement des états financiers, conformément aux principes comptables généralement
reconnus. 74

Dans la perspective du contrôle interne, l’évaluation des risques devrait déceler et apprécier
les facteurs internes et externes pouvant compromettre la réalisation des objectifs de
performance, d’information et de conformité de l’organisation bancaire. Cette analyse devrait
prendre en compte tous les risques rencontrés par la banque et couvrir tous les niveaux de
l’établissement. Elle se différencie de l’analyse de gestion des risques qui porte, en général,
davantage sur l’examen des stratégies d’activité élaborées pour obtenir le meilleur rapport
possible risque/rémunération dans les différents secteurs de la banque. 75

Se basant sur la réglementation bancaire en Tunisie, les principes d’évaluation des risques
bancaires institués par le comité de Bâle pour la supervision Bancaire et sur le cadre de

72
Norme Comptable tunisienne Générale
73
Principe 4, cadre pour les systèmes de contrôle interne dans les organisations bancaires, comite de Bâle sur le contrôle
bancaire, septembre 1998
74
Internal control – Integrated framework, Committee of Sponsoring Organizations of the Treadway Commission
75
Paragraphe 20, cadre pour les systèmes de contrôle interne dans les organisations bancaires, comite de Bâle sur le contrôle
bancaire, septembre 1998
91 | P a g e
référence sur le contrôle interne publié par le comité COSO, les grilles de politiques détaillées
au niveau de la Section 2 de ce chapitre permettront d’évaluer le degré de maitrise par la
Banque des risques spécifiques internes et externes (Il s’agit notamment du risque de crédit,
du risque de marché, du risque de taux d’intérêt, du risque de liquidité et du risque
opérationnel) et le degré d’aptitude de la Banque de traiter de manière appropriée les
nouveaux risques.

Section 2 – Principales politiques et activités


§ 1 – Politiques liées aux risques de la structure des actifs et passifs
La gestion des actifs/Passifs a essentiellement deux objectifs:

- La Gestion Globale du risque de Liquidité


- La Gestion Globale du Risque de taux d’intérêt
La structure des Actifs/Passifs peut également influer sur la gestion de certains risques de
Marché notamment le risque de taux de change.

Les politiques ci-dessous ont pour objectif de définir la structure générale de la Gestion des
Actifs/Passifs au sein de la Banque. Toutefois, les procédures s’y rattachant peuvent
significativement différer d’une Banque à une autre allant de la simple gestion du risque de
taux à une mesure complexe et consolidée de l’allocation des fonds. La complexité des
activités ALM (Asset and Liability Management) devraient tenir compte de la taille et de la
complexité des transactions effectuées par la Banque.
T/P/N/
Ref. Politiques NA Détail
La Banque a mis en place un comité ALM indépendant 76 et quand sa
RA101 taille et son activité le justifient, une unité spéciale d'analyse Actifs-
Passifs est également en place77.
Les membres du comité ALM sont issus de l’ensemble des fonctions de la
Banque et non seulement de la fonction financière y compris le directeur
RA102 Général, le directeur financier, le contrôleur de gestion, le directeur
commercial et marketing et le directeur des risques. 78

76
Le comité doit être indépendant des unités opérationnelles et doit reporter directement à la direction Générale.
Ces activités principales englobent généralement:
- Surveillance de la structure générale du bilan (et hors bilan)
- Analyse de la sensibilité de la marge au fluctuation des taux d'intérêt
- Surveillance de la liquidité
- Mise en place de limites et de Stratégie ALM
- Mesure consolidé des risques encourus par la Banque
77
Les décisions du comité ALM sont basées généralement sur des analyses de scénarii effectuées par une unité spéciale
(Unité ALM). Les membres de cette unité jouissent d’une compétente technique démontrée (Expérience académique,
expérience professionnelle, nombre d’année dans l’unité, formations reçues…)
78
Le processus de prise de décision est considéré collectif quand
- Les membres du Comité sont présent systématiquement à l’ensemble des réunions
- Tous les membres du comité sont suffisamment qualifiés pour prendre des décisions sur la base de leurs connaissances.
92 | P a g e
T/P/N/
Ref. Politiques NA Détail

RA103 Le comité ALM se réunit périodiquement et au moins chaque 2 mois


Les décisions du comité ALM sont le résultat de correctes décisions
RA104 collectives qui sont issues d’un processus décisionnel.
RA105 Le rôle de l’ALM est clairement défini.79
Les activités du comité ALM sont sujettes à des limites globales mises en
RA106 place par la direction générale.
La Banque a accès à des supports méthodologiques pour s’assurer de la
RA107 compréhension des concepts et des méthodes développées par le comité. 80
La Banque a implémenté des procédures de contrôle régulières dans le but de
RA108 tester le modèle utilisé par le comité ALM.
Les conventions de mesure et d'acceptation des risques définies par la
RA109 Banque sont approuvées par la direction Générale.81
RA110 La Banque est en possession d'un outil efficace pour la gestion ALM.82
RA111 Les activités de la fonction ALM sont adéquatement supervisées. 83
Grille de contrôles 8 : Evaluation des risques - Politiques liées aux risques de la structure des actifs et passifs

79
Les principales obligations de l’ALM incluent ce qui suit :
- Une évaluation exhaustive de l’ensemble des risques dont la Banque est exposée notamment en raison de ses
transactions bilancielles et hors bilancielles. Cette évaluation est effectuée sur la base d’informations pertinentes
issues du système d’information de la Banque et compte tenu de techniques approuvée la direction Générale.
- Une simulation de l’exposition de la Banque aux divers risques
- Proposer au comité ALM des transactions qui devraient être opérées
- Mesurer et reporter l’exposition générale aux risques en conformité avec les termes définis par la Direction
Générale.
80
La Banque doit être capable de gérer à la fois les données ALM et les concepts d’une manière courante :
- Les systèmes d'information doivent être en mesure de produire des données qui peuvent être utilisés à des fins de
gestion ALM dans les temps opportuns.
- La Banque doit bien comprendre les concepts et les membres de l’unité ALM devraient recevoir une formation
spécifique si nécessaire.
81
Ceci devrait être entre autres inclure:
- La mise en place de taux internes
- La définition de politiques de matching (correspondance) Actifs-Passifs pour toutes les transactions commerciales
- Seuils au dessus duquel le Matching devrait être automatique
- Limites de position de change…
82
Ceci devrait être considéré
- Existance d’un outil ALM et l’allocation de budget à cet outil
- Efficacité de l’outil ALM
- L’outil ALM doit inclure l’ensemble des positions de la Banque (Bilan et hors bilan)
- Le processus de collecte des données par l’outil à partir du système d’information de la banque et totalement sécurisé et
retracé
- L’outil ALM doit permettre un fonctionnement en temps réel afin d’effectuer des simulations sur l’impact sur les marges
suite à un changement de paramètres (fluctuation de taux d’intérêt ou de change, introduction d’un nouveau crédit ou
produits, paiement prématuré, retrait de dépôts…)
- Des procédures de validation sont mises en place si l’outil ALM est développé en interne
83
La qualité de la supervision peut être évaluée sur la base des critères suivants :
- Reporting périodique au comité ALM
- Suivi par la direction Générale des dépassements de limites
- Importance du Rôle de la direction Générale dans le comité ALM
- Commentaires et réactions de la Banque au niveau des réunions du comité ALM
- Les visites récentes de l’audit interne de l’unité ALM
93 | P a g e
§ 2 – Politiques liées aux risques de crédit
Le risque de crédit s’entend du risque encouru en cas de défaillance d'une contrepartie ou de
contreparties considérées comme un même bénéficiaire au sens de la réglementation en
vigueur.84

Le risque de crédit est le risque le plus significatif et persistant auquel la Banque doit faire
face, et notamment les Banques tunisiennes. Le risque de crédit résulte des prêts aux
individus, aux sociétés, aux Banques et aux Etats.

T/P/N/
Ref. Politiques NA Détail
Le conseil d’administration s’assure que la Banque dispose d’un
processus adéquat d’évaluation du risque de crédit et de contrôle interne
consistant avec sa taille, la nature et la complexité de ses opérations. Ce
RA201
processus permettra de déterminer les provisions nécessaires en
application des politiques de la Banque, de la règlementation comptable
en vigueur et des exigences du superviseur. 85
Le conseil d’administration a approuvé des politiques et des procédures en ce
RA202 qui concerne le risque de crédit. Le niveau de risque acceptable a été
clairement défini et communiqué à l'ensemble du personnel concerné.
La Direction Générale est responsable de l’implémentation des
stratégies approuvées par le Conseil d’administration et du
RA203
développement de politiques et de procédures pour identifier, mesurer,
surveiller et contrôler les risques de crédits encourus.86
La Banque a institué dans son organigramme un comité exécutif de
crédit, présidé par le Président Directeur Général ou le Directeur
RA204
Général ou le Président du Directoire et composé d’au moins de deux
membres du Conseil d’administration ou du conseil de surveillance. 87
Le comité exécutif de crédit est chargé notamment d’examiner l’activité de
RA205 financement et de faire des propositions au conseil d’administration ou au
conseil de surveillance sur la politique de financement de l’établissement. 88
Le comité exécutif de crédit soumet au conseil d’administration ou au
RA206 conseil de surveillance lors de ses réunions périodiques, un rapport détaillé
sur son activité89
La banque dispose d’une unité centralisée responsable de l’évaluation
RA207
du risque de crédit.
L'unité responsable de l'évaluation du risque de crédit est indépendante des
RA208
directions opérationnelles.
L'unité responsable de l'évaluation du risque de crédit est responsable de la
fixation des limites de crédit pour les clients, les institutions, le
RA209 gouvernement et les intermédiaires. Elle est responsable également de la
définition du processus d'évaluation des crédits.

84
Art. 22 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
85
Principle 1, Sound credit risk assessment and valuation for loans, June 2006, Basel Committee
86
Principle 2, Principles for the Management of Credit Risk, September 2000, Basel Committee
87
Art. 34 ter de la loi 2001-65 relative aux établissements de crédit
88
Art. 34 ter de la loi 2001-65 relative aux établissements de crédit
89
Art. 34 ter de la loi 2001-65 relative aux établissements de crédit
94 | P a g e
T/P/N/
Ref. Politiques NA Détail
La banque dispose d’un comité de risque qui décide les mesures
RA210 correctives en se basant sur les informations fournies par l'unité
responsable de l'évaluation du risque de crédit.90
La Banque a mis en place des contrôles permettant de s’assurer de
RA211
l’uniformité des méthodes de mesure de chaque type de risque.
L’évaluation du risque de crédit tient compte des éléments ayant trait à la
situation financière du bénéficiaire, en particulier sa capacité de
RA212 remboursement. Elle tient également compte d’éléments pouvant être
significatifs pour l’appréciation du risque tels que la qualité de la
gouvernance et le secteur d’activité. 91
La banque tient compte dans l’appréciation du risque de crédit de la situation
RA213 financière consolidée des contreparties considérées comme un même
bénéficiaire.92
Le comité de risque de crédit a élaboré un système de notation et assure
RA214 sa révision permanente. Il veille en permanence à la bonne marche de ce
système de notation et à son efficacité 93
L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client,
d’une note par référence à une échelle de notation interne qui doit permettre
RA215 d’évaluer avec pertinence les caractéristiques d’un emprunteur, de
différencier les risques et de les quantifier avec suffisamment de précision et
de cohérence. 94
La banque dispose d’un outil permettant la classification des crédits octroyés
RA216
en fonction du risque de crédit 95
La Banque a adopté et a documenté une méthodologie pour l’estimation
des pertes (provisions) sur les crédits qui tient compte des politiques
RA217
d’évaluation et de contrôle des risques et qui permet la détermination
des pertes sur crédits dans les temps opportuns. 96
La Banque s'assure de la conformité aux exigences légales en matière de
RA218
concentration des crédits 97
La Banque procède au moins annuellement à des simulations de crise
pour leurs principales concentrations de risque de crédit et examine le
résultat de ces simulations afin d’identifier les changements potentiels
des conditions de marché qui pourraient avoir une incidence négative
RA219 sur leurs résultats pour y faire face de manière appropriée.
Ces simulations doivent identifier les événements possibles liés
notamment à des difficultés économiques ou sectorielles, à la réalisation
des garanties et à la liquidité et susceptibles d’avoir des conséquences
défavorables sur l’exposition des établissements de crédit et des banques

90
Art. 20 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
91
Art. 25 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
92
Art. 25 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
93
Principle 3, Sound credit risk assessment and valuation for loans, June 2006, Basel Committee et Art. 25 de la Circ. BCT
n°2006-19 du 28/11/2006 relative au Contrôle Interne
94
Art. 25 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne et Principle 10, Principles for the
Management of Credit Risk, September 2000, Basel Committee
95
Principle 2, Sound credit risk assessment and valuation for loans, June 2006, Basel Committee
96
Principle 4, Sound credit risk assessment and valuation for loans, June 2006, Basel Committee
97
La Banque devrait s’assurer régulièrement du respect des limites de risques imposées par la règlementation Tunisienne
notamment celles énoncée par la circulaire BCT n° 91-24 (Art. 1, 2, 3 et 4)
95 | P a g e
T/P/N/
Ref. Politiques NA Détail
98
non-résidentes au risque de crédit et sur leur aptitude à y faire face.
Les résultats des mesures du risque de crédit sont communiqués au
Conseil d’Administration ou au Conseil de Surveillance afin d’apprécier
les risques de l’établissement notamment par rapport à ses fonds
propres et ses résultats.99
La Banque dispose d'un outil adéquat permettant d’identifier de manière
RA220 centralisée leurs risques de bilan et de hors bilan à l'égard d'une contrepartie
ou de contreparties considérées comme un même bénéficiaire. 100
La Banque a défini des limites de crédit (Bilan et Hors Bilan) pour chaque
RA221 emprunteur (Individu, Société, Institutions, Etats…) sur une base
individuelle ou consolidée. 101
La Banque dispose d'un outil adéquat permettant d'identifier l'ensemble des
limites d'autorisation de crédit et l'ensemble des utilisations (Bilan et hors
bilan) par contrepartie ou groupe de contreparties dans les meilleurs délais.
RA222
Idéalement, l'outil devrait permettre un accès en temps réel à ces
informations et un contrôle journalier de l'exhaustivité de la centrale des
risques à travers son rapprochement avec les données comptables.
La Banque dispose d'un outil adéquat permettant d'identifier la structure du
portefeuille de crédits pour les besoins d'analyse. Afin de mettre à la
disposition des gestionnaires les informations nécessaires pour la définition
RA223
des stratégies de risque (ainsi que les stratégies commerciales), l'outil utilisé
par la Banque doit permettre une segmentation du portefeuille par zone
géographique, secteur, type de contreparties.102
La Banque dispose d'un outil adéquat permettant d'identifier les parties qui
RA224 lui sont liées et de s’assurer du respect des conditions légales relatives à
toutes conventions passées avec les personnes susvisées.103
La Banque a mis en place des procédures et dispose d'un outil permettant le
RA225 suivi des dépassements des limites de crédit par contrepartie sur une base
journalière.
Le conseil d'administration et le comité des risques sont informés
RA226 régulièrement des analyses effectuées par l'unité responsable du suivi du
risque de crédit.104
Grille de contrôles 9 : Evaluation des risques - Politiques liées aux risques de crédit

98
Art. 30 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne.
99
Principles for sound stress testing practices and supervision - final paper, May 2009, Basel Committee.
100
Art. 23 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
101
Principle 5, Principles for the Management of Credit Risk, September 2000, Basel Committee
102
Art. 23 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
103
Art. 23 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
104
Principle 14, Principles for the Management of Credit Risk, September 2000, Basel Committee
96 | P a g e
§ 3 – Politiques liées aux risques de marché
On entend par risque de marché, les risques de pertes qui peuvent résulter :

- des fluctuations des prix sur les titres de transaction et de placement tels que définis
par les normes comptables et sur tout autre instrument financier prévu par la
réglementation en vigueur.
- ou des positions susceptibles d’engendrer un risque de change, notamment les
opérations de change au comptant ou à terme.105

T/P/N/
Ref. Politiques NA Détail
La Banque a mis en place une stratégie opérationnelle liée aux risques
de marché approuvée par le conseil d’administration. Cette stratégie
définit en particulier :
- Les Produits et les devises autorisés
- Les types de transaction autorisés
RA301
- Les marchés dans lesquels la Banque peut effectuer des
transactions
- Les contreparties avec lesquelles la Banque peut effectuer des
transactions
- Le niveau de risque acceptable et les limites
Les stratégies de la Banque et les standards sont communiqués aux employés
RA302
sous forme de procédures documentées et mises à jour.
La Banque a mis en place des systèmes de contrôle permettant une
RA303 surveillance régulière du risque de marché et une évaluation prudente et
fiable de ce risque.106
La Banque dispose d’un outil permettant d'enregistrer quotidiennement les
opérations de change et les opérations sur les titres et les instruments
RA304
financiers, de calculer leurs résultats et de déterminer les positions selon la
même périodicité107
La Banque dispose d’un outil permettant d’appréhender de manière complète
et précise les différentes composantes du risque de marché.
RA305 Cet Outil de mesure du risque de marché doit permettre une agrégation des
positions relatives à des produits et des marchés différents sur une base
individuelle ou consolidée. 108
La Banque dispose d’un outil permettant de rapprocher en temps réel les
RA306
positions détenues par le front office et celles détenues par le Back office.
La Banque dispose d’un outil permettant de mesurer quotidiennement les
RA307 risques résultant de ces positions et de déterminer l'adéquation de ses fonds
propres.109
La Banque a défini des limites approuvées par le Conseil
RA308
d’Administration permettant de maitriser les risques de Marché. 110

105
Art. 31 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
106
Art. 32 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
107
Art. 32 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
108
Art. 33 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
109
Art. 32 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
110
Art. 32 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
97 | P a g e
T/P/N/
Ref. Politiques NA Détail
Une Unité indépendante (middle office) assure le suivi quotidien des limites
RA309
liées aux risques de marché et de leur respect. 111
L’unité chargée du suivi du risque de marché s’assure du respect des limites
RA310
règlementaires.112
La Banque a établi des modèles d’évaluation des positions sensibles aux
RA311 risques de marché. Les dits modèles sont revus périodiquement par des
personnes qualifiées.
La Banque dispose de personnel qualifié pour la revue et la validation de
RA312
l’ensemble des paramètres de marché utilisés pour le calcul des risques.
La Banque procède de façon régulière à des simulations de crises en vue
d’évaluer les risques qu’elle encourt en cas de fortes variations des
RA313 paramètres d'un marché ou d'un segment de marché ainsi que
l’adéquation de ses fonds propres au regard de ses activités de
marché.113
Les résultats des mesures du risque de marché sont communiqués au Conseil
RA314 d’Administration ou au Conseil de Surveillance afin d’apprécier les risques
de la Banque notamment par rapport à ses fonds propres et ses résultats.114
Grille de contrôles 10 : Evaluation des risques - Politiques liées aux risques de marché

111
Art. 32 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
112
Exemple : les articles 5 et 6 de la circulaire aux intermédiaires agrées n° 97-08 du 9 mai 1997 a fixé des limites et des
règles relatives à la surveillance des positions de change.
113
Art. 34 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
114
Art. 34 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
98 | P a g e
§ 4 – Politiques liées aux risques de liquidité
Le risque de liquidité s’entend comme le risque pour l’établissement bancaire de ne pas
pouvoir s’acquitter, dans des conditions normales, de leurs engagements à leur échéance.115
L’évaluation du risque de liquidité tient compte généralement :

a) de la volatilité des dépôts ;


b) de la fréquence et du niveau des emprunts ;
c) de la dépendance vis-à-vis de fonds prompts à réagir à des changements de taux
d'intérêts ;
d) de l'accès au marché monétaire ou à toute autre source disponible de liquidités ;
e) de l'aptitude à convertir rapidement des avoirs en liquidités ;
f) de la capacité à faire face à des retraits de fonds inattendus ou à d'autres demandes
de paiement ;
g) de l'aptitude à répondre rapidement à toute demande raisonnable de crédit ;
h) de l'adéquation, de la mise en vigueur et de la conformité globale aux politiques
de gestion des liquidités, de l'actif et du passif ; et
i) de la nature, du volume et de l'utilisation anticipée des engagements de crédit, des
engagements conditionnels et des garanties.116
Les politiques suivantes permettront un suivi adéquat par la Banque des risques encourus
pouvant être générés par une situation d’illiquidité :
T/P/N/
Ref. Politiques NA Détail
La Banque a fixé un niveau de tolérance au risque de liquidité explicite et a
RA401 adapté à sa stratégie commerciale ainsi qu’à sa place dans le système
financier.117
La direction générale a mis au point
une stratégie, des politiques et des pratiques adaptées au niveau de
tolérance au risque qui a été fixé et s’assure que la banque dispose d’une
RA402
liquidité suffisante. La direction générale assure un suivi attentif des
indicateurs de liquidité de la banque et reporte régulièrement au conseil
d’administration sur ce sujet.118
Le conseil d’administration examine, au moins une fois l’an, et approuve
la stratégie, les politiques et les pratiques en matière de gestion du risque
RA403 de liquidité, pour s’assurer que la direction générale gère ce risque
convenablement. 119
La Banque a mis en place un processus adéquat de gestion de sa liquidité
RA404
permettant de s’assurer que les demandes à court terme de liquidité peuvent

115
Art. 38 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
116
Paragraphe 12 de la note aux banques et établissements financiers n° 93-23 du 30 juillet 1993 relative aux termes de
référence pour l'audit des comptes.
117
Principe 2, Principes de saine gestion et de surveillance du risque de liquidité, Comité Bâle.
118
Principe 3, Principes de saine gestion et de surveillance du risque de liquidité, Comité Bâle.
119
Principe 3, Principes de saine gestion et de surveillance du risque de liquidité, Comité Bâle.
99 | P a g e
T/P/N/
Ref. Politiques NA Détail
être satisfaites et anticipées, ainsi que les besoins de liquidités de l’entité
peuvent être déterminés à tout moment.120
La Banque a mis en place une stratégie de financement assurant une
RA405
diversification effective des sources et formes de financement.121
RA406 La Banque a la capacité de prévoir ses besoins en liquidité.122
La Banque a mis en place des stratégies alternatives ou des plans disponibles
RA407 permettant de répondre à ses besoins en liquidités immédiates et d'éviter des
pertes imprévisibles sur le marché monétaire. 123
La Banque évalue au moins une fois par an les risques de liquidité qu’elle
encourt en cas de forte variation des paramètres de marché. Un contrôle
périodique doit être assuré sur les hypothèses utilisées.
RA408
Les résultats de cette mesure sont communiqués au Conseil d’Administration
qui est tenu informé des décisions prises par l’organe de direction pour
couvrir les risques de liquidité.124
La Banque a mis en place des systèmes adéquats et des modèles de
RA409
gestion de risque permettant de maîtriser le risque de liquidité 125
La fonction ALM s'assure de la conformité du ratio de liquidité au ratio
RA410
réglementaire.126
La Banque évalue l’adéquation de ses fonds propres en fonction de son profil
RA411
de liquidité et de la liquidité des marchés sur lesquels elle opère. 127
la fonction ALM a mis en place des mesures correctives qui sont en
RA412
conformité avec les procédures formalisées.
Grille de contrôles 11 : Evaluation des risques - Politiques liées aux risques de liquidité

120
Conformément au 1er principe énoncé par le comité de Bâle permettant une saine gestion et de surveillance du risque de
liquidité, Il incombe à toute banque de pratiquer une saine gestion du risque de liquidité. À cette fin, elle devrait mettre en
place un cadre robuste qui lui assure en permanence, notamment grâce à un volant d’actifs liquides de haute qualité et de
premier rang, une liquidité suffisante pour faire face à une variété de situations de tensions, en particulier tout incident de
nature à tarir ou amoindrir ses sources de financement
121
Cf. Principe 9, Principes de saine gestion et de surveillance du risque de liquidité, Comité Bâle : La Banque devrait être
constamment présente sur les marchés où elle a choisi de se financer et entretenir d’étroites relations avec ses bailleurs de
fonds, de manière à favoriser une diversification effective de ses sources de financement. Pour chacune de ces sources de
financement, la banque devrait vérifier régulièrement son aptitude à se procurer rapidement des fonds. Elle devrait identifier
les principaux facteurs de nature à influencer sa capacité à obtenir des fonds et surveiller attentivement ces facteurs, pour
s’assurer que ses estimations sur cette capacité restent valides
122
Conformément à l’article 40 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au
Contrôle Interne, les entrées et sorties de trésorerie prévisionnelles à des échéances déterminées doivent être évaluées, en
tenant compte notamment de l'incidence des fluctuations des marchés de capitaux et de manière à permettre la détermination,
sur base individuelle et consolidée, des différentes impasses nettes de liquidité et à définir les actions à mettre en œuvre pour
les gérer.
123
Cf. Principe 10 et principe 11, Principes de saine gestion et de surveillance du risque de liquidité, Comité Bâle.
124
Art. 41 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
125
Principe 5, Principes de saine gestion et de surveillance du risque de liquidité, Comité Bâle.
126
Art. 13 (nouveau) de la circulaire aux banques n° 91-24 du 17/12/1991 relative à la Division, couverture des risques et
suivi des engagements.
127
Art. 39 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
100 | P a g e
§ 5 – Politiques liées aux risques du taux d’intérêt
Le risque global de taux d’intérêt se définit comme étant le risque encouru en cas de variation
des taux d'intérêt, mesuré sur l'ensemble des opérations de bilan et de hors bilan à l’exception,
le cas échéant, des opérations soumises aux risques de marché.128
T/P/N/
Ref. Politiques NA Détail
Le conseil d’administration de la Banque a approuvé une politique de
RA501 gestion du risque du taux pour se prémunir contre les fluctuations du
taux de marché monétaire.129
La gestion du risque de taux se base sur les avis et les hypothèses établis par
RA502
le comité ALM tout en respectant l’organisation dans son ensemble.
La Banque a clairement défini les responsables de la gestion du risque
RA503
de taux d’intérêt et s’est assurée de la séparation des tâches. 130
La Banque est en possession d'outils adéquats permettant la maitrise du
RA504 risque de taux d’intérêt et l'élimination de tout risque qui n’est pas en
concordance avec le profil de risque rattaché à la Banque.131
Le système de gestion du risque du taux d’intérêt de la Banque couvre toutes
RA505
les transactions réalisées y compris les engagements hors bilan.
La Banque peut mesurer avec fiabilité et dans les temps opportuns son
RA506
exposition au risque du taux d’intérêt.
La Banque évalue l’adéquation de ses fonds propres en fonction de son profil
RA507
de risque de taux d’intérêt.132
La banque évalue le risque encouru en cas de fortes variations des
RA508
paramètres de marché ou de ruptures des hypothèses retenues. 133
Les résultats des mesures du risque global de taux d’intérêt sont
communiqués au Conseil d’Administration afin d'apprécier les risques
RA509
encourus par la Banque notamment par rapport à ses fonds propres et ses
résultats.134
Des revues indépendantes et des évaluations de l’efficacité du système de
RA510 gestion du risque de taux d’intérêt sont effectuées périodiquement. Les
résultats desdites revues sont remis à la direction Générale. 135
Grille de contrôles 12 : Evaluation des risques - Politiques liées aux risques du taux d’intérêt

128
Art. 35 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
129
Conformément à l’Art. 36 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au
Contrôle Interne, les banques doivent disposer d'un système de mesure du risque global de taux, lorsqu'il est significatif, leur
permettant notamment
- d’appréhender les positions et les flux, certains ou prévisibles, résultant de l'ensemble des opérations de bilan et hors-bilan ;
- d’appréhender les différents facteurs de risque global de taux d'intérêt auquel ces opérations les exposent ;
- d’évaluer périodiquement l'impact de ces différents facteurs, dès lors qu'ils sont significatifs, sur leurs résultats et leurs
fonds propres.
130
Principe 3, Principes de saine gestion et de surveillance du risque de taux d’intérêt, Comité Bâle ;
131
Principe 6 et 9, Principes de saine gestion et de surveillance du risque de taux d’intérêt, Comité Bâle ;
Les outils de gestion du risqué de taux d’intérêt devraient produire les reporting suivants :
- Rapport sur les gaps de maturité et/ou de duration : les gaps entre les actifs et les passifs sensibles à la fluctuation de taux
doivent concorder avec les prévisions de la Banque quant à la fluctuation du taux d’intérêt.
- Rapport sur le Bilan prévisionnel et le taux d’intérêt prévisionnel : Ce rapport permet à la Banque d’être préparée pour la
gestion de son exposition à la fluctuation des taux d’intérêt. Ceci inclue une approche dynamique ou Statique dont les
actions résultantes devraient être conforment aux politiques fixées
132
Principe 12, Principes de saine gestion et de surveillance du risque de taux d’intérêt, Comité Bâle ;
133
Art. 37 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
134
Principe 1er, Principes de saine gestion et de surveillance du risque de taux d’intérêt, Comité Bâle et Art. 37 de la Circ.
BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
135
Principe 10, Principes de saine gestion et de surveillance du risque de taux d’intérêt, Comité Bâle.
101 | P a g e
§ 6 – Politiques liées aux risques opérationnels
Le risque opérationnel se définit comme étant le risque de pertes résultant de carences ou de
défaillances attribuables à la conception, à l’organisation et à la mise en œuvre des
procédures, aux erreurs humaines ou techniques ainsi qu’aux événements extérieurs. La
définition inclut, entre autres, le risque juridique mais exclut les risques stratégiques et de
réputation.136

T/P/N/
Ref. Politiques NA Détail
La Banque est dotée d’un système de gestion du risque opérationnel
approuvé par le conseil d’administration et permettant de s’assurer que
RA601 les risques qui pourraient découler de défaillance ou d’insuffisance de
procédures et d’erreurs humaines ou techniques sont identifiés et
mesurés périodiquement. 137
Une fonction autonome et indépendante dédiée à la gestion du risque
RA602 opérationnel est mise en place par la Banque pour s’assurer de la bonne
maîtrise des risques éventuels courus.
La Banque identifie et évalue le risque opérationnel inhérent à tous
les produits, activités, processus et systèmes importants. Elle devrait
aussi, avant de
RA603 lancer ou d’exploiter des produits, activités, processus et systèmes
nouveaux, soumettre à
une procédure adéquate d’évaluation le risque opérationnel qui leur est
inhérent138
La Banque a implémenté un processus d’enregistrement systématique des
RA604 données relatives au risque opérationnel, notamment les pertes significatives
par catégorie d’activité. 139
Le système d’évaluation des pertes opérationnelles est étroitement intégré
aux processus de gestion des risques de la Banque. Les données qu’il produit
RA605
font partie intégrante de ses processus de surveillance et de contrôle du profil
de risque opérationnel. 140
L’exposition au risque opérationnel (et notamment les pertes importantes
subies), est régulièrement notifiée à la direction de l’unité concernée, à
RA606 l’organe de direction et au Conseil d’Administration. La Banque dispose de
procédures lui permettant de prendre les mesures correctrices à la lumière
des rapports à l’organe de direction.141
Le conseil d’administration garantit que le dispositif de gestion du
risque opérationnel de la banque est soumis à un audit interne efficace et
RA607 complet, effectué par un personnel fonctionnellement indépendant, doté
d’une formation appropriée et compétent. La fonction d’audit interne ne
devrait pas être directement responsable de la gestion du risque

136
Art. 45 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
137
Art. 46 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne et Principe 1er, Saines
pratiques pour la gestion et la surveillance du risque opérationnel, Comité Bâle.
138
Principe 4, Saines pratiques pour la gestion et la surveillance du risque opérationnel, Comité Bâle.
139
Art. 47 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
140
Art. 47 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
141
Art. 47 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne et Principe 5, Saines pratiques
pour la gestion et la surveillance du risque opérationnel, Comité Bâle.
102 | P a g e
T/P/N/
Ref. Politiques NA Détail
142
opérationnel.
Un plan de secours a été développé et approuvé par le conseil
d’administration. Celui ci assure qu'un plan adéquat de continuité des
RA608
affaires est en place et dûment testé. Ce plan devrait couvrir toutes les
perturbations potentielles au déroulement normal des affaires. 143
La banque dispose d'un département de contrôle de conformité disposant des
ressources nécessaires et responsable de s'assurer que la Banque est en
conformité avec la règlementation qui impacte ses opérations. Ceci permet
RA609
de s'assurer que les pertes significatives ne soient pas la résultante du défaut
de conformité à la règlementation ou à l'incapacité de s'adapter aux
changements anticipés dans l'environnement réglementaire.
La Banque a implémenté des procédures de documentation des transactions
RA610
et des informations leur permettant d'être compréhensibles et appliquées.
L’entité a implémenté un outil ou un mécanisme permettant de mesurer
RA611
régulièrement le risque opérationnel encouru par la banque.
La Banque évalue l’adéquation de ses fonds propres en fonction de son profil
RA612
de risque opérationnel. 144
Grille de contrôles 13 : Evaluation des risques - Politiques liées aux risques opérationnels

§ 7 – Gestion des risques liés au changement


L’environnement économique et légal des Banques est sujet à un changement fréquent. Il en est
de même des activités propres de la Banque où les produits offerts sont en permanente
modification et les innovations dans ce secteur ne manquent pas. La Banque devrait être capable
de mettre en place les mécanismes nécessaires pour identifier et réagir au changement de
conditions et de profil de risque.

T/P/N/
Ref. Politiques NA Détail
Les produits offerts par la Banque sont consignés et renseignés dans une liste
RA701
arrêtée par la Direction Générale de la Banque.
Les transactions revêtant un caractère complexe ou relatives à de nouveaux
RA702 produits sont sujettes à des autorisations spécifiques et une procédure
préalable d’identification des risques s’y rattachant.
Avant d’entrer dans un nouveau produit, la Banque s’assure que son système
RA703 d’information intègre parfaitement l’ensemble des composantes dudit
produit.
Une fois la décision prise pour émettre un nouveau produit, un cadre
RA704 opérationnel est défini pour ce produit. (notamment la définition des limites,
procédures à suivre, responsabilité…)
Grille de contrôles 14 : Evaluation des risques -Gestion des risques liés au changement

142
Principe 2, Saines pratiques pour la gestion et la surveillance du risque opérationnel, Comité Bâle.
143
Principe 7, Saines pratiques pour la gestion et la surveillance du risque opérationnel, Comité Bâle.
144
Art. 46 de la Circ. BCT n°2006-19 du 28/11/2006 relative au Contrôle Interne
103 | P a g e
Section 3 – Matrice intermédiaire d’évaluation des risques
Nombre de Totalement Partiellement Non Non
politiques implémentées implémentées implémentées Applica
bles

Politiques liées aux risques de la


structure des actifs et passifs 11
Politiques liées aux risques de
crédit 26
Politiques liées aux risques de
marché 14
Politiques liées aux risques de
liquidité 12
Politiques liées aux risques du taux
d’intérêt 10
Politiques liées aux risques
opérationnels 12
Gestion des risques liés au
changement 4
Evaluation – Evaluation des Risques 89
Matrice 2 : Matrice intermédiaire d’évaluation des risques

104 | P a g e
Chapitre 3 –Le système d’information et
de communication
Section 1 – Définitions et objectifs
L’information et la communication sont la composante du contrôle interne qui nous assure
que l’information pertinente est identifiée, saisie et communiquée sous une forme et dans un
délai qui permettent aux employés de s’acquitter de leurs responsabilités dans le délai
voulu.145

La haute direction doit indiquer clairement à tous les membres du personnel qu’ils doivent
prendre au sérieux leurs responsabilités en matière de contrôle. Les personnes doivent savoir
en quoi consiste leur propre rôle au sein du système de contrôle interne et connaître les liens
qui existent entre les activités individuelles et le travail des autres. Elles doivent disposer de
moyens ascendants pour communiquer l’information importante au sein de l’organisme.

Les systèmes d’information jouent un rôle fondamental au sein de la Banque. Ils produisent,
entre autres, des données opérationnelles, financières ou encore liées au respect des
obligations légales et réglementaires, qui permettent de gérer et de contrôler l’activité. Les
systèmes d’information traitent, non seulement, des données produites par la Banque, mais
également celles émanant de l’extérieur (événements, marche de l’activité, contexte général...)
et qui sont nécessaires à la prise de décisions en matière de conduite des affaires et de
communication externe.

145
Internal control – Integrated framework, Committee of Sponsoring Organizations of the Treadway Commission
105 | P a g e
Section 2 – Principales politiques et activités
§1 – La fiabilité de l’information et des systèmes d’information
La qualité de l'information générée par le système influe sur la capacité de la direction de
prendre des décisions appropriées concernant la gestion et le contrôle des activités de la
Banque. Les aspects suivants permettent d’évaluer les contrôles à l’égard de la fiabilité des
systèmes d’information :

T/P/N/
Ref. Politiques NA Détail
Un plan stratégique lié au système d’information de la Banque est mis
en place par la direction. Le dit plan est directement lié aux stratégies
IC101 globales de l’entité. Les objectifs du plan stratégique comprennent la
préparation de rapports de haute qualité pour l'externe et qui répondent
aux besoins des différents services de la Banque.146
Des procédés sont établis pour fournir l'assurance que l'information
IC102 pertinente est identifiée, saisie, traitée et communiquée correctement et
rapidement par les systèmes d'information.
Des activités de contrôle sont établies pour assurer l'exactitude et l'intégrité
IC103
des données à la base des rapports.
La Banque a mis en place un système d’information fiable couvrant
toutes ses activités importantes. 147
IC104
Ce système doit être sûr, surveillé de manière indépendante et étayé par
des plans de secours adéquats.148
La direction affecte le personnel approprié au service du système
IC105 d’information et conçoit ce service de manière qu'il contribue à l'atteinte des
objectifs d'affaires globaux de la Banque. 149
La direction assure le suivi de la satisfaction de l'utilisateur avec
IC106 l'information fournie (p. ex., la direction examine la fréquence et la nature
des demandes de modification de l'information).
Grille de contrôles 15 : Information et communication - La fiabilité de l’information et des systèmes d’information

146
Le premier objectif de contrôle de haut niveau énoncé par le COBIT Steering Committee and the IT Governance Institute
concerne la définition des stratégies du système d’information. Cette stratégie devrait inclure un plan à court terme et un plan
à long terme. Ces plans devraient être communiqués et faire l’objet d’action de suivi et d’évaluation. Une évaluation continue
du système d’information actuel devrait être menée régulièrement.
147
Principe 8 du cadre pour les systèmes de contrôle interne dans les organisations bancaires, comite de bale sur le contrôle
bancaire, bale, septembre 1998
148
Les activités de contrôle prévues au niveau de la 3ème partie relative à l’environnement de traitement informatique
permettent de vérifier l’adéquation de l’implémentation de cette politique.
149
Objectif de contrôle de haut niveau PO07, COBIT Control Objectives
106 | P a g e
§ 2 – L’accès à l’information
L'efficacité de la structure de contrôle dépend de l'accès par la direction à une information
essentielle et complète. Les caractéristiques d’une structure de contrôle efficace en ce qui
concerne l’information peuvent être résumées ainsi:

T/P/N/
Ref. Politiques NA Détail
La structure organisationnelle de la banque facilite une circulation
IC201 adéquate – horizontale et verticale – de l’information dans toute
l’organisation. 150
La Banque a mis en place des mécanismes permettant d’obtenir les
informations externes nécessaires se rattachant aux conditions de
IC202
marchés, à la surveillance stratégique des concurrents, aux changements
législatifs et règlementaires et aux changements économiques. 151
Les informations générées en interne nécessaire à l’atteinte des objectifs
IC203
de la Banque sont identifiées et reportées régulièrement. 152
La direction Générale évalue le caractère approprié de la structure du
IC204
système d’information.
Un processus a été établi pour les activités ou les services décentralisés afin
IC205 de demander que des changements soient apportés aux rapports produits par
le système d’information.
Si des demandes de modification de rapports sont reçues, les raisons de ces
IC206 demandes font l'objet d'un examen, et les rapports sont modifiés dans la
mesure où cela est jugée nécessaire.
Les dirigeants et le personnel de divers échelons sont interrogés afin de
IC207 déterminer quelle information est nécessaire ou souhaitable dans l'ensemble
de l'organisation.
La direction surveille les raisons pour lesquelles les membres du personnel
IC208
créent des rapports spéciaux.
Grille de contrôles 16 : Information et communication - L’accès à l’information

150
Une telle structure garantit que les informations remontent et permet au conseil d’administration et à la direction générale
de connaître les risques encourus dans le cadre de l’activité et les résultats d’exploitation. L’information qui redescend à
travers l’organisation garantit que les objectifs, les stratégies, et aussi les attentes, de la banque ainsi que les politiques et
procédures établies sont communiqués au niveau de direction inférieur et au personnel chargé des opérations. Cette
communication est essentielle pour obtenir un effort commun de tous les employés vers les objectifs de la banque. Enfin, la
communication horizontale dans l’organisation est nécessaire pour que l’information parvenant à une unité ou un
département puisse être connue des autres unités ou départements concernés. Parag. 35 du cadre pour les systèmes de
contrôle interne dans les organisations bancaires, comite de bale sur le contrôle bancaire, bale, septembre 1998
151
Internal control – Integrated framework, COSO Committee, Evaluation tools
152
Internal control – Integrated framework, COSO Committee, Evaluation tools
107 | P a g e
§ 3 – Méthode d’utilisation de l’information
L'information doit être à jour et appropriée pour être utile et pour pouvoir prendre les mesures
qui s'imposent. Pour assurer l’utilisation efficace de l’information, les aspects suivants
devraient être vérifiés par la Banque:
T/P/N/
Ref. Politiques NA Détail
Les gestionnaires reçoivent l'information analytique afin de pouvoir
IC301
identifier les mesures nécessaires à prendre. 153
L'information est fournie de manière suffisamment détaillée, le niveau de
détail varie selon les différents niveaux de direction.154 (exemple : Les
IC302
contrôleurs financiers reçoivent des informations détaillées en quantité
appropriée lorsqu'ils examinent les résultats financiers.)
L'information est fournie rapidement pour permettre une surveillance
IC303
efficace.
Des échéances sont établies et convenues pour la présentation de
IC304 l'information. Ces échéances permettent un examen approprié par les
hauts dirigeants qui surveillent le respect des délais.155
Grille de contrôles 17 : Information et communication - Méthode d’utilisation de l’information

§ 4 – Identification des besoins d’information


L’information doit changer lorsque les Banques évoluent et que l’environnement change.
L'évolution des besoins en matière d'information et de communication devrait être
suffisamment prise en compte.
T/P/N/
Ref. Politiques NA Détail
Un mécanisme a été établi pour identifier les besoins d'information
IC401
interne.156
Un mécanisme a été établi pour identifier les besoins d'information
IC402
externe157
La Banque a établi un processus en réponse aux besoins d'information qui
IC403 résultent du changement de la réglementation (Comptable, Superviseurs,
Administration fiscale…).
Les ressources de la Banque consacrées aux systèmes d'information sont
IC404 appropriées compte tenu des ressources consacrées aux autres fonctions de la
Banque.
La Banque a mis en place des indicateurs permettant d'évaluer le caractère
IC405
approprié du système d'information.
Grille de contrôles 18 : Information et communication - Identification des besoins d’information

153
Internal control – Integrated framework, COSO Committee, Evaluation tools
154
Internal control – Integrated framework, COSO Committee, Evaluation tools
155
La Banque devrait également respecter certaines échéances de publications d’informations financières fixées par des
organes externes dont notamment les superviseurs et le conseil des marchés financiers pour le cas des Banques cotées et
faisant appel public à l’épargne.
156
L’ensemble des analyses effectuées par les différents services de la Banque repose sur le besoin d’une information fiable.
Ainsi, l’analyse et l’évaluation des risques Bancaire demandent une information agrégée se basant sur des informations
financières exhaustives et enrichies.
157
L’environnement externe de la Banque est généralement un utilisateur privilégié de l’information : reporting à la Banque
Centrale quotidien, mensuels, trimestriels et annuel. Reporting aux actionnaires et aux investisseurs notamment pour le cas
des Banques côtées (Prospectus d’information, Publications d’états financiers, Publication d’indicateurs d’activité…)
108 | P a g e
§ 5 – Communication des responsabilités
Le contrôle interne dépend des employés qui s'acquittent de leurs responsabilités de la
manière prévue. L’entité communique ces responsabilités efficacement lorsque :
T/P/N/
Ref. Politiques NA Détail
La direction générale communique les niveaux d'autorité à l'ensemble
IC501
des employés.
La direction a recours à la formation, à des réunions ou à la supervision sur
IC502 place pour communiquer les questions relatives à l'information et au contrôle
interne.
Les nouveaux employés suivent une formation portant sur leur rôle au sein
IC503
de la structure de contrôle interne et de son incidence sur les autres.
Les employés connaissent les objectifs de la Banque en ce qui a trait à
IC504
l'information et savent comment leurs activités influent sur ses objectifs.
Les politiques, les organigrammes et les directives opérationnelles sont
IC505
consignés et distribués aux employés.158
Les employés savent comment leurs activités interagissent avec les tâches
IC506
d'autres employés.
Grille de contrôles 19 : Information et communication - Communication des responsabilités

§ 6 – Programmes de dénonciation
Un programme de dénonciation prévoit un mécanisme qui permet d'être informé à temps et de
façon anonyme, au besoin, des problèmes importants. Un programme de dénonciation est
efficace lorsque :

T/P/N/
Ref. Politiques NA Détail
Les employés ont le moyen de communiquer de façon ascendante, et
IC601 anonyme s'ils le souhaitent, autrement qu'en s'adressant à leur superviseur
immédiat.
Les tiers peuvent communiquer des questions relatives à l'information
IC602
financière, anonymement s'ils le souhaitent.
Les problèmes communiqués par le passé ont été résolus de manière
IC603
appropriée.
Les problèmes communiqués font rapidement l'objet d'une enquête, et des
IC604
mesures disciplinaires sont prises au besoin.
Toutes les impropriétés relatives à l'information financière sont
IC605
communiquées au comité d'audit.
Des commentaires positifs sont communiqués aux employés qui rapportent
IC606
des problèmes soupçonnés.
Des mécanismes réalistes sont établis pour permettre aux employés de
IC607
communiquer des recommandations.
La direction reconnaît de façon positive le personnel qui agit conformément
IC608
à l'éthique.
Grille de contrôles 20 : Information et communication - Programmes de dénonciation

158
Conformément au Principe 9 du cadre pour les systèmes de contrôle interne dans les organisations bancaires publié par le
comite de bale en septembre 1998, un système de contrôle interne efficace nécessite des voies de communication
performantes pour garantir que l’ensemble du personnel comprend et respecte parfaitement les politiques et procédures
affectant ses tâches et responsabilités et que les autres informations importantes parviennent à leurs destinataires.
109 | P a g e
§ 7 – Communication externe
Les communications de la Direction Générale à l’intérieur et à l'extérieur de la Banque
devraient témoigner d'une attitude propice à un contrôle interne efficace. Les signes suivants
peuvent être à l’origine d’une communication efficace :

T/P/N/
Ref. Politiques NA Détail
Les objectifs de la Banque en matière d'information financière sont
IC701
communiqués à l'échelle de l'entreprise.
Le chef des finances rencontre périodiquement la direction des divisions
IC702 pour communiquer les attentes en matière d'information financière de
l'ensemble de la Banque.
La direction indique au personnel et à d'autres parties qu'un système de
IC703
contrôle efficace figure parmi les priorités de la société.
La Banque est dotée d’une politique écrite en matière de communication
IC704 financière, approuvée par le Conseil d’Administration, qui définit
l’approche choisie pour déterminer les informations à diffuser. 159
Grille de contrôles 21 : Information et communication - Communication externe

Section 3 – Matrice intermédiaire d’évaluation

Objectifs Nombre de Totalement Partiellement Non Non


politiques implémentées implémentées implémentées Applica
bles

La fiabilité de l’information et des


systèmes d’information 6
L’accès à l’information 8
Méthode d’utilisation de
l’information 4
Identification des besoins
d’information 5
Communication des responsabilités 6
Programmes de dénonciation 8
Communication externe 4
Evaluation – Information et
communication 41
Matrice 3 : Matrice intermédiaire d’évaluation du système d’information et de communication

159
Art.55, de la circulaire aux établissements de crédit n° 2006 – 19 du 28/11/2006 relative au Contrôle Interne.
110 | P a g e
Chapitre 4 – La surveillance
Section 1 – Définitions et objectifs
La surveillance des contrôles est un processus qui vise à évaluer l’efficacité du contrôle
interne au fil du temps160. Elle consiste à évaluer la conception et le fonctionnement des
contrôles en temps opportun et à apporter les correctifs nécessaires en fonction de l’évolution
des conditions.

Les Banques, en fonction de leur taille et de la nature de leurs activités, disposent d’agents
chargés des contrôles, permanents et/ou périodiques :

a) Le contrôle permanent de la conformité, de la sécurité, de la validation des


opérations réalisées et du respect des autres diligences liées à la surveillance des
risques doit être assuré, avec un ensemble de moyens adéquats, par des agents
dédiés exclusivement à cette fonction au niveau des services centraux et des
agences ou par d’autres agents exerçant des activités opérationnelles.

b) Le contrôle périodique de la conformité des opérations, du niveau de risque


effectivement encouru, du respect des procédures, de l'efficacité et du caractère
approprié des dispositifs mentionnés au paragraphe précédent doit être assuré au
moyen d’enquêtes par des agents autres que ceux mentionnés ci-dessus. 161

Les lacunes du contrôle interne doivent être communiquées à l’échelle de l’organisme, les
questions d’une certaine gravité étant communiquées à la direction générale et au conseil
d’administration.

Section 2 – Principales politiques et activités


§ 1 –L’audit interne
L’audit interne constitue un pilier de la surveillance continue du système de contrôle interne
de la Banque. Il est responsable de fournir une évaluation indépendante de l’adéquation et de
la conformité aux procédures et politiques de la Banque. La Fonction d’audit interne assiste
ainsi le conseil d’administration et la direction générale pour les décharger d’une manière
efficiente et efficace de leurs responsabilités.162

160
Internal control – Integrated framework, Committee of Sponsoring Organizations of the Treadway Commission
161
Art. 7, Circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
162
Principle 3, Internal audit in banks and the supervisor's relationship with auditors, August 2001, Basel Committee.
111 | P a g e
T/P/N/
Ref. Politiques NA Détail
La Banque dispose en permanence d’une structure d’audit interne
SV101 indépendante des entités opérationnelles et adaptée à sa taille et à la
nature de ses opérations. 163
La Banque fournit à la structure d’audit interne les ressources
SV102
matérielles et humaines nécessaires pour la réalisation de ses objectifs 164
Le comité permanent d’audit interne a désigné un responsable d’audit
interne165 chargé de veiller à la cohérence et à l’efficacité des missions se
SV103 rattachant au contrôle périodique de la conformité des opérations, à
l’évaluation du niveau de risque effectivement encouru, au respect des
procédures et à l’évaluation de l'efficacité et du caractère approprié des
dispositifs de contrôle permanent. 166
Le comité permanent d’audit est chargé du contrôle et de la
coordination des activités de la structure d’audit interne.167
Généralement, l’étendue des travaux de l’audit interne inclut :
- L’examen et l’évaluation de l’adéquation du Système de contrôle
interne ;
- La revue de l’application et de l’efficience des procédures et des
méthodologies de gestion des risques ;
- La revue du système d’information y compris les systèmes
électroniques et les services bancaires électroniques ;
SV104 - La revue de la fiabilité des enregistrements comptables et des
états financiers ;
- La revue des moyens de sauvegarde des actifs ;
- La revue de l’adéquation du capital compte tenu du profil de
risque de la Banque ;
- La revue et le test du fonctionnement des activités de contrôle ;
- La revue de la fonction de conformité et le système mis en place
par la Banque pour s’assurer de sa conformité aux lois, à la
règlementation et aux politiques internes ;
- La réalisation d’investigations spéciales ;168
La Banque dispose d’une Charte d’audit interne qui met en valeur le standing
SV105
et l’autorité de la fonction d’audit interne au sein de la Banque.169
Le personnel de la fonction d’audit interne jouit d’une compétence
professionnelle nécessaire (connaissance des métiers exercés) et
SV106
diversifiée (ex. connaissances informatiques, connaissances
juridiques…) permettant la réalisation des objectifs assignés 170

163
Art. 8 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
164
Principle 4, Internal audit in banks and the supervisor's relationship with auditors, August 2001, Basel Committee.
165
Art. 57 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
166
Art. 7 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
Conformément au Principe 5 de la publication du comité de Bale « Internal audit in banks and the supervisor's relationship
with auditors », La Fonction d’audit interne au sein de la Banque devrait être totalement indépendante des activités auditée et
des activités de contrôle permanent. Ainsi, cette fonction jouit d’un standing approprié au sein de la Banque et effectue son
rôle en toute objectivité et impartialité.
167
Art. 57 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
168
Parag. 13, Internal audit in banks and the supervisor's relationship with auditors, August 2001, Basel Committee.
169
Conformément au Parag. 21 de la publication du comité de Bale « Internal audit in banks and the supervisor's
relationship with auditors », cette charte devrait au minimum inclure les objectifs et l’étendu des travaux de la fonction
d’audit interne, la position de cette fonction au sein de l’organisation et la responsabilité du responsable de cette fonction et
de son devoir de répondre de ses travaux.
170
Principle 8, Internal audit in banks and the supervisor's relationship with auditors, August 2001, Basel Committee.
112 | P a g e
T/P/N/
Ref. Politiques NA Détail
Un plan de formation du personnel de l’audit interne est approuvé par le
comité permanent d’audit. Ce plan intègre les différentes techniques
SV107
bancaires et est mis à jour annuellement pour inclure les nouveautés dans ce
domaine.
La structure d’audit interne dispose d’un plan d’audit couvrant l’ensemble
SV108 des activités de la Banque. Ce Plan est approuvé par le comité permanent
d’audit. 171
L'audit interne adhère aux normes professionnelles, comme celles qui
SV109
sont établies par l'institut des auditeurs internes
L’audit interne dispose d’une méthodologie d’audit conforme aux normes
SV110
professionnelles généralement admises.
L’audit interne dispose d’un outil permettant la documentation de la
SV111 méthodologie d’audit adoptée et d’effectuer des sondages scientifiques pour
les contrôle périodiques.
L’audit interne dispose d’un outil intégré avec le système d’information de la
SV112
Banque permettant de tester les activités et contrôles programmés.
Si la fonction d’audit interne est externalisée, le conseil d’administration et
son comité permanent d’audit demeurent responsables en dernier ressort du
SV113
maintien d’un système de contrôle interne et d’une fonction d’audit interne
adéquate et efficace. 172
Grille de contrôles 22 : La surveillance - L’audit interne

§2 –Contrôle de la conformité
Le système de contrôle interne au sein de la Banque devrait inclure des politiques et des
procédures se rattachant à la conformité et prévoir des actions correctives immédiates en cas
d’identification d’un statut de non conformité.

Le défaut de suivi de procédures de conformité rigoureuses peut être à l’origine de mauvaise


publicité et d’un risque de réputation beaucoup plus important.

Le risque de non-conformité est défini comme étant le risque que la Banque soit sujette à des
sanctions règlementaires ou à des pertes financières en raison de son incapacité de se
conformer à la loi, à la règlementation, aux standards internes ou au code de conduite
professionnel.

Le risque de non-conformité inclut spécifiquement certains aspects se rattachant au


blanchiment d’argent et au financement du terrorisme et peut s’étendre à la règlementation
fiscale.

171
Principle 9 and 11, Internal audit in banks and the supervisor's relationship with auditors, August 2001, Basel
Committee. Le plan d’audit ne doit pas se focaliser sur une partie des activités de la Banque. Une approche basée sur les
risques devrait être appréhendée et des plans de rotation peuvent être adoptés pour couvrir l’audit financier, l’audit de la
conformité, l’audit opérationnel et l’audit de la gestion.
172
Principle 20, Internal audit in banks and the supervisor's relationship with auditors, August 2001, Basel Committee.
113 | P a g e
La conformité, un des piliers de la surveillance au sein d’une Banque, devrait faire partie de
la culture de l’ensemble de l’organisation et non pas seulement des spécialistes de la
conformité et constitue un outil efficace permettant de décharger le conseil d’administration
de ses responsabilités de surveillance.

Les politiques exposées ci-dessous permettent de s’assurer de la maitrise par la banque du


risque de non-conformité :

T/P/N/
Ref. Politiques NA Détail
Le conseil d’administration est responsable de la supervision du risque
SV201
de non-conformité encouru par la Banque. 173
La Banque a mis en place un système de contrôle de la conformité, approuvé
SV202
par le conseil d’administration et revu annuellement. 174
La Banque a institué dans son organigramme un organe permanent
SV203 chargé du contrôle de la conformité qui exerce ses activités sous
l’autorité du Conseil d’administration. 175
L’organe de contrôle de la conformité est chargé notamment :
- de s’assurer de l’exécution par la Banque de ses obligations légales et
de son respect des bonnes pratiques et des règles professionnelles et
déontologiques.
- d’identifier et de déterminer les risques de non-conformité et d’évaluer
leurs effets sur l’activité de l’établissement.
- de soumettre au conseil d’administration des rapports comportant des
SV204 propositions de mesures susceptibles de maîtriser et de traiter les risques
de non-conformité, et
- d’assister les services et autres organes de l’établissement de crédit
pour garantir la conformité aux lois et règlements en vigueur, ainsi
qu’aux bonnes pratiques et aux règles professionnelles et
déontologiques, y compris la proposition de programmes de formation à
l’intention des agents chargés de la fonction de contrôle de la
conformité.176
Les agents chargés du contrôle de la conformité doivent disposer des
qualifications professionnelles appropriées et avoir une parfaite
SV205 connaissance des lois et règlements en vigueur, des règles
professionnelles et déontologiques et des exigences du contrôle et de
l’organisation. 177
La Banque a établi et a communiqué des politiques de conformité178 ; Les
SV206
procédures de contrôle de la conformité sont définies dans une charte

173
Principle 2, Compliance and the compliance function in Banks, Basle Committee, April 2005.
174
Article 34 quarter (nouveau), de la loi 2001-65 relative aux établissements de crédit et Principle 1, Compliance and the
compliance function in Banks, Basle Committee, April 2005.
175
Art. 3, de la circulaire aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un
système de contrôle de la conformité au sein des établissements de crédit et Principle 4, Compliance and the compliance
function in Banks, Basle Committee, April 2005.
176
Art. 4, de la circulaire aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un
système de contrôle de la conformité au sein des établissements de crédit.
177
Art. 7, de la circulaire aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un
système de contrôle de la conformité au sein des établissements de crédit.
178
Principle 3, Compliance and the compliance function in Banks, Basle Committee, April 2005.
114 | P a g e
T/P/N/
Ref. Politiques NA Détail
appelée "charte de la fonction de contrôle de la conformité", approuvée par le
conseil d’administration. Cette charte comporte notamment :
- les objectifs de la fonction,
- les attributions de l’organe chargé du contrôle de la conformité,
- les règles garantissant l’indépendance de cet organe, notamment son
rattachement direct au conseil d’administration ou au conseil de
surveillance,
- le droit de l’organe d’accéder à tous les documents nécessaires à la
réalisation de sa mission et de mener des investigations,
- le droit de l’organe de communiquer directement avec le conseil
d’administration ou le conseil de surveillance et de leur soumettre les
rapports établis à cet effet, et
- l’obligation d’informer le personnel de l’établissement de crédit du
contenu de la charte et des modifications qui lui sont apportées. 179
le conseil d’administration garantit l’indépendance de l’organe de
contrôle de la conformité.180
Cette indépendance est démontrée par :
- Le statut formel au sein de la Banque de l’organe chargé de la
conformité
SV207 - La désignation formelle d’un haut cadre comme Directeur de
conformité
- Les personnes chargées de la fonction de contrôle de la
conformité ne peuvent cumuler cette fonction avec d’autres
fonctions ou responsabilités dans l’établissement de crédit181
- L’accès non restreint à l’information et au personnel qualifié.182
La Banque a doté l’organe de contrôle de la conformité des moyens
humains et logistiques nécessaires et lui a garanti les conditions
SV208
adéquates pour l’accomplissement de sa mission, notamment par
l’institution de réseaux d’accès aux informations nécessaires. 183
Les activités de la fonction de conformité sont sujettes à des revues
SV209
périodiques par l’audit interne. 184
Si la Banque désire se faire assister par des experts externes en matière de
SV210 contrôle de la conformité (externalisation), cette assistance a lieu sous la
supervision du responsable du contrôle de la conformité185
Grille de contrôles 23 : La surveillance - Contrôle de la conformité

179
Art. 10, de la circulaire aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un
système de contrôle de la conformité au sein des établissements de crédit.
180
Art. 6, de la circulaire aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un
système de contrôle de la conformité au sein des établissements de crédit.
181
Art. 8, de la circulaire aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un
système de contrôle de la conformité au sein des établissements de crédit.
182
Principle 5, Compliance and the compliance function in Banks, Basle Committee, April 2005.
183
Principle 6, Compliance and the compliance function in Banks, Basle Committee, April 2005 et Art. 6, de la circulaire
aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un système de contrôle de la
conformité au sein des établissements de crédit.
184
Principle 8, Compliance and the compliance function in Banks, Basle Committee, April 2005.
185
Principle 10, Compliance and the compliance function in Banks, Basle Committee, April 2005 et Art. 9, de la circulaire
aux établissements de crédit n° 2006 -06 du 24 juillet 2006 objet relative à mise en place d’un système de contrôle de la
conformité au sein des établissements de crédit.
115 | P a g e
§ 3 –Réceptivité aux recommandations
Pour maintenir l'efficacité du système de contrôle interne, la Banque doit tenir compte des
constatations et des recommandations d'autrui. Cette efficacité est démontrée lorsque :

T/P/N/
Ref. Politiques NA Détail
Des membres de la direction, disposant de l'autorité appropriée, décident
SV301 quelles sont les recommandations des auditeurs internes et externes qui
seront mises en œuvre.
La direction prend des mesures appropriées à l'égard des exceptions aux
SV302 politiques et aux procédés conformément aux politiques disciplinaires
adoptées.
Des plans d'action sont mis en œuvre, et un suivi permet d'en vérifier
SV303
l’exécution.
Les différentes directions de la Banque prennent rapidement des
mesures en réponse aux constatations et aux recommandations du
service d'audit interne ou aux questions portant sur les résultats
SV304
financiers et les écarts par rapport au budget. Les mesures prises en
réponse aux constatations de l'audit interne ou externe sont soumises au
comité permanent d'audit interne.
Les directions répondent par écrit en réponse aux défaillances formulées
dans les lettres de recommandations.
Le comité permanent d'audit interne exige que les lettres de
SV305
recommandations adressées aux divisions ou aux filiales lui soient remises
ainsi qu'un compte rendu par écrit relatif aux mesures prises par les
directions des divisions ou des filiales.
Les recommandations visant une amélioration sont adoptées, et les lacunes
SV306
relevées font l'objet de mesures correctives.
Grille de contrôles 24 : La surveillance - Réceptivité aux recommandations

§ 4 – La surveillance par la Communication en externe et en interne


Pour maintenir l'efficacité du contrôle interne, la Banque doit tenir compte des points soulevés
par les parties externes.

De même, les réunions internes sont une façon efficace de communiquer à la direction
générale si les contrôles fonctionnent convenablement. Les réunions et les communications
internes servent de mécanismes de surveillance lorsque la direction reçoit de la rétroaction au
sujet des contrôles.

La communication constitue un facteur de surveillance efficace dans la mesure où la Banque


implémente les politiques suivantes :

116 | P a g e
T/P/N/
Ref. Politiques NA Détail
Les plaintes soulevées par des parties externes, comme les clients, les
SV401 bailleurs de fonds ou le Superviseur, font l'objet d'une enquête
approfondie et sont consignées.
Les directions de la Banque utilisent des contrôles proactifs au sujet de
SV402
l'information de tiers (p.ex., les confirmations des correspondants).
Les communications reçues de l’externe (p.ex. relevés mensuels des
SV403
correspondants) sont utilisées par la Banque comme techniques de contrôle.
Les contrôles qui sont conçus afin de prévenir ou de détecter des problèmes
SV404
sont réévalués lorsque les problèmes surviennent.
Les questions et les problèmes pertinents qui sont soulevés au cours de
SV405
séminaires de formation sont consignés.
Les suggestions des employés sont communiquées de façon ascendante et
SV406
donnent lieu à des mesures au besoin.
La direction a recours à des sondages et à des groupes de discussion pour
SV407
comprendre les perceptions des employés.
Grille de contrôles 25 : La surveillance - La surveillance par la Communication en externe et en interne

Section 3 – Matrice intermédiaire d’évaluation


Objectifs Nombre de Totalement Partiellement Non Non
politiques implémentées implémentées implémentées Applica
bles

L’audit interne 13

Le contrôle de la conformité 10

La réceptivité aux
recommandations 6
La surveillance par la
Communication en externe et en 7
interne

Evaluation – Surveillance 36

Matrice 4 : Matrice intermédiaire d’évaluation du système de surveillance

117 | P a g e
Synthèse de la 2ème Partie
L’évaluation externe du contrôle interne bancaire est effectuée à la fois par les agences de
notation privées, les autorités de régulation et les auditeurs externes. Plusieurs instruments de
notation se sont développés au cours des deux dernières décennies, sans qu’ils ne soient
focalisés sur les aspects fondamentaux du contrôle interne bancaire. Les plus importants
parmi eux sont sans doute les ratings de la gouvernance attribués par les agences externes de
notation et les modèles d’évaluation des risques usités par les Banques Centrales et intégrant
quelques aspects du contrôle interne.

Avec l’émergence du principe d’autocontrôle, plusieurs règlementations ont confié la


responsabilité d’évaluation du système de contrôle interne aux conseils d’administration des
sociétés. Cette évaluation demeure, toutefois, sujette à vérification par les auditeurs externes.
La règlementation tunisienne, a confié la responsabilité d’évaluation du système de contrôle
interne aux commissaires aux comptes bien que cette tâche peut s’avérer incompatible avec
une telle mission et risque de décharger indûment le conseil d’administration de ses
responsabilités aux dépens des auditeurs.

Plusieurs limites ont, toutefois, été identifiées au niveau des différentes évaluations des
systèmes de contrôle interne bancaire exposés plus haut. Sur la base de ces limites, nous
avons conclu que les notations confiées à des acteurs privés spécialisés agissant sous la
responsabilité des superviseurs bancaires demeurent les plus efficaces si elles sont
accompagnées par la mise en place d’une méthodologie homogène d’évaluation qui s’adapte à
l’industrie bancaire en intégrant les exigences des accords Bâlois et les règlementations
adoptées par les autorités de régulation.

Ceci nous a menés dans la deuxième partie de notre étude à chercher à appréhender les
contrôles au niveau de l’entité du système de contrôle interne bancaire pour proposer des
grilles de contrôle.

Les contrôles dont il s’agit concernent l’entité dans son ensemble et ne concernent pas
généralement un processus particulier. Ils forment, ainsi, la base permettant aux contrôles au
sein des processus d’opérer effectivement. Ces contrôles sont représentés par des politiques et
des procédés mis en place par la haute direction (Conseil d’administration, Direction
Générale, Comités…).

118 | P a g e
Les grilles de contrôle proposées ont été utilisées pour dresser des matrices intermédiaires
d’évaluation des composantes du système de contrôle interne se rattachant aux contrôles au
sein de l’entité. Les mêmes matrices sont synthétisées au niveau du tableau de bord suivant :
Nombre de Totalement Partiellement Non Non
politiques implémentées implémentées implémentées Applicables
Intégrité de la Direction 17
L’engagement envers la compétence 9
Le comité d’audit 29
La philosophie et le style de direction 12
La structure organisationnelle 17
La délégation des pouvoirs 8
La gestion des ressources humaines 8
Environnement de contrôle 100
Risques de structure de bilan 11
Risques de crédit 26
Risques de marché 14
Risques de liquidité 12
Risques du taux d’intérêt 10
Risques opérationnels 12
Gestion des risques liés au changement 4
Evaluation des Risques 89
La fiabilité de l’information 6
L’accès à l’information 8
Méthode d’utilisation de l’information 4
Identification des besoins d’information 5
Communication des responsabilités 6
Programmes de dénonciation 8
Communication externe 4
Information et communication 41
L’audit interne 13
Le contrôle de la conformité 10
La réceptivité aux recommandations 6
La surveillance par la Communication 7
Surveillance 36
Evaluation des contrôles au sein de
266
l’entité
Matrice 5 : Matrice des contrôles au sein de l’entité

Le tableau de bord présenté ci-dessus constitue pour le conseil d’administration de la Banque


un outil efficient d’appréciation et de suivi adéquat du niveau d’implémentation des politiques
de contrôle. Ce tableau de bord peut servir également pour le comité d’audit pour la mise en
place et le suivi d’un plan d’action adapté à l’institution concernée.

Le tableau de bord peut servir, en outre, à la Banque Centrale d’outil de surveillance


permettant d’identifier les forces et les faiblesses des institutions supervisées. Il constitue
également un instrument favorisant une comparabilité dans le temps et dans l’espace entre les
différentes institutions.

Enfin, le tableau de bord proposé peut contribuer à la bonne compréhension par les auditeurs
des politiques de contrôle implémentées par la Banque et servir de base à l’identification et la
mesure des risques inhérents et des risques liés au contrôle.

119 | P a g e
Les contrôles au sein de l’entité ne permettent pas à eux seuls d’atteindre les objectifs du
système de contrôle interne, raison pour laquelle nous développerons dans la troisième partie
de cette étude les contrôles au sein des processus matérialisés par la cinquième composante du
système de contrôle interne, à savoir les activités de contrôle. Ces derniers devraient être
convenablement conçus et parfaitement opérationnels au niveau des principaux cycles de
gestion de la Banque.

120 | P a g e
Partie III

Evaluation des
activités de contrôle :
Proposition de
matrices des risques et
des contrôles clés par
cycle de gestion
principal

121 | P a g e
Chapitre introductif : Définition et
typologie des activités de contrôle
Section 1 – Définition
Les activités de contrôle représentent les lignes directrices et les procédés servant à assurer le
respect des directives du management. Elles devraient faire partie intégrante des activités
quotidiennes de la banque.186 Les activités de contrôle comprennent des actions entreprises
manuellement ou automatiquement effectuées à tous les niveaux hiérarchiques et fonctionnels
de la Banque. Les actions en question peuvent prendre la forme d’autorisation, d’approbation,
de vérification, de rapprochement, d’appréciation ou de protection. Leur efficacité est
tributaire d’une séparation adéquate des tâches d’engagement, d’autorisation,
d’enregistrement et d’accès aux actifs.

Les activités de contrôle permettent de s’assurer que les mesures nécessaires sont prises en
vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise.
187

Section 2 – Typologie des activités de contrôle


Les activités de contrôle ne peuvent fonctionner adéquatement que si elles sont accompagnées
d’un système de séparation des tâches adéquat et que le personnel ne soit pas chargé de
responsabilités incompatibles. C’est pour cette raison que ces tâches devraient être séparées et
réparties entre différents individus afin de réduire le risque de manipulation de données
financières ou de détournement d’actifs.

L'organisation adoptée par la Banque doit être conçue de manière à assurer une stricte
indépendance entre les unités chargées de l'engagement des opérations et les unités chargées
de leur contrôle. Cette indépendance doit être assurée par un rattachement hiérarchique
différent de ces unités jusqu'à un niveau suffisamment élevé ou par une organisation qui
garantit une séparation claire des fonctions d’autorisation, d’exécution, de comptabilisation et
de contrôle ou encore par des procédures informatiques.188

186
Principe 5, Cadre pour les systèmes de contrôle interne dans les organisations bancaires, Comité de Bâle sur le contrôle
bancaire, Septembre 1998
187
Parag.11, Norme Comptable Générale
188
Art. 8, Circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne.
122 | P a g e
Le niveau de séparation des tâches dépend de la taille et de la complexité des opérations de la
Banque. Généralement, une personne ne peut pas exécuter une opération depuis sont début
jusqu’à son achèvement. Une personne ou même un département ne peut pas être responsable
de plus d’une des 4 fonctions suivantes :

- Engagement de la transaction

- Autorisation de la transaction

- Enregistrement de la transaction

- Accès aux actifs correspondants

Différentes typologies des activités de contrôle ont été développées au niveau des cadres de
références (Comité Bâle, Comité COSO, IFAC…) et la règlementation prudentielle. Ainsi, nous
pouvons distinguer entre les activités de contrôles manuelles et les activités de contrôle
automatiques, les activités de contrôle de prévention et les activités de contrôle de détection. La
circulaire de la Banque Centrale de Tunisie a distingué les activités de contrôle selon leur
occurrence (contrôle permanent et contrôle périodique) ; quant au cadre de référence du comité de
Bâle pour le contrôle interne au sein des établissements bancaires, il a prévu une typologie des
activités de contrôle selon leur nature.

§ 1- Nature des Activités de contrôle


Le cadre de référence des systèmes de contrôle interne dans les organisations bancaires publié par
le comité de Bâle a distingué 6 natures différentes d’activités de contrôle:

1.1 Examens au plus haut niveau :


Le conseil d’administration et la direction générale demandent souvent des présentations et
des comptes rendus de performances leur permettant d’évaluer les progrès accomplis par la
banque dans la réalisation de ses objectifs. Ainsi, la direction générale se doit de consulter des
rapports indiquant les résultats financiers effectifs en cours d’exercice par rapport au budget.
Les questions qu’elle est en droit de poser et les réponses des niveaux hiérarchiques inférieurs
constituent une activité de contrôle qui peut mettre en évidence des problèmes tels que les
carences du contrôle, les erreurs dans la communication financière interne ou les fraudes.

L’examen analytique constitue un type courant d’examen au plus haut niveau. Il vise à
évaluer les renseignements sommaires qui résultent habituellement d’une série de transactions
ou de procédés en les comparant aux résultats prévus. La Direction Générale détermine si la
Banque obtient les résultats escomptés en comparant les résultats budgétés aux résultats réels.
Cet examen s’accompagne d’une enquête sur les écarts.
123 | P a g e
1.2 Contrôles d’activité
La direction d’un département ou d’une unité reçoit et examine des comptes rendus classiques
ou exceptionnels sur une base quotidienne, hebdomadaire ou mensuelle. Les examens
fonctionnels sont plus fréquents que ceux effectués au plus haut niveau et sont habituellement
plus détaillés.

A titre d’exemple, le chargé de la clientèle au sein de l’agence consulte des rapports


hebdomadaires sur les défauts de paiement, les paiements reçus et les revenus d’intérêts
produits, tandis que l’unité chargée du risque de crédit, elle obtient communication de
documents similaires une fois par mois et sous une forme plus agrégée couvrant toutes les
catégories d’engagement et l’ensemble des agences.

1.3 Contrôles physiques


Les contrôles physiques portent en général sur les limitations d’accès aux actifs tangibles, y
compris les liquidités et les titres. Les contrôles physiques concernent l’accès autorisé et
l’accès non autorisé.

Les contrôles relatifs à l’accès non autorisé sont généralement préventifs et physiques comme
ceux relatifs à l’accès à la salle des marchés, aux coffres forts ou aux systèmes de paiement et
sont appuyés par des contrôles de détection notamment l’inventaire.

Les contrôles d'accès n'empêchent pas nécessairement les personnes dûment autorisées de
commettre des actes de préjudiciables aux actifs protégés. Si la séparation des tâches n'est pas
correctement organisée, certaines personnes peuvent bénéficier d'une autorisation d'accès à la
fois aux actifs et aux registres comptables correspondants. Elles peuvent alors être en mesure
de dissimuler dans les livres comptables des actions mal intentionnées telles les
détournements d'actifs. Dans certains cas, l'accès aux actifs peut être subordonné à la présence
conjointe de deux personnes ou plus.

1.4 Conformité aux plafonds d’engagement


L’établissement de limites d’autorisation pour les engagements constitue un impératif
fondamental pour la gestion des risques. Par exemple, l’observation des limites fixées pour les
emprunteurs et les autres contreparties réduit la concentration du risque de crédit de la banque
et permet de diversifier son profil de risque. Par conséquent, un aspect important des contrôles
internes réside dans un processus de vérification du respect de ces limites et de suivi et de
détection des dérogations.

124 | P a g e
1.5 Approbations et autorisations
La nécessité de solliciter des approbations et autorisations pour les transactions dépassant
certaines limites garantit la connaissance de la transaction ou de la situation par un niveau de
direction approprié, ce qui aide à établir les responsabilités.

1.6 Vérifications et contrôles par rapprochement


Les vérifications des caractéristiques détaillées des transactions ainsi que des diverses
activités et des résultats fournis par les modèles de gestion des risques utilisés par la banque
constituent une activité de contrôle importante. Les rapprochements périodiques, par exemple
entre les flux de trésorerie et les rapports et les états financiers, peuvent mettre en évidence
des activités et des enregistrements comptables nécessitant une correction. Par conséquent, les
conclusions de ces contrôles devraient être notifiées aux directions appropriées chaque fois
que des anomalies effectives ou potentielles sont détectées.

§ 2- Le contrôle permanent et le contrôle périodique


Cette distinction a été apportée en Tunisie par la circulaire aux établissements de crédit
n°2006-19 du 28 novembre 2006 relative au Contrôle Interne.

2.1 Le contrôle permanent


Le contrôle permanent englobe la validation de la conformité et de la sécurité des opérations
réalisées et le respect des diligences liées à la surveillance des risques. Il doit être assuré, avec
un ensemble de moyens adéquats, par des agents dédiés exclusivement à cette fonction au
niveau des services centraux et des agences ou par d’autres agents exerçant des activités
opérationnelles.

Les contrôles permanents ont un champ d’application assez large. Ils comportent les contrôles
comptables, les vérifications de la caisse et la maitrise des risques. La surveillance
permanente à été scindée en deux niveaux :

Le premier niveau : Les opérationnels responsables d’exécuter et de valider les opérations


assurent un premier contrôle permettant d’identifier, de mesurer, et de suivre en permanence
les risques inhérents au fonctionnement de leurs activités. En outre, chaque direction assure
sur ses activités un contrôle opérationnel.

Les procédures de contrôle sont ainsi intégrées aux processus opérationnels, chaque processus
comportant ses propres procédures de contrôle. L’idée maitresse du nouveau dispositif des
accords de Bâle est la responsabilisation des équipes opérationnelles qui sont ainsi
pleinement responsables des risques qu’ils peuvent générer.
125 | P a g e
Cette implication permet d’éviter que le contrôle ne soit qu’une affaire de spécialistes dédiée
à une structure ad hoc. Les opérationnels deviennent ainsi responsables de leurs propres
contrôles et l’attestent sur une base déclarative. (Cf. Section 1 du chapitre introductif de la
deuxième partie traitant de l’émergence de l’Autocontrôle au sein des établissements
bancaires).

Toutefois, confier une partie du contrôle aux opérationnels peut s’avérer dangereux
particulièrement dans le domaine commercial où la culture du résultat à court terme est
souvent la règle ou dans les fonctions où les rémunérations comportent d’importants bonus
(trader par exemple). Les contrôles peuvent alors être négligés, voire contournés dans un
dessein personnel des responsables opérationnel. C’est pour cela que d’autres niveaux de
contrôle deviennent indispensables.

Le deuxième niveau : des équipes de Back Office spécialisées dans le contrôle de terrain et
extérieures aux opérations du Front Office effectuent un contrôle de deuxième niveau. Elles
sont chargées de vérifier que les procédures ont été correctement appliquées et décèlent les
erreurs et les anomalies.

Les contrôles permanents de deuxième niveau sont souvent confiés à une direction des risques
qui prend en charge la surveillance et la mesure des risques financiers, opérationnels et de
contrepartie. En pratique, ce sont souvent des directions indépendantes qui ont en charge des
contrôles de deuxième niveau (telles que les structures de back-office ou de middle office) en
raison du caractère hautement technique que nécessite le contrôle de certaines fonctions au
sein de la Banque. C’est le cas des hypothèses de modélisation qui requièrent des
compétences spécifiques en statistiques ou en programmation informatique.

2.2 Le contrôle périodique


Le contrôle périodique porte sur la conformité des opérations, le niveau de risque
effectivement encouru, le respect des procédures, l'efficacité du dispositif du contrôle
permanent. Il doit être assuré au moyen d’enquêtes généralement menées par l’audit interne.
Les domaines d’intervention de l’audit interne sont illimités, ils comprennent également
l’audit des contrôles permanents.

Le schéma suivant synthétise la hiérarchie des activités de contrôle au sein des établissements
bancaires :

126 | P a g e
Schéma 4 : les trois niveaux hiérarchiques du contrôle (Taccola-Lapierre, 2008)

§ 3- Les activités de contrôle manuelles et automatiques


Les activités de contrôle peuvent être exercées à différentes hiérarchies dans la Banque et
selon divers niveaux de détail et de précision. Les activités de contrôle peuvent être exercées
par des personnes (activités de contrôle manuelles) ou par des moyens informatiques
(activités de contrôle programmées).

3.1 Les activités de contrôle manuelles


Les activités de contrôle manuelles peuvent

1) concerner strictement des registres préparés manuellement ou


2) concerner les transactions entrées dans un système d’application sont complètes et
traitées correctement.

Les activités de contrôle manuelles du second type sont parfois appelées activités de contrôle
de l’«utilisateur». Un utilisateur peut exercer un contrôle en effectuant des activités qui sont
indépendantes du système d’application.

Par exemple, un utilisateur pourrait s’assurer de l’intégralité du traitement en comparant les


données de sortie de l’ordinateur aux documents justificatifs servant à l’entrée des données.

L’efficacité des activités de contrôle manuelles dépend de la compétence et de la diligence


des personnes qui les exercent. La formation et l’expérience du personnel sont des éléments
importants pour l’efficacité des activités de contrôle manuelles. Parce que ces activités

127 | P a g e
peuvent être délaissées ou exercées de manière non uniforme ou inadéquate, l’examen de leur
exécution revêt une importance pour le maintien de leur efficacité.

L’efficacité des activités de contrôle manuelles dépend souvent de l’exécution adéquate


d’activités de contrôle programmées et des contrôles généraux informatiques.

Par exemple, une personne peut examiner une liste des anomalies produites par l’ordinateur
qui énumère les éléments non reportés et faire un suivi pour s’assurer que les éléments rejetés
ont été reportés convenablement. Cette activité ne sera efficace que si la liste des anomalies
énumère toutes les transactions rejetées.

3.2 Les activités de contrôle programmées


Les activités de contrôle programmées sont des activités exercées par le système informatique
sans intervention humaine directe. Les activités de contrôle programmées se caractérisent
souvent par le maintien hors de portée d’un ou de plusieurs des éléments suivants:

- Les documents sources;

- Les transactions visibles ou les pistes d’audit;

- Les données de sortie visibles;

- Les preuves de l’exécution de l’activité de contrôle.

L’efficacité des activités de contrôle programmées dépend de celle des contrôles généraux
informatiques. Par exemple, l’efficacité des activités de contrôle programmées, comme les
vérifications et les approbations d’édition, peuvent dépendre de contrôles généraux
informatiques qui visent à assurer qu’aucune modification inappropriée ne peut être apportée
aux programmes.

Section 3 – Note méthodologique sur l’identification et


l’évaluation des activités de contrôle

§ 1- Méthodologie d’identification des activités de contrôle


La mise en place d’un rating de la composante Activité de contrôle au sein des établissements
bancaires a nécessité dans le cadre du présent mémoire, une dissociation préalable des
activités de la Banque.

Compte tenu des divergences qui peuvent exister entre les organisations internes des
différentes Banques, il peu aisé de parvenir à une telle dissociation par unité fonctionnelle.

128 | P a g e
Aussi, avons nous choisi de traiter les activités de contrôle par processus ou par cycle
d’opérations.

En effet, un processus est une série d’activités exécutées par une entité pour traiter les
catégories de transactions connexes. A ce sujet, ous avons identifié six processus d’activité
bancaire principalement exercés par les Banques tunisiennes.

Schéma 5: Les processus les plus pertinents de l’activité des établissements bancaires en Tunisie

Certains processus n’ont pas été retenus dans le cadre de la présente étude notamment en
raison du caractère peu significatif dans l’environnement bancaire tunisien des activités qui y
sont attachées. Nous citons à titre d’exemple l’intermédiation en bourse, les activités de
négoce (notamment en bourse des valeurs mobilières), l’activité de gestion du patrimoine (ou
la gestion de fortunes)…

Nous estimons que les processus retenus couvrent les principaux cycles d’opérations
applicables aux Banques tunisiennes et peuvent ainsi constituer une base raisonnable pour
l’évaluation des activités de contrôle qui y sont exercées.

Dans une seconde étape, nous avons identifié pour chaque processus les activités principales
d’affaires ou sous-processus. Un sous-processus est en effet une série de procédés connexes
dans un cycle d’opérations, qui sont exécutés pour atteindre un objectif important assigné au
processus. A titre d’exemple, les sous-processus de la gestion des crédits dans une Banque
couvrent habituellement l’octroi du crédit, son déblocage, le suivi du remboursement, la
génération et le calcul des intérêts et le suivi du risque de crédit.

Dans une troisième étape, nous avons identifié les risques usuels associés à chaque sous
processus ainsi que les objectifs de contrôle qui y son attachés pour pallier aux risques
129 | P a g e
identifiés. A titre d’exemple, s’assurer que seulement les crédits approuvés font l’objet de
déblocage constitue un objectif de contrôle que la Banque doit viser pour répondre aux
risques pouvant provenir des déblocages de crédits non autorisés ou non validés par des
personnes habilitées.

Dans une dernière étape, nous avons identifié les activités de contrôle devant être
implémentées par la Banque pour répondre à chacun des objectifs de contrôle. A titre
d’exemple, nous reprenons l’objectif de contrôle cité dans le paragraphe précédent selon
lequel la direction devrait implémenter une activité de contrôle pour répondre à cet objectif
qui consiste à charger une personne indépendante de s'assurer que tous les documents et
autorisations exigés sont obtenus avant que soit effectué un quelconque déblocage. La
personne en question vérifie entre autres que le client a bien signé des effets ou un titre de
crédit matérialisant son obligation de rembourser la Banque. Notons que certaines activités de
contrôle peuvent répondre concomitamment à plusieurs objectifs de contrôle. De même, que
certains objectifs de contrôle exigent pour être atteints l’implémentation de deux ou plusieurs
activités de contrôle.

Le schéma suivant permet de synthétiser la relation hiérarchique entre les processus métier au
sein de la Banque et les activités de contrôle s’y rattachant :

Schéma 6 : Relation hiérarchique entre les processus métier, les sous-processus, les objectifs de contrôle et les activités
de contrôle

130 | P a g e
Tout comme les processus métiers de la Banque, les environnements de traitement
informatique peuvent avoir des objectifs de contrôle et des activités de contrôle connexes (c.-
à-d. des contrôles généraux informatiques).

Les environnements de traitement informatique soutiennent habituellement le traitement de


nombreux systèmes d’application et gèrent les ressources d’information pour un ou plusieurs
processus au sein de la Banque. Par conséquent, les contrôles des sous-processus d’un
environnement de traitement informatique influent normalement sur plus d’un cycle
d’opérations.

Les contrôles généraux informatiques comprennent les sous-processus suivants:

- la stratégie et la planification en matière de ressources d’information;

- les opérations des systèmes d’information;

- la sécurité de l’information;

- la planification de la continuité des affaires;

- l’implantation et le maintien des systèmes d’application;

- l’implantation et le soutien des bases de données;

- le soutien des réseaux;

- le soutien du matériel informatique.

Ainsi, l’évaluation de la composante Activité de contrôle au sein d’une banque passe par
l’identification en premier lieu des risques liés à chaque processus ou sous-processus métier et
par la fixation des objectifs de contrôle se rattachant à chaque risque identifié.

L’évaluation des activités de contrôle implémentées par la Banque constitue une seconde
étape permettant à l’évaluateur de déterminer si les dites activités peuvent ou non répondre à
chaque objectif de contrôle fixé. Le paragraphe suivant traitera des méthodes dont dispose
l’évaluateur pour répondre à un tel souci.

§ 2- Méthodologie d’évaluation des activités de contrôle


L’évaluation des activités de contrôle devrait permettre à l’évaluateur de réunir suffisamment
d’évidences de nature à le conduire à la conclusion que de telles activités fournissent un
niveau de confiance raisonnable et compatible avec les objectifs qui leurs sont assignés. Le
niveau de confiance obtenu dépend des évidences disponibles sauvegardées par la Banque qui

131 | P a g e
démontrent que les activités de contrôle ont fonctionné efficacement et uniformément dans le
temps. L’évaluateur se prononcera ainsi sur deux éléments :

- La conception de l’activité de contrôle. Sur ce sujet, l’évaluateur émet une opinion


favorable si la conception de l’activité de contrôle permet un fonctionnement
conforme à ce qui est prévu et d’atteindre raisonnablement les objectifs de contrôle
connexes moyennant les garanties d’exactitude et d’exhaustivité des informations
produites par l’ordinateur ainsi que leur utilisation par l’activité de contrôle. Cela
devrait être documenté au niveau de la colonne « AC » des grilles présentées ci-
dessous.

- Le fonctionnement de l’activité de contrôle. Il s'agit d’apprécier si l’activité de


contrôle a fonctionné efficacement et uniformément dans le temps et si les
informations produites par l’ordinateur et utilisées pour l’exécution de cette activité de
contrôle sont exactes et complètes. Ceci devrait être documenté au niveau de la
colonne « AO » au niveau des grilles présentées ci-dessous sur la base de l’étude d’un
échantillon statistique couvrant la période couverte par l’évaluation.

Par ailleurs, l’évaluateur devrait documenter au niveau de la dernière colonne des grilles
présentées ci-dessous, le responsable chargé du contrôle, la nature du contrôle (Automatique/
manuel, Permanent/Périodique…), les supports utilisés pour la documentation du contrôle, la
date d’implémentation et de modification du contrôle et le mode de diffusion du contrôle.

L’évaluateur fait recours généralement à une ou plusieurs des méthodes suivantes pour
l’évaluation d’une activité de contrôle :

- L’enquête de corroboration

- L’examen de la documentation

- L’observation

- La réexécution

Les enquêtes de corroboration et l’examen de la documentation sont souvent les techniques


les plus efficaces.

2.1 Enquêtes de corroboration


Les enquêtes de corroboration s’effectuent au moyen d’entrevues approfondies, destinées à
permettre la réunion d’éléments probants au sujet de l’efficacité des activités de contrôle.
Elles s’accompagnent d’autres procédés, tels que l’observation, l’examen de la documentation
132 | P a g e
ou la réexécution des activités de contrôle, techniques dans certains cas nécessaires pour
corroborer les informations obtenues dans le cadre des enquêtes.

Les entrevues peuvent comprendre des enquêtes directes et indirectes:

- une enquête directe consiste à interroger les personnes exécutant les activités de
contrôle vérifiées par sondages;

- une enquête indirecte consiste à interroger d’autres personnes qui n’exécutent pas
elles-mêmes les activités de contrôle mais qui sont susceptibles de savoir si elles
fonctionnent efficacement.

2.2 Examen de la documentation


Si la mise en œuvre d’une activité de contrôle est documentée, l’évaluateur peut en obtenir la
preuve moyennant l’examen de la documentation correspondante. Les preuves documentaires
peuvent exister sous forme informatique ou sous forme écrite.

Par exemple, la direction peut approuver des transactions utilisant des fonctions en ligne d’un
système d’application. Le système d’application peut emmagasiner des preuves
documentaires de l’approbation de ces transactions.

2.3 Observation
L’observation de la mise en œuvre d’une activité de contrôle fournit en général suffisamment
d’éléments probants quant à l’efficacité de l’activité en question.

Par exemple, l’évaluateur peut obtenir une confiance raisonnable que l’activité de contrôle
liées au comptage des effets est efficace en observant les employés qui procèdent au
comptage et qui enregistrent les résultats en suivant bien les instructions écrites de la
direction.

L’observation d’une activité de contrôle ne fournit généralement pas suffisamment d’éléments


probants au sujet de l’efficacité de la dite activité d’autant plus que l’observation faite à un
moment donné peut ne pas être représentative de l’exécution uniforme dans le temps d’une
activité de contrôle. Les employés font en général plus attention à l’accomplissement de leurs
tâches en présence de l’évaluateur. Pour cette raison, ce dernier est souvent appelé à appliquer
des procédés supplémentaires pour conclure convenablement au sujet du fonctionnement
uniforme et efficace d’une activité de contrôle dans le temps.

133 | P a g e
2.4 Réexécution des activités de contrôle
Bien que la réexécution d’une activité de contrôle soit à même de fournir parfois des éléments
probants quant à l’efficacité de la dite activité, elle est en soi rarement convaincante, dans la
mesure où la simple absence d’erreur dans les éléments vérifiés ne constitue pas
obligatoirement une preuve concluante du fonctionnement efficace du contrôle dans le temps.
Cela est particulièrement vrai pour les activités de contrôle exercées manuellement.

La réexécution des activités de contrôle peut par contre être d’une plus grande efficacité pour
vérifier les activités de contrôle programmées, ce qui est en général le cas dans l’industrie
bancaire, parce que le traitement des opérations d’une manière systématique par l’ordinateur
est toujours la règle.

Par exemple, l’évaluateur peut tenter de saisir dans le système d’application des transactions
présentant des caractéristiques devant être rejetées par le système. S’il obtient confirmation du
rejet, il aura ainsi la preuve que l’activité de contrôle programmée fonctionne efficacement.

Il demeure évident, que l’évaluation des activités de contrôle programmées requière l’examen
de l’efficacité des contrôles généraux informatiques qui soutiennent ces activités.

134 | P a g e
Chapitre 1 – La gestion des crédits
Ce processus couvre toute forme de crédit octroyé par l’établissement incluant les crédits aux
particuliers et aux entreprises, y compris les crédits à court terme, les crédits à moyen et long
termes, les crédits immobiliers, les débits en compte (découverts), les crédits d’exploitation et
les engagements hors bilan…

Une séparation adéquate des tâches devrait exister au niveau de ce processus. Des personnes
différentes devraient être responsables de l’approbation des nouveaux crédits, de
l’enregistrement des opérations, du paiement et du contrôle et des rapprochements. Si une
personne cumule plus d’une tâche parmi celles qui sont citées, ceci peut être à l’origine
d’utilisation inappropriée des actifs de la Banque et peut même dissimuler cette utilisation.

En se basant sur les politiques propres de la Banque en matière d’autorisation et


d’approbation des crédits, un comité indépendant de crédit devrait avoir l’ultime pouvoir de
décision pour un crédit émis par un gestionnaire de compte de rang inférieur. La
documentation de la solvabilité de l'emprunteur doit être examinée et évaluée
indépendamment de la personne responsable de la collecte des données et du traitement de la
demande.
Le déblocage du crédit, que ce soit par transfert électronique de fonds ou par crédit du
compte, doit être comparé à la documentation source d’approbation du crédit. Cette
documentation peut différer sensiblement selon la nature du crédit. La personne autorisant le
déblocage devrait être différente de celle qui l’initie.

Quelle que soit la méthode de remboursement du crédit, la réception des fonds pour le
paiement et son enregistrement devraient être assurés par des personnes différentes.

Les relevés périodiques des clients devraient être envoyés par des personnes totalement
indépendantes de la gestion des crédits. Il en est de même, du suivi des réclamations des
clients.

Le personnel ayant des capacités de programmation informatique au niveau du système de


crédit ne devrait pas avoir de relation avec la clientèle et ne devrait pas être responsable de
l’enregistrement des opérations.

Dans un système automatisé, la séparation des tâches est généralement assurée par l'usage des
restrictions d'accès informatiques. Le personnel du département responsable du système
d’information ne devrait pas avoir accès aux données de production. De même, les utilisateurs

135 | P a g e
du système d’information ne devraient pas être responsables de la maintenance de la base de
données.

L’évaluation des activités de contrôle liées au cycle de gestion des crédits devrait être
précédée par une étude adéquate de la séparation des tâches incompatibles. Le cumul de
tâches incompatibles, peut être à l’origine de défaillances significatives au niveau du système
de contrôle interne et constitue un indicateur que les activités de contrôle n’opèrent pas
effectivement dans le temps.

Section 1 – Objectifs de contrôle

Schéma 7 : Objectifs de contrôle – Gestion des crédits

136 | P a g e
Section 2 – Matrice des activités de contrôle
Objectifs
de contrôle
Ref. Activité de contrôle liés AC AO Détail
CR Le comité exécutif de crédit s'assure que les prêts autorisés sont
CR11
100 conformes aux limites opérationnelles.189
CR Les engagements sont autorisés par le conseil d’administration
CR11
101 ou par les Comités de Crédit dans leurs pouvoirs délégués. 190
Le gestionnaire des comptes clients réclame des garanties
CR
102
proportionnées reflétant la nature de la transaction et de la CR11
contre partie.
Les demandes de crédit donnent lieu à la constitution de
dossiers comportant toutes les informations quantitatives et
qualitatives relatives au demandeur et/ou sa caution notamment
CR les états financiers, les situations patrimoniales ainsi que les
103
CR11
prévisions d’activité et de trésorerie. Les informations portent
tant sur le demandeur de crédit lui-même que sur les entités
avec lesquelles il constitue un groupe d’intérêt, compte tenu des
liens juridiques et financiers qui existent entre eux. 191
Le gestionnaire de compte procède à un examen financier et
CR économique préliminaire de la contre partie avant de conclure
CR11
104 un engagement ; cette revue comprend une analyse
géographique et sectorielle.
CR Pour des transactions complexes, les risques additionnels liés à
105
CR11
de telles transactions sont évalués.
Le gestionnaire des comptes clients ou le comité de crédit
approuve les crédits en se basant sur un système d'évaluation de
CR solvabilité ou, s'il est applicable, sur des évaluations des
CR11
106 agences externes. 192 L'évaluation de solvabilité est basée sur les
informations reçues du client et comprend des projections sur
les sources du service de la dette193
La décision d’octroi de crédit tient compte de la rentabilité des
opérations effectuées avec le client, en s'assurant que l'analyse
prévisionnelle des charges et produits, soit la plus exhaustive
CR
107
possible et porte notamment sur les coûts opérationnels et de CR11
financement, sur la charge correspondant à une estimation du
risque de défaut du bénéficiaire au cours de l'opération de crédit
et sur le coût de rémunération des fonds propres. 194

189
Dans le cadre de la définition des politiques de financement de l’institution bancaire certains établissements fixent des
limites opérationnelles par nature de crédit, de contrepartie, de zone géographique…. Le comité exécutif de crédit s’assure
dans le cadre de sa mission que les autorisations de crédits octroyées aux clients, institutions et autres sont conforment aux
politiques en question. De même, ce comité veuille au respect des limites opérationnelles fixées par les autorités de
régulation. La Banque Centrale de Tunisie a fixé à titre d’exemple au niveau de la circulaire aux banques n° 87-47 du 23
décembre 1987 relative aux Modalités d'octroi, de contrôle et de refinancement des crédits, des limites opérationnelles par
nature de crédit (Court terme, Moyen long terme…). Des limites d’autorisation du découvert ont été également fixées par la
circulaire 91-24 (15 à 30 jours du chiffre d’affaire du client)
190
Art. 27 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne et
Parag.57, Appendix 2, IAPS 1006, 2010 Edition.
191
Art. 24 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne et
Parag.51, Appendix 2, IAPS 1006, 2010 Edition.
192
L’évaluation externe par les agences de notation est obligatoire si le volume global des engagements du client dépasse 25
million de TND et que ce dernier n’est coté en bourse (Art.7 de la circulaire aux établissements de crédit n°91-24.
193
Parag.55, Appendix 2, IAPS 1006, 2010 Edition.
194
Art. 26 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne
137 | P a g e
Objectifs
de contrôle
Ref. Activité de contrôle liés AC AO Détail
Le gestionnaire d'un compte client ou le comité de crédit devrait
CR passer en revue la situation du groupe de la contrepartie (par
CR11
108 exemple les engagements, les autorisations préalables, les
utilisations et les dépassements).
CR Les autorisations de crédits au profit des parties liées sont
CR12
109 identifiées195
CR La validité légale de la garantie reçue est évaluée notamment la
CR12
110 vérification de son propriétaire et le rang de la Banque. 196
CR Des contrats standards approuvés sont utilisés pour toutes les
111
CR12
transactions courantes.
Les contrats particuliers élaborés pour des transactions
CR
112
spécifiques sont approuvés par une personne ou un groupe CR12
approprié.
CR La liste standard des documents de conformité a été complétée
113
CR12
avant d'enregistrer les transactions sur les systèmes appropriés.
Les documents légaux des prêts sont convenablement stockés et
CR
114
sauvegardés contre les risques de perte, de vol et de CR12
destruction.197
CR Seulement les employés autorisés devraient avoir accès au
115
CR13
système de crédit.
Tous les documents sources autorisés soutenant les
CR engagements du prêt et les changements sont comparés au CR13
116 système de crédit pour s'assurer qu'ils ont été correctement CR14
enregistrés.
CR Les engagements sont imputés dans le système de crédit sur une
117
CR13
base opportune.
Les réclamations du client sont surveillées par un groupe CR13, CR14
CR
CR22, CR31
118 indépendant. CR33, CR41
CR Les commissions sont autorisées par le Comité de crédit dans
119
CR14
des limites autorisées.
la personne chargée du déblocage s'assure que tous les
documents et autorisations exigés sont en place avant d'effectuer
CR
120
le déblocage. Celle-ci vérifie entre autres que le client a signé CR21
des effets ou un titre de crédit attestant l’obligation de
remboursement de la Banque. 198
CR Un contrôleur s’assure que l’enregistrement légal des garanties
CR21
121 est effectué avant l’autorisation de déblocage. 199
Seulement les employés appropriés et autorisés ont accès au
CR système de paiement. Une séparation de tâches appropriée est
122
CR22
prévue entre les personnes chargées de l’autorisation des crédits
et celles chargées de son déblocage. 200
CR Un contrôleur s’assure que le déblocage du crédit est enregistré
CR22
123 immédiatement. 201

195
Parag.54, Appendix 2, IAPS 1006, 2010 Edition.
196
Parag.59 et 61, Appendix 2, IAPS 1006, 2010 Edition.
197
Parag.64, Appendix 2, IAPS 1006, 2010 Edition.
198
Parag.60 et 62, Appendix 2, IAPS 1006, 2010 Edition.
199
Parag.63, Appendix 2, IAPS 1006, 2010 Edition.
200
Parag.58, Appendix 2, IAPS 1006, 2010 Edition.
201
Parag.65, Appendix 2, IAPS 1006, 2010 Edition.
138 | P a g e
Objectifs
de contrôle
Ref. Activité de contrôle liés AC AO Détail
CR22, CR23
CR Les comptes comptables sont rapprochés au système de gestion CR31, CR32
124 de crédits de façon régulière. 202 CR33, CR41
CR42, CR43

CR Les comptes d'ordre sont réconciliés de façon régulière, et tous CR22, CR23
125 les éléments de réconciliation sont correctement manipulés. CR31, CR32

CR Un contrôleur s’assure que les déblocages de crédit ont été


CR22
126 utilisés par le client aux fins convenus203
CR le système de crédit produit les appels d'échéance selon les
CR31
127 termes du prêt, du principal et de l'intérêt.
Les recouvrements sont enregistrés en comptabilité et dans le
CR
128
système de crédit par des personnes indépendantes des CR31
personnes ayant autorisé le crédit.204
Les revenus des commissions sont passés en revue par la
CR
129
direction, y compris l'amortissement et la comparaison aux CR33
budgets.
le système de crédit calcule exactement les autres commissions
CR
130
selon les limites du crédit ou avec des politiques de CR33
l’établissement.
CR Les autres commissions sont autorisées par les Comités de
131
CR33
Crédit dans les limites de leurs autorités.
CR le système de crédit calcule exactement les intérêts de prêt selon
132
CR41
les limites décidées.
CR Les produits des intérêts sont passés en revue par la direction, y CR41,
133 compris la comparaison aux budgets. CR42
CR les taux de base dans le système de prêt sont mis à jour de façon
134
CR41
régulière.
CR le système de crédit calcule correctement les intérêts courus
135
CR42
pour tous les prêts sur une base cumulative.
CR La direction procède régulièrement à un examen des prêts
CR43
136 douteux pour s'assurer du traitement adéquat des revenus.
CR le système de prêt ne calcule pas l'intérêt couru pour les
137
CR43
engagements qui sont identifiés comme contentieux.
CR Le comité de gestion du risque de crédit s’assure que les intérêts
CR43
138 chargés sur des prêts douteux sont convenablement réservés.205
Le niveau de risque de crédit basé sur la réputation de
solvabilité est régulièrement réévalué par les gestionnaires des
CR CR51
139
comptes et/ou le Comité de crédit 206. La rentabilité des
CR52
opérations de crédit doit faire l’objet d’une analyse a posteriori
au moins semestriellement.207
CR Les états financiers des clients sont mis à jour et revus
CR51
140 régulièrement. 208
Les dossiers de crédit sont régulièrement complétés et mis à
CR CR51
141
jour trimestriellement pour les contreparties douteuses ou qui CR52
présentent des risques ou des volumes significatifs.209

202
Parag.67, Appendix 2, IAPS 1006, 2010 Edition.
203
Parag.66, Appendix 2, IAPS 1006, 2010 Edition.
204
Parag.74, Appendix 2, IAPS 1006, 2010 Edition.
205
Art. 9 de la circulaire aux établissements de crédit n° 91-24
206
Art. 8 de la circulaire aux établissements de crédit n° 91-24
207
Art. 26 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne
208
Parag.72, Appendix 2, IAPS 1006, 2010 Edition.
139 | P a g e
Objectifs
de contrôle
Ref. Activité de contrôle liés AC AO Détail
CR le tableau d'engagement est régulièrement passé en revue par le
142
CR51
comité de gestion des risques de crédit.
Le comité de gestion des risques procède à la revue de la
CR
143
conjoncture actuelle affectant les différents secteurs industriels CR51
et les zones géographiques210
CR L'évaluation de la garantie reçue est régulièrement exécutée par CR51
144 les professionnels qualifiés (externe à la banque) CR52
Les principales dates administratives (comme celles liées au
CR
145 renouvellement de l’inscription des garanties) sont CR51
adéquatement enregistrées et exécutées dans les délais requis.211
Les autorisations de découvert et leur utilisation par une
contrepartie ou un groupe de contreparties sont surveillées par
CR
146
un département de contrôle des risques de crédit. Les CR51
dépassements des limites sont immédiatement identifiés et
rapportés à la direction générale.
Un contrôle est implémenté pour s’assurer que le paiement des
créances échues est suivi par les unités chargées du
CR
147
recouvrement dans les meilleurs délais. 212 Le suivi est assuré CR51
régulièrement sur la base de rapports d’arriérés de paiement
produits par le système de crédit213
Un contrôle est implémenté pour s’assurer que les politiques
CR approuvées par la Banque relatives aux modalités de passage en
CR51
148 contentieux des engagements et les actions à engager sont
respectées 214
Si l'un de plusieurs engagements accordés à un client est
CR considéré comme douteux, la direction du contrôle des risques
149
CR52
de crédit s'assure que tous les autres engagements en cours sont
également identifiés comme douteux.
il y a une comparaison régulière des encours des crédits avec les
CR CR52
150
garanties disponibles pour identifier les dépréciations possibles. CR53
Ceci comprend une réévaluation des garanties disponibles.215
CR La direction passe en revue les hypothèses adoptées pour
151
CR53
calculer la juste valeur des garanties.
La couverture spécifique pour le risque de crédits est approuvée
CR
152
par le comité de gestion du risque de crédit et par la Direction CR53
Générale. 216
CR La Direction Générale contrôle l'adéquation de la couverture
153
CR53
globale (couvertures spécifiques et générales).
Grille de contrôles 26 : Activités de contrôle – Gestion des crédits

209
Art. 24 de la circulaire aux établissements de crédit n° 2006 – 19 du 28 novembre 2006 relative au Contrôle Interne
210
Parag.78, Appendix 2, IAPS 1006, 2010 Edition.
211
Parag.73, Appendix 2, IAPS 1006, 2010 Edition.
212
Parag.74, Appendix 2, IAPS 1006, 2010 Edition.
213
Parag.68 et 69, Appendix 2, IAPS 1006, 2010 Edition.
214
Parag.76, Appendix 2, IAPS 1006, 2010 Edition.
215
Parag.71, Appendix 2, IAPS 1006, 2010 Edition.
216
Conformément à l’article 10 de la circulaire aux établissements de crédit n° 91-24, Les banques doivent constituer des
provisions au moins égales à 20% pour les actifs de la classe 2, 50% pour les actifs de la classe 3 et 100% pour les actifs de la
classe 4. Ces provisions doivent être affectées spécifiquement à tout actif classé égal ou supérieur à 50 mille dinars ou à 0,5%
des fonds propres nets.
140 | P a g e
Chapitre 2 – La gestion des paiements et
des transferts
Ce processus traite du système de paiement qui est généralement relié à d’autres systèmes
d’information. Ce processus affecte tous les autres processus de la Banque puisque il englobe
l’ensemble des moyens de paiement utilisés (Caisse, correspondants, Banque Centrale…). Les
Banques tunisiennes traitent avec plusieurs systèmes de paiement et de transferts dont
notamment les systèmes SWIFT, Telex, Chambre de compensation, Télé-compensation,
Monétique… Conséquemment, les activités de contrôle devraient être implémentées par la
Banque pour chaque système de paiement. Des activités de contrôle additionnelles spécifiques
au système de paiement Swift et Telex devraient être implémentées par la Banque compte
tenu de la spécificité desdits systèmes. Ces activités seront traitées au niveau de la section 2
de ce chapitre.

Les procédures mises en place par la Banque devraient garantir l'indépendance complète entre
les personnes qui autorisent les transactions, les responsables de leur enregistrement dans le
système de gestion et ceux qui procèdent au paiement.

La séparation stricte entre les fonctions d'autorisation, d'enregistrement, de paiement et de


contrôle au sein de ce processus est essentielle. Dans ce contexte, le personnel intervenant au
niveau du Front, Middle et Back office devrait être clairement identifié.

L’administration du système de paiement devrait être confiée à un personnel totalement


indépendant des fonctions opérationnelles. Et même, au niveau de l’administration des
systèmes de paiement, la séparation des fonctions de supervision de celle de sécurité du
système devrait être assurée.

141 | P a g e
Section 1 – Principales activités et objectifs de contrôle liés aux
risques associés

Schéma 8: Objectifs de contrôle – Gestion des paiements et des transferts

Section 2 – Matrice des activités de contrôle


Objectifs
de contrôle
Ref. Activité de contrôle liés AC AO Détail
PT Tous les comptes ouverts ou clôturés sont autorisés par le
100
PT11
personnel approprié.
PT Tous les comptes ouverts sont sujets à une évaluation de crédit
101
PT11
adéquate ainsi qu’a d'autres procédures de revue.
PT La liste de tous les comptes autorisés est maintenue et tenue à
PT11
102 jour.
PT Les comptes de règlement autorisés sont ouverts dans le
103
PT12
système en temps opportun
PT Les comptes de règlement nouvellement ouverts sont intégrés
104
PT12
dans les plans de comptes immédiatement
PT Les comptes de règlements qui ont été clôturés sont
105
PT13
immédiatement enlevés du système de règlement.
Les comptes de règlements dormants sont sujets à des revues
PT
106
périodiques indépendantes afin de s'assurer qu'aucune PT13
transaction non autorisée ne puisse avoir lieu
PT Tous les paiements sont vérifiés (contrepartie, montant etc.) et PT21
107 autorisés avant d'être effectués. PT22
Les transactions enregistrées dans les brouillards des systèmes
PT PT21
108
externes de règlement (comme le SWIFT transaction log) sont PT32
passées en revue par une personne indépendante
un rapprochement régulier est effectué pour tous les comptes
Nostro et les autres comptes de règlement, et tous les éléments
PT de rapprochement sont suivis sur une base opportune pour
109
PT22
s'assurer qu'ils sont validés et correctement manipulés. Une
partie indépendante passe en revue les rapprochements de façon
régulière.
PT Les relevés et les confirmations pour des comptes de Vostro
110
PT22
sont envoyés de façon régulière
PT Les réclamations des contreparties sont surveillées par un PT22

142 | P a g e
Objectifs
de contrôle
Ref. Activité de contrôle liés AC AO Détail
111 groupe indépendant.
Une politique et une procédure formelles et documentées
prévoyant les accès physiques aux systèmes de transfert et leurs
PT
112
terminaux ainsi que les niveaux d'autorisations exigés avant la PT31
transmission des messages, sont mises en place et
communiquées à toutes les personnes concernées.
PT Les contrôles d'accès physiques et logiques sont en place pour
PT31
113 empêcher l'accès non autorisé aux systèmes de transfert.
PT Un double contrôle d'autorisation des messages SWIFT incluant
114
PT31
une double signature est prévu.
Détermination du profil du personnel ayant accès au système
SWIFT avec un niveau strict de séparation de taches: (1) les
détenteurs de mots de passe maîtres et leurs homologues
doivent être indépendants l'un de l'autre; (2) les personnes qui
PT ont accès aux tables de login de SWIFT ne doivent pas avoir
115
PT31
accès aux deux parties de la table et les opérateurs de SWIFT ne
doivent avoir aucun accès à la dite table; (3) les mots de passe
utilisateurs doivent assurer la séparation stricte entre la saisie et
la vérification; (4) Les mots de passe doivent être appropriés,
fréquemment changés et pas du tout partagés ou inter changés.
Un journal de vérification rétrospective, quotidien est passé en
PT revue par une personne sans responsabilités au niveau du
PT31
116 système SWIFT pour inspecter l'utilisation par le personnel
autorisé et identifier les cas de violation de la sécurité.
PT Les clefs d’authentification sont maintenues confidentielles.
117
PT31
PT Les copies de toutes les pièces justificatives des systèmes de
PT32
118 règlement sont gardées pour fournir une piste d'audit adéquate.
PT Le journal ISN pour les messages entrants est considéré comme
119
PT32
une partie de la piste d'audit pendant leur reconnaissance.
Un rapprochement en fin de la journée entre l'enregistrement
PT
120
des messages reçus dans la salle SWIFT et la séquence PT32
numérique des messages entrants ("ISN") est exécuté.
Le Journal OSN pour les messages sortants est maintenu en tant
PT
121
qu'élément de la piste d'audit pendant la période de PT32
reconnaissance des messages.
Un personnel approprié vérifie le premier ISN et OSN de
PT
122
chaque session pour s'assurer qu'il est consécutif avec le dernier PT32
ISN ou OSN de la session SWIFT précédente.
Un personnel approprié rapproche le nombre de messages reçus
PT
123
avec le journal ISN afin de s'assurer que la séquence numérique PT32
des messages entrants a été respectée.
Un personnel approprié vérifie que le journal des messages
PT reçus relatif aux instructions de paiement, la première copie et
PT32
124 le message d'acquittement
ont été convenablement classés
PT Les instructions des paiements manuels et non standards sont
PT33
125 adéquatement identifiées et autorisées.
Le plan d'urgence est mis en place et est régulièrement examiné
PT
126
pour s'assurer que les opérations peuvent continuer en cas de PT34
rupture au niveau du système de transfert.
Grille de contrôles 27 : Activités de contrôle – Gestion des paiements et des transferts

143 | P a g e
Chapitre 3 – La gestion des comptes de
la clientèle
La plupart des systèmes de contrôle interne s’appuient sur l’attribution de certaines
responsabilités à différentes personnes ou “séparation” des fonctions incompatibles. Cette
séparation des tâches a pour objet d’empêcher qu’une personne ait à la fois accès à l’actif et
la responsabilité de rendre compte de cet actif.

Par exemple, dans le cadre de la gestion des comptes des clients de la banque, différents
individus sont généralement responsables de (1) l’approbation de nouveaux comptes
bancaires à la clientèle, (2) l'enregistrement des opérations de dépôt, et (3) la diffusion des
relevés de compte aux clients. Si un individu a plus de responsabilité pour une des fonctions,
cette personne pourrait détourner l'actif et dissimuler le détournement.
Les nouveaux comptes devraient être saisis dans le système par un personnel distinct de celui
qui examine l’ouverture du nouveau compte. Les transactions de dépôt devraient être traitées
séparément des fonctions d’ouverture des nouveaux comptes. Le découvert devrait être
approuvé par un personnel distinct de celui qui traite les transactions de dépôt. Les comptes
dormants doivent être conservés séparément des comptes actifs.
La réception des plaintes des clients et l’envoi des relevés des comptes devraient être traités
indépendamment du personnel de traitement des transactions.

Dans un système automatisé, la séparation des tâches est généralement assurée par l'usage des
restrictions d'accès informatiques.

144 | P a g e
Section 1 – Principales activités et objectifs de contrôle liés aux
risques associés

Schéma 9 : Objectifs de contrôle – Gestion des comptes de la clientèle

Section 2 – Matrice des activités de contrôle


Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
CC Les nouveaux comptes clients sont approuvés par un niveau
CC11
100 approprié de la direction
Un personnel approprié s’assure que l’ensemble des ouvertures
de comptes clients font l’objet d’une convention écrite entre la
banque et le client qui comporte les conditions générales
CC
101
d’ouverture, de fonctionnement et de clôture du compte et les CC11
conditions particulières relatives aux produits, services et
moyens de paiement auxquels le compte donne lieu ainsi que la
liste et le montant des commissions applicables.217
CC La Banque maintient un contrôle physique pour l'accès aux
CC11
102 nouveaux comptes et la signature des fichiers.
Les rapports sur les nouveaux comptes clients et les
CC changements des comptes existants sont comparés aux données CC11
103 sources autorisées afin de s'assurer qu'ils ont été entrés avec CC12
exactitude.
Les relevés des clients sont envoyés périodiquement aux CC11
CC détenteurs des comptes. Tout désaccord fait l'objet CC12
104 d'investigations.218 CC21
CC22
Les politiques et les procédures afférentes à la création des
CC
105 comptes clients sont documentées et sont revues et mises à jour CC11
régulièrement.
CC Les comptes et les mouvements en suspens sont réconciliés et CC21 CC22
106 les montants font l'objet d'investigations et sont résolus à temps CC23

217
Art. 31 ter de la loi 2001-65 relative aux établissements de crédits
218
Annexe 1 à la note aux banques et établissements financiers n° 93-23 du 30 juillet 1993
145 | P a g e
Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
Tous les dépôts et les remboursements sont enregistrés et CC21
CC
107 rapprochés aux mouvements journaliers de la caisse.219 CC22
CC23
Les comptes clients sont revus périodiquement par la direction CC21
CC
pour identifier les activités inhabituelles CC22
108
CC23
Les politiques et procédures sur la prévention des paiements non
CC
109
autorisés par les comptes clients doivent être documentées, CC22
revues et mises à jour régulièrement.
CC Les comptes dormants ou inactifs sont revus et approuvés par le CC21
110 personnel de la direction appropriée. CC22
CC Les manipulations spéciales de comptes sont revues et
111
CC24
approuvées par le personnel de la direction appropriée.
Les politiques et procédures relatives aux manipulations
CC
112 spéciales des comptes clients sont documentées, revues et mises CC24
à jour régulièrement.
CC L'accès aux manipulations spéciales de comptes est restreint aux
113
CC24
personnes appropriées.
Les soldes au niveau du système comptable sont rapprochés CC21 CC22
CC CC23 CC31
114 régulièrement avec les soldes au niveau des agences.220 CC32 CC41
CC42
CC Les produits/charges d'intérêts sont revus par la direction y CC31
115 compris la comparaison aux budgets. CC32
Le système d'information calcule adéquatement les CC31
CC produits/charges d'intérêts et les commissions conformément CC32
116 aux termes et conditions applicables au client. CC41
CC42
CC Les produits de commissions et les autres charges sont revus par CC41
117 la direction y compris la comparaison aux budgets. CC42
Tous les documents sources appuyant les conditions de banque
au titre des charges et produits d'intérêts et des commissions
CC
sont comparés aux informations introduites au niveau du CC31
118 système d'information afin de s'assurer qu'ils sont entrés CC41
adéquatement.

CC Les commissions sont autorisées par le personnel dans le cadre


119
CC31
de leurs délégations de pouvoir.
Le client est informé par écrit de toutes les modifications des
CC
120
conditions applicables à son compte et ce, conformément aux CC31
prescriptions et aux délais règlementaires.221
Les réclamations des clients sont suivies par un groupe CC12 CC21
CC
CC22 CC31
121 indépendant.222 CC41
Grille de contrôles 28 : Activités de contrôle – Gestion des comptes de la clientèle

219
Annexe 1 à la note aux banques et établissements financiers n° 93-23 du 30 juillet 1993
220
Annexe 1 à la note aux banques et établissements financiers n° 93-23 du 30 juillet 1993
221
Art. 31 ter de la loi 2001-65 relative aux établissements de crédits
222
Conformément à l’art. 31 Quarter de la loi 2001-65 relative aux établissements de crédits, chaque établissement de crédit
doit désigner un ou plusieurs médiateurs chargés de l’examen des requêtes qui leur sont présentées par les clients et relatives
à leurs différends avec la Banque. Les établissements de crédit doivent faciliter la mission du médiateur bancaire et lui
communiquer tous documents en relation avec l’objet du différend dans les délais qu’il leur impartit. Les établissements de
crédit doivent faire connaître le médiateur bancaire à leur clientèle et les modalités de sa saisine.
146 | P a g e
Chapitre 4 – La gestion de la trésorerie
et des ressources
Ce cycle couvre le marché dans lequel les instruments financiers utilisés à des fins de
financement sont négociés. Dans de nombreux cas, les instruments financiers peuvent
comprendre une grande partie des actifs de l'institution. Typiquement, ces instruments
financiers comprennent les acceptations bancaires, les bons du Trésor, les lettres de change,
les certificats de dépôt, les obligations, les papiers commerciaux, les billets à ordre, les dépôts
à terme, les prêts interbancaires et les ressources spéciales.
La plupart des systèmes de contrôle interne s’appuient sur l’attribution de certaines
responsabilités à différentes personnes ou “séparation” des fonctions incompatibles. Cette
séparation des tâches a pour objet d’empêcher qu’une personne ait à la fois accès à l’actif et
la responsabilité de rendre compte de cet actif.

Par exemple, dans un système de financement, des individus différents sont généralement
responsables (1) de l'enregistrement des opérations de financement, (2) d'approuver le
financement des activités nouvelles, et (3) du suivi de la réconciliation des transactions
enregistrées à des déclarations indépendantes des tiers. Si un individu est responsable de plus
d'une fonction, cette personne pourrait détourner des actifs et dissimuler des détournements.

La ségrégation des tâches suivantes devraient normalement exister dans ce cycle :

- Les transactions devraient être enregistrées par l'opérateur après leur exécution, la
position de la Banque devrait être réconciliée avec la position de la contrepartie par
une autre personne.
- Une infrastructure devrait exister par laquelle des personnes différentes sont
responsables de l'enregistrement des transactions, du maintien des registres de position
et de la préparation quotidienne des rapports de position.
- Le portefeuille des Traders devrait être confirmé de manière indépendante par la
direction sur une base régulière.
- Le personnel chargé du règlement devrait être indépendant de celui chargé de
l'enregistrement et de celui responsable de l’initiation de l’opération.
- L'établissement et le suivi des limites opérationnelles devraient être assurés par un
personnel autre que les opérateurs.

147 | P a g e
Section 1 – Principales activités et objectifs de contrôle liés aux
risques associés

Schéma 10 : Objectifs de contrôle – Gestion de la trésorerie et des ressources

Section 2 – Matrice des activités de contrôle

Objectifs de
Ref. Activité de contrôle contrôle liés AC AO Détail
Le personnel indépendant passe en revue toutes les transactions
TR
100
de trésorerie pour la validité et la conformité aux politiques de TR11
Banque.
Un personnel approprié fait la revue des rapports d'exposition
TR nette en ce qui concerne la conformité aux limites de la banque
TR11
101 (par exemple, correspondant, produit, pays, etc..) sur une base
continue.
TR Toutes les transactions de placement sont autorisées par le
102
TR11
personnel approprié, dans la limite de leurs pouvoirs délégués.
un personnel approprié fait la revue des rapports d'exposition
TR TR11
103
nette en ce qui concerne des conditions de placement définies
TR14
par le comité ALM.
La piste d’audit pour les transactions changées, supprimées et TR11
TR
104 antidatées est passée en revue par le personnel approprié. TR12
TR14

148 | P a g e
Objectifs de
Ref. Activité de contrôle contrôle liés AC AO Détail
Un personnel approprié (haute direction habituellement ou
TR directeurs) met en place des limites appropriées et des niveaux
105
TR11
d'autorisation, en tenant compte des divers instruments de
commercialisation, des devises, des relations, etc…
L'accès aux systèmes de la salle du marché et du FrontOffice est
TR limité au personnel autorisé et approprié, y compris l'utilisation
106
TR11
des techniques d'authentification (par exemple, cartes d'accès,
identification et mots de passe personnels, etc.).
Toute la documentation source supportant les transactions de
TR trésorerie (initiation et changement) est comparée au système de TR12
107 BackOffice pour s’assurer que les transactions sont TR41
correctement entrées et enregistrées.
Un personnel approprié passe en revue les transactions de
TR trésorerie pour s’assurer qu’elles sont enregistrées en
108
TR12
concordance avec les politiques comptables et la règlementation
en vigueur.
Les détails de la transaction (par exemple, modalités, conditions TR12
TR
109
et montants) sont rapprochés à la confirmation du TR13
correspondant. TR14
Une partie indépendante passe en revu les rapprochements entre
le système du FrontOffice, le système du BackOffice et le TR12 TR13
TR TR14 TR31
110
système central de la comptabilité sur une base régulière pour TR32 TR41
s’assurer que les transactions en suspens sont régularisées et TR42
apurées correctement.
Les soldes au niveau du système de BackOffice sont TR12 TR13
TR TR14 TR31
111 régulièrement rapprochés aux soldes du grand livre TR32 TR41
TR42
Une réconciliation des soldes entre le système FrontOffice et les TR12 TR13
TR TR14 TR31
112 soldes du BackOffice est exécutée par le personnel approprié. TR32 TR41
TR42
Les tickets de transaction sont numérotés séquentiellement. Un
TR TR13
113
personnel approprié vérifie que la séquence numérique n’est pas
TR14
rompue quand les transactions arrivent au back office.
un personnel approprié intervient sur le système de journal pour
TR s'assurer que tous les paiements et les encaissements ont lieu à
114
TR15
leur date prévue, et les exceptions sont convenablement
résolues.
le système BackOffice est logiquement programmé pour
TR prendre en compte exactement les événements synchronisés
TR15
115 pendant la vie de la transaction, y compris des changements aux
transactions existantes.
TR Toutes les transactions valides générées par le FrontOffice sont
116
TR21
automatiquement transmises au système de règlement.
Le système d’information permet la production de listes
contenant les demandes de règlement internes qui ont été liées
TR
117
aux demandes de règlement des contreparties externes ainsi que TR21
les demandes de règlement internes ou externes qui n’ont pas
été inter-liées.
TR Le rapprochement entre le système de FrontOffice et le système
118
TR21
de règlement est effectué sur une base quotidienne.

149 | P a g e
Objectifs de
Ref. Activité de contrôle contrôle liés AC AO Détail
TR Tous les mouvements de trésorerie (réception ou règlement)
119
TR22
sont autorisés par un personnel approprié.
Les transactions sont introduites par un personnel approprié
TR
120
dans le système d’information de la Banque dès qu’elles sont TR22
exécutées.
TR Les règlements sont enregistrés dans le système comptable de la
121
TR23
Banque correctement et à temps.
TR Les transactions effectuées en fin de période sont enregistrées
122
TR23
conformément à la date réelle de transaction
TR Les règlements ou Paiements compensés de trésorerie sont
TR24
123 rapprochés aux systèmes de règlement sur une base quotidienne.
Un rapport sur les règlements prévus est revu par un personnel
TR approprié avant l’autorisation de règlement pour s’assurer que
TR24
124 les fonds nécessaires sont à la disposition de la Banque pour
exécuter le règlement.
Les comptes de suspens sont rapprochés sur une base régulière. TR12 TR15
TR
125
Toutes les transactions en suspens sont régularisées et apurées TR24 TR31
TR32
adéquatement.
Le système de règlement utilise un mécanisme dit de “Livraison
TR contre paiement” permettant de s’assurer que la trésorerie n’est TR22
126 délivrée au destinataire final que si l’organisme compensateur a TR25
réellement transmis les liquidités correspondantes.223
Un personnel indépendant s’assure que le règlement n’est opéré
TR
127
que sur la base d’une confirmation reçue attestant que la TR25
liquidité est reçue par la Banque.
TR La direction a mis en place des règles et des limites permettant
TR25
128 de réduire l’exposition de la Banque aux risques de règlement.
TR Les rendements d'intérêt sont passés en revue par la direction, y TR31
129 compris la comparaison aux budgets. TR32
Des calculs des revenus / dépenses d'intérêt sont exécutés
TR TR31
130
automatiquement et correctement enregistrés par le système
TR32
dans la période correcte, selon les détails commerciaux.
TR Les réclamations du client sont suivies par un organisme
131
TR41
indépendant
Les commissions sont calculées automatiquement et
TR TR41
132
adéquatement enregistrées par le système d’information dans la TR42
période appropriée conformément aux détails des transactions
Les commissions (Produits et charges) sont passées en revue par
TR la direction. Celle-ci s’assure que les commissions TR41
133 amortissables sont correctement prises en compte et effectue des TR42
rapprochements par rapport aux budgets.
Les politiques et les procédures concernant l'augmentation et le
TR
134
placement des fonds ainsi que celles relatives à tous les risques TR51
associés sont formellement documentées, régulièrement mises à

223
Cette activité de contrôle permet à la Banque de se prémunir contre le risque de règlement. Ainsi, la Banque devrait
d’assurer que le crédit d’un compte client suite à la réception d’un virement de l’étranger n’est effectué que si le compte de la
Banque chez son correspondant à été réellement crédité. De même, la Banque ne peut créditer le compte de son client suite à
la remise d’un chèque qu’après compensation dudit chèque et écoulement des délais règlementaires de rejet. Un autre
exemple concerne les chèques certifiés délivrés aux clients de la Banque, dans ce cadre la Banque doit s’assurer qu’une
provision correspondante au montant du chèque a été bloquée.
150 | P a g e
Objectifs de
Ref. Activité de contrôle contrôle liés AC AO Détail
jour et communiquées à toutes les parties concernées.
TR Toutes les décisions de placement stratégiques prises par
TR51
135 l'établissement sont approuvées par le Comité ALM.
les relations avec lesquelles des placements sont faits sont
sujettes à des procédures proportionnées d'évaluation de crédit
TR
136
(par exemple l'examen des estimations externes, d'analyse TR52
financière, etc.…) par le personnel approprié au déclenchement
et sur une base en cours.
la Banque maintient des listes indiquant les relations qui ont
TR répondu aux critères du crédit et dont les documents exigés sont
TR52
137 entièrement remplis. Ces listes sont correctement configurées
dans les systèmes FrontOffice.
TR La documentation légale est convenablement stockée et fixée
TR52
138 contre les risques de perte, du vol, et de destruction.
Le comité ALM procède à l'analyse du risque du taux d'intérêt
TR
139
de l’ensemble des transactions (bilan & hors bilan) et fixe les TR53
limites de risques
le processus d'ALM emploie les risques / contrôles / outils
TR
140
appropriés, par exemple analyse des gaps d'intérêt, scénarios TR53
d'essai.
Le comité de la gestion d'actifs et de passifs (ALM) procède à
TR l'analyse du risque de liquidité sur toutes les transactions du
141
TR54
bilan et du hors bilan, et fixe les limites opérationnelles dans
lesquelles le risque de liquidité est contrôlé.
le processus d'ALM emploie les risques / contrôles / outils
TR
142
appropriés, par exemple analyse des gaps de liquidité, analyse TR54
de marge brute d'autofinancement et de financement.
TR Des ratios de liquidité sont régulièrement passés en revue et pris
143
TR54
en considération par le personnel approprié
Grille de contrôles 29: Activités de contrôle – Gestion de la trésorerie

151 | P a g e
Chapitre 5 – La gestion du personnel
Les employés peuvent poser des questions au sujet du calcul et des décaissements de la paie
pour de multiples raisons. Toutes ces demandes doivent faire l’objet d’un suivi par un
personnel indépendant du processus de préparation de la paie et de décaissement pour veiller
au respect des conditions suivantes :

- il existe une séparation des tâches suffisante entre la préparation, les décaissements et
les ressources humaines (ou la gestion du personnel), ce qui réduit le risque de
dissimulation et de fraude;
- toutes les erreurs de calcul ou de décaissement sont dûment relevées et corrigées, et
elles ne sont pas dissimulées;
- la confidentialité des questions personnelles touchant les employés est maintenue.

Section 1 – Principales activités et objectifs de contrôle liés aux


risques associés

Schéma 11 : Objectifs de contrôle – Gestion du personnel

Section 2 – Matrice des activités de contrôle


Objectifs de
Ref. Activité de contrôle contrôle liés AC AO Détail
La direction vérifie périodiquement si les données des fichiers PE11 PE12
PE21 PE23
PE maîtres de la paie demeurent exactes et pertinentes. PE51 PE52
100 PE53 PE54
PE55
Les directeurs des services examinent périodiquement la liste PE11 PE12
PE
PE21 PE23
101 des employés actuels de leur service et avisent le service du PE51 PE52

152 | P a g e
Objectifs de
Ref. Activité de contrôle contrôle liés AC AO Détail
personnel des changements nécessaires. PE53 PE54
PE55
Les modifications enregistrées dans les fichiers maîtres de la
PE PE11 PE23
102
paie sont comparées aux documents de base autorisés afin de PE51 PE53
s’assurer qu’elles ont été entrées avec exactitude.
Les demandes de modifications des données des fichiers maîtres
PE de la paie sont inscrites dans un journal; ce journal fait l’objet PE12 PE21
103 d’un examen visant à s’assurer que toutes les modifications PE52 PE54
demandées sont traitées rapidement.
La direction surveille la conformité aux lignes directrices et
PE
104
procédés en matière de licenciement, y compris le respect de la PE22
réglementation légale et des exigences syndicales.
L'enregistrement des heures et les exceptions aux présences par
PE
105 rapport aux attentes définies par la direction sont relevés, PE31
contrôlés et corrigés.
PE Les données d’entrée de la paie sont éditées et validées; les
PE33
106 erreurs relevées sont corrigées rapidement.
La direction examine et approuve avant le décaissement les
PE PE31 PE42
107
rapports sur les salaires et la rémunération horaire (y compris PE44
les renseignements sur la rémunération et les retenues).
La direction autorise les heures supplémentaires travaillées et le
PE PE31 PE42
108
paiement de ces heures pour tous les employés salariés qui sont PE44
rémunérés pour leurs heures supplémentaires.
Les heures déclarées par les employés font régulièrement l’objet
PE PE32 PE33
109
d’un rapprochement entre les cartes de pointage/feuilles de
PE34 PE44
présence et les rapports sur la paie.
Les opérations concernant la paie qui sont effectuées à la fin
d’une période comptable, ou avant ou après, font l’objet d’un
PE
110
examen et d’un rapprochement visant à s’assurer qu’elles sont PE41
enregistrées de manière intégrale et uniforme dans la période
comptable appropriée.
Les registres des salaires détaillés montrent toutes les données
pertinentes décrivant les salaires (y compris la rémunération
totale, les impôts sur le revenu connexes et d'autres retenues), et
PE
111
les soldes connexes sont rapprochés rapidement avec les PE41 PE42
comptes correspondants du grand livre. Tous les éléments de
rapprochement font l'objet d'une enquête et sont réglés
rapidement.
Tous les comptes transitoires de la paie sont rapidement
rapprochés et examinés par la direction ou par d'autres membres
PE du personnel de supervision. Les opérations comptabilisées
112
PE43
dans les comptes transitoires de salaires sont des éléments en
suspens appropriés; les autres éléments sont examinés et résolus
rapidement.
Toutes les demandes d’information relatives à la paie font
PE
113
l’objet d’un suivi assuré par des personnes indépendantes du PE45
processus de préparation et de décaissement de la paie.
Un compte courant spécifique au personnel est ouvert pour
PE
114
l’ensemble du personnel de la Banque, L’accès à la bande de PE45
transfert bancaire de la paie est restreint au personnel autorisé.
PE Des fiches de paie sont préparées par la Banque et signées par
115
PE45
l’ensemble du personnel
Grille de contrôles 30 : Activités de contrôle – Gestion du personnel

153 | P a g e
Chapitre 6 – La gestion des dépenses
d’exploitation et d’investissement
La plupart des systèmes de contrôle interne s’appuient sur l’attribution de certaines
responsabilités à différentes personnes ou “séparation” des fonctions incompatibles. Cette
séparation des tâches a pour objet d’empêcher qu’une personne ait à la fois accès à l’actif et
la responsabilité de rendre compte de cet actif. Les types de responsabilité suivants doivent
habituellement faire l’objet d’une séparation :

- l’initiation des transactions (acquisitions ou aliénations);


- l’autorisation des transactions;
- l’enregistrement des transactions;
- la garde des éléments d’actif;
- le rapprochement des actifs et des passifs avec les enregistrements.
Par conséquent, les membres du personnel qui sont responsables de l’acquisition, de
l’aliénation, de l’enregistrement et de l’entretien des actifs doivent être responsables d’une
seule de ces fonctions et ne doivent pas avoir accès, à l’aide d’un système, à des fonctions
autres que celles qui leur ont été attribuées. De plus, les personnes responsables du traitement
des transactions ne doivent être responsables ni de la gestion des fichiers maîtres des
immobilisations et des fournisseurs ni de la mise à jour de l’accès auxdits fichiers.

Dans un système manuel, la séparation des tâches peut être assurée sur le plan administratif
par la répartition des responsabilités. Dans un système automatisé, la séparation des tâches
s’appuie habituellement sur l’utilisation de restrictions d’accès informatiques. Les exemples
suivants sont une illustration d’une séparation adéquate des tâches :

- fonctions du système d’exploitation qui exigent que les utilisateurs font entrer un code
et un mot de passe uniques avant d’avoir accès au système et qui peuvent limiter les
utilisateurs à un ensemble d’options de menus définies d’avance;
- logiciels de base qui exigent que les utilisateurs font entrer un code et un mot de passe
uniques avant d’avoir accès au système et qui peuvent restreindre davantage l’accès à
certains programmes, fichiers de données et autres ressources d’information;
- fonctions de l’application qui restreignent les utilisateurs à certains sous-systèmes,
transactions ou fichiers de données.

154 | P a g e
La séparation suivante des tâches doit également exister au niveau du système de paiement
des dépenses :

- Les chèques signés sont remis à une personne indépendante du préparateur ou de la


personne à l’origine du chèque afin qu’ils soient rapidement expédiés aux
fournisseurs.
- Les chèques ne doivent pas être renvoyés au préparateur ou à la personne à l’origine
du chèque une fois qu’ils ont été signés, mais plutôt être expédiés aux fournisseurs
rapidement pour minimiser le risque de détournement.
- Une fois signés, les chèques doivent aussi être rapidement expédiés aux fournisseurs et
traités dans les passifs de la Banque afin de s’assurer que les soldes de la trésorerie et
du passif soient présentés fidèlement dans les livres comptables.

Section 1 – Principales activités et objectifs de contrôle liés aux


risques associés

Schéma 12 : Objectifs de contrôle – Gestion des dépenses

155 | P a g e
Section 2 – Matrice des activités de contrôle

Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
La direction approuve tous les bons de commande, et un palier
de direction supérieur approuve les achats inhabituels et tous les
DE
100 achats qui dépassent les plafonds fixés. Le conseil DE11
d’administration donne son approbation à certains types
d’achats, et cette approbation est convenablement documentée.
DE Les bons de commande sont examinés et approuvés par la
101
DE11
direction avant d’être envoyés aux fournisseurs.
DE L’accès aux demandes d’achat et aux bons de commande non
102
DE11
émis est restreint aux personnes autorisées.
Les données d’entrée des bons de commande sont comparées
DE
103
aux documents de base par des personnes qui sont DE12
indépendantes du processus d’entrée des bons de commande.
Les bons de commande sont numérotés d’avance de manière
DE
104
séquentielle. On rend compte de la séquence des bons de DE13
commande traités.
Les biens reçus sont appariés automatiquement ou
manuellement avec les détails des bons de commande ou les DE21
DE
105
factures; s’il existe des bons de réception, des bons de DE23
commande ou des factures en suspens depuis longtemps, on en DE24
cherche rapidement la cause et on procède à leur régularisation.
Les factures qui ne sont pas appariées aux bons de réception (ou
autres pièces justificatives appropriées pour les services reçus)
DE
106
font l’objet d’une enquête; les paiements relatifs à des factures DE21
non appariées doivent recevoir l’approbation d’un palier de
direction précis.
Les relevés reçus des fournisseurs sont régulièrement DE22 DE23
DE24 DE25
DE rapprochés avec les comptes des fournisseurs dans le grand livre DE26 DE27
107 auxiliaire des créditeurs, et on cherche la raison des écarts. DE28 DE33
DE44
Les biens reçus à la fin de la période comptable, ou avant ou
DE16
DE après, font l’objet d’un examen et d’un rapprochement visant à
108
DE24
s’assurer qu’ils ont été enregistrés de manière intégrale et DE47
uniforme dans la période appropriée.
La direction examine tous les débits enregistrés dans les
DE
109
comptes des fournisseurs qui proviennent de sources autres DE25
qu’un journal des décaissements.
Les biens retournés à la fin de la période comptable, ou avant ou
DE après, font l’objet d’un examen et d’un rapprochement visant à
DE28
110 s’assurer qu’ils ont été enregistrés de manière intégrale et
uniforme dans la période appropriée.
Les dépenses réelles sont régulièrement comparées au budget; la DE21 DE22
DE
DE23 DE31
111 direction examine et approuve les écarts importants. DE33
La direction examine la documentation justificative avant DE31
DE
112
d’approuver les paiements. La documentation justificative est DE32
annulée une fois que le paiement a été fait. DE33
Un contrôleur indépendant s’assure que les chèques sont
DE endossés de manière restrictive de manière à s’assurer qu’ils
DE32
113 sont payés au bénéficiaire indiqué. Le même contrôle est
effectué pour les virements et les crédits directs de compte
156 | P a g e
Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
courant (pour le cas des fournisseurs ayant des comptes courants
ouverts chez la Banque)
Les chèques sont numérotés d’avance de manière séquentielle;
DE on rend compte de la séquence des chèques traités. Les chèques
114
DE34
endommagés sont annulés afin d’en empêcher la réutilisation et
ils sont classés en vue d’une inspection future.
Les décaissements effectués à la fin de la période comptable, ou
DE avant ou après, font l’objet d’un examen détaillé visant à assurer
115
DE35
qu’ils ont été enregistrés de manière intégrale et uniforme dans
la période comptable appropriée.
L’amortissement est recalculé de manière indépendante. DE41
DE
116
DE42
DE43
La direction examine les charges d’amortissement, en s’assurant
DE DE41
117
notamment qu’elles ont été enregistrées dans la période DE43
comptable appropriée.
Les méthodes de calcul de l’amortissement et les taux utilisés
DE font l’objet d’un examen périodique visant à s’assurer qu’ils
DE41
118 sont raisonnables et conformes aux principes comptables
généralement reconnus.
Les anomalies concernant l’amortissement (par rapport aux
DE DE42
119
attentes définies par la direction) sont identifiées, contrôlées et DE43
corrigées de manière uniforme.
Les calendriers d’entretien des immobilisations sont préparés,
mis à jour et contrôlés par la direction, et l’activité prévue par le
DE DE51
120
calendrier de l’entretien des immobilisations est rapprochée
DE53
régulièrement du registre de l’historique de l’entretien des
immobilisations.
La direction examine périodiquement les activités d’entretien
DE des immobilisations en se reportant au registre de l’historique de DE51
121 l’entretien des immobilisations afin de s’assurer du respect des DE53
objectifs de la direction.
DE Les immobilisations corporelles sont situées dans un endroit sûr
122
DE52
et approprié dont l’accès est restreint au personnel autorisé.
Des étiquettes d’identification numérotées d’avance sont
DE apposées sur les immobilisations corporelles au moment de leur
123
DE52
acquisition afin de faciliter leur identification exacte et
l’enregistrement des renseignements à leur sujet.
La direction passe périodiquement en revue les évaluations ou
DE
124
les valeurs de réalisation des immobilisations pour identifier les DE54
pertes de valeur durables et les comptabiliser correctement.
Les modifications enregistrées du fichier maître des fournisseurs
DE DE61
125
sont comparées avec les documents de base autorisés afin de
DE63
s’assurer qu’elles sont entrées avec exactitude.
Les demandes de modification des données du fichier maître des
DE fournisseurs sont entrées dans un journal; ce journal fait l’objet DE62
126 d’un examen visant à assurer que toutes les modifications DE64
demandées sont traitées rapidement.
La direction examine périodiquement les données du fichier DE61 DE62
DE
DE63 DE64
127 maître des fournisseurs pour s’assurer qu’elles sont exactes et DE65

157 | P a g e
Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
qu’elles demeurent pertinentes.
Les fournisseurs auxquels on n’a pas eu recours pendant une
DE
128
période prolongée font l’objet d’un examen et sont marqués en DE65
vue d’une suppression par l’application, le cas échéant.
Les modifications du fichier maître ou du registre des
immobilisations corporelles qui sont enregistrées sont DE14 DE15
DE
DE44 DE46
129 comparées aux documents de base autorisés afin de s’assurer DE71 DE73
qu’elles ont été entrées avec exactitude.
Les demandes de modification des données du registre ou du
fichier maître des immobilisations sont inscrites dans un DE16 DE17
DE
130
journal; ce journal fait l’objet d’un examen visant à s’assurer DE45 DE47
DE72 DE74
que toutes les modifications demandées sont traitées
rapidement.
Les données du registre ou du fichier maître des
DE14 DE15
immobilisations corporelles sont périodiquement revues par la DE17 DE44
DE direction qui s'assure qu'elles sont exactes et demeurent DE45 DE46
131 pertinentes et sont rapprochées des comptes correspondants du DE71 DE72
DE73 DE74
grand livre général. Tous les éléments de rapprochement sont DE75
identifiés et sont traités rapidement.
La direction examine l’activité enregistrée dans les registres des DE14 DE15
baux, le registre des immobilisations corporelles ou le fichier DE17 DE44
DE
DE45 DE46
132 maître des immobilisations corporelles et fait une comparaison DE71 DE72
avec le budget des dépenses en immobilisations. DE73
Les dénombrements périodiques des immobilisations DE14 DE15
DE17 DE44
DE corporelles sont effectués et rapprochés avec le fichier maître ou DE45 DE46
133 le registre des immobilisations corporelles. DE71 DE72
DE73
Grille de contrôles 31: Activités de contrôle - Gestion des dépenses d’exploitation et d’investissement

158 | P a g e
Chapitre 7 – L’environnement de
traitement informatique
Les systèmes d’information comprennent les environnements de traitement informatique qui
soutiennent l’entité et les activités de supervision du fonctionnement de ces environnements.
La planification des systèmes d’information est indispensable pour veiller à ce que leurs buts
soutiennent les buts globaux de la Banque. Habituellement, les stratégies à long terme qui ont
été établies à l’égard des systèmes d’information doivent être structurées et conformes aux
buts de l’entité sur le plan commercial et stratégique. Le plan idéal tient compte de
l’évolution technologique et des possibilités qui en découlent et définit l’architecture des
systèmes d’information de l’entité. Il faut généralement établir, au sujet des systèmes
d’information, un plan à court terme qui soit conforme au plan à long terme. Ce plan à court
terme formule des étapes ou projets d’implantation, définit les ressources appropriées et
comprend des budgets détaillés. Les plans à court et à long terme doivent être dynamiques; il
faut, par conséquent, prévoir des mécanismes d’examen et de mise à jour des plans. De plus,
les objectifs des plans doivent être mesurables afin que la direction puisse en contrôler la
réalisation. En l’absence d’une planification adéquate à court et à long termes, les systèmes
d’information risquent de ne pas répondre aux exigences d’affaires, ce qui peut retarder le
traitement ou entraîner des pannes de système.

Des séparations de tâches incompatibles devraient être assurées au sein de l’environnement de


traitement informatique. Ainsi, la production, l’administration des bases de données et
l’administration des réseaux devraient être assurées par des personnes différentes.

De même, un responsable de la sécurité du système d’information (RSSI) indépendant de la


direction informatique devrait être le garant de la sécurité des systèmes d’information de la
banque. Sous contrôle du CSSI (Comité de Sécurité du Système d’Information), il assurera la
maîtrise d’ouvrage de la politique de sécurité. Il sera assisté éventuellement par des
responsables de sécurité de l’information des différents services (centres de profit) de la
banque. Ces différents agents seront en charge de la maîtrise d’œuvre de la politique de
sécurité de l’information. Au sein de chaque service, ils seront des correspondants pour
l’informatique et la sécurité de l’information. Ils relayeront l’action du RSSI auprès des
utilisateurs.

159 | P a g e
La politique de sécurité de l’information devra aussi étudier les risques associés à l’accès non
autorisé des tiers au système d’information de la banque et mettre en œuvre les contrôles
adaptés. Ces dispositions relatives à l’accès des tiers aux équipements de traitement de
l’information doivent s’inscrire dans un cadre juridique précis faisant référence à l’ensemble
des exigences de sécurité de la banque.

Le référentiel COBIT, Control objectives for information and technology, conçu par l'ISACA
(Information Systems Audit and Control Association), est un cadre de référence ainsi qu'un
ensemble d'outils pour assurer la maîtrise et surtout le suivi (audit) de la gouvernance des
systèmes d’information dans la durée.

COBIT est structuré selon 34 Objectifs de contrôle de haut niveau regroupés en 4 domaines :

- Planning et Organisation : Comment utiliser au mieux les technologies afin que


l'entreprise atteigne ses objectifs?
- Acquisition et Implémentation : Comment définir, acquérir et mettre en œuvre les
technologies nécessaires en adéquation avec les processus d’affaires de l'entreprise ?
- Distribution et Support : Comment garantir l'efficacité et l'efficience des systèmes
technologiques en action ?
- Surveillance : Comment s'assurer que la solution mise en œuvre corresponde bien aux
besoins de l'entreprise dans une perspective stratégique ?

160 | P a g e
Section 1 – Objectifs de contrôle

Schéma 13 : Objectifs de contrôle – Environnement de traitement informatique

161 | P a g e
Section 2 – Matrice des activités de contrôle

Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
Des stratégies et des plans à court et à long termes ont été
établis à l’égard des systèmes d’information et approuvés par la
SI direction générale afin de soutenir la stratégie globale et les
100
SI11
besoins en systèmes d’information de la Banque. La Direction
Générale contrôle le rendement des systèmes d’information par
rapport à ces plans à court et à long termes.
On définit clairement les compétences et l’expérience requises
au sein de la direction des systèmes d’information avant de
SI
101 procéder au recrutement ou à l’évaluation du rendement du SI12
personnel. La direction vérifie si le personnel est suffisant et
s’il possède des compétences et une expérience suffisantes.
Une formation structurée ou sur le tas est offerte à tout le
SI personnel au sein des environnements de traitement
SI13
102 informatique d’après des évaluations régulières du rendement et
elle est contrôlée par la direction.
Le traitement est contrôlé par la direction afin de garantir la
SI
103
réussite de l’exécution en temps voulu. Le contrôle comprend SI21
l’examen et la résolution de toutes les exceptions.
SI Des outils d’ordonnancement automatisés ont été implantés afin
104
SI22
de garantir l’autorisation et l’intégralité du flux de traitement.
La direction et les utilisateurs procèdent à la planification et à
l’établissement du calendrier de la sauvegarde et de la
SI conservation des données et de l’effacement et de la remise en
105
SI23
circulation des supports qu’il n’est plus nécessaire de conserver.
La direction examine périodiquement les registres de
conservation et de remise en circulation.
La direction contrôle les niveaux de service des systèmes
SI
106
d’information et prend des mesures correctives si le rendement SI24
n’est pas conforme aux niveaux de service attendus.
Les procédés d’implantation des systèmes comprennent la
formation des utilisateurs à l’utilisation appropriée des
nouveaux systèmes ou des systèmes auxquels des modifications
SI
107
importantes ont été apportées. La direction contrôle le respect SI25
de ces procédés. Les nouveaux employés et les employés qui
viennent d’être mutés reçoivent une formation structurée
concernant les systèmes d’applications pertinents.
L’organisation des systèmes d’information comprend une
fonction de centre d’assistance (Help Desk) qui traite les
demandes d’information des utilisateurs en ce qui concerne les
SI
108
systèmes. Les problèmes sont consignés dans un journal SI26
centralisé. Le personnel du centre d’assistance contrôle le
journal afin de s’assurer qu’on a répondu à toutes les demandes
d’information des utilisateurs en temps opportun.
Des outils et des techniques de sécurité de l’information sont
SI
109
utilisés afin de restreindre l’accès aux ressources d’information. SI31
La direction examine et approuve l’implantation et la

162 | P a g e
Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
configuration des outils et des techniques de sécurité de
l’information. 224
Les propriétaires des applications autorisent la nature et
l’étendue des privilèges d’accès des utilisateurs et les examinent
SI périodiquement afin de s’assurer que les privilèges d’accès
110
SI32
demeurent appropriés. L’accès des utilisateurs est contrôlé au
moyen de mots de passe ou d’autres mécanismes. Les mots de
passe sont changés périodiquement.
L’accès physique à l’immeuble et à l’environnement immédiat
du matériel informatique est contrôlé et restreint aux personnes
SI
111
qui doivent y avoir accès pour s’acquitter des responsabilités SI33
inhérentes à leur travail. L’approbation de la direction est
requise avant d’accorder l’accès.
Une évaluation des risques, qui comprend une évaluation des
ressources d’information et des niveaux de risque présents, est
effectuée afin de déterminer une architecture de sécurité de
SI l’information appropriée dont le coût est justifiable.
SI34
112 L’évaluation des risques est périodiquement mise à jour et la
direction a implanté une architecture de la sécurité de
l’information adéquate afin de garantir la sécurité physique et
logique appropriée.
Un logiciel de détection des virus est chargé dans tous les
ordinateurs de l’entité. De plus, pour tous les ordinateurs
autorisés à se connecter au réseau de l’entité, ce logiciel est
SI configuré de façon à rechercher les virus lors du téléchargement
113
SI35
de données ou de programmes, de l’ouverture d’un fichier de
données ou de l’exécution d’un programme. Les résultats des
recherches de virus sont examinés régulièrement, et les mesures
appropriées sont prises afin de résoudre les problèmes décelés.
Les logiciels chargés dans les ordinateurs de la Banque sont
périodiquement comparés à un inventaire des logiciels autorisés
SI
114
par un contrat de licence. Lorsqu’on découvre un logiciel non SI36
autorisé par un contrat de licence ou un logiciel non autorisé, on
obtient un contrat de licence ou on supprime le logiciel.
SI La direction contrôle périodiquement l’efficacité des SI37

224
Plusieurs activités devraient être implémentées dans ce cadre par la Banque dont notamment :
- Les outils de sécurité de l’information devraient être activés afin d’enregistrer et de signaler des événements
touchant la sécurité (p. ex., des rapports de violation de la sécurité). les rapports produits sont examinés
régulièrement, et les mesures nécessaires sont prises.
- Les mots de passe par défaut des fournisseurs pour les logiciels d’applications, de base et de communication et de
réseau devraient être modifiés.
- Les utilisateurs devraient avoir un code d’identification unique afin qu’il soit possible de les distinguer les uns des
autres et d’établir la responsabilité.
- Les terminaux et les postes de travail sont protégés par des dispositifs de délai d’attente qui sont activés après une
période prédéterminée d’inactivité.
- Les données confidentielles devraient être chiffrées au moment de leur transmission.
- L’identité des utilisateurs (locaux et à distance) est authentifiée pour le système au moyen de mots de passe ou
d’autres mécanismes d’authentification. L’utilisation de mots de passe se fait conformément à des lignes
directrices intégrées concernant le changement périodique, la confidentialité et la structure des mots de passe
(p. ex., longueur du mot de passe, contenu alphanumérique).
- La possibilité d’apporter des modifications aux paramètres du système de sécurité global devrait être limitée au
personnel approprié.
163 | P a g e
Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
115 mécanismes de contrôle environnemental et évalue les
répercussions sur les affaires des menaces dont les ressources
d’information physiques peuvent faire l’objet. 225
Un plan de continuité de l’exploitation s’appliquant à toute la
Banque a été préparé et approuvé par la direction. Ce plan,
SI
116
élaboré à partir d’une évaluation des répercussions sur les SI41
affaires, est régulièrement mis à l’essai et mis à jour en fonction
des résultats des essais.226
La direction approuve toutes les décisions d’achat ou
SI d’élaboration de systèmes d’applications afin de s’assurer que
SI51
117 ces achats ou ces élaborations sont conformes aux plans et aux
stratégies de la Banque.
Les nouveaux systèmes d’applications, bases de données,
infrastructure du réseau et de communication, matériel
informatique et les modifications qui leur sont apportées sont
SI SI52 SI61
118
mis à l’essai conformément aux plans d’essai qui comprennent, SI72 SI82
selon le cas, la mise à l’essai des systèmes et des unités, les tests
d’interface, l’exploitation en parallèle, les tests de capacité et les
essais d’acceptation des utilisateurs.227
La direction approuve les résultats de la conversion des données
(notamment les activités d’équilibrage et de rapprochement) de
SI
119
l’ancien système d’applications à la nouvelle structure et vérifie SI53
que la conversion est effectuée conformément aux lignes
directrices et aux procédés établis pour la conversion.
L’entité dispose de contrats signés lui permettant d’obtenir du
soutien en matière d’applications ou du soutien technique
auprès d’entrepreneurs externes ou de fournisseurs de logiciels
SI dans le but de garantir la disponibilité de ce soutien. La
SI54
120 direction contrôle le respect de ces contrats et s’assure qu’on
utilise les versions des systèmes d’applications pour lesquelles
un soutien est fourni et que les nouvelles versions sont
implantées.
Les modifications des systèmes d’applications, des logiciels et
des structures de données, y compris les mises à niveau et les
SI
121
corrections émises par les fournisseurs, demandées par les SI55
utilisateurs et d’autres personnes, sont approuvées par la
direction et mises en œuvre lorsqu’elles sont conformes aux

225
Dans ce cadre la Banque devrait fournir des sources de courant de rechange, implanter des mécanismes adéquats de
détection et de suppression de la fumée et des incendies et contrôler les conditions environnementales du centre de données
(la température, l’humidité). L’emplacement physique et la conception des installations informatiques devraient limiter leur
vulnérabilité aux menaces environnementales (p. ex., le vent, l’eau, l’incendie).
226
Le Plan de continuité devrait inclure des outils de conservation de données automatisés permettant de gérer le plan et le
calendrier de sauvegarde et de conservation des données. Des copies de sauvegarde devraient être archivées à l’extérieur de
l’emplacement dans un endroit sûr et à environnement contrôlé afin de diminuer les risques de perte de données. La lisibilité
des données sauvegardées et conservées est vérifiée périodiquement au moyen de la restauration ou d’autres méthodes.
227
Les systèmes d’applications, les bases de données, les infrastructures de réseau et de communication et le matériel
informatique devraient être élaborés, modifiés et mis à l’essai dans un environnement distinct de l’environnement de
production. Les procédés d’implantation des systèmes devraient comprendre la formation des utilisateurs à l’utilisation
appropriée des nouveaux systèmes ou des systèmes auxquels des modifications importantes ont été apportées. En cas de
modification, la Banque devrait conserver les anciennes versions des systèmes d’applications et des données afin de
permettre la récupération de l’environnement en cas de problème de traitement.
164 | P a g e
Objectifs de
contrôle
Ref. Activité de contrôle liés AC AO Détail
plans des systèmes d’information et aux intentions de la
direction.
Les modifications des structures de données, y compris les
mises à niveau et les corrections émises par les fournisseurs,
SI demandées par les utilisateurs et d’autres personnes sont
122
SI62
approuvées par la direction et implantées lorsqu’elles sont
conformes aux plans des systèmes d’information et aux
intentions de la direction.
Les demandes de changements à apporter aux structures de
SI
123 données dans l’environnement de production sont documentées SI63
et approuvées par la direction.228
La direction approuve l’acquisition des logiciels de réseau et de
SI communication et des systèmes afin de s’assurer que ces achats
SI71
124 et ces élaborations sont conformes aux plans et aux stratégies de
l’entité concernant les systèmes.
La direction s’assure qu’on utilise les versions des systèmes
SI d’applications, des logiciels de réseau et de communication et
SI73
125 du logiciel de base achetés pour lesquelles un soutien est fourni
et que les nouvelles versions sont implantées.
Les modifications de l’infrastructure du réseau et des logiciels
de communication, y compris les mises à niveau et les
corrections émises par les fournisseurs, demandées par des
SI
126 utilisateurs et d’autres personnes, sont approuvées par la SI74
direction et mises en œuvre lorsqu’elles sont conformes aux
plans des systèmes d’information et aux intentions de la
direction.
La direction approuve l’acquisition du matériel informatique
SI afin de s’assurer que ces achats et ces élaborations sont
SI81
127 conformes aux plans et aux stratégies de l’entité concernant les
systèmes.
SI Des pièces de rechange et du service sont facilement disponibles
SI83
128 pour le matériel informatique utilisé par l’entité.
La direction examine les rapports sur le fonctionnement des
SI systèmes, vérifie que des mesures adéquates sont prises en cas
SI84
129 de fonctionnement inefficient, formule les solutions et les met
en œuvre.
Grille de contrôles 32: Activités de contrôle – Environnement de traitement informatique

228
Les modifications de la structure des données devraient être évaluées dans un environnement d’essai avant d’être mises
en œuvre. La mise en œuvre est effectuée de façon à permettre la restauration de l’environnement originel au besoin. Le
système de gestion de base de données de la Banque devrait comprendre un dictionnaire de données actif qui est
automatiquement mis à jour dès qu’un changement est apporté à la base de données.

165 | P a g e
Synthèse de la 3ème Partie
Dans la troisième partie du présent mémoire, nous avons cherché à appréhender les aspects
essentiels de la composante liée aux activités de Contrôle pour proposer des grilles
d’évaluation. Il nous est apparu nécessaire de définir dans un chapitre introductif cette
composante du système de contrôle interne et d’exposer ses typologies. L’efficacité des
activités de contrôle est tributaire d’une séparation adéquate des tâches d’engagement,
d’autorisation, d’enregistrement et d’accès aux actifs.

L’étude approfondie des dispositifs de contrôle interne bancaire au regard de la


réglementation prudentielle et des dispositifs en vigueur démontre que le contrôle doit
s’articuler autour de deux volets : le contrôle permanent destiné à responsabiliser les équipes
opérationnelles et le contrôle périodique assurant un contrôle de second niveau.

Une approche basée sur les processus, conjuguée avec l’identification des principaux risques
associés, a été adoptée pour l’élaboration des grilles des activités de contrôle. C’est ainsi que
sept processus, jugés significatifs pour le cas des banques tunisiennes, ont été traités dans le
cadre de cette partie à savoir la Gestion des crédits, la gestion des paiements et des transferts,
la gestion des comptes des clients, la gestion de la trésorerie et des ressources, la gestion du
personnel, la gestion des dépenses ainsi que l’environnement de traitement informatique. Les
grilles de contrôle proposées se rattachant aux contrôles au sein des processus ont permis de
dresser la matrice d’évaluation suivante :
Contrôles au sein des processus Nombre Activités Activités Activités non Activités
d'activités implémentées implémentées, implémentées Non
de et effectives partiellement Applicables
contrôle effectives

CR - Gestion des Crédits 54


PT - Gestion des paiements et des
27
transferts
CC - Gestion des comptes de la
22
clientèle
TR - Gestion de la trésorerie et des
44
ressources
PE - Gestion du personnel 16

DE - Gestion des dépenses 34


SI – Environnement de traitement
30
informatique
Total 227
Matrice 6 : Matrice des contrôles au sein des processus

166 | P a g e
Cette matrice peut constituer un tableau de bord efficient pour le conseil d’administration de
la Banque et représenter un outil de suivi adéquat du niveau d’implémentation des activités de
contrôle.

La matrice dont il s’agit peut également servir de support permettant à tous les échelons au
sein de l’établissement de s’auto-évaluer et constituer un moyen permettant la surveillance de
la bonne application des politiques de maitrise des risques par l’entité.

Force est de constater enfin que cette matrice présente un intérêt particulier pour les auditeurs
tant pour la collecte des éléments probants que pour la documentation de leurs avis au sujet de
l’assurance obtenue des contrôles en place.

Les contrôles au sein de l’entité (2ème Partie) conjugués avec les contrôles au sein des
processus (3ème Partie) permettent en conséquence d’atteindre l’ensemble des objectifs du
système de contrôle interne et de servir de base pour son évaluation. Dans la conclusion
générale de notre présent mémoire, nous tenterons d’en faire la synthèse en proposant un
référentiel que nous estimons être assez complet pour servir à l’évaluation quantifiée (un
Rating) du système de contrôle interne applicable aux établissements bancaires.

167 | P a g e
Synthèse et conclusion

Proposition d’un référentiel


de synthèse pour
l’évaluation du système de
contrôle interne d’un
établissement bancaire

168 | P a g e
Nous avons introduit dans la première partie de cette étude le cadre normatif des systèmes de
contrôle interne. Ainsi, le premier chapitre a explicité les sources du contrôle interne
notamment son évolution, sa définition, ses objectifs ainsi que ses composantes. Ce chapitre a
mis l’accent sur les difficultés de délimitation et de définition de la notion de contrôle interne.

L’évolution des cadres légaux et règlementaires régissant le contrôle interne des


établissements bancaires en Tunisie et à l’échelle internationale a été analysée et explorée
respectivement au niveau du deuxième et du troisième chapitre de la même partie.

Une recherche ciblée des meilleures pratiques à l’échelle internationale régissant le contrôle
interne des établissements bancaires a permis d’établir une évaluation sommaire du cadre
règlementaire tunisien régissant la matière. Sur la base d’une analyse des principales forces et
faiblesses, des axes d’amélioration de la règlementation tunisienne, permettant une meilleure
maîtrise des risques et une meilleure répartition des responsabilités ont été ainsi proposés. Ces
axes concernent essentiellement l’amélioration de la gouvernance bancaire, l’implémentation
d’outils de supervision prudentiels, le renforcement de la maitrise des risques dans les
établissements bancaires et la délimitation de la responsabilité des administrateurs, des
auditeurs, des superviseurs et des normalisateurs. En un mot, les principes fondamentaux de
la régulation.

Nous nous sommes appesantis dans la deuxième partie de cette étude sur le traitement des
instruments d’évaluation des composantes du système de contrôle interne. Dans un chapitre
introductif, nous avons présenté les notations privées des systèmes de contrôle interne
élaborées aussi bien par les agences de notation que par les autorités prudentielles. Les
nouveaux accords Bâlois ont accentué le rôle des agences de notation et ont permis
l’émergence de l’autocontrôle. Le recours à l’autocontrôle dans le cadre des modèles internes
de mesure des risques de marché, de crédit et des risques opérationnels est désormais un
principe prudentiel. Toutefois, l’autocontrôle demeure conditionné par une maitrise technique
parfaite par la Banque des outils de simulation, une organisation sans faille, un contrôle opéré
en continu au sein de l’entreprise et in fine un contrôle du régulateur sur l’aptitude des
établissements à mettre en œuvre des règles prudentielles. (Sylvie Taccola-Lapierre 2008).

L’évaluation externe du contrôle interne bancaire est effectuée à la fois par les agences de
notation privées, les autorités de régulation et les auditeurs externes. Les agences privées de
notation n’attribuent pas de notation spécifique au contrôle interne. Le régulateur dans
certains pays évalue régulièrement les dispositifs de contrôle interne mais les notations restent
confidentielles. La notation prudentielle présente de nombreux avantages : elle est issue d’une
169 | P a g e
analyse normalisée effectuée selon une méthodologie explicite et repose sur des données
confidentielles auxquelles les agences privées n’ont pas forcement accès. Le recours à des
acteurs privés spécialisés pour mener des Scoring des systèmes de contrôle interne des
Banques permettrait d’accroitre l’efficacité d’un tel processus ; étant entendu que ledit recours
devant être encadré par la supervision de la Banque Centrale et permettrait ainsi de donner
accès aux investisseurs à une information synthétique sur l’évaluation du système de contrôle
interne, information pertinente pour la prise de décision.

L’efficacité d’un tel contrôle demeure conditionnée par la mise en place d’une méthodologie
homogène d’évaluation qui s’adapte à l’industrie bancaire en intégrant les exigences des
accords Bâlois et les règlementations adoptées par les autorités de régulation. Ceci nous a
menés à construire des grilles des composantes du contrôle interne pour en déceler des
indicateurs clés.

Ces grilles de contrôle interne ont été étoffées dans la troisième partie de notre étude par la
construction d’un instrument d’évaluation des activités de contrôle au niveau des principaux
processus spécifiques à l’activité bancaire à savoir : La gestion des crédits, la gestion des
paiements et des transferts, la gestion des comptes clients, la gestion des ressources, la gestion
du personnel, la gestion des dépenses et la gestion des moyens informatiques. L’instrument en
question se basera sur une définition des risques et des objectifs de contrôle associés à chaque
cycle d’affaire. La matrice des activités de contrôle permettant d’atteindre chaque objectif de
contrôle interne servira d’instrument d’évaluation du niveau de maitrise général par
l’établissement des risques associés à chaque cycle de gestion exercé.

Le système de Scoring s’articulera sur une matrice portant sur les politiques et les activités de
contrôle identifiées à partir des meilleures pratiques du secteur ainsi que des exigences légales
et règlementaires régissant l’activité bancaire en Tunisie et à l’échelle internationale.
Pondérée par les risques associés à chaque politique et activité ainsi que le niveau de son
implémentation au sein de la Banque, la matrice en question permettra d’établir une notation
synthétique pouvant constituer un tableau de bord pour l’appréciation des forces et des
faiblesses d’une institution.

L’intérêt de notre étude est de permettre l’obtention d’un modèle objectif et structuré en
mesure de fournir une information synthétique et quantifiée servant d’instrument de mesure
du degré de maîtrise des risques par l’établissement à travers les contrôles mis en place. Ce
modèle se base sur un Scoring modulé en fonction de l’impact de chaque politique et activité

170 | P a g e
de contrôle sur la qualité du système de contrôle interne en tant qu’ensemble et en fonction du
niveau d’implémentation et du caractère opérationnel ou non desdites politiques et activités.

Les politiques et les activités de contrôle développées respectivement au niveau de la


deuxième partie et de la troisième partie de cette étude serviront de base à l’élaboration d’un
tel Scoring. Les recherches que nous avons menées dans le cadre de cette étude nous ont
permis d’identifier deux niveaux pouvant servir de base à une notation d’un système de
contrôle interne d’un établissement de crédit : les contrôles au sein de l’entité et les contrôles
au sein des processus. Cette distinction est également consacrée au niveau de la Norme
internationale d'audit ISA 315, « Identification et évaluation des risques d'anomalies
significatives au travers de la connaissance de l'entité et de son environnement ».

Généralement, la distinction entre les contrôles au sein de l’entité et les contrôles au sein des
processus est établie ainsi :

- Les politiques liées à l’environnement de contrôle sont considérées comme étant des
contrôles au sein de l’entité
- Les processus d’évaluation des risques sont typiquement effectués et évalués à un niveau
central et concernent l’entité dans son ensemble. Toutefois, certains risques peuvent
affecter directement un processus bien déterminé ; dans ce cas, les politiques générales
liées à l’identification et au suivi d’un tel risque sont considérées comme étant des
contrôles au sein de l’entité et les activités de contrôle permettant le suivi et la gestion
d’un tel risque sont considérés des contrôles au sein des processus. A titre d’exemple la
mise en place d’un comité chargé du suivi du risque de crédit (Cf. §2, Section 2, Chapitre
2 de la deuxième partie), constitue un contrôle au sein de l’entité. La revue périodique de
la conjoncture actuelle affectant les différents secteurs et les zones géographiques par le
même comité constitue une activité de contrôle au sein du processus (Cf. Section 2,
Chapitre 1er de la Troisième partie).
- Les politiques liées aux systèmes d’information et de communication sont typiquement
des contrôles au sein de l’entité. Les activités de contrôles liées au système d’information
telles celles liées à la sécurité de l’accès à l’information sont des contrôles au sein du
processus. (Cf. Chapitre 3 de la deuxième partie et Chapitre 7 de la troisième partie)
- Les politiques liées à la surveillance sont typiquement des contrôles au sein de l’entité
(telle que la mise en place des organes chargés de l’audit interne et du contrôle de la
conformité). Les activités de contrôle effectuées par ces structures liées à un processus
bien déterminé sont des contrôles au sein du processus.
171 | P a g e
- Les activités de contrôle sont typiquement classées parmi les contrôles au sein des
processus.

Ainsi, l’évaluation du niveau d’implémentation des politiques et des activités de contrôles


détaillées au niveau de la deuxième et la troisième parties de cette étude permettra de dresser
des tableaux de bord liés aux contrôles au sein de l’entité et aux contrôles au sein des
processus. Le tableau de bord présenté ci-dessous peut constituer une synthèse de cette
évaluation.
Politiques Politiques Politiques
Nombre de totalement partiellement Politiques Non non
Contrôles au sein de l'entité politiques implémentées implémentées implémentées Applicables
CE - Environnement de contrôle 100
RA - Evaluation des Risques 89
IC - Information et communication 41
SV - Surveillance 36
Sous Total 1 266
% 100% % % % %
Contrôles au sein des processus
CR - Gestion des Crédits 54
PT - Gestion des paiements et des
transferts
27
CC - Gestion des comptes de la
clientèle 22
TR - Gestion de la trésorerie et des
ressources 44
PE - Gestion du personnel 16
DE - Gestion des dépenses 34
SI – Environnement de traitement
informatique
30
Sous Total 2 227
% 100% % % % %
TOTAL GENERAL 100% % % % %
Matrice 7 : Synthèse de l’évaluation des politiques de contrôle

L’intérêt d’un tel tableau de bord est de servir comme support permettant à tous les échelons
au sein de l’établissement de s’auto-évaluer. Il constitue également un moyen de surveillance
de la bonne application des politiques de maitrise des risques par l’entité.

Un tel tableau de bord peut également constituer un instrument pertinent utilisé par le conseil
d’administration, en tant que premier responsable du dispositif de contrôle interne, pour
identifier et évaluer les risques auxquels l’établissement par eux géré pourrait être exposé.

Ce tableau de bord constitue également la base sur laquelle nous avons construit notre
système de Scoring. A ce titre, cinq niveaux de notation ont été définis comme c’est le cas du
modèle CAMEL exposé au niveau du chapitre introductif de la deuxième partie de cette
172 | P a g e
étude. La notation globale du système de contrôle interne tient compte d’une pondération des
politiques en fonction de leur importance (importance simple et importance double) et du
niveau de leur implémentation (de 0 à 100%) déterminée comme suit :

Coefficient Politiques ou activités Politiques et activités


de clés (importance double : ordinaires (importance
Nature des politiques pondération coefficient 2) simple : Coefficient 1)
Politiques ou activités totalement implémentées 100% 200% 100%
Politiques partiellement implémentées 50% 100% 50%
Activités partiellement implémentées 30 % 60 % 30 %
Politiques ou activités non implémentées 0% 0% 0%
Tableau 4 : Coefficients de pondération des contrôles

Ainsi, une politique clés totalement implémentée sera notée 200% (100% * coefficient 2) et
une politique ordinaire partiellement implémentée sera notée à 50% (50% * coefficient 1). La
notation globale du système de contrôle interne est ainsi déterminée par les formules
suivantes :

200% + + +
+ 50% + 30%
=
( 200% + + )
( 200% + + )
Avec

PCTI : Nombre de Politiques clés totalement implémentées


PoTI : Nombre de Politiques ordinaires totalement implémentées
PCPI : Nombre de Politiques clés partiellement implémentées
PoPI : Nombre de Politiques ordinaires partiellement implémentées
PNI : Nombre de Politiques non implémentées
PCNA : Nombre de Politiques clés non applicables
PoNA : Nombre de Politiques ordinaires non applicables
PCC : Nombre de politiques clés considérées (82 politiques)
PoC : Nombre de politiques ordinaires considérées (184 politiques)
AIE : Nombre d’activités implémentées et effectives
AII : Nombre d’activités implémentées mais ineffectives
ANI : Nombre d’activités non implémentées
ANA : Nombre d’activités non applicables
AC : Nombre d’activités considérées (227 Activités)
Dans le cadre de cette notation, nous avons pris en compte les politiques et les activités de
contrôle qui peuvent s’avérer non applicables pour certains établissements bancaires en raison
de l’hétérogénéité de leurs structures organisationnelles et de leurs tailles. De même, certaines
activités de contrôle peuvent ne pas s’avérer nécessaires dans le cas où la Banque a
implémenté des activités de contrôle compensatoires qui peuvent répondre aux mêmes
objectifs de contrôle. L’objectif est de ne pas pénaliser les Banques ayant mis en place des
politiques et des activités de contrôle non prévues au niveau du modèle présenté, Contrôles
pouvant s’avérer plus appropriés eu égard l’environnement considéré.

173 | P a g e
Il demeure entendu que la responsabilité de l’évaluateur consistera dans les cas d’espèce de
déterminer si les politiques et les activités de contrôle compensatoires mises en place par
l’entité peuvent ou non répondre aux objectifs de contrôle.

Une pondération à 50% a été prévue pour les contrôles au sein de l’entité partiellement
implémentés et une pondération à 30% a été prévue pour les contrôles au sein des processus
implémentés mais ineffectifs. Les contrôles au sein de l’entité partiellement implémentés sont
généralement des politiques mises en place mais dont la documentation a été jugée
insuffisante par l’évaluateur ou dont l’implémentation nécessite certaines améliorations afin
de se conformer aux exigences légales et règlementaires. Les contrôles au sein des processus
implémentées mais ineffectifs sont généralement des activités de contrôle qui sont conçus et
qui ne sont pas effectivement suivis d’effet dans le temps. Sur la base de cette notation
exprimée en pourcentage dans un intervalle compris entre 0% et 100%, une échelle de Rating
composée de 5 niveaux a été définie comme suit :

Echelle de Rating Intervalles de Rating Analyse du Rating


1 84%-100% Efficace
2 67%-83% Satisfaisant
3 50%-66% Equilibré
4 25%-49% Insatisfaisant
5 0%-24% Inefficace
Tableau 5 : Intervalles de notation pour le rating du système de contrôle interne

La notation du système de contrôle interne des banques constitue un outil efficace permettant
de situer le degré de maitrise par la Banque des risques inhérents à son activité. L’échelle de
notation peut ainsi constituer un outil d’aide à la décision pour les parties externes à la
Banque dont notamment les superviseurs, les auditeurs et les investisseurs.

Un système de Scoring, basé sur un modèle objectif et structuré, appliqué d’une manière
comparable aux différentes Banques, constituera pour la Banque Centrale, un instrument
efficace de supervision, de suivi et de comparabilité et permettra de prendre conscience des
risques encourus et d’ordonner éventuellement l’introduction des mesures palliatives
nécessaires dans les meilleurs délais.

Cette échelle permet, pour le cas de l’auditeur externe, de déterminer le niveau de risques lié
au contrôle pour définir sa stratégie d’audit. Les rapports des auditeurs sur le contrôle interne
adressés aux Banques sont de nature principalement critique et n’identifient que les faiblesses
des systèmes de contrôle interne des établissements bancaires. L’intérêt du modèle proposé et
du Scoring est d’identifier les forces et les faiblesses du système de contrôle interne et
d’apprécier quantitativement la qualité des contrôles sur lesquels il peut s’appuyer pour
174 | P a g e
élaborer sa stratégie d’audit et des tests substantifs à effectuer. Ainsi, les forces identifiées
auront pour effet de réduire substantiellement les tests dont il s’agit.

Enfin, cette échelle permettra de converger vers une meilleure transparence financière pour
les investisseurs et constituera un outil d’évaluation du niveau de maitrise des risques par la
Banque, d’évaluation du risque lié à la fiabilité des informations financières publiées par la
Banque et d’estimation de la probabilité que la Banque ne soit pas exposée à des fraudes, à
des erreurs et à des pertes.

Le tableau suivant présente les différentes interprétations pouvant être retenues pour chaque
niveau de notation et pour chaque partie externe.

Echelle de Interprétation Interprétation par les Interprétation par les


Rating par les superviseurs229 auditeurs investisseurs
Maitrise adéquate des risques
Niveau du risque lié au inhérents à l’activité. Faible
contrôle marginal. probabilité de survenance de pertes
Saine en tout point, Action
1 Adoption recommandée d’une ou de fraudes à court terme. Risque
du superviseur inutile
stratégie d’audit basée sur les marginal que les informations
contrôles. financières publiées par la Banque
soient significativement erronées.
Maitrise adéquate des risques
Fondamentalement saine inhérents à l’activité. Probabilité
Niveau de risque lié au
avec quelques faiblesses modérée de survenance de pertes ou
contrôle faible. Stratégie
2 non significatives pouvant de fraudes à court terme. Faible
d’audit basée sur les contrôles
être corrigées. Actions risque que les informations
peut être envisagée.
limitées du superviseur. financières publiées par la Banque
soient significativement erronées.
Ensemble de faiblesses Niveau de risque lié au
Maitrise limitée des risques inhérents
renfermant des risques contrôle modéré. Stratégie
à l’activité. Probabilité de
sévères si elles ne sont pas d’audit basée sur les contrôles
survenance de pertes ou de fraudes à
3 traitées. Mise sous peut être envisagée pour les
court terme. Certains risques pèsent
surveillance et nécessité seuls processus dont le niveau
sur la fiabilité des informations
d’une supervision de contrôle est jugé satisfaisant
financières publiées par la Banque.
supérieure à la normale. ou efficace.
Faiblesses importantes
Niveau de risque lié au Investissement risqué. Risques réel
pouvant compromettre la
contrôle important. Stratégie de survenance de pertes ou de
viabilité de la Banque à
d’audit basée sur les contrôles fraudes à court terme. Risque
4 moins de leur apporter un
écartée important que les informations
traitement adéquat.
Des tests substantifs étendus financières publiées par la Banque
Supervision rapprochée
doivent être mis en place. soient significativement erronées.
nécessaire.
Risque important de
Niveau de risque lié au
sérieuses difficultés à court
contrôle important. Stratégie Investissement hautement risqué.
terme. Actions urgentes à
d’audit basée sur les contrôles Probabilité élevées de survenance de
engager incluant une
écartée. pertes ou de fraudes à court terme.
5 supervision constante et la
Tests substantifs étendus Risque accru que les informations
mise de la Banque sous
doivent être mis en place, financières publiées par la Banque
contrôle direct d’un
modification de l’opinion soient significativement erronées.
administrateur
d’audit doit être examinée.
indépendant.
Tableau 6 : Interprétation de l’échelle de notation par les superviseurs, les auditeurs et les investisseurs.

229
D’après modèle CAMEL(S)
175 | P a g e
Compte tenu de l'étendue du sujet, il est difficile d'aborder l'intégralité des aspects liés aux
systèmes de contrôle interne dans les établissements bancaires. Ce mémoire traite avant tout,
des lignes directrices majeures à prendre en considération lors de l’implémentation et de
l’évaluation des systèmes de contrôle interne par référence aux bonnes pratiques du secteur.
Les spécificités des établissements bancaires, notamment en termes des choix
organisationnels et stratégiques, font qu’il est difficile d’intégrer dans le présent modèle
l’ensemble des politiques et des activités liées aux contrôles internes.

L’hétérogénéité partielle des cycles de gestion au sein des établissements bancaires ne


favorise pas une standardisation des politiques et des activités de contrôle. Ceci peut
constituer une limite à l’intérêt de recourir au Scoring pour évaluer le système de contrôle
interne que nous avons présenté dans le cadre du présent mémoire.

Nous pensons, toutefois, que nous avons tenté dans cette étude de mieux appréhender les
différents volets du contrôle interne et que certes, s’il est difficile d’élaborer une grille de
lecture commune aux établissements bancaires, l’efficacité des contrôles passe par une
adaptation de ces derniers au profil de risque de l’établissement. Les possibilités d’évolution
du modèle que nous avons proposé sont multiples et permettront à l’évidence d’atténuer
l’impact d’une telle limitation.

Nous pensons ainsi que le support d’évaluation des activités de contrôle combiné avec une
matrice de Scoring telle que présentée en conclusion du présent mémoire, en tenant compte
des paramètres professionnels usuels et des meilleures pratiques employées au sein du secteur,
constituera de notre part une modeste contribution qui pourrait s’insérer dans la littérature
professionnelle et à ouvrir le débat au sujet d’un domaine de réflexion présentement peu
documenté.

176 | P a g e
Bibliographie
Textes législatifs :

Parlement européen
Les contrôles légaux des comptes annuels et des comptes consolidés
Directive 2006/43/ce modifiant les directives 78/660/CEE et 83/349/CEE et abrogeant la
directive 84/253/CEE.

République tunisienne
Loi n° 85-108 du 6 décembre 1985 portant encouragement d’organismes financiers et
bancaires travaillant essentiellement avec les non-résidents ;

République tunisienne
Loi n°94-117 du 14 novembre 1994 portant réorganisation du marché financier

République tunisienne
Loi n° 96-112 du 30 décembre 1996 relative au système comptable des entreprises

République tunisienne
Arrêté du Ministre des Finances du 25 mars 1999 portant approbation des normes comptables
et notamment la norme comptable relative au Contrôle Interne et à l’Organisation Comptable
dans les établissements bancaires NC (22)

République tunisienne
Code des sociétés commerciales tel que promulgué par la loi du 3 novembre 2000.

République tunisienne
Arrêté du Ministre des Finances du 17 novembre 2000 relatif au règlement du conseil du
marché financier relatif à l'appel public à l'épargne

République tunisienne
Loi n° 2001-65 du 10 juillet 2001 relative aux établissements de crédit telle que modifiée et
complétée par la loi n°2006-19 du 2 mai 2006

République tunisienne
Loi n° 2005-96 du 18 octobre 2005 relative au renforcement de la sécurité des relations
financières

République française
Loi n° 2003-706 du 1er août 2003 de sécurité financière,

United States of America


Sarbanes- Oxley Act of 2002
One Hundred Seventh Congress of the United States of America

177 | P a g e
United States of America
Management's Report on Internal Control Over Financial Reporting and Certification of
Disclosure in Exchange Act Periodic Reports, Final Rule
Securities and Exchange Commission
June 2003

Documents de référence

Autorité des marchés financiers - France


Le dispositif de Contrôle Interne : Cadre de référence
Octobre 2006

Banque d’Angleterre,
Banks Internal Controls and the Section 39 Process,
Février 1997

Comité Bâle sur le contrôle bancaire


Cadre pour les systèmes de contrôle interne dans les organisations bancaires,
septembre 1998 ;

Basel Committee on Banking Supervision


Principles for the Management of Credit Risk
September 2000

Comité Bâle sur le contrôle bancaire


Internal audit in banks and the supervisor’s relationship with auditors,
Août 2001 ;

Comité Bâle sur le contrôle bancaire


Saines Pratiques pour la gestion et la surveillance du risqué opérationnel
Février 2003 ;

Comité Bâle sur le contrôle bancaire


International Convergence of Capital Measurement and Capital Standards: A Revised
Framework,” (Known as Basel II),
June 2004

Basle committee on banking supervision


Principles for the management and supervision of interest rate risk
July 2004

Comité Bâle sur le contrôle bancaire


Compliance and the compliance function in banks,
April 2005

Basle committee on banking supervision


Sound credit risk assessment and valuation for loans
June 2006

178 | P a g e
Comité Bâle sur le contrôle bancaire
Méthodologie des Principes fondamentaux,
Octobre 2006

Comité Bâle sur le contrôle bancaire


Principes de saine gestion et de surveillance du risque de liquidité,
Septembre 2008

Basle committee on banking supervision


Principles for sound stress testing practices and supervision - final paper
May 2009

The Committee of Sponsoring Organisations of the Treadway Commission (COSO),


Internal Control – Integrated Framework,
September 1992

The Committee of Sponsoring Organisations of the Treadway Commission (COSO),


Internal Control — Integrated Framework
Guidance on Monitoring Internal Control Systems
June 2008

The Committee of Sponsoring Organisations of the Treadway Commission (COSO),


Enterprise Risk Management – Integrated Framework
September 2004

COBIT Steering Committee and the IT Governance Institute


COBIT Control Objectives
July 2000, 3rd edition

Financial reporting council


Internal control - Revised guidance for directors on the combined code
October 2005

Organisation de Coopération et de Développement Economique


Principes de gouvernement d’entreprise de l’OCDE
2004

Institut canadien des comptables agréés,


Guidance on Control,
Novembre 1995

Institut monétaire européen,


Internal Control Systems of Credit Institutions,
Juillet 1997

Société d’assurance-dépôts du Canada,


Code des Pratiques Commerciales et Financières Saines,
Août 1993

179 | P a g e
Circulaires

Banque Centrale de Tunisie


Circulaire aux banques n° 86-13 du 6 mai 1986 relative à l’activité des banques non-
résidentes ;

Banque Centrale de Tunisie


Circulaire aux banques n° 91-24 du 17 décembre 1991 relative à la division, couverture des
risques et suivi des engagements telle que modifiée par les circulaires n° 99-04 du 19 mars
1999 et n° 2001-12 du 4 mai 2001 ;

Banque Centrale de Tunisie


Note aux banques et établissements financiers n° 93-23 du 30 juillet 1993 relative aux termes
de référence pour l’audit des comptes ;

Banque Centrale de Tunisie


Circulaire aux intermédiaires agréés n° 97-08 du 9 Mai 1997 portant sur les règles relatives à
la surveillance des positions de change ;

Banque Centrale de Tunisie


Circulaire aux intermédiaires agréés n° 2001-11 du 4 Mai 2001 relative au marché des
changes et instruments de couverture des risques de change et de taux ;

Banque Centrale de Tunisie


Circulaire aux établissements de crédit n°2006-01 du 28 mars 2006 relative aux conditions
régissant les opérations d’externalisation ;

Banque Centrale de Tunisie


Circulaire aux établissements de crédit n°2006-06 du 24 juillet 2006 relative à la mise en
place d’un système de contrôle de la conformité dans les établissements de crédit ;

Banque Centrale de Tunisie


Circulaire aux établissements de crédit n°2006-07 du 24 juillet 2006 relative au comité
exécutif de crédit ;

Banque Centrale de Tunisie


Circulaire 2006-19 sur le contrôle interne, novembre 2006.

Banque d’Algérie
Contrôle interne des banques et établissements financiers
Règlement n°2002-03 du 14 novembre 2002 :

Commission fédérale des banques CFB


Surveillance et contrôle interne
Circulaire n°06/6 du 27 septembre 2006

180 | P a g e
Normalisation comptable et d’audit

Norme comptable tunisienne générale NC01 ;

Norme comptable tunisienne NC22 relative au contrôle interne et à l’organisation comptable


dans les établissements bancaires ;

International Federation of Accountants


Handbook of International Auditing, Assurance, And Ethics Pronouncements,
IFAC, 2008

INTOSAI – Comité des normes de contrôle interne


Lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur public,
2004
Fr. VANSTAPEL, Premier Président de la Cour des comptes de Belgique

PCAOB (The Public Company Accounting Oversight Board)


Statements Auditing Standard N°5
An audit of Internal Control over Financial Reporting That Is Integrated with an Audit of
Financial
Juin 2007.

Manuel du contrôle interne


République et Canton de Genève, département des finances
Décembre 2006

Ouvrages

Andrea Resti, Andrea Sironi,


Risk Management and Shareholders' Value in Banking: From Risk Measurement Models to
Capital Allocation Policies,
John Wiley & Sons © 2007

Anthony Tarantino
Manager’s Guide to Compliance : Sarbanes-Oxley, COSO, ERM, COBIT, IFRS, BASEL II,
OMB A-123, ASX 10, OECD Principles, Turnbull Guidance, Best Practices and Case Studies
John Wiley & Sons, Inc. © 2006

Béatrice Bon-Michel, Georges Chappotteau,


Contrôle Interne Bancaire : Objectif Conformité,
Edition Editea,
Juin 2008.

Befec- PriceWaterhouse
Banques – Normes et règlementations comptables
Editions Francis Lefebre © 1994

Cheryl de Mesa Graziano, Mark P. Holtzman


Management's Reports on Internal Controls
FERF © 2005

181 | P a g e
Christopher Fox, Paul Zonneveld
IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation
of Internal Control Over Financial Reporting, 2nd Edition
ISACA © 2006

Dimitris N. Chorafas,
New Regulation of the Financial Industry,
Palgrave Macmillan © 2000.

Heem Grégory
Convention et contrôle interne bancaire
A.T.E.R. – Université de Nice-Sophia Antipolis
Laboratoire RODIGE – UMR CNRS
De Boeck
Septembre 2003

Margaret Woods, Peter Kajüter and Philip Linsley


International Risk Management Systems, internal control and corporate governance
CIMA Publishing
First edition, 2008

Michael Ramos
How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal
Control, Second Edition,
John Wiley & Sons © 2006

Michael Ramos
How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal
Control, Third Edition
John Wiley & Sons © 2008

Robert R. Moeller.
COSO enterprise risk management: understanding the new integrated ERM framework
John Wiley & Sons, Inc. © 2007

Scott Green
Sarbanes-Oxley and the Board of Directors: Techniques and Best Practices for Corporate
Governance,
John Wiley & Sons © 2005

Vasant Raval, Ashok Fichadia


Risks, Controls, and Security: Concepts and Applications, 1st Edition
John Wiley & Sons © 2007

182 | P a g e
Revues

Banque de France
Les réflexions internationales en matière de contrôle interne
Bulletin de la commission bancaire n°18
Avril 1998

Benjamin Chapuis & Bertrand Perrin,


Evaluation des risques et système de contrôle interne, Quelles nouvelles responsabilités pour
les organes de la société anonyme ?
L’expert-comptable suisse 2008/9
Septembre 2008

Marie-Agnès Nicolet, Michel Maignan,


Contrôle interne et gestion des risques opérationnels
Revue Banque n°668,
Avril 2005

Pierre Bustamante & Olivier Rivière


Evaluation du contrôle interne et Gestion des risques opérationnels
Banque magazine n°657
Avril 2004

Christian Chavagneux
La montée en puissance des acteurs non étatiques.
Cahier du GEMDEV n°29 – Développement durable : quelles dynamiques ?
Octobre 2003

Rapports et Publications

Association Française de l’Audit et du Conseil Informatiques AFAI


Groupe de travail Contrôle Interne de l'AFAI : Nicolas Bonnet, Laurent Gobbi, Jean-Florent
Girault, Jean-Michel Mathieu, Vincent Manière, Gina Gulla-Menez, François Renault, Claude
Salzman, Serge Yablonsky Contrôle interne et système d'information
Juillet 2008, 2ème édition

Autorité des marchés financiers - France


Rapport 2004 de l’AMF sur les agences de notation
Janvier 2007

Autorité des marchés financiers - France


Recommandation de l’Autorité des marchés financiers sur le « Dispositif de contrôle interne :
cadre de référence »
Janvier 2007

Beverly J. Hirtle and Jose A. Lopez


Supervisory Information and the Frequency of Bank Examinations
FRBNY Economic Policy Review
April 1999

183 | P a g e
Cheryl de Mesa Graziano
2008 Financial Executives Compensation Survey
FERF © 2008

Christian Noyer
BÂLE II : Genèse et Enjeux
Banque de France, Commission Bancaire
MAI 2004

Christy Chapman
A new COSO study gives some much needed clarity and structure to the fluid topic of
enterprise risk management.
The Institute of Internal Auditors
June 2003

Deloitte Touche Tohmatsu


Sarbanes-Oxley Section 404: 10 Threats to Compliance
Avril 2006

Deloitte Touche Tohmatsu


Composantes du contrôle interne au niveau de l'entité
Juin 2005

Deloitte Touche Tohmatsu


A Guide to Improving Corporate Governance through Effective Internal Control
January 2003

Deloitte Touche Tohmatsu


Framework for Evaluating Control Exceptions and Deficiencies
Version 3
December 2004

Elyes Maatki
Rôle des nouvelles technologies de l’information dans la métrise des risques bancaires et
incidence de leur évolution sur la mission du commissaire aux comptes.
Mémoire en vue de l'obtention du diplôme d'expertise comptable, 2008

Fabrice ROTH, Amir LOUIZI


Evaluation du Gouvernement d’entreprise par les Agences de Rating : Une analyse
comparative des méthodes.
Université de Lyon 3, 2007

Faouzi ABDENNOUR, Siham HOUHOU


Un modèle d’alerte précoce de difficultés bancaires pour les pays émergents
Economie internationale n°114, 2008
Université de 7 Novembre Carthage - FSEG Nabeul, TEAM-CNRS/ Université Paris 1

Financial Executives Research Foundation, Inc


What is COSO?—Defining the Alliance That Defined Internal Control
April 2003

184 | P a g e
Fonds monétaire international
Tunisie—Mise à jour de l’évaluation de la stabilité du système financier Évaluation détaillée
de la conformité aux principes fondamentaux de Bâle pour un contrôle bancaire efficace,.
Rapport n°07/98
Janvier 2007.

Fonds monétaire international


Tunisie—Mise à jour de l’évaluation de la stabilité du système financier,
Rapport du n°06/448
Décembre 2006.

Institut de l’audit interne, IFACI


Actes du Colloque : Cadre de référence de Contrôle Interne : Comment le mettre en œuvre ?
Avril 2007

Institut de l’audit interne, IFACI


Le dispositif de Contrôle Interne : Cadre de référence
Résultats des travaux du Groupe de Place établi sous l’égide de l’AMF
Janvier 2007

Institut Monétaire Européen


Rapport Annuel 1996
Avril 1997

James R. Barth, Gerard Caprio, Jr., Ross Levine


Bank regulation and supervision: what works best?
Working Paper 9323
November 2002

KPMG China Advisory


China Boardroom update, Internal Control Regulatory developments
Issue 2 – April 2010

Lassaâd Mezghani - Maître de Conférences, FSEG Sfax


Le mémoire d'expertise comptable
Congrès de l’AFC 10 au 12 mai 2006 – Tunis

Lionel Tourtier
Cours Risk-management et Contrôle Interne
CNAM Master Finance d’entreprise
2005-2006

Mohamed Jalel Ayadi


Gestion et mesure du risque opérationnel dans le cadre du nouveau dispositif d’adéquation des
fonds propres « Bâle II » dans les établissements bancaires
Mémoire en vue de l'obtention du diplôme d'expertise comptable, 2008

185 | P a g e
Olivier Lenel, Serge Castillon, Thierry de Baillencourt
Contrôle interne, concept et réalité. Résultats de l’enquête de 2003 sur la sensibilisation et la
préparation des entreprises aux dispositions de la loi de sécurité financière
Mazars & Guérard
Février 2004

Protiviti
Guide to the Sarbanes Oxley Act: Internal control reporting requirements
Frequently asked question regarding Section 404
Third Edition © 2004

Ranjana Sahajwala, Paul Van den Bergh


Supervisory risk assessment and early warning systems
December 2000

Sylvie Taccola-Lapierre
Le dispositif prudentiel bale II, autoévaluation et contrôle interne : une application au cas
français
Thèse en Doctorat en Sciences de gestion - Université du Sud, Toulon-Var
Novembre 2008

The Institute of internal auditors


Does your control system pass the COSO test?
March 1998

The Institute of internal auditors


Putting COSO’s Theory into Practice
November 2005

Yahia Rouatbi
Evaluation de la gouvernance et du contrôle interne pour la sécurité financière
Mémoire en vue de l'obtention du diplôme d'expertise comptable, 2008

Sites web

www.bis.org
www.revue-banque.fr
www.isaca.org
www.amf-france.org
www.itgi.org
www.afai.fr
www.pcaobus.org
www.asx.com.au
www.ecb.org

186 | P a g e
Liste des schémas, tableaux, matrices,
grilles de contrôle, encadrés et
abréviations
Schémas
Schéma 1: Le cube de COSO ............................................................................................... 23
Schéma 2 : Principaux développements règlementaires et prudentiels des cadres de contrôle
interne à l’échelle internationale ........................................................................................... 59
Schéma 3 : Place de l’autocontrôle dans le nouvel accord de Bâle II. ................................... 65
Schéma 4 : les trois niveaux hiérarchiques du contrôle (Taccola-Lapierre, 2008) ............... 127
Schéma 5: Les processus les plus pertinents de l’activité des établissements bancaires en
Tunisie ............................................................................................................................... 129
Schéma 6 : Relation hiérarchique entre les processus métier, les sous-processus, les objectifs
de contrôle et les activités de contrôle ................................................................................ 130
Schéma 7 : Objectifs de contrôle – Gestion des crédits ....................................................... 136
Schéma 8: Objectifs de contrôle – Gestion des paiements et des transferts ......................... 142
Schéma 9 : Objectifs de contrôle – Gestion des comptes de la clientèle .............................. 145
Schéma 10 : Objectifs de contrôle – Gestion de la trésorerie et des ressources.................... 148
Schéma 11 : Objectifs de contrôle – Gestion du personnel.................................................. 152
Schéma 12 : Objectifs de contrôle – Gestion des dépenses ................................................. 155
Schéma 13 : Objectifs de contrôle – Environnement de traitement informatique ................. 161

Tableaux
Tableau 1 : Coefficients de pondération dans l’approche standard d’évaluation du risque de
crédit.................................................................................................................................... 65
Tableau 2 : Critères de la gouvernance retenus par les agences de notation (Roth, Louizi,
2007) ................................................................................................................................... 70
Tableau 3 : Rating CAMELS et son interprétation, Sahajwala et Van der Bergh (2000) ....... 72
Tableau 4 : Coefficients de pondération des contrôles ........................................................ 173
Tableau 5 : Intervalles de notation pour le rating du système de contrôle interne ................ 174
Tableau 6 : Interprétation de l’échelle de notation par les superviseurs, les auditeurs et les
investisseurs. ...................................................................................................................... 175

Matrices
Matrice 1 : Matrice intermédiaire d’évaluation de l’environnement de contrôle .................... 90
Matrice 2 : Matrice intermédiaire d’évaluation des risques ................................................. 104
Matrice 3 : Matrice intermédiaire d’évaluation du système d’information et de communication
.......................................................................................................................................... 110
Matrice 4 : Matrice intermédiaire d’évaluation du système de surveillance......................... 117
Matrice 5 : Matrice des contrôles au sein de l’entité ........................................................... 119
Matrice 6 : Matrice des contrôles au sein des processus...................................................... 166
Matrice 7 : Synthèse de l’évaluation des politiques de contrôle .......................................... 172

187 | P a g e
Grilles de contrôle
Grille de contrôles 1 : Environnement de contrôle - Intégrité et valeurs déontologiques de la
Direction .............................................................................................................................. 80
Grille de contrôles 2 : Environnement de contrôle - L’engagement envers la compétence .... 81
Grille de contrôles 3 : Environnement de contrôle - Le comité d’audit ................................. 84
Grille de contrôles 4: Environnement de contrôle - La philosophie et le style de direction .... 85
Grille de contrôles 5: Environnement de contrôle - La structure organisationnelle ................ 87
Grille de contrôles 6 : Environnement de contrôle - Le système de délégation des pouvoirs et
d’attribution des responsabilités ........................................................................................... 88
Grille de contrôles 7 : Environnement de contrôle - La gestion des ressources humaines ...... 89
Grille de contrôles 8 : Evaluation des risques - Politiques liées aux risques de la structure des
actifs et passifs ..................................................................................................................... 93
Grille de contrôles 9 : Evaluation des risques - Politiques liées aux risques de crédit ............ 96
Grille de contrôles 10 : Evaluation des risques - Politiques liées aux risques de marché ........ 98
Grille de contrôles 11 : Evaluation des risques - Politiques liées aux risques de liquidité .... 100
Grille de contrôles 12 : Evaluation des risques - Politiques liées aux risques du taux d’intérêt
.......................................................................................................................................... 101
Grille de contrôles 13 : Evaluation des risques - Politiques liées aux risques opérationnels . 103
Grille de contrôles 14 : Evaluation des risques -Gestion des risques liés au changement ..... 103
Grille de contrôles 15 : Information et communication - La fiabilité de l’information et des
systèmes d’information ...................................................................................................... 106
Grille de contrôles 16 : Information et communication - L’accès à l’information................ 107
Grille de contrôles 17 : Information et communication - Méthode d’utilisation de
l’information ...................................................................................................................... 108
Grille de contrôles 18 : Information et communication - Identification des besoins
d’information ..................................................................................................................... 108
Grille de contrôles 19 : Information et communication - Communication des responsabilités
.......................................................................................................................................... 109
Grille de contrôles 20 : Information et communication - Programmes de dénonciation ....... 109
Grille de contrôles 21 : Information et communication - Communication externe ............... 110
Grille de contrôles 22 : La surveillance - L’audit interne .................................................... 113
Grille de contrôles 23 : La surveillance - Contrôle de la conformité.................................... 115
Grille de contrôles 24 : La surveillance - Réceptivité aux recommandations ....................... 116
Grille de contrôles 25 : La surveillance - La surveillance par la Communication en externe et
en interne ........................................................................................................................... 117
Grille de contrôles 26 : Activités de contrôle – Gestion des crédits ..................................... 140
Grille de contrôles 27 : Activités de contrôle – Gestion des paiements et des transferts ...... 143
Grille de contrôles 28 : Activités de contrôle – Gestion des comptes de la clientèle ............ 146
Grille de contrôles 29: Activités de contrôle – Gestion de la trésorerie ............................... 151
Grille de contrôles 30 : Activités de contrôle – Gestion du personnel ................................. 153
Grille de contrôles 31: Activités de contrôle - Gestion des dépenses d’exploitation et
d’investissement ................................................................................................................ 158
Grille de contrôles 32: Activités de contrôle – Environnement de traitement informatique . 165

Encadrés
Encadré 1 : Rapport de l’auditeur indépendant sur le contrôle interne relatif à l’établissement
et la présentation d’états financiers ....................................................................................... 35

188 | P a g e
Abréviations
AICPA National professional association for CPAs (USA)
ALM Asset and Liability Management
AMF Autorité des Marchés Financiers (France)
ASB Audit Standard Board (USA)
ASX Australia Stock Exchange (Australie)
BCE Banque Centrale Européenne
BCT Banque Centrale de Tunisie
Capital adequacy, Asset quality, Management, Earnings, Liquidity and
CAMEL(S)
Sensitivity to market risk.
COBIT Control objectives for information and technology
COSO The Committee of Sponsoring Organisations of the Treadway Commission
CSSI Comité de Sécurité du Système d’Information
EWS Early Warning Systems
FCPA Foreign Corrupt Practices Act (USA)
FDIC Federal Deposit Insurance Corporation (USA)
FED Federal Reserve (USA)
FMI Fonds Monétaire International
Groupement informel de onze pays : Allemagne Belgique, Canada, États-Unis,
G-10
France, Italie, Japon, Pays-Bas, Royaume-Uni, Suède et Suisse.
ICAAP Internal Capital Adequacy Assessment Process
IFAC International Federation of Accountants
IIA Institute of Internal Auditors
IME Institut Monétaire Européen
IOSCO International Organization of Securities Commissions
ISACA Information Systems Audit and Control Association
ISN Input Sequence Number (swift system)
NYSE New York Stock Exchange (USA)
OCC Office of the Comptroller of the Currency (USA)
OCDE Organisation de Coopération et de Développement Économiques
OSN Output Sequence Number (swift system)
PATROL capital adequacy, asset quality, organization, profitability, and liquidity (Italie)
PCAOB Public Company Accounting Oversight Board (USA)
RSSI Responsable de la Sécurité du Système d’Information
S&P Standard & Poor's
SAAB Système d'Aide à l'Analyse Bancaire (France)
SAS Statements on Auditing Standards (USA)
SCOR Statistical CAMELS Off-site Rating (USA)
SEC Securities and Exchange Commission (USA)
SEER System for Estimating Exam Ratings (USA)
SOX Sarbanes Oxley Act (USA)
SWIFT Society for Worldwide Interbank Financial Telecommunication
TRAM Trigger Ratio Adjustment Mechanism (UK)
VaR Value at Risk (Risque de marché- Bâle II)

189 | P a g e
Table des matières
PARTIE I CADRE NORMATIF DES SYSTEMES DE CONTROLE INTERNE ................. 10

CHAPITRE 1 – SOURCES DU CONTROLE INTERNE ........................................................... 11

Section 1 - Définition du contrôle interne .......................................................................................................11


§1- Evolution de la notion ...........................................................................................................................11
§2 - Reconnaissance du Cadre de référence sur le contrôle interne publié par COSO ...................................13
§3 - Le contrôle interne est un processus....................................................................................................15
§4 - Le contrôle interne est mis en œuvre par des personnes .....................................................................16

Section 2 - Les objectifs du contrôle interne ...................................................................................................17


§1 - La réalisation et l'optimisation des opérations, (Objectifs de performance) ...........................................17
§2 - La fiabilité des informations financières (objectifs d’information) .........................................................18
§3 - La conformité aux lois et règlements. ...................................................................................................19

Section 3 – Les composantes du contrôle interne ...........................................................................................20


§1 - L’environnement de contrôle ...............................................................................................................20
§2 - L’appréciation des risques ....................................................................................................................21
§3 - Le système d’information et les communications..................................................................................21
§4 - La surveillance......................................................................................................................................22
§5 - Les activités de contrôle .......................................................................................................................22
§6 – Le Cube de COSO .................................................................................................................................22

Section 4 – Les limites du contrôle interne......................................................................................................24


§1 - Le jugement .........................................................................................................................................24
§2 - Les pannes et les défaillances ...............................................................................................................24
§3 - Outre-passage par la direction..............................................................................................................25
§4 - La collusion ..........................................................................................................................................25
§5 - Les coûts par rapport au bénéfice.........................................................................................................26

CHAPITRE 2 – EVOLUTIONS DE LA REGLEMENTATION ET DES CADRES DE


REFERENCE INTERNATIONAUX REGISSANT LE CONTROLE INTERNE DES
ETABLISSEMENTS BANCAIRES.............................................................................................. 28

Section 1 – Evolution de la règlementation sur le contrôle interne à l’échelle internationale .........................28


§1 - L’Organisation de Coopération et de Développement Économiques .....................................................28
§2 – Loi de Sarbney Oxley (SOX) aux Etats Unis d’Amérique.........................................................................30
§3 - Les 10 principes de bonne gouvernance d'entreprises de l’ASX en Australie..........................................36
§4 - Les Règlements Canadiens n°52-109 et n°52-111..................................................................................38
§5 - Le Turnbull Guidance au Royaume Uni et le Code combiné ...................................................................39
§6 – Les standards basics de contrôle interne en Chine ...............................................................................40

Section 2 – Efforts des Banques pour améliorer le contrôle interne................................................................40


§1 - L’institut Monétaire Européen..............................................................................................................40
§2 – Les contrôles internes Bancaires sous la section 39 de la Règlementation Britannique .........................42
§3 – Le Comité de Bâle ................................................................................................................................42
§4 – Le Règlement Bancaire en France ........................................................................................................45

CHAPITRE 3 - CADRE LEGAL ET REGLEMENTAIRE REGISSANT LE CONTROLE


INTERNE DES ETABLISSEMENTS BANCAIRES EN TUNISIE ............................................ 47

190 | P a g e
Section 1 – Le cadre légal en Tunisie ...............................................................................................................48
§1 – Les instruments de surveillance de la BCT ............................................................................................49
§2 - Mesures préventives et répressives de la BCT .......................................................................................50
§3 – Institution des organes de contrôle au sein des établissements de crédit .............................................51

Section 2 - Les normes comptables Bancaires .................................................................................................53

Section 3 - Les circulaires de la Banque Centrale de Tunisie ............................................................................54


§ 1 – La circulaire de la BCT sur le contrôle interne ......................................................................................54
§ 2– La circulaire de la BCT relative à la division et la couverture des risques ...............................................55
§ 3 – Externalisation des opérations bancaires ............................................................................................56

SYNTHESE DE LA PREMIERE PARTIE ............................................................................... 59

PARTIE II EVALUATION DES COMPOSANTES DU SYSTEME DE CONTROLE


INTERNE : PROPOSITION DE MATRICES DES POLITIQUES ET DES CONTROLE CLES
....................................................................................................................................................... 63

CHAPITRE INTRODUCTIF : LES NOTATIONS PRIVEES ET PRUDENTIELLES DES


SYSTEMES DE CONTROLE INTERNE..................................................................................... 64

Section 1 - L’émergence de l’autocontrôle ......................................................................................................64

Section 2 – Notation des systèmes de contrôle interne...................................................................................65


§1 - Les notations par les agences privées ...................................................................................................65
§2 - Les notations par les autorités de régulation ........................................................................................70
§3 - Les notations par les auditeurs externes ...............................................................................................72
§4 – Problématique du contrôle : Privé ou Autorité de supervision ..............................................................74

CHAPITRE 1 –L’ENVIRONNEMENT DE CONTROLE........................................................... 78

Section 1 – Définitions et objectifs ..................................................................................................................78

Section 2 – Principales politiques et activités..................................................................................................78


§1 – Intégrité et valeurs déontologiques de la Direction ..............................................................................78
§ 2 – L’engagement envers la compétence ..................................................................................................81
§ 3 – Le comité d’audit ................................................................................................................................82
§ 4 – La philosophie et le style de direction .................................................................................................85
§ 5 – La structure organisationnelle.............................................................................................................86
§ 6 – Le système de délégation des pouvoirs et d’attribution des responsabilités ........................................88
§ 7 – La gestion des ressources humaines....................................................................................................89

Section 3 – Matrice intermédiaire d’évaluation de l’environnement de contrôle ...........................................90

CHAPITRE 2 – L’EVALUATION DES RISQUES ..................................................................... 91

Section 1 – Définitions et objectifs ..................................................................................................................91

Section 2 – Principales politiques et activités..................................................................................................92


§ 1 – Politiques liées aux risques de la structure des actifs et passifs ............................................................92
§ 2 – Politiques liées aux risques de crédit ...................................................................................................94
§ 3 – Politiques liées aux risques de marché ................................................................................................97
§ 4 – Politiques liées aux risques de liquidité ...............................................................................................99

191 | P a g e
§ 5 – Politiques liées aux risques du taux d’intérêt..................................................................................... 101
§ 6 – Politiques liées aux risques opérationnels ......................................................................................... 102
§ 7 – Gestion des risques liés au changement ............................................................................................ 103

Section 3 – Matrice intermédiaire d’évaluation des risques ..........................................................................104

CHAPITRE 3 –LE SYSTEME D’INFORMATION ET DE COMMUNICATION................... 105

Section 1 – Définitions et objectifs ................................................................................................................105

Section 2 – Principales politiques et activités................................................................................................106


§1 – La fiabilité de l’information et des systèmes d’information ................................................................ 106
§ 2 – L’accès à l’information ...................................................................................................................... 107
§ 3 – Méthode d’utilisation de l’information.............................................................................................. 108
§ 4 – Identification des besoins d’information ........................................................................................... 108
§ 5 – Communication des responsabilités .................................................................................................. 109
§ 6 – Programmes de dénonciation ........................................................................................................... 109
§ 7 – Communication externe ................................................................................................................... 110

Section 3 – Matrice intermédiaire d’évaluation ............................................................................................110

CHAPITRE 4 – LA SURVEILLANCE....................................................................................... 111

Section 1 – Définitions et objectifs ................................................................................................................111

Section 2 – Principales politiques et activités................................................................................................111


§ 1 –L’audit interne ................................................................................................................................... 111
§2 –Contrôle de la conformité................................................................................................................... 113
§ 3 –Réceptivité aux recommandations ..................................................................................................... 116
§ 4 – La surveillance par la Communication en externe et en interne ........................................................116

Section 3 – Matrice intermédiaire d’évaluation ............................................................................................117

SYNTHESE DE LA 2EME PARTIE.......................................................................................... 118

PARTIE III EVALUATION DES ACTIVITES DE CONTROLE : PROPOSITION DE


MATRICES DES RISQUES ET DES CONTROLES CLES PAR CYCLE DE GESTION
PRINCIPAL ................................................................................................................................ 121

CHAPITRE INTRODUCTIF : DEFINITION ET TYPOLOGIE DES ACTIVITES DE


CONTROLE ................................................................................................................................ 122

Section 1 – Définition....................................................................................................................................122

Section 2 – Typologie des activités de contrôle .............................................................................................122


§ 1- Nature des Activités de contrôle.........................................................................................................123
§ 2- Le contrôle permanent et le contrôle périodique ................................................................................ 125
§ 3- Les activités de contrôle manuelles et automatiques .......................................................................... 127

Section 3 – Note méthodologique sur l’identification et l’évaluation des activités de contrôle ....................128
§ 1- Méthodologie d’identification des activités de contrôle ...................................................................... 128
§ 2- Méthodologie d’évaluation des activités de contrôle .......................................................................... 131

192 | P a g e
CHAPITRE 1 – LA GESTION DES CREDITS......................................................................... 135

Section 1 – Objectifs de contrôle...................................................................................................................136

Section 2 – Matrice des activités de contrôle ................................................................................................137

CHAPITRE 2 – LA GESTION DES PAIEMENTS ET DES TRANSFERTS .......................... 141

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................142

Section 2 – Matrice des activités de contrôle ................................................................................................142

CHAPITRE 3 – LA GESTION DES COMPTES DE LA CLIENTELE..................................... 144

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................145

Section 2 – Matrice des activités de contrôle ................................................................................................145

CHAPITRE 4 – LA GESTION DE LA TRESORERIE ET DES RESSOURCES ..................... 147

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................148

Section 2 – Matrice des activités de contrôle ................................................................................................148

CHAPITRE 5 – LA GESTION DU PERSONNEL .................................................................... 152

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................152

Section 2 – Matrice des activités de contrôle ................................................................................................152

CHAPITRE 6 – LA GESTION DES DEPENSES D’EXPLOITATION ET


D’INVESTISSEMENT ............................................................................................................... 154

Section 1 – Principales activités et objectifs de contrôle liés aux risques associés.........................................155

Section 2 – Matrice des activités de contrôle ................................................................................................156

CHAPITRE 7 – L’ENVIRONNEMENT DE TRAITEMENT INFORMATIQUE ................... 159

Section 1 – Objectifs de contrôle...................................................................................................................161

Section 2 – Matrice des activités de contrôle ................................................................................................162

SYNTHESE DE LA 3EME PARTIE ....................................................................................... 166

SYNTHESE ET CONCLUSION PROPOSITION D’UN REFERENTIEL DE SYNTHESE


POUR L’EVALUATION DU SYSTEME DE CONTROLE INTERNE D’UN ETABLISSEMENT
BANCAIRE ................................................................................................................................. 168

BIBLIOGRAPHIE ...................................................................................................................... 177

193 | P a g e
LISTE DES SCHEMAS, TABLEAUX, MATRICES, GRILLES DE CONTROLE, ENCADRES
ET ABREVIATIONS.................................................................................................................. 187
Schémas ................................................................................................................................................... 187
Tableaux ...................................................................................................................................................187
Matrices ................................................................................................................................................... 187
Grilles de contrôle..................................................................................................................................... 188
Encadrés ................................................................................................................................................... 188
Abréviations ............................................................................................................................................. 189

TABLE DES MATIERES ........................................................................................................... 190

194 | P a g e