Académique Documents
Professionnel Documents
Culture Documents
LE MANAGEMENT DES RISQUES DANS LE SECTEUR BANCAIRE : UNE EVOLUTION RATIFIEE ....... 8
Chapitre II : Les spécificités du processus de management des risques dans le secteur bancaire .......................................... 20
Section 1 : L’évolution du risque bancaire ........................................................................................................................................ 20
Section 2 : Les risques majeurs de l’activité bancaire ...................................................................................................................... 20
§ 1 - Le risque de crédit ............................................................................................................................................................... 22
§ 2 - Le risque de marché ............................................................................................................................................................ 23
§ 3 - Le risque global de taux d’intérêt......................................................................................................................................... 24
§ 4 - Le risque de liquidité............................................................................................................................................................ 25
§ 5 - Le risque de règlement ........................................................................................................................................................ 25
§ 6 - Le risque opérationnel ......................................................................................................................................................... 26
1. Les composantes du risque opérationnel ..................................................................................................................... 26
2. L’apport de la réforme Bâle II : les trois piliers du ratio « Mc Donough » ...................................................................... 28
3. Les innovations de la réforme Bâle 2 ............................................................................................................................ 28
Section 3 : Les principes fondamentaux de management des risques selon le comité de Bâle 2 ................................................... 30
§ 1 - Surveillance par le Conseil d’Administration et culture de contrôle ..................................................................................... 30
§ 2 - Evaluation des risques ........................................................................................................................................................ 31
§ 3 - Activités de contrôle ............................................................................................................................................................ 31
§ 4 - Informations et communications .......................................................................................................................................... 32
§ 5 - Surveillance ......................................................................................................................................................................... 32
§ 6 - Evaluation des systèmes de contrôle interne par les autorités prudentielles ...................................................................... 33
Page 5
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Introduction générale
Les mutations vécues par le secteur bancaire à l’échelle internationale ont mis les banques face à un
environnement socioéconomique mouvant et de plus en plus complexe. En effet, les banques Tunisiennes à
l’instar des banques étrangères ont vécu de profonds bouleversements dans les années quatre vingt-dix se
traduisant par la décentralisation et l'internationalisation des activités, la croissance du volume des
opérations, le développement de produits sophistiqués et la prise de risques dans un contexte de baisse des
marges.
Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle des risques, de
protection des investisseurs et de transparence des marchés et d'autre part, des exigences toujours plus
aigues en matière de management des risques et d’organisation des établissements bancaires accroissant
du même coup le risque de contrôles inadaptés et défaillants. Le pilotage des risques bancaires, à travers
les fonctions de management des risques, est devenu depuis quelques années dans les pays occidentaux
(Etats Unis, Japan, Grande Bretagne, France,…) un phénomène d'actualité.
Les turbulences financières qui ont secoué les marchés financiers internationaux ont mis en évidence
certaines faiblesses dans le management des risques au sein des banques. Ce management longuement
assimilé à une simple conformité aux règles prudentielles s'est avéré inefficace dans la mesure où celui-ci
s’est limité dans la plupart des cas au respect d'un ensemble d'indicateurs plutôt généraux et à passer sous
silence un aspect fondamental de la gestion des risques bancaires en l’occurrence l'implication de la
direction générale et du conseil d'administration dans le contrôle des organisations bancaires.
Les pertes subies par certaines banques et établissements financiers surtout au niveau de l’activité
« Trading », en plus des menaces de faillite ayant lourdement pesé sur le secteur bancaire, ont eu pour
conséquence un durcissement de la part des autorités de régulation des contrôles et des sanctions
devenues plus dissuasives. Ces instances ont d’ailleurs développé des doctrines exigeantes voire
contraignantes pour les banques en matière de gestion et de maîtrise des risques mettant l’accent sur la
protection des déposants.
La solidité et la pérennité de toute banque sont une responsabilité qui incombe en premier lieu au
gouvernement d’entreprise de celle-ci. Il n'y a aucun système de surveillance bancaire pouvant remplacer
une gestion saine et efficace de la banque. Celle-ci passe désormais par une implication plus stricte du
gouvernement d’entreprise dans le choix d'outils pertinents les mieux adaptés au profil de risque de
l'établissement bancaire. L'existence d'une structure d'audit interne au sein d'une banque traduit la volonté
affirmée de la part de ses instances dirigeantes de se doter d'un outil capable de limiter les risques inhérents
à ses activités, de rendre l'organisation existante plus performante et généralement, d'accroître l'efficacité et
la valeur ajoutée de celle-ci. En fait, l’audit interne peut jouer un rôle non négligeable en matière
Page 6
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
d’optimisation du management d’une banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien
apte à remplir la mission qui lui est assignée.
La fonction d’audit interne dans les banques semble, actuellement, contribuer réellement à la création de
valeur ajoutée et, ce en raison de l’évolution de son rôle de «gardienne des intérêts et du patrimoine» vers
un organe assurant une activité indépendante, objective et propre à permettre à une organisation, d’une
part, d’avoir une assurance sur le degré de maîtrise de ses opérations et des risques y inhérents et, d’autre
part, d’améliorer les moyens en place pour y parvenir.
Ce rôle de la fonction d’audit interne, impliquant le recours à des techniques diversifiées pour évaluer et,
partant, améliorer les dispositifs de contrôle des risques de management et de gouvernance, en a fait un
véritable vivier de consultants dans les domaines opérationnels et stratégiques les plus variés, avec pour
objectif final la création de valeur ajoutée pour l’organisation. Mais en réalité, l’accent mis sur le contrôle
interne par la réglementation en vigueur n’a amené les équipes d’audit interne qu’à se focaliser et à
mobiliser leurs ressources dans cette direction à ce titre, il est opportun de se demander comment la
fonction audit interne contribue t elle à la création de valeur ajoutée dans le processus de production d’une
organisation ?
Pour répondre à l’ensemble de ces interrogations nous nous proposons tout au long de ce mémoire de
revenir, dans une première partie, sur les origines du contrôle interne, de rappeler ses fondements puis
d’analyser et de présenter ses différentes composantes en rapport avec le domaine bancaire. Un soin
particulier sera réservé à l’apport des recommandations du comité de Bâle en la matière.
Ensuite, nous mettrons l’accent, dans la seconde partie, sur le rôle joué par l’audit interne dans le dispositif
de management des risques afin de renforcer ce dernier, nous enchaînerons ensuite par un essai sur
l’impact des nouvelles dispositions en matière de maîtrise des risques bancaires selon le comité de Bâle sur
la conduite et la planification des missions d’audit. Nous essaierons enfin, au vu de ces éléments, de situer
la fonction audit interne dans le gouvernement d’entreprise et par conséquent de définir son statut de
créateur de valeur ajoutée.
Page 7
Première partie :
Chapitre I :
§ 1 - Aux USA
Les origines du contrôle interne remontent à l’année 1992 au cours de laquelle le « Committee Of
Sponsoring Organisations », ayant relayé la commission « TREADWAY » engagée à partir 1985 dans des
travaux pour déterminer les causes des fraudes dans les reporting et les états financiers et proposer les
mesures pour en assurer la prévention et la détection, a, publié son rapport sur le contrôle interne connu
comme le référentiel COSO.
(Fig.1)
Source : COSO ERM Executive Summary
Page 9
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
maîtriser les risques inhérents aux ressources déployés par une entreprise et à ses opérations et
activités dans les limites du « risk appetite » ou appétence au risque, ou plus précisément, le degré
de risque qu’une entreprise accepte de courir en réalisant son objet social ;
fournir une assurance raisonnable que la gestion d’une entreprise satisfait généralement aux
objectifs qui lui sont assignés, aux réglementations et lois en vigueur, ainsi qu’aux décisions et
consignes de ses organes délibérants et d’administration.
(Fig.2)
Source : COSO ERM Executive Summary
Le COSO 2 a introduit, par rapport au COSO 1 une nouvelle fonction qui est celle du « Risk Officer1 » et a
remodelé son architecture (Cf. Fig.2) à trois plans comme suit :
Premier plan : "Niveaux de l’organisation"
Décomposition plus stricte de la structure de l’organisation ;
Mise en évidence de la nécessité de prendre en compte l’ensemble de l’organisation pour que le
COSO 2 soit appliqué avec succès.
Deuxième plan : "Objectifs"
Définition d’un nouvel objectif : « stratégique » ;
Elargissement de la notion de reporting pour couvrir en plus du reporting financier un reporting sur
les systèmes d’information. De plus, cette notion couvre dorénavant et à la fois la remontée
d’informations internes et externes.
Troisième plan : "Eléments de contrôle"
Enrichissement de l’axe « éléments de contrôle » qui devient « éléments de gestion des risques » et
qui passe ainsi de cinq à huit catégories :
L’élément environnement interne est complété de la notion d’appétence aux risques ;
L’élément évaluation des risques est éclaté en quatre sous-éléments ;
L’élément activités de contrôle reste inchangé ;
L’élément information et communication est complété par les notions de temps et de
granularité de l’information ;
L’élément pilotage reste inchangé.
Page 10
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
§ 2 - En Europe
Dans le carde de l’Union Européenne, le contrôle interne est intimement lié au contrôle financier exercé dans
le cadre du contrôle légal des comptes et, ce comme en témoignent les directives, suivantes :
i. La quatrième directive 78/660/CEE du conseil de l’Union Européenne du 25 juillet 1978 concernant
les comptes annuels de certains types de sociétés ;
ii. La septième directive 83/349/CEE du conseil de l’Union Européenne du 13 juin 1983 concernant les
comptes consolidés ;
iii. La huitième directive 84/253/CEE du conseil de l’Union Européenne du 10 avril 1984 concernant
l’agrément des personnes chargées du contrôle légal des documents comptables.
ème
Aussi, le projet de révision de la 8 directive 2006/43/CEE du parlement Européen et du Conseil de l’Union
Européenne amendant la directive 84/253/CEE promulguée le 28 septembre 2005 et adoptée par les 25
pays membres de l’Union Européenne le 17 mai 2006, a prescrit pour des considérations de contrôle interne
aux comités d’audit, d’évaluer l’efficacité des systèmes de contrôle interne et de gestion des risques.
Dans ce même ordre d’idée, il serait édifiant de présenter, ci-dessous, les expériences vécues en matière de
contrôle interne, du moins, par les pays suivants :
Il importe aussi de souligner à ce même sujet, que le plan comptable général français promulgué par le
règlement n°99-03 du 29 avril 1999 du Comité de la Réglementation Comptable (CRC) a fixé, dans son titre
4 les conditions et mesures nécessaires à l’existence de systèmes contrôle interne comptable et, ce pour le
consacrer dans son rôle de garant de la fiabilité des informations financières restituées par une entreprise.
2 Le « Combined Code » sur la corporate governance a fixé les normes de bonnes pratiques en matière de
composition des conseils d’administration, de rémunération, d’indépendance, d’audit et des relations avec les
actionnaires
Page 11
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
En Allemagne, la loi portant réforme du système de contrôle des comptes « KonTraG » de 1998 a
institutionnalisé le concept du « corporate governance », lequel a été adopté pour garantir, particulièrement,
la justification de la décision au sein de l’entreprise et la transparence quant aux salaires des dirigeants et
mandataires sociaux.
Au Luxembourg, la circulaire 98/143 de l’Institut Monétaire Luxembourgeois (IML) a, d’une part défini le
dispositif de contrôle interne ainsi que ses mécanismes et ses objectifs et, d’autre part, prescrit, seulement,
aux banques et, notamment, à leur directeurs généraux de soumettre à la Commission de Surveillance du
Secteur Financier (CSSF) un rapport sur leurs dispositifs de contrôle interne.
§ 3 - En Tunisie
C’est la norme comptable Tunisienne NCT 01, entrée en application par l’arrêté du ministère des finances du
31 décembre 1996, qui a précisé dans son deuxième chapitre les tenants, aboutissants, mécanismes et
objectifs des diapositifs de contrôle interne dans tout processus de production d’informations financières et
comptables.
Aussi, ses mécanismes et objectifs, ont été précisés plus en détail par la norme comptable Tunisienne
NCT 22 relative au contrôle interne et à l’organisation comptable dans les établissements bancaires et, ce
pour tenir compte des spécificités des activités bancaires. Cette norme, ayant prescrit aux banques de se
doter de dispositifs de contrôle interne, a affirmé la volonté des autorités de contrôle, en l’occurrence la
Banque Centrale de Tunisie (BCT), de confirmer le contrôle interne en tant que processus incontournable de
gouvernance et, ce en procédant à partir de 1987 à sa réglementation, dans les conditions, ci-dessous,
exposées :
La parution le 18 décembre 1987 de la circulaire aux banques n°87-46 régissant les règles
prudentielles de contrôle des risques bancaires inhérents aux actifs et opérations bancaires,
notamment, les opérations de crédit ;
La parution en 1991 de la circulaire aux banques n°91-24 du 7 décembre 1991, qui a mis à la
charge des commissaires aux comptes l’obligation d’émettre expressément dans leur rapport aux
organes délibérants et aux autorités de contrôle un avis circonstancié sur les dispositifs de contrôle
interne dans les banques ;
La parution en 1993 de la note aux banques et aux établissements financiers n°93-23 du 30 juillet
1993, qui a défini les termes de référence de l’audit des comptes bancaires et de gestion, y
comprises les politiques et procédures, des banques.
Aussi, la loi n°2001-65 modifiant, respectivement, la loi n°94-25 du 7 février 1994 et la loi n°67-51 du
7 décembre 1967 relative aux banques, a confirmé cette tendance des autorités de contrôle, en
l’occurrence, la BCT :
en imposant aux banques de se doter de structures permanentes d’audit interne, à constituer en
comité d’audit interne ;
en prescrivant le rattachement dudit comité d’audit interne des banques au conseil d’administration.
Page 12
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
D'ailleurs, la loi n°2006-19, relative aux établissements de crédit du 02 mai 2006 modifiant la loi n°2001-65
précitée, a abondé dans ce même ordre d’idée en décrétant dans son premier chapitre une série de
dispositions et de principes de bonne gouvernance, dont et, à titre indicatif, ce qui suit :
la création d’un comité exécutif de crédit ;
l’institution d’un système de contrôle de la conformité ;
la mise en place d’un système de contrôle interne propre à assurer en temps réel l’évaluation
continue des procédures internes ainsi que la mesure, le suivi et la maîtrise des risques ;
la limitation du nombre des mandats de commissariat aux comptes ;
l’attribution du mandat de commissariat aux comptes des banques à deux commissaires aux
comptes.
La loi « Sarbanes Oxley Act » (SOX Act), promulguée le 30 juillet 2002 dans le sillage des scandales
financiers (ENRON, ADELPHIA, XEROX et WORDCOM) ayant ébranlé les marchés financiers aux Etats
Unis en 2001 et 2002, est venue conforter, notamment, les dispositifs règlementaires antérieurs relatifs au
contrôle interne, en l’occurrence, les lois « Securities Act » de 1933 et « Securities Exchange Act » de 1934,
relative à la prévention des manœuvres frauduleuses en matière de reporting financier.
L'objectif de la loi « Sarbanes-Oxley », étant de prévenir les fraudes et les conflits d'intérêt au sein d’une
entité, il est, donc évident, qu’elle conduise sur les marchés à une transparence univoque concernant les
transactions y négociées, propre à consolider d’avantage la confiance des parties prenantes aux opérateurs
déployés et mécanismes fonctionnant dans ces marchés.
Elle a été, faut il le souligner, adoptée pour pallier les insuffisances caractérisant le contrôle interne en tant
que processus dans l’entreprise mais aussi pour exiger des membres de conseil d’administration en
exercice, de justifier tant qu’ils seront en fonction leur indépendance à l’égard de l’entreprise qu’ils dirigent
et, a requit à cet effet :
du directeur général (Chief Exécutive Officer - CEO) et du directeur financier (Chief Financial Officer
- CFO) de produire annuellement à l’adresse du conseil d’administration une affirmation (section 302
de la loi) formalisée concernant la régularité des états financiers ;
de la direction générale de présenter à la « Securities and Exchange Commission » (SEC) les
justificatifs des ajustements et des opérations comptables non répétitives et règlementées avec
notamment, les parties liées au sens des lois et normes en vigueur ;
Page 13
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
des organes d’administration d’établir annuellement un rapport sur le contrôle interne, à soumettre
pour avis et certification des auditeurs externes.
Cette même loi a prévu, également et, pour être respectée et appliquée scrupuleusement, les dispositions
suivantes :
l’institution au sein de toute entreprise d’un comité d’audit, indépendant (section 301 de la loi), dont
les procédures et outils doivent être agréés par le « Public Company Accounting Oversight Board »
(PACOB) (section 101-109) ;
l’institution de deux organes de contrôle à postériori des entreprises, à savoir :
la « Securities and Exchange Commission » (SEC), chargée du contrôle des entreprises
cotées, une fois toutes les trois années ;
le « Public Company Accounting Oversight Board » (PACOB), chargé de la réglementation,
la normalisation des procédures de contrôle interne et de la surveillance de ses dispositifs et
structures qui lui sont dédiées.
le recours à des mesures et sanctions (section 906 de la loi) pour dissuader les manœuvres
frauduleuses en matière d’information comptable ou financière contrevenant de quelque origine que
ce soit aux lois et règlementations en vigueur, notamment, celles régissant le contrôle interne et le
reporting financier et comptable.
Ce règlement a aussi imposé aux banques de respecter, à raison de leurs activités, des règles minimales de
bonne gestion des risques et a subordonné leur mise en application à la réalisation préalable des conditions,
suivantes :
Responsabilisation du conseil d’administration et de la direction générale sur tout ce qui concerne le
contrôle interne, l’instrumentalisation et la propagation de la culture de contrôle ;
Evaluation adéquate et en permanence des risques inhérents aux activités ;
Mise en place d’éléments clés de contrôle à chaque niveau opérationnel ;
Page 14
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La dite loi a mis, en effet, l’accent, dans sa première partie, sur le renforcement du rôle des auditeurs
externes en :
introduisant la notion des limites chiffrées par référence au total bilan, au chiffre d’affaires et à
l’effectif pour le calcul des honoraires relatifs aux missions de certification des commissaires aux
comptes n’impliquant pas des diligences spécifiques, telles les missions requises par les différentes
circulaires de la BCT. Les honoraires relatifs à ces diligences sont fixés par convention entre les
parties prenantes, en l’occurrence : le commissaire aux comptes et la banque cliente, cette
convention est communiquée impérativement pour information et contrôle à la commission de
contrôle érigée au sein de l’Ordre des Experts Comptables Tunisiens ;
Page 15
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
habilitant les techniciens en comptabilité inscrits à la CCT3 à exercer, sous certains conditions4, le
commissariat aux comptes des entreprises ;
limitant le nombre des mandats de commissariat aux comptes dans les entreprises autres que les
banques, respectivement, à trois mandats successives pour les commissaires aux comptes
personnes physiques et à cinq mandats successives pour les commissaires aux comptes agissant
sous forme de sociétés d’expertise comptable et, en impartissant aux commissaires aux comptes de
veiller à la rotation de leurs équipes d’intervention d’une année à l’autre ;
imposant aux banques de recourir au Co-commissariat pour l’audit de leurs comptes annuels. Cette
mesure d’ordre public, a requis de ces derniers de participer aux réunions des conseils
d’administration appelés conformément à l’article 201 du code des sociétés commerciales à arrêter
leurs comptes annuels, y compris l’état des sûretés et le rapport annuel y relatif ;
prescrivant au directeur général et au directeur financier et comptable de remettre, sous leur
responsabilité, aux commissaires aux comptes une lettre d’affirmation selon le modèle prévu par
l’arrêté du ministre des finances du 17 juin 2006.
La troisième partie de la loi n°2005-96 a apporté certains amendements à la loi n°94-117 portant
réorganisation du marché monétaire en étendant le champ des contrôles du Conseil du Marché Financier
(CMF) à l’activité de gestion de portefeuilles.
La circulaire BCT n°2006-19 du 18 novembre 2006 traitant des dispositifs requis pour assurer la bonne
administration des risques bancaires, a recommandé aux Banques :
d’adopter des pratiques de contrôle interne à la mesure des divers risques auxquels elles sont
habituellement exposées et, qui ne dérogent en rien dans leur principe aux prescriptions faites à ce
sujet par le comité de Bâle ;
de pourvoir leur fonction de contrôle interne de moyens procéduraux et outils requis par leur mission
ciblant, non seulement, l’investigation des erreurs et anomalies détectées mais, également,
l’identification, la qualification des risques d’erreur et des anomalies imputables à des défaillances
Page 16
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
ou défection des systèmes dans le but d’en prévenir et, le cas échéant, d’en quantifier les
conséquences et effets ;
d’évaluer régulièrement les apports de la fonction de contrôle interne et de ses capacités humaines
et matérielles à prévoir et, partant, à prévenir les risques auxquels elles sont exposées à raison de
leurs activités et ressources.
La dite circulaire a défini par ailleurs le contrôle interne comme un « ensemble de processus, méthodes et
mesures appropriés et adaptés visant à assurer en permanence la sécurité, l’efficacité et l’efficience des
opérations, la protection des actifs, la fiabilité de l’information financière et la conformité de ces opérations
avec les lois et les réglementations en vigueur5 », et a rappelé aussi les principaux objectifs, qui lui sont
dévolus. La vérification de leur réalisation par la fonction d’audit interne est à rechercher dans les directions,
suivantes :
le mode et les moyens de gestion d’une banque et de protection de son patrimoine, il s’agit là d’un
objectif d’ordre opérationnel ;
les capacités d’une banque à produire en temps utile les informations nécessaires à l’appréciation
de ses performances et perspectives, il s’agit là d’un objectif d’information ;
les capacités d’une banque à se conformer et à s’adapter à ses différentes politiques, d’une part,
ainsi qu’aux réglementations, normes et règles professionnelles et déontologiques, d’autre part, il
s’agit là d’un objectif de conformité.
La circulaire de la BCT n°2006-19 a proposé aux banques pour l’atteinte des objectifs précisés une
architecture du système de contrôle interne, fondée sur les principes, suivants :
conformité aux dispositions législatives et réglementaires et aux orientations de la banque ;
élaboration de procédures écrites et contrôle de la traçabilité des opérations ;
fixation, respect et surveillance des limites par type de risque encouru ;
élaboration et communication périodiques d’informations financières fiables et pertinentes ;
séparation des fonctions ;
principe des « quatre yeux » (contre-vérifications, double contrôle des actifs, doubles signatures,
etc.…) ;
simulation de scénarios de crises pour les différents risques ;
révision permanente des dispositifs opérationnels et de contrôle.
Elle a attribué, enfin, au conseil d’administration d’une banque locale ou off-shore ainsi qu’à ses filiales
financières ou à leur direction générale la responsabilité d’instaurer une culture et des dispositifs de contrôle
interne à leur mesure et en cohérence avec l’organisation du groupe et la nature de l’activité des entités
contrôlées.
Page 17
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Le contrôle interne est la réunion au sein d’une entité économique de dispositifs d’ordre organisationnel et
procédural et de structures opérationnelles nécessairement indépendantes, compétentes, réputées
généralement servir la décision tendant à l’utilisation et au réemploi optimal des ressources disponibles et,
surtout, à leur préservation dans le temps et en l’état.
Aussi, ces dispositifs et structures, ne se démarquent ils pas des autres fonctions dans l’entreprise par cette
particularité et, surtout, par leur dynamisme, qui ont fait du contrôle interne une composante non négligeable
dans n’importe quel type d’organisation et mode de gouvernance d’une entreprise. Cette acception du
contrôle interne, au demeurant, affirmée par les lois et les réglementations bancaires, dénote indéniablement
de l’impact très positif de ses effets sur la décision de gestion en général et, surtout, dans tout processus de
prévention et détection des risques inhérents aux activités et dans tout dispositif mis en place pour garantir
la protection des ressources disponibles et, conséquemment, la continuation dans le temps de l’entreprise
et, ce par :
la conformité aux lois et règlements en vigueur ;
l’application des instructions de la direction générale et des orientations fixées par le conseil
d’administration ;
le bon fonctionnement des processus internes de la banque, notamment ceux concourant à la
sauvegarde de ses actifs ;
la fiabilité des informations financières.
Le patrimoine d’une entreprise regroupe l’ensemble de ses actifs corporels incorporels, tels que le savoir-
faire, l’image ou la réputation. Ces actifs peuvent disparaître à la suite de vols, fraudes, improductivité,
erreurs, usurpation, ou résulter d’une mauvaise décision de gestion ou d’une faiblesse de contrôle interne.
Le contrôle interne, tel que défini au paragraphe, ci-dessus, contribue à la sauvegarde du patrimoine, grâce
aux dispositifs, ci-dessous, conduisant à :
La séparation des tâches de garde, d’administration, de contrôle et de comptabilisation des actifs
réputées incompatibles et la définition des circuits d’information ainsi que des relations et
passerelles fonctionnelles entre ces tâches ;
La formalisation et la mise en place de procédures informatiques et comptables de traitement, de
contrôle et de justifications des informations relatives à la garde, administration, contrôle et à la
comptabilisation des actifs et la définition des supports pour en assurer le bon cheminement.
Page 18
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
à la mécanisation des traitements des opérations à partir du stade de leur saisie jusqu’à la
production des états de synthèse et de contrôle des informations comptables et financières y
relatives restituées par ces systèmes ;
à la vérification de la régularité et la conformité des données comptables restituées au regard des
normes comptables, des lois et réglementations.
Les instructions et orientations de la direction générale permettent à tout un chacun au sein d’une entreprise
de connaître l’étendue de leurs attributions et prérogatives. Le contrôle interne, en requérant la diffusion de
dites orientations et instructions dans l’entreprise, fait obstacle théoriquement à toute les velléités de ne pas
les respecter, conduisant, nécessairement, à une dilution des responsabilités, nuisible à la bonne conduite
des activités et, conséquemment, à la survie de l’entreprise.
Le contrôle interne, en aidant à la prévention et à la maîtrise des risques affectant potentiellement les
activités et les risques résultant de l’exploitation et de l’administration des diverses ressources, s’apparente
pratiquement au sein d’une entreprise à un système de pilotage de celle-ci dans son ensemble. Ce pilotage
se traduit généralement par un suivi méticuleux et la rectification en temps opportun des objectifs assignés
aux processus et moyens conduisant à la satisfaction des conditions nécessaires à sa poursuite dans le
temps.
Page 19
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Chapitre II :
Les banques sont réputées, de tout temps et de par les métiers y exercés, gérer des risques. Ces risques
conjugués sont communément qualifiés de risques bancaires, lesquels sont défini par certains théoriciens
comme étant «l’incertitude temporelle d’un évènement ayant une certaine probabilité de survenir et de
mettre en difficulté une banque»6.
Par ailleurs, le risque bancaire, qui était réduit, il n’y a pas longtemps, à un risque d’ordre financier qualifié
communément de risque de crédit ou de contrepartie tenant aux activités traditionnelles d’une banque, à
savoir l’octroi de crédit, recouvre depuis quelques années de nouveaux risques d’ordre structurel et
comportemental, tels que présentés, ci-dessous, par la figure (Cf. Fig.3) pouvant s’avérer en première analyse
aussi graves si non plus graves de conséquences que le risque de crédit.
Ces nouveaux risques sont consécutifs à la multiplication et la dématérialisation des services et prestations
rendus par les banques sous la pression d’une demande exigeante et d’une concurrence très active sur un
marché financier et de change reconnus par leur volatilité et sensibilité aux mutations, crises et scandales
sociaux économiques de par le monde d’une part et, d’autre part, d’un actionnariat de plus en plus avide de
profit. Ces éléments réunis constituent désormais la cause des divers risques encourus par les banques. Il
s’agit, en l’occurrence, des risques opérationnels, qui sont à l’origine des scandales ayant ébranlé ces
dernières années le marché financer et de change un peu partout dans le monde.
Les risques encourus habituellement par les banques au titre de leurs activités et stratégies sont de trois
types, qualifiés généralement de risques financiers, risques opérationnels et risques de réputation,
présentés ci dessous (Cf. Fig.3) :
Page 20
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
(Fig.3)
Chacune de ces classes de risques englobe plusieurs risques associés dont la nature et les causes sont
mises en évidence par le diagramme ci-dessous (Cf. Fig.4) :
Structure bilan
Structure / rentabilité du compte de résultat
Adéquation des fonds propres
Risque de Crédit Crédit
Risques Financiers
Illiquidité
Marché
Devis
Politique macroéconomique
Infrastructure financière
Infrastructure légale
Risque Marché Responsabilité civile
Responsabilité de la réglementation
Réputation et risque fiduciaire
Risque pays
Risque de Liquidité Illiquidité
Fraude interne
Opérationnels
Fraude externe
Risques
(Fig.4)
Page 21
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
§ 1 - Le risque de crédit
L’article 22 de la circulaire BCT n°2006-19 définit le risque de crédit comme étant le « …risque encouru en
cas de défaillance d’une contrepartie ou de contreparties considérées comme un même bénéficiaire au sens
de la réglementation en vigueur ».
Ce risque, qui court depuis la mise en place d’un crédit jusqu’à son parfait recouvrement, serait matérialisé
au cas où il se précisait par la perte de la totalité ou d’une quotité des engagements financiers ou par
signature, dont il a découlé.
Il découle, aussi :
de l’impossibilité pour une banque d’exécuter les sûretés qu’elle a recueillies au titre de ses
engagements, cette situation est réputée constituer un risque dit de garantie ;
de l’agrégation hors normes réglementaires de l’encours de crédit par contrepartie, par groupe, par
secteur, par pays, par devise etc… Dans ce cas le risque encourus est qualifié de risque de
concentration ;
des difficultés rencontrées par un pays éprouvé économiquement ou en crise latente à assurer le
service de ses dettes, cette situation présente un risque pays ;
des variations négatives de la valeur faciale des crédits et placements en monnaies étrangères
consécutives aux fluctuations incontrôlées ou imprévisibles des ces devises. Cette situation
représente un risque de change, qui se caractérise, néanmoins, par sa neutralité si les ressources
et emplois correspondant sont libellés dans la même devise. Dans ce cas et comme il est démontré
ci-dessous, le risque ne porte que sur la marge de la banque mais dans le cas contraire, le montant
en principal est également exposé au risque.
des fraudes diverses et des actes de malversation, vols, détournements, infractions auxquels une
banque est exposée, cette situation présente un risque de fraude ;
des concours accordés à des conditions hors marché, ou selon des procédures exceptionnelles à
des dirigeants de la banque, à des entreprises dans lesquelles ils ont des intérêts ou des associés
communs, dans ce cas le risque encouru est un risque d’initiés ;
Page 22
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
du non respect des règlementations régissant l’activité de crédit, cette situation présente un risque
légal et réglementaire, qui pourrait ébranler une banque en l’exposant ainsi que ses dirigeants à de
lourdes sanctions administratives et pénales ;
de l’incompatibilité des emplois d’une banque classés selon leur maturité avec les ressources dont
ils découlent classés selon leur volatile et stabilité, cette situation expose une banque à un risque
de liquidé ou d’illiquidité, qui découle aussi de retraits massifs des dépôts à vue ;
de variations significatives des taux d’intérêts acceptés pour le financement d’un crédit, cette
situation présente un risque de taux d’intérêt. En fait, le taux d’intérêt (rémunération du crédit) peut
s’avérer supérieur au rendement du crédit en cas de variations des taux d’intérêt.
Selon une enquête couvrant 68 banques européennes en difficulté, menée par le sous-comité bancaire de
surveillance de l'Institut Monétaire Européen (IME), le risque de crédit est la cause principale de difficultés
rencontrées par 75% de ces banques, lequel constat a été par ailleurs confirmé entre 2008 et 2009 par la
crise immobilière (crise des « Subprimes ») qui a provoqué des pertes sérieuses et la faillite de plusieurs
banques Américaines.
§ 2 - Le risque de marché
L’article 31 de la circulaire BCT n°2006-19 définit le risque de marché comme « …les risques de pertes qui
peuvent résulter :
des fluctuations des prix sur les titres de transaction et de placement telles que définis par les
normes comptables et sur tout autre instrument financier prévu par la réglementation en vigueur.
ou des positions susceptibles d’engendrer un risque de change, notamment les opérations de
change au comptant ou à terme. ».
Les pertes imputables à ce risque sont la conséquence des variations des cours de change, des taux
d’intérêt, des instruments financiers (titres de créance, titres de propriétés) ou des matières premières. Ce
7 Le ratio Cooke a été introduit par le comité de Bâle et il communément reconnu comme l’accord de Bâle 1
Page 23
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
risque fait l’objet d’une exigence supplémentaire de fonds propres8 prévue dans le cadre du ratio « Mc
Donough »9.
Le développement exponentiel des volumes traités sur les marchés traditionnels, et surtout sur les nouveaux
marchés des produits dérivés, tels que les contrats de gré à gré (FORWARDS) les contrats à terme
(FUTURES), les SWAPS, les OPTIONS et les WARRANTS, a considérablement amplifié le risque de
marché devenu représentatif du risque de change et du risque de prix.
Dans ce contexte, de nouvelles entités appelées « salle des marchés » ont ainsi été créées pour répondre
justement à cette contrainte croissante du risque de marché. L’ensemble des activités financières ont été
réunies dans cette nouvelle entité qui regroupe :
le marché des changes ;
le marché monétaire ;
le marché des titres et fonds ;
le marché obligataire.
Ce risque s’est illustré dans des scandales qui ont mis en exergue une étonnante faiblesse dans le système
de contrôle interne en place dans certaines banques. La faillite de la banque BARINGS en 1995 en est
l’exemple type.
L’article 34 de la circulaire BCT n°2006-19 définit le risque global du taux d’intérêt comme « …le risque
encouru en cas de variation des taux d’intérêt, mesuré sur l’ensemble des opérations de bilan et hors bilan à
l’exception, le cas échéant, des opérations soumises aux risques de marché ».
Le risque global de taux d’intérêt est matérialisé par l’impact négatif que pourrait avoir une évolution
défavorable des taux d’intérêt sur la situation financière d’une banque conséquence, du non-adossement
des ressources aux emplois ou du décalage, des emplois et des ressources quant aux échéances de
révision des taux.
Les principales formes du risque de taux d’intérêt auxquelles les banques sont généralement exposées sont
les suivantes :
risque de révision de taux sur les échéances ;
8 En janvier 1996, le Comité de Bâle a publié un document amendant l'accord sur les fonds propres et mettant en
œuvre une nouvelle exigence de fonds propres liée aux risques de marché. Pour calculer le coefficient de fonds
propres, les banques auront la possibilité d'utiliser une méthode standardisée ou leurs propres modèles internes. Les
autorités de contrôle du G 10 envisagent de recourir à des contrôles ex post (c'est-à- dire à des comparaisons entre
chiffres obtenus par les modèles et résultats effectifs) sur la base des systèmes internes de mesure du risque des
banques pour l'application des normes de fonds propres.
9 Pilier 2 des accords du comité de Bâle 2 sur la surveillance prudentielle
Page 24
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
risque de déformation de la courbe des taux (courbe des taux d’émission des Bons de Trésor), qui
résulte des modifications de la pente et de la configuration de la courbe ;
risque de base dû à une corrélation imparfaite dans l’ajustement des taux reçus et versés sur des
produits différents, dotés par ailleurs de caractéristiques de révision de taux analogues ;
risque de clauses optionnelles lié aux options explicites ou implicites dont sont assorties certaines
créances, dettes et positions du hors-bilan des banques.
Les activités bancaires de dépôt et de crédit peuvent être fortement impactées par des variations
importantes des taux d'intérêt.
A c tif P a s s if A c tif P a s s if
Crédits à court terme Dépôts à vue
Avoirs de trésorerie
pool
Titres de transaction Ressources
interbancaires M arg e T a u x fix e T a u x fix e
transfert ac q u is e T a u x fix e T a u x fix e
M a rg e
Crédits à moyen terme Dépôts d’épargne exposée
Titres de placement
pool
Ressources de marché Taux Taux Taux
Taux
M arg e va ria b le va ria b le v a ria b le v a ria b le
ac q u is e
transferts in d e x 1 in d e x 1 in d e x 1 in d e x 1
M a rg e
exposée
Taux Taux
Crédits à long terme Capitaux Taux Taux
Titres de participations
pool M arg e
va ria b le
va ria b le
v a ria b le
v a ria b le
permanents ac q u is e
in d e x 2 in d e x 2
in d e x 2 in d e x 2
§ 4 - Le risque de liquidité
L’article 38 de la circulaire BCT n°2006-19 définit le risque de liquidité comme « …le risque pour
l’établissement de crédit et la banque non résidente de ne pas pouvoir s’acquitter dans des conditions
normales, de leurs engagements à leurs échéances. ».
La défaillance due à l’illiquidité, est plutôt une cause qu’un effet. Il est souvent la conséquence du crédit que
suscite une banque sur le marché et auprès de ses diverses relations.
Un autre aspect du risque de liquidité est celui de ne pas pouvoir trouver, à un instant donné, des
instruments financiers destinés à couvrir une position, ou de devoir les acheter ou les vendre à un prix
anormal, du fait de l’insuffisance ou de l’absence de liquidité sur le marché.
§ 5 - Le risque de règlement
L’article 42 de la circulaire BCT n°2006-19 définit le risque de règlement comme « …le risque de
survenance, au cours du délai nécessaire pour le dénouement de l’opération de règlement, d’une défaillance
ou de difficultés qui empêchent la contrepartie d’un établissement de crédit ou d’une banque non résidente
de lui livrer les instruments financiers ou les fonds convenus, alors que ledit établissement de crédit ou ladite
banque non résidente a déjà honoré ses engagements à l’égard de ladite contrepartie. ».
Page 25
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Le risque de règlement est basé sur une relation tripartite : une banque, un donneur d’ordre et un
bénéficiaire. Le risque de règlement est omniprésent dans l’activité bancaire internationale (crédit
documentaire, remise documentaire, etc…).
§ 6 - Le risque opérationnel
L’article 45 de la circulaire BCT n°2006-19 définit le risque opérationnel comme « …le risque de pertes
résultant de carences ou de défaillances attribuables à la conception, à l’organisation et à la mise en œuvre
des procédures, aux erreurs humaines ou techniques ainsi qu’aux événements extérieurs. La définition
inclut, le risque juridique mais exclut les risques stratégiques et de réputation. ».
Pour le comité de Bâle il est matérialisé directement ou indirectement par les pertes résultant de processus,
de systèmes et de structures humaines défaillantes et inadéquates, de risque juridique, de risque
informatique, de risque comptable, de risque déontologique, des fraudes, des pertes, des vols et des
événements externes.
Le risque opérationnel est un thème dont la définition ne fait pas l’objet d’un consensus aussi il mérite à ce
qu’on s’y intéresse promptement.
Ces quatre sous-ensembles représentent une compilation de risques se définissant comme suit :
Risque juridique : Le règlement de la Commission de Régulation de la Bourse de France (CRBF)
n°97-J2 le définit comme le risque lié à tout litige avec une contrepartie résultant de toute
imprécision, lacune ou insuffisance de nature quelconque susceptible d’être imputable à la banque
au titre de ses opérations dont :
Page 26
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
une mauvaise rédaction ou insuffisance de documentation de contrat qui rend leur exécution
impossible ou difficile ;
procès intentés pour maintien ou rupture abusive des concours ;
garanties difficiles à réaliser ou ne pouvant l’être faute d’être suffisamment fondées
juridiquement aussi bien formellement que dans leur principe ;
actions en responsabilité engagées contre une banque en réparation des préjudices causés
à un client du fait de l’ambigüité des termes de leur engagement avec cette banque.
Risque déontologique : L’activité sur les marchés financiers peut créer des confusions entre les
intérêts des clients, ceux de la banque et parfois même ceux de la direction générale.
Risque réglementaire : La réglementation bancaire est extrêmement exigeante, complexe et
impose des contraintes sévères aux banques. Leur non-respect peut se traduire par des amendes
ou des sanctions imposées par les autorités juridiques ou de contrôle (Banque Centrale, Ministère
des Finances, CMF, etc.…).
Risque de blanchiment : Le système bancaire peut servir par inadvertance ou de manière
délibérée comme plateforme pour le blanchiment de « l’argent sale » découlant d’activités
criminelles, visé en Tunisie par la loi n°2003-75 du 10 décembre 2003 relative à la lutte contre le
financement du terrorisme et le blanchiment d’argent et à l’institution de la Commission Tunisienne
d’Analyse Financière (CTAF).
Risque de fraude : Ce risque résulte de vol, de falsification et de contrefaçon avec préméditation
dans le but de contourner ou de se soustraire à des obligations contractuelles légales et
réglementaires. Il peut également résulter d’agressions externes (hold-up et fraudes sur les moyens
de paiement).
Risque comptable : ce risque résulte d’erreur dans les enregistrements comptables et de mauvais
fonctionnement des procédures et des systèmes de comptabilisation.
Risque sur les systèmes d’information : Les systèmes d’information bancaire deviennent de plus
en plus complexes pour répondre à des besoins, internes et externes, de plus en plus
contraignants : Information sur les risques, information sur la rentabilité, comptes annuels, états
périodiques, statistiques, déclarations fiscales. Ce risque résulte de la production par une banque
d’informations erronées et/ou en dehors des délais prescrit, ces informations doivent être fiables et
rapidement disponibles. L’opacité des résultats et des risques, due aux faiblesses des systèmes
d’information, peut avoir de graves conséquences.
Risque informatique : L’informatique est un véritable outil de production dans une banque. Son
efficacité est un facteur prépondérant dans la bataille de la rentabilité et de l’adaptation à un
environnement de plus en plus difficile et concurrentiel. Les erreurs de conception ou de réalisation,
les retards dans la mise en œuvre de technologies nouvelles, l’insuffisance de maîtrise de systèmes
de plus en plus complexes, constituent des risques importants avec des conséquences directes sur
la rentabilité et la qualité des services. L’absence ou la faiblesse des procédures de sauvegarde, de
back up ou de PCA peut entraîner des pertes significatives.
Page 27
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
L’appréciation de la solvabilité bancaire, jusqu’ici mesurée au travers du ratio « Cooke», prend désormais en
compte les risques opérationnels, en sus des risques de crédit et des risques de marché. Ceci se fait grâce
au nouveau ratio baptisé « Mc Donough ».
Le nouvel accord sur les fonds propres du comité de Bâle 2 dans sa version amendée a pour but de mieux
asseoir l’évaluation de l’adéquation des fonds propres sur les principales composantes des risques
bancaires et d’encourager les banques à renforcer leurs procédures de mesure et de gestion des risques.
Pilier I : Renouvellement des exigences minimales de fonds propres afin de mieux tenir compte de
l'ensemble des risques bancaires et de leur réalité économique
les fonds propres couvrent les risques de crédit et de marché et les risques opérationnels ;
de nouvelles techniques personnalisées pour l’évaluation du risque de crédit allant de la méthode
standard à la méthode avancé Internal Rated Based (IRB).
Page 28
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Le comité de Bâle 2 exige des banques de justifier pour la couverture du risque opérationnel la disponibilité
en permanence d’une quotité de fonds propres à calculer selon les trois approches, suivantes :
i. l’approche « Indicateurs de Base », qui en arrête le montant 15% au produit annuel brut10 des
trois dernières années ;
ii. l’approche « Standard », qui la fixe à une quotité de la somme des produits bruts pondérés par un
facteur (bêta) spécifique à chaque branche d’activité ;
Catégorie d’activité Facteur bêta
Paiement et règlement 18%
Fonctions d’agent 15%
Gestion d’actifs 12%
Courtage de détail 12%
Financement des entreprises 18%
Négociation et vente 18%
Banque de détail 12%
Banque commerciale 15%
iii. l’approche « Mesures Avancées » qui en estime la valeur en évaluant la perte potentielle que la
banque pourrait supporter.
BNA 135 619 147 937 175 948 459 504 153 168 22 975 Banque de détail 20 20 30 12% 2,4 2,4 3,6
L’approche « Mesures Avancées » bien qu’ayant le mérite d’astreindre une banque à une exigence réduite
de fonds, nécessite au moins le respect des critères suivants :
un critère général : l’approbation préalable par l’autorité de régulation
des critères qualitatifs :
fonction « Gestion du Risque Opérationnel » (GRO) indépendante
implication de la direction générale par une intégration dans la gestion des risques au
quotidien
reporting régulier des expositions et des pertes
programme régulier d’analyse des scénarios
documentation sur les procédures, les contrôles en place, etc.…
10 Produit annuel brut moyen = les intérêts créditeurs et les autres produits d’exploitation excepté les agios réservés,
les plus/moins values sur cession des titres et les éléments extraordinaires
Page 29
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Le processus de contrôle interne, qui visait traditionnellement à réduire la fraude, les détournements de
fonds et les erreurs, a pris une dimension plus vaste et recouvre désormais l'ensemble des risques encourus
par les banques.
Le comité de Bâle11 insiste sur l’importance des principes fondamentaux pour un contrôle interne efficace
répartis sur cinq catégories étroitement liés :
i. surveillance par le conseil d’administration et culture de contrôle ;
ii. évaluation des risques ;
iii. activités de contrôle ;
iv. information et communication ;
v. activités de surveillance.
Principe 1 : Le conseil d’administration devrait être chargé d’approuver et de revoir périodiquement les
grandes stratégies et les principales politiques de la banque, d’apprécier les risques substantiels qu’elle
encourt, de fixer des niveaux acceptables pour ces risques et de s’assurer que la direction générale prend
les dispositions nécessaires pour identifier, mesurer, surveiller et contrôler ces risques, d’approuver la
structure organisationnelle et de veiller à ce que la direction générale surveille l’efficacité du système de
11 Le Comité de Bâle sur le contrôle bancaire, institué en 1975 par les gouverneurs des banques centrales des pays
du Groupe des dix, rassemble les autorités de contrôle des banques. Il est composé de hauts représentants des
autorités de contrôle bancaire et banques centrales d’Allemagne, de Belgique, du Canada, des Etats-Unis, de France,
d’Italie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de Suède et de Suisse. Ses réunions ont
habituellement pour cadre la Banque des Règlements Internationaux, à Bâle, siège de son Secrétariat permanent.
Page 30
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
contrôle interne. Le conseil d’administration est responsable en dernier ressort de l’existence et du respect
d’un système de contrôle interne adéquat et performant12.
Principe 2 : La direction générale devrait être chargée de mettre en œuvre les stratégies et politiques
approuvées par le conseil d’administration, d’élaborer des processus permettant d’identifier, de mesurer, de
surveiller et de contrôler les risques encourus, de mettre en place une structure organisationnelle fixant
clairement les rapports de responsabilité, d’autorité et de notification, de garantir l’exercice effectif des
responsabilités déléguées, de définir des politiques de contrôle interne appropriées et de surveiller
l’adéquation et l’efficacité du système de contrôle interne13.
Principe 3 : Le conseil d’administration et la direction générale sont chargés de promouvoir des critères
élevés d’éthique et d’intégrité et d’instaurer, au sein de l’organisation bancaire, une culture qui souligne et
démontre, à tous les niveaux du personnel, l’importance des contrôles internes. Tout le personnel de
l’organisation doit comprendre son rôle dans le contrôle interne et s’impliquer activement dans ce
processus14.
§ 3 - Activités de contrôle
Principe 5 : Les activités de contrôle devraient faire partie intégrante des activités quotidiennes de la
banque. Un système de contrôle interne efficace nécessite la mise en place d’une structure de contrôle
appropriée, avec des activités de contrôle définies à chaque niveau opérationnel. Celles-ci devraient inclure
les éléments suivants16 :
Examens au plus haut niveau ;
Contrôles appropriés d’activité pour les différents départements ou unités ;
Contrôles physiques ;
Vérification du respect des plafonds d’engagement et suivi en cas de non-respect ;
Système d’approbations et d’autorisations ;
Système de vérifications et de contrôles par rapprochement.
12 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
13 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
14 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
15 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
16 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
Page 31
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Principe 6 : Un système de contrôle interne efficace nécessite que les tâches soient séparées de façon
appropriée et que le personnel ne soit pas chargé de responsabilités conflictuelles. Les domaines
susceptibles de donner lieu à des conflits d’intérêts devraient être identifiés, circonscrits aussi étroitement
que possible et soumis à une surveillance attentive d’une tierce partie indépendante17.
§ 4 - Informations et communications
Principe 7 : Un système de contrôle interne efficace nécessite l’existence de données internes adéquates et
exhaustives − d’ordre financier, opérationnel ou ayant trait au respect de la conformité − ainsi que
d’informations de marchés extérieures sur les événements et conditions intéressant la prise de décision. Ces
données et informations devraient être fiables, récentes, accessibles et présentées sous une forme
cohérente18.
Principe 8 : Un système de contrôle interne efficace nécessite l’existence de systèmes d’information fiables
couvrant toutes les activités importantes de la banque. Ces systèmes, notamment ceux qui comportent et
utilisent des données informatisées, doivent être sûrs, surveillés de manière indépendante et étayés par des
plans de secours adéquats19.
Principe 9 : Un système de contrôle interne efficace nécessite des voies de communication performantes
pour garantir que l’ensemble du personnel comprend et respecte parfaitement les politiques et procédures
affectant ses tâches et responsabilités et que les autres informations importantes parviennent à leurs
destinataires20.
§ 5 - Surveillance
Principe 10 : L’efficacité globale des contrôles internes de la banque devrait être surveillée en permanence.
Le suivi des principaux risques devrait faire partie des activités quotidiennes de la banque de même que les
évaluations périodiques effectuées par les secteurs d’activité et l’audit interne21.
Principe 11 : Un audit interne efficace et exhaustif du système de contrôle interne devrait être effectué par
un personnel bien formé et compétent bénéficiant d’une indépendance opérationnelle. La fonction d’audit
interne, en tant qu’élément de la surveillance du système de contrôle interne, devrait rendre compte
directement au conseil d’administration, ou à son comité d’audit, ainsi qu’à la direction générale22.
Principe 12 : Les déficiences des contrôles internes, qu’elles soient détectées par un secteur d’activité,
l’audit interne ou un autre personnel de contrôle, devraient être notifiées dans les meilleurs délais au niveau
de direction appropriée et faire l’objet d’un traitement rapide. Les déficiences importantes devraient être
signalées à la direction générale et au conseil d’administration23.
17 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
18 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
19 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
20 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
21 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
22 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
23 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
Page 32
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Principe 13 : Les autorités prudentielles devraient exiger que toutes les banques, quelle que soit leur
dimension, disposent d’un système efficace de contrôle interne correspondant à la nature, à la complexité et
au degré de risque inhérent à leurs activités de bilan et de hors bilan et réagissant aux modifications de
l’environnement et des conditions d’activité de la banque. Dans les cas où les autorités prudentielles
constatent que le système de contrôle interne n’est pas adéquat ou efficace par rapport au profil de risque
spécifique de la banque elles devraient intervenir en conséquence24.
24 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
Page 33
Deuxième partie :
Chapitre I :
L’audit interne est une fonction indépendante rattachée au sommet de la hiérarchie qui tend à sécuriser les
actifs, fiabiliser les informations, assurer l’efficacité des opérations et l’efficience de l’organisation.
Le contrôle interne est un système déployé à travers toute la banque et dont la responsabilité et le
fonctionnement, l’évaluation relèvent, respectivement, des organes d’administration, de la direction générale
de la banque et, de la compétence de l’audit interne.
Dans le cadre des missions d’audit financier, l’évaluation du contrôle interne est un élément obligatoire et
déterminant da la démarche de l’auditeur. En effet, en identifiant ensuite en évaluant, le contrôle interne
relatif à la comptabilisation des opérations, l’auditeur détermine l’étendue et la nature des diligences de
contrôle qu’implique nécessairement sa mission. Il apparait ainsi à l’évidence que plus le contrôle interne
relatif à la comptabilisation des opérations est fiable, moins approfondis seront les contrôles d’un auditeur
dans le cadre de ce genre de mission.
Il en est également de même pour l’audit opérationnel dont la finalité est de répondre à la question de
savoir : Dans quelle mesure l’activité ou l’entité est-elle maîtrisée ? Le système de contrôle interne constitue
un élément de réponse à cette question.
Pour l’appréciation du contrôle interne, l’auditeur utilise des techniques plus ou moins développées en
fonction de la complexité de l’organisation et de la nature de la mission d’audit et, aussi, des autocontrôles,
formalisés ou informels, exercés par les opérationnels.
Le contrôle interne est un système qui fonctionne d’une façon permanente et qui englobe l’ensemble des
structures de la banque afin de garantir la pérennité de l’organisation, l’efficacité des traitements et la
sauvegarde des actifs.
L’audit interne par contre est une fonction qui s’insère dans le cadre du processus global de contrôle à
l’échelle d’une organisation, néanmoins l’intervention ponctuelle de l’audit interne, programmée dans le
cadre d’un plan d’intervention annuel (le plan d’audit) la rend périodique.
Page 35
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
En Tunisie, la circulaire BCT n°2006-19 du 28 novembre 2006 a prévu dans son article 7 deux types de
contrôles :
i. la première catégorie de contrôles, prévue dans l’alinéa (a) de cet article, regroupe le contrôle
permanant de la conformité, de la sécurité, de la validation des opérations réalisées et du respect
des autres diligences liées à la surveillance des risques et est dédiée à des agents qui
l’accomplissent d’une façon permanente ;
ii. la deuxième catégorie de contrôles, prévue dans l’alinéa (b) de cet article, regroupe le contrôle
périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect
des procédures, de l’efficacité et du caractère approprié des dispositifs du contrôle interne et est
dédiée à des agents, autres que ceux chargés du contrôle permanent, et qui l’accomplissent au
moyen d’enquêtes.
En Tunisie, les dispositions de l’alinéa 7-b de la circulaire BCT n°2006-19 du 28 novembre 2006 a préconisé
une pyramide des contrôles (Cf. Fig.5) chapeautée par l’audit interne en tant qu’unique structure habilitée à
effectuer le contrôle périodique.
Périodiques
Contrôles
Audit
Contrôle à Distance
Permanents
Contrôles
(Fig. 5)
er
Au 1 niveau :
Les contrôles remplis en temps réel au niveau du front office par les différents opérateurs y déployés.
Page 36
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
ème
Au 2 niveau :
Les contrôles sur terrain remplis au jour le jour au niveau du back office par des préposés indépendants et
hautement qualifiés dans les domaines de leur intervention, à l’effet de s’assurer entre autres, du bon
fonctionnement des procédures et du respect des consignes d’administration des risques.
Il apparaît ainsi que l’ensemble des contrôles opérationnels de niveau 1 et 2 constitue les contrôles
permanents qui incluent les contrôles comptables, les vérifications de caisse, et les documents justificatifs y
afférents. Ces contrôles sont confiés à des préposés faisant partie intégrante des cycles opérationnels d’une
banque.
ème
Les contrôles de 3 niveau :
Les contrôles périodiques et ponctuels initiés par les entités d’audit interne ou d’inspection et/ou par les
auditeurs externes, en l’occurrence, les commissaires aux comptes.
L’audit interne, tel que défini par l’Institute of Internal Audit (IIA) est « …une activité indépendante et
impartiale menée pour produire de la valeur ajoutée pour une organisation en lui apportant l’assurance sur
son fonctionnement et des conseils pour l’améliorer. Il aide cette organisation à atteindre ses objectifs par
une approche systématique et méthodique d’évaluation et d’amélioration des processus de maîtrise des
risques, de contrôle et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité25 ».
En contre partie de ce travail, l’audit interne suscite deux niveaux d’attentes de la part :
Des audités : lesquels attendent de l’audit interne une identification des insuffisances affectant leurs
structures et procédures et, des recommandations pour les régulariser ;
De la direction générale (ordonnateur de l’audit) : laquelle attend, une assurance de qualité et de fiabilité
grâce à l’avis de l’audit interne sur la rigueur de la gestion et, aussi, sur le bon fonctionnement du système
de contrôle interne et son appréciation sur la qualité du système d’information et de pilotage.
25 Version française de la définition internationale, approuvée le 21 mars 2000 par le conseil d’administration de
l’Institut de l’Audit Interne
Page 37
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Méthode et objectifs Remonte aux causes pour proposer des S’en tient aux faits et identifie les actions
recommandations pour éviter la nécessaires pour les réparer et remettre
réapparition du problème en ordre
Evaluation évalue les systèmes et non les hommes et Détermine les responsabilités : évalue le
vérifié leur fonctionnement comportement des hommes, parfois leurs
compétence et qualités
Référentiel Contrôle interne, pratique d’organisation Chiffrages coût des mesures / fréquence
communément adoptées (probabilité) et gravité (impact) des risques
Page 38
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
L’audit financier vise à fournir une appréciation motivée sur l’intégrité et la fiabilité de l’information
financière.
L’audit opérationnel a pour objectif d’évaluer et d’améliorer le système de contrôle interne au niveau d’un
processus, ou d’un domaine spécifique, d’une activité et, de tout autre dispositif sans rapport avec
l’information financière.
L’audit de conformité consiste à vérifier le respect des procédures internes et des aspects légaux et
réglementaires en vigueur et également des politiques décisions et consignes des organes de direction et
des instances délibérantes.
L’audit informatique couvre les aspects liés à l’administration et l’exploitation de la logistique informatique
et non à la qualité de la gestion informatique, laquelle, relève du « Management Audit ».
Le management audit traite de la qualité de la gestion.
Types Objectifs
Audit financier
Audit opérationnel Sécurité de l’information financière
Audit de conformité Efficacité et efficience des opérations
Conformité aux lois et règlementations
Audit informatique Efficience de la stratégie
Management Audit
En pratique, certaines banques ne disposent pas d’un processus formalisé de management des risques,
l’audit interne peut participer à sa mise en œuvre, en qualité de coordinateur. Dans ces circonstances, l’audit
interne effectue une mission de conseil. Ce volet de services rendus par l’audit interne apporte une grande
valeur ajoutée à la banque.
Pour créer de la valeur ajoutée, les ressources de l’audit interne se focalisent sur les principaux risques
auxquels est exposée la banque. Pour cela, l’audit interne effectue une analyse périodique des risques et
tient compte des anomalies signalées par le processus de management des risques.
Page 39
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Il est essentiel de pratiquer une bonne gouvernance pour gagner et conserver la confiance du public dans le
système bancaire, laquelle confiance est indispensable au bon fonctionnement du secteur et de l’économie
dans son ensemble. Des insuffisances dans ce domaine peuvent mener à des faillites bancaires
susceptibles d’entraîner des coûts importants pour la société ainsi que d’autres conséquences à travers
leurs répercussions potentielles sur les systèmes d’assurance des dépôts, avec peut-être des effets
macroéconomiques plus larges (par exemple, risque de contagion ou incidence sur les systèmes de
paiement). En outre, une gouvernance déficiente peut susciter la défiance des marchés dans la capacité
d’une banque à gérer convenablement ses actifs et passifs, notamment les dépôts qui lui sont confiés, ce
qui, par voie de conséquence, peut déclencher un retrait massif de dépôts ou une crise de liquidités. Outre
leurs obligations vis-à-vis de leurs actionnaires, les banques ont à fortiori, des obligations à l’égard de leurs
déposants.
26 L’approche normalisée fait référence aux normes et standards de la profession d’audit et de mangement des
risques
Page 40
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
L’audit interne doit être placé en staff. Ses relations avec le gouvernement d’entreprise sont schématisées
par le diagramme ci-dessous :
Actionnaires Objectifs
Info.
Stratégie Opérations Conformité
Financière
CO SO & CO BIT
Conseil d’administration Environnement de contrôle
Définitions des objectifs
Identification des événements
Direction
M oyens
L’Institut Français d’Audit et de Contrôle Interne (IFACI) définit la gouvernance comme un ensemble de
processus, réglementations, lois et institutions influant la manière dont la banque est dirigée, administrée et
contrôlée28.
Pour les banques, la gouvernance traduit la manière dont le conseil d’administration et la direction générale
conduisent les opérations et les activités en arrêtant les objectifs attendus ainsi que les procédures et les
27 Lignes directrices de l’OCDE sur le gouvernement d’entreprise des entreprises publiques, octobre 2005
28 Définition de l’IFACI
Page 41
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
moyens pour les réaliser conformément aux attentes de toutes les parties prenantes29 (actionnaires,
ministère de tutelle, tiers divers etc.…) dans le strict respect de la règlementation et des politiques
économiques en vigueur dans le pays.
L'audit interne contribue à l’amélioration de la bonne gouvernance et crée par la même occasion de la valeur
ajoutée en évaluant les processus de gouvernance et en formulant les recommandations appropriées en vue
de leur amélioration. À cet effet, il évalue et vérifie que ses processus répondent aux objectifs suivants :
promotion des règles et des valeurs d’éthique au sein de la banque ;
garantie d’une gestion efficace des performances, assortie d’une obligation de rendre compte ;
communication au sein de la banque, d’informations relatives aux risques et aux contrôles ;
apport d’informations adéquates au conseil d’administration, aux auditeurs externes et à la direction
générale, en assurant une coordination efficace de leurs activités ;
évaluation de la conception, de la mise en œuvre et de l’efficacité des objectifs, des programmes et
des activités de l'organisation liés à l’éthique ;
garantie quant à la cohérence des objectifs des missions réalisées avec les valeurs et les objectifs
généraux de la banque.
Source : Badr FGUIGUI l’audit systémique un outil d’efficacité du risk management 2007
La contribution de l’audit interne à l’amélioration de la gouvernance suppose que soient réunies plusieurs
conditions :
L’indépendance, notamment pour l’élaboration d’un plan d’audit qui couvre effectivement et
exhaustivement les principales zones de risques : rattachement de l’audit interne aux dirigeants,
président du conseil d’administration ou directeur général pour réduire les risques d’interférence sur
le choix des missions et la formulation des recommandations ;
Le professionnalisme, clef d’une démarche d’audit incontestable et constructive, qui s’appuie sur un
code de déontologie et sur l’application des normes professionnelles rigoureuses.
29 Compte tenu du rôle particulier des banques dans l’économie nationale et locale et dans les systèmes financiers,
ainsi que des conséquences pour les systèmes connexes de garantie des dépôts implicites et explicites, les autorités de
contrôle, l’État et les déposants sont considérés comme des parties prenantes
Page 42
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
L’audit interne contribue à la promotion de la bonne gouvernance et sera d’autant plus efficace s’il a l’accès
au sein de la banque à un interlocuteur privilégié en l’occurrence le comité permanent d’audit interne qui a
des responsabilités élargies pour appréhender les risques et notamment ceux ayant une portée stratégique.
En fait, le comité permanent d’audit interne garantit et consacre l’indépendance de l’audit interne, laquelle
entité est le seul organe suffisamment qualifié permettant d’avoir une meilleure vision et perception des
risques encourus ou latents à soumettre à l’examen du conseil d’administration. De son côté, l’audit interne
est en mesure d’apporter aux administrateurs, par l’intermédiaire du comité permanent d’audit, une vision
impartiale et professionnelle sur les risques encourus par la banque.
Concrètement, l’audit interne constitue un relais essentiel pour le comité permanent d’audit interne en lui
fournissant des évaluations et des recommandations sur le fonctionnement du système de contrôle interne
au sein de la banque. En fait, à chaque réunion du comité permanent d’audit interne, l’entité audit lui soumet
l’ensemble des anomalies, leur qualification et les risques y associés, appréhendés à travers les missions
sur le terrain. Ces missions recouvrent des contrôles inopinés au niveau des agences du réseau de la
banque et des contrôles programmés pour les autres départements.
Le comité permanent d’audit est appelé, à l’occasion de chaque réunion, de statuer (dans le cadre de
l’appétence pour le risque) sur les différents risques et de prendre les mesures adéquates pour soit les
appréhender soit les transférer via les mécanismes de réduction des risques (assurances). Le comité
permanent d’audit peut, le cas échéant, déléguer à l’entité audit interne des investigations sur des anomalies
mis en exergue par l’audit externe (commissaire aux comptes).
D’un autre point de vue et pour le comité de Bâle, le conseil d’administration et la direction générale sont
tenus de tirer profit de l’audit interne et de l’ensemble du dispositif de contrôle interne.
A cet effet et dans le cadre d’un document, publié en Février 2006, à l’attention des autorités de contrôle et
des banques intitulé « Renforcement de la gouvernance d’entreprise dans les établissements bancaires », le
comité de Bâle a formulé des recommandations pour promouvoir la bonne gouvernance dans les banques.
Dans ce contexte, le principe 5 du document met en relief les fondements régissant les interactions entre
l’entité audit interne et le comité permanent d’audit comme suit :
le conseil d’administration via son comité permanent d’audit interne considère le travail des auditeurs
et des contrôleurs internes (en référence au système permanent de contrôle interne) comme un outil
indépendant de vérification et de validation des informations fournies par la direction générale sur
les opérations et les résultats de la banque ;
l’entité d’audit interne gagne en efficacité par la reconnaissance des processus d’audit et de contrôle
interne que le conseil d’administration lui garantit à l’échelle de la banque ;
le conseil d’administration exploite les conclusions des auditeurs avec diligence et efficacité en
exigeant que la direction générale de la banque prenne rapidement les mesures correctives ;
l’entité audit interne est rattachée au conseil d’administration à travers le comité permanent d’audit à
qui elle rend directement compte de ses travaux ;
Page 43
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
les administrateurs indépendants rencontrent, une fois par an, en l’absence de la direction générale
l’auditeur externe et les responsables des fonctions audit interne, conformité, contrôle interne et de
la direction juridique. Cette réunion est de nature à renforcer la capacité du conseil d’administration
de la banque à surveiller la façon dont la direction générale met en œuvre les politiques approuvées
par le conseil et à s’assurer que les stratégies commerciales de la banque et ses expositions aux
risques sont en adéquation avec le niveau d’appétence préalablement fixé.
Le contrôle des banques est assuré en interne et en temps réel par les dispositifs en place dont l’audit
interne, les autocontrôles et les contrôles hiérarchisés en amont des opérations et de toutes les décisions
d’ordre opérationnel et, périodiquement et, au besoin par :
les autorités de contrôle (en Tunisie ce contrôle est du ressort de la Banque Centrale de Tunisie).en
vertu des pouvoirs qui leur sont conférés par détermination de la loi, en matière de contrôle
prudentiel ;
les auditeurs externes en vertu des lois en vigueur ou des mandats contractuelles.
De par sa nature, l'activité bancaire conduit à prendre des risques très diversifiés. Les autorités de régulation
et de contrôle doivent comprendre ces risques et s'assurer que les banques les mesurent et les gèrent de
manière adéquate. La mission du contrôle consiste à s’assurer que les banques conduisent leurs activités de
manière saine et sûre et que leurs fonds propres et réserves sont suffisants pour faire face aux risques
qu'elles encourent.
Un contrôle bancaire ferme et efficace fournit une assurance élevée que le marché ne peut offrir et qui, en
se conjuguant à une politique macroéconomique efficace, contribue de façon déterminante à la stabilité
financière d'un pays. On peut penser que le contrôle bancaire comporte des coûts élevés, mais l’expérience
sur le terrain a montré qu'un contrôle insuffisant coûte encore plus cher.
A l’échelle d’un pays, tout système de contrôle bancaire efficace30 est fondé sur des conditions préalables et
sur plusieurs éléments externes, à savoir :
des politiques macroéconomiques saines et soutenables ;
des infrastructures publiques bien développées ;
une discipline de marché efficace ;
des mécanismes assurant un degré approprié de protection systémique (ou filet de sécurité public).
Bien qu’elles ne relèvent pas, le plus souvent, directement de la compétence des contrôleurs, ces conditions
préalables ont, dans la pratique, une incidence directe sur l’efficacité du contrôle bancaire.
30 Comité de Bâle, principaux fondamentaux pour un contrôle bancaire efficace, octobre 2006
Page 44
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Le comité de Bâle a analysé plusieurs formules permettant de mieux développer des initiatives pour
renforcer la surveillance prudentielle via les contrôles bancaires dans tous les pays, et a formulé à cette fin,
un recueil sur les principes fondamentaux, les recommandations et les lignes directrices (25 principes en
tout) pour un contrôle bancaire efficace.
Dans le cadre de cette section, il sera présenté une analyse de ces principes en relation avec l’application
des règlements et des exigences prudentielles, les méthodes de contrôle bancaire et les exigences en
matière d’informations applicables aux banques.
La première prérogative assignée aux contrôleurs bancaires est de s’assurer que les directeurs généraux
des banques appliquent et respectent la réglementation et les exigences prudentielles en vigueur y compris
celles qui recouvrent :
l'inadéquation des fonds propres ;
l’insuffisance de constitution de provisions pour pertes sur prêts ;
les concentrations des actifs et de la liquidité ;
la mauvaise gestion des risques et des contrôles internes.
L’objet de ces contrôles est de limiter les prises de risque imprudentes par les banques. Ces contrôles ne
doivent pas se substituer aux décisions de la direction générale mais plutôt imposer des normes
prudentielles minimales afin que les banques exercent leurs activités de manière appropriée.
Des normes minimales de fonds propres sont prévues et leur adéquation aux risques encourus par les
déposants, créanciers et autres parties intéressées à la bonne marche de la banque sont mesurées par le
ratio de solvabilité31 préconisé en Tunisie par la circulaire BCT n°91-24 du 17 décembre 1991 telle que
modifié par la circulaire n°99-04 du 19 mars 1999 et la circulaire n°2001-12 du 04 mai 2001.
31 Ratio Cooke des accords de Bâle I, ou ratio Mc Donough des accords de Bâle II
Page 45
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Les fonds propres réglementaires sont divisés en : Les risques encourus pondérés :
Les contrôleurs bancaires vérifient le niveau du ratio de solvabilité de toute banque. Si ce ratio tombe au-
dessous du minimum, les autorités de contrôle s'assurent que la banque a arrêté des stratégies réalistes
pour remédier à cette situation, à défaut des restrictions peuvent lui être imposées.
D’autres ratios (voir infra) sont également prévus et leurs respect est impératif dans le cadre d’une bonne
gestion rationnelle et prudentielle.
Les contrôleurs bancaires s’assurent que chaque banque définit une politique formalisée et documentée de
sa fonction crédit qui répond aux standards du comité de Bâle en la matière du point de vue des règles
prudentielles et des critères d’administration et d’approbation des prêts et ce, par l’examen périodique des
divers crédits, la classification des actifs et la constitution de provisions. Ces politiques sont revues
régulièrement et appliquées de manière permanente et cohérente.
Les contrôleurs bancaires veillent à la proscription des abus dans l’octroi des crédits à des emprunteurs
apparentés à la banque et vérifient son exposition envers les gros emprunteurs suivant les seuils définis par
Page 46
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
le comité de Bâle et pour la Tunisie par référence à la circulaire BCT n°91-24 du 17 décembre 1991 telle que
modifié par la circulaire n°99-04 du 19 mars 1999 et la circulaire n°2001-12 du 04 mai 2001.
Total des risques encourus sur les bénéficiaires dont les risques Taux de couverture = Provisions clientèle + agios réservés
encourus pour chacun d'entre eux sont supérieurs ou égaux à 15% des Actifs classés
FPN < ou = 2 fois les FPN
Coefficient d’exploitation = masse salariale + charges générales d’exploit + amortis
PNB
Limite des concours accordés aux actionnaires, dirigeants et
administrateurs < ou = 3 fois les FPN
Les autorités de contrôle assignent au besoin des limites absolues aux catégories de prêts ci haut en
exigeant leur déduction des fonds propres ou leur couverture par des garanties. Les transactions avec des
parties apparentées qui font encourir des risques spécifiques à la banque sont soumises à l'approbation du
conseil d'administration, notifiées à l’autorité de régulation voire totalement interdites.
Les contrôleurs bancaires s'assurent que les banques sont dotées de politiques et procédures adéquates
pour identifier, suivre et contrôler le risque-pays et le risque de transfert liés à leurs activités internationales
de prêt et d'investissement ainsi que pour constituer des réserves appropriées en fonction de ces risques32.
Les contrôleurs bancaires vérifient les limites d’exposition au risque telles que fixées par la direction
générale de la banque et l’instauration de contrôles internes adaptés aux opérations de change.
32 En 1982, le comité de Bâle a examiné les questions relatives au risque pays dans un document intitulé « gestion
des prêts internationaux des banques » - volume I
Page 47
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Une appréciation sur le terrain des politiques et des procédures de gestion des risques, des
systèmes de mesure, de suivi et de contrôle en place.
Une revue des informations communiquées par les banques sur les niveaux de risque de taux
d’intérêt (pallier d’échéances, monnaie et composition des portefeuilles, distinction entre activité de
négociation et les autres opérations, etc…).
Gestion de la liquidité :
L'objet de la gestion de la liquidité est de garantir que la banque est en mesure de s’acquitter pleinement de
ses obligations contractuelles.
Les éléments-clés d'une gestion rigoureuse englobent :
des systèmes performants d'information de la direction générale ;
un contrôle permanent de la liquidité ;
une analyse des besoins de financement selon différents scénarios ;
une diversification des sources de financement et des programmes d'urgence.
Les autorités de contrôle attendent des banques qu'elles gèrent leurs créances, dettes et contrats de hors-
bilan de façon à maintenir une liquidité adéquate. Chaque banque devrait disposer d'une base de
financement diversifiée, tant en termes de sources de fonds que d'échéanciers, et garantir également un
niveau approprié d'actifs liquides égaux à au moins 100% des passifs exigibles. Cette exigence est fixée en
Tunisie par la circulaire BCT n°91-24 du 17 décembre 1991 telle que modifiée par la circulaire BCT n°91-24
du 17 décembre 1991 telle que modifié par la circulaire n°99-04 du 19 mars 1999 et la circulaire n°2001-12
du 04 mai 2001.
Risque opérationnel :
Les autorités de contrôle s’assurent de l’existence au sein des banques de dispositifs idoines de contrôle
interne comportant, entre autres, une fonction d'audit et des politiques de gestion ou de limitation du risque
opérationnel (à travers des systèmes d'assurance ou des programmes d'urgence). Elles encouragent
également les banques à se doter de plans de reprise d'activité33 (PRA) adéquats et dûment testés,
prévoyant un site secondaire de repli et de secours, de manière à les protéger en cas de catastrophes
imprévues.
Page 48
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
5. Contrôles internes
Les autorités de contrôle bancaire s'assurent que les banques sont dotées de contrôles internes adaptés à
la nature de leurs activités se caractérisant par :
des structures organisationnelles (définition des tâches et responsabilités, limites discrétionnaires
pour l'approbation des prêts et procédures de prise de décision) ;
des procédures comptables (vérification de la concordance des comptes, listes des contrôles, bilans
périodiques, etc.) ;
une intégration du principe des «quatre yeux» (séparation des diverses fonctions, contre-
vérifications, double contrôle des actifs, doubles signatures, etc…) ;
un contrôle physique des actifs et des investissements ;
une indépendance des fonctions d’audit interne et externes ;
une intégration de la fonction de contrôle de la conformité.
Les auditeurs internes et les commissaires aux comptes effectuent, chacun dans le cadre de ses
prérogatives directes, une contre-vérification de l’efficacité et de la permanence de ces contrôles internes.
Les autorités de contrôle qui veillent de leur coté au bon fonctionnement au sein des banques, attribuent à
une entité indépendante34 le soin du respect de la réglementation bancaire et non bancaire et à sa bonne
adéquation avec les textes des lois en vigueur.
Ces mêmes autorités de contrôle veille également à ce que les banques se dotent de pratiques et de
procédures en matière de lutte contre les fraudes et d’une insuffisance de connaissance de la clientèle
(exemple : formulaire « KYC »35) dans le dessein de promouvoir un haut degré d’éthique et de
professionnalisme dans le secteur et empêchant l’implication de la banque (même par inadvertance) dans
des affaires criminelles ou de blanchiment d’argent.
La mise en place d’un contrôle bancaire de la part des autorités prudentielles requiert la collecte et l'analyse
d'informations, pouvant se faire sur place ou sur pièces. Un système de surveillance bancaire efficace doit
recourir aux deux procédés ci-dessus, le contrôle sur place étant effectué par des inspecteurs.
En Tunisie, la loi n°2001-65 du 10 juillet 2001 telle que modifiée par la loi n°2006-19 du 2 mai 2006 a confié
à la Banque Centrale de Tunisie (BCT) le pouvoir de contrôler les banques à travers des mesures
combinant :
34 En Tunisie, le contrôle de la conformité « compliance » est devenu obligatoire après la publication de la circulaire
BCT n°2006-12
35 Formulaire KYC « Know Your Customer » vise à collecter le maximum d’informations personnelles (revenus et leurs
sources, patrimoine mobilier et immobilier, les comptes bancaires, etc…) sur les clients lors de la phase ouverture de
compte et d’entrée en relation
Page 49
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
l’analyse de tous les documents, éclaircissements et justifications communiqués par les banques sur
la correcte application de la réglementation en vigueur ;
l’analyse des rapports des commissaires aux comptes des banques sur le système de contrôle
interne qu’ils ont eu l’occasion de tester et d’évaluer ainsi que leurs rapports destinés à l’assemblée
générale des actionnaires ;
la vérification sur pièce et sur place par les propres moyens de la Banque Centrale de Tunisie
(BCT).
La circulaire BCT n°2006-19 du 28 novembre 2006 a mis, également, à la charge du responsable de l’audit
interne la préparation d’un rapport annuel sur le système de contrôle interne à l’attention de la Banque
Centrale de Tunisie (BCT).
Quels que soient les types de contrôle sur place et sur pièces, les autorités prudentielles doivent avoir des
contacts réguliers avec la direction générale de la banque et une connaissance approfondie de ses activités.
La surveillance sur pièces peut mettre en évidence des problèmes potentiels, en particulier entre deux
inspections sur place, et fournir ainsi une détection anticipée et une suggestion d'action corrective à
entreprendre avant que les problèmes ne s'aggravent. Ces documents peuvent être également utilisés pour
faire ressortir les tendances, au niveau non seulement des banques mais de l'ensemble du système
bancaire. Ils peuvent, également, offrir des bases de discussion avec les directions générales des banques
soit de manière périodique, soit lorsque des problèmes se manifestent. Ils constituent un élément essentiel
du calendrier des inspections, de manière à tirer le meilleur parti du temps limité alloué aux vérifications sur
place.
Le contrôle sur place constitue, pour l'autorité de contrôle, un moyen de vérifier ou d'évaluer divers aspects,
notamment :
l'exactitude des différents états (financiers, comptables, statistiques…) fournis par la banque ;
l'activité et la situation globale de la banque ;
Page 50
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
l'adéquation des systèmes de gestion des risques et des procédures de contrôle interne ;
la qualité du portefeuille de prêts et le niveau approprié des réserves et des provisions pour
créances douteuses ;
la compétence de la direction générale ;
le caractère adéquat des systèmes comptables et d'information ;
les questions mises en évidence lors de contrôles sur pièces ou d'inspections précédentes sur
place ;
le respect par la banque des lois et réglementations ainsi que des conditions précisées dans
l'agrément bancaire.
En plus de ces vérifications périodiques, le contrôle sur place peut revêtir la forme d'une mission d'inspection
ponctuelle ayant l'aspect d'une enquête de courte durée et portant sur des opérations particulières.
Dans le cadre d’un contrôle efficace de la situation du secteur bancaire, les autorités de contrôle reçoivent
des banques des informations financières, regroupant les états financiers et les engagements classés
assortis d'explications ainsi que de précisions sur les principaux risques encourus, à des intervalles réguliers
qui font l’objet d’une contre vérification dans le cadre des contrôles sur place. L’objectif de ses
communications financières est d’obtenir une assurance sur la correcte application par les banques des
principes et normes comptables en matière de présentation de la situation financière et de la rentabilité de
ses activités, d’évaluation des actifs et de prise en compte des provisions pour créances douteuses.
1. Normes comptables
Pour que les informations communiquées par les banques soient comparables et aient une signification
claire, les principes retenus et les techniques utilisées dans la préparation des états financiers et des
reportings prudentiels devraient être fondés sur des normes comptables nationales pour les banques locales
et des normes comptables internationales pour les banques ayant l’obligation de préparer des reportings à
destination des sociétés mères implantées en dehors du territoire national.
Page 51
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
36 Le Comité de Bâle a constitué un groupe de travail pour examiner les questions liées à l'information financière et
fournir des références à la profession bancaire
Page 52
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Chapitre II :
Pour être efficace, tout audit interne doit remplir les conditions suivantes :
Les objectifs assignés à l’audit interne dans une banque sont formellement arrêtés par sa direction générale
ou par tout autre organe y siégeant ayant qualité de le faire et, sont, généralement, présentés sans
ambigüité dans une charte d’audit incluant les objectifs qu’il conviendra à chaque banque d’adapter en
fonction de son environnement et de ses priorités à savoir :
La sauvegarde du patrimoine et la fiabilité de l’information ;
Le respect des orientations de l’organe exécutif et des procédures ;
Un système de pilotage de la banque.
Habituellement, les fonctions de l’audit interne sont définies par la charte d’audit et à défaut par l’organe de
direction ou des organes délibérants, dont il relève.
Actuellement et depuis l’acceptation de l’audit interne comme un fondement du dispositif de bonne
gouvernance, ces fonctions sont traduites et concrétisées, à titre indicatif et essentiellement, par :
des audits financiers, couvrant :
en aval, les divers flux d’une entreprise, ces audits sont qualifiés d’audits « de conformité » ;
en amont, les processus dont découlent ces flux, ces contrôles sont qualifiés de « contrôle des
contrôles ».
des audits opérationnels, car ils couvrent les procédures ainsi que les différents aspects et résultats
de la gestion d’une entité, d’une branche d’activité, etc…
Ces audits, à objectifs, certes, différents mais fondamentalement indissociables et complémentaires de par
leur finalité, correspondent, théoriquement, à la fonction de l’audit interne dans une banque, laquelle se
révèle actuellement importante en raison de son apport apprécié et appréciable sur le plan de la détection
et, surtout, de la prévention des risques et des dérapages.
Page 53
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La fonction d’audit interne, consistant initialement à veiller à la sécurité a subi de profondes évolutions
depuis quelques années. A l’origine, son rôle était de faire des contrôles, essentiellement axés sur la
sécurité, dans un environnement peu sensible aux préoccupations du contrôle interne. L’intégration des
dispositifs de contrôle interne dans les opérations a eu pour effet de reléguer ces contrôles aux
opérationnels et a orienté l’audit vers l’appréciation du correcte fonctionnement des dispositifs de contrôle en
place « Il semble que l’on soit passé du contrôle immédiat au contrôle des contrôles37 ».
Parallèlement, les objectifs de l’audit interne, et le contenu de sa mission, vont subir des évolutions
significatives : aux objectifs, sécurité et respect des décisions de la direction générale, va s’ajouter l’objectif
efficacité. Par ailleurs, l’audit sanction va peu à peu être remplacé par l’audit prévention.
Ces évolutions ont permis aux auditeurs et aux inspecteurs d’acquérir un capital d’expériences et de
compétences, qui incite tout naturellement les directions générales à en solliciter les services pour des
missions nouvelles, à vocation de conseil. Néanmoins, les limites, quant aux domaines de compétence de
l’audit interne, qui existaient sous différentes formes et pour différentes raisons, ont été progressivement
levées. Il est maintenant admis que l’audit interne a pour mission d’intervenir partout ou existe un risque.
L’audit et l’inspection doivent avoir une attitude résolument prospective pour déceler les nouveaux risques
associés aux nouvelles activités aussi bien à l’intérieur qu’à l’extérieur de la banque. Identifier les nouveaux
risques, mais aussi les nouvelles techniques destinées à les contrer, devient une nécessité pour adapter en
permanence les dispositifs en place, ou en créer de nouveaux. Les nouveaux risques doivent être anticipés
dans un double objectif : introduire à la source les dispositifs de contrôle indispensables, former les auditeurs
et adapter en conséquence les programmes de travail et d’intervention.
§ 4 - Un plan d’audit
Compte tenu des objectifs et des domaines d’intervention de chacune des missions confiées à l’audit
interne, une planification concertée et approuvée est arrêtée pour chacune d’entre elles dans le but d’en
assurer la bonne conduite et la réalisation dans le temps et l’espace dans les meilleures conditions. Cette
planification doit préciser impérativement en fonction des risques inhérents aux activités et des dispositifs du
contrôle interne en place :
le champ, le calendrier et la fréquence de chaque mission ;
le type et les objectifs escomptés de la mission ainsi que la nature et l’étendue des procédures et
diligences requises pour sa réalisation ;
les ressources et les moyens humains et matériels nécessaires.
Page 54
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Des techniques, appropriées aux buts recherchés et aux opérations examinées, doivent être utilisées. Ces
techniques sont celles communément utilisées par les auditeurs : sondages, questionnaires de contrôle
interne, digrammes de circulation des informations et des documents, confirmations directes, logiciels d’audit
informatique, etc.…
§ 6 - Un travail de qualité
2. Un programme d’audit :
Un programme de travail, tenant compte de l’étude préalable, doit être élaboré pour orienter les contrôles à
réaliser sur leurs sujets et objectifs.
Il est établi à l’adresse des principaux responsables de la banque et sera lu par les auditeurs externes, d’où
l’importance à accorder à sa rédaction et la qualité des informations, déductions et recommandations y
consignées.
Page 55
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
1. Aspect quantitatif :
A l’exception du ratio de l’IFACI fixant le nombre d’auditeurs à 6,56 pour 1000 salariés, il n’existe pas
d’autres normes pour déterminer le nombre d’intervenants par type et objectifs de missions d’audit. En effet,
les ressources et les moyens matériels et humains alloués à l’audit interne sont, théoriquement, en étroite
corrélation avec le plan de charge pluriannuel de ces structures. Ils sont révisés annuellement en fonction de
l’urgence des besoins pressants et clairement précisés.
La parité théorique, voire problématique, entre les besoins et les ressources alloués à l’audit interne est
généralement l’objet d’arbitrage de la part de la direction générale entre les tenants et aboutissants
recherchés de l’audit interne ou par référence à l’expérience d’entreprises d’envergure et à activités
similaires ou compte tenu de la confiance témoignée à l’égard des dispositifs de contrôle interne en place de
contrôle interne, des structures humaines, etc…
2. Aspect qualitatif :
Les auditeurs doivent justifier, à la fois, de compétences techniques confirmées ou acquises en matière
d’audit. Ils sont, également, supposés avoir des connaissances dans les domaines informatiques, de gestion
et d’administration en général et des qualités humaines nécessaires et suffisantes pour leur permettre de
dépasser le phénomène de rejet et de surmonter les entraves qui leur sont réservées par les audités. Cette
polyvalence et ces qualités de l’auditeur interne sont généralement entretenues par des cycles de formations
continues dans les divers domaines de leur métier.
L’auditeur interne au sein d’une banque, en charge de la vérification de la régularité des enregistrements
des opérations, de l’appréciation de la situation des risques ainsi que des politiques et processus de leur
gestion et contrôle, doit pour se faire recourir à des méthodes pointues pour analyser l’environnement, les
risques existants ou potentiels et l’organisation interne.
Compréhension de l’environnement
Cette phase suppose la réalisation d’une enquête pour :
positionner la banque dans son environnement en répondant aux questions, suivantes : quels sont
ses clients ? ses produits ? ses marchés ? quel est géographiquement son périmètre d’intervention
et son contexte socio économique ? quels sont ses actionnaires et quelles sont leurs attentes ? quel
est le cadre légal et réglementaire régissant son fonctionnement et ses activités ?
identifier les risques inhérents à ses activités (business risks), notamment, les risques résultant de :
sa sensibilité à l’évolution des indicateurs économiques, tels que les taux de change, taux
d’intérêt, etc.… et à la concurrence ;
Page 56
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La démarche méthodologique (Cf. Fig.6) d’une mission d’audit axée sur les risques est structurée en quatre
phases dont trois principales et une quatrième complémentaire à savoir :
i. préparation/étude
ii. réalisation/vérifications
iii. conclusion
iv. suivi
38 éviter un risque (par exemple, ne pas rentrer sur un nouveau marché ou ne pas offrir certains types de services),
réduire ou transférer un risque (par exemple, utilisation des dérivés de crédit), accepter le risque
39 Risk Owner = propriétaire du risque
Page 57
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
(Fig.6)
Les trois premières phases (Cf. Fig.7) correspondant au processus de déroulement d’une mission d’audit se
présentent schématiquement, comme suit :
(Fig.7)
Source : Initiation à l’audit interne CERAM SOPHIA ANTIPOLIS
La quatrième phase, qui est celle du suivi constitue à elle seule une mission à part entière, néanmoins, il est
important de la considérer comme un aboutissement logique des trois premières phases.
Page 58
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La réalisation des audits axés sur les risques doit obéir aux consignes, ci-dessous à savoir :
constat interrogation hypothèse recommandation ;
approche systémique et examen multidisciplinaire ;
constitution de repères et de systèmes de référence ;
comparaisons susceptibles de mettre en évidence des écarts significatifs et d’en apprécier la valeur ;
démarche inductive : partir des faits pour remonter vers les causes ;
introduction de la quantification pour les risques.
De toute manière l’auditeur doit suivre et respecter une démarche d’audit conforme aux normes
professionnelles d’audit et les standards de l’Institute of Internal Audit (IIA).
1. La phase de préparation :
Cette étape est l’une des plus importantes dans une mission d'audit axée sur les risques, elle permet à
l’auditeur de connaître le contexte de la mission et d’identifier les risques spécifiques liés aux domaines à
auditer.
Page 59
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La première étape à ce stade consiste à identifier les processus principaux de l’entité auditée au moyen de :
questionnaires en nombre suffisant eu égard à la taille et à la complexité de l’entité auditée et aux
consignes et objectifs de la mission d’audit ;
réunions de travail avec les préposés concernés ;
interviews directes.
A l’issue de cette étape, les processus sont mappés dans une matrice (Cf. Fig.8) avec présentation des
processus horizontalement et des services verticalement.
Page 60
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
(Fig.8)
Source : Audit interne un acteur incontournable au sein de la gouvernance d’entreprise, 2007
Une fois tous les processus identifiés et approuvés, ils sont visualisés par des « Flow Charts » comme suit :
Les éléments clés du système de contrôle interne de chaque processus sont ensuite repris dans une matrice
des risques (Cf. Fig.9). Ces éléments sont :
les risques inhérents, c'est-à-dire les risques qui existent si le management ne met en place aucune
mesure corrective ;
la description des contrôles en place ;
le type de contrôle (automatique, manuel, préventif ou de détection) ;
la fréquence de fonctionnement du contrôle ;
la personne responsable de l’exécution du contrôle ;
les assertions d’audit ;
les rubriques des états financiers, affectées par le processus ;
l’appréciation de la conception du contrôle ;
l’efficacité des contrôles en place ;
les risques résiduels.
Page 61
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
(Fig.9)
Source : Audit interne un acteur incontournable au sein de la gouvernance d’entreprise, 2007
Les risques résiduels- résultant du processus d’évaluation, c'est-à-dire des risques non couverts par des
mesures de correction adéquates et susceptibles d’avoir un impact significatif et une probabilité d’occurrence
élevée- seront traités en fonction de l’appétence au risque de la banque.
1ère étape : découper le processus audité en tâches ou opérations élémentaires (1ère colonne) et indiquer en face de chacune des tâches l’objectif
recherché. Il répond à la question à quoi sert-elle ? (2ème colonne)
2ème étape : en face de chaque tâche et des objectifs qui lui sont assignés, l’auditeur interne répond à la question : que peut-il se passer si les
objectifs ne sont pas réalisés, si la tâche est mal faite ou n’est pas faite ? il s’agit de rappeler les risques essentiels attachés à la tâche en question
(3ème colonne du tableau)
3ème étape : (4ème colonne du tableau) une évaluation du risque attaché à cette tâche : risque dangereux (D) ; risque élevé (I) ; risque moyen (M) ;
risque faible (F)
Exemple d’anomalies : instructions d’inventaire inexistantes, absence de comptabilisation des garanties, montant des provisions minorés, risques
fiscaux non identifiés, des suspens non apurés, etc.…
Exemple d’entorse aux principes du contrôle interne : absence de supervision, non-conformité avec les normes comptables en vigueur,
mauvaise appréciation des risques et charges, absence d’un guide fiscal, absence et/ou mauvais suivi des suspens anciens, etc.
Exemple de conséquences potentielles sur le patrimoine : détournement, fraude, risques de pertes, camouflage en comptabilité, perte de jour
de valeur, risque de pénalité de retard et de redressement fiscal, absence d’inventaire physique, etc.
Exemple de conséquences potentielles sur les états financiers : valeurs d’exploitation inexactes, la rubrique engagements des garanties
reçues ne reflète pas la réalité, résultat de l’exercice gonflé et provisions pour risques et charges minorées, etc.…
Page 62
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
2. La phase de réalisation :
Lors de cette phase l’accent est mis sur l’analyse les risques potentiels identifiés lors de la précédente
phase, la prise de connaissance du dispositif de contrôle interne existant et la vérification de sa bonne
application ainsi que de ses limites.
Page 63
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Le responsable de l’audit doit présenter le rôle et la teneur de sa mission tout en insistant sur la vocation
d’assistance que peut apporter l’audit interne en vue d’améliorer l’existant.
Cette réunion est clôturée par la rédaction d’un compte rendu comportant l’acceptation expresse des termes
de la mission par les parties concernées présentes.
Page 64
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
une piste d’audit, satisfaisant aux dispositions prévues à ce sujet par le paragraphe 22 de la
deuxième partie de la norme comptable générale NCT 01, traitant de l’organisation comptable et
clairement définie pour permettre la remontée des enregistrements et données (Cf. Fig.10) résultant de
la pièce justificative aux différents postes des états financiers en transitant du journal général au
grand livre et à la balance.
(Fig.10)
Piste d’audit dans le cadre d’un système comptable mécanisé
3. La phase de conclusion :
Dans le cadre de cette phase il y lieu de présenter et de valider les conclusions de la mission avec les
responsables de l’entité auditée, de rédiger le pré-rapport d’audit à partir des investigations sur le terrain et
de finaliser le rapport définitif.
Page 65
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Sur la base de ses constats, l’auditeur interne révise ses évaluations préliminaires des risques potentiels
inhérents aux activités et systèmes concernés par la mission d’audit, en procédant à leur hiérarchisation par
degré de gravité de manière à pouvoir, en premier lieu, en déterminer les effets et conséquences potentiels
et, ensuite en sélectionner sur cette base ceux méritant d’être divulgués et de faire l’objet d’une
communication formalisée à toutes les parties concernées.
Page 66
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
rapport, signé par son émetteur, daté et revu avant sa diffusion, doit rappeler et exposer selon les standards
de rapport de l’établissement, en l’occurrence, une banque et, à titre illustratif ce qui suit :
les objectifs de la mission, son objet, les délais, conditions et modalités de sa réalisation avec une
mention spéciale concernant les empêchements à sa bonne conduite ;
les faits décelés et les recommandations s’y rapportant exposés clairement et de manière intelligible
garantissant leur justification avec précision et concision ;
les différents commentaires sur les indicateurs de performances, d’ordre financier, matériel
etc…associés ou indirectement en relation avec l’objet de la mission d’audit interne.
Le rapport d’audit interne ne doit en aucun cas comporter des points non validés par les audités.
4. La phase de suivi :
Les objectifs de cette phase consistent à suivre les recommandations du rapport définitif d’audit afin d’en
vérifier la portée effective sur tous les plans et de déterminer les mesures prises par l’entité auditée pour
améliorer sa performance et évaluer si ces mesures sont suffisantes pour remédier aux déficiences
constatées.
Lettre de suivi
Validation
Rapport de suivi
a)- Déclenchement
Après l’écoulement d’un laps de temps, généralement, prédéfini à partir de la date de sa diffusion, tout
rapport d’audit interne est l’objet de suivi, par des auditeurs indépendants de ses rédacteurs mais
généralement et pour des considérations d’ordre pratique et d’efficacité par ceux là mêmes.
Page 67
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
En effet, tout procédé de surveillance et de revue du processus de gestion et de maîtrise des risques, doit
permettre de vérifier si :
Les mesures adoptées en la matière ont produit les résultats escomptés,
Les procédures instaurées et les informations recueillies pour l’évaluation des risques identifiés, sont
appropriées,
Page 68
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Les mesures se caractérisant par leur globalité, doivent couvrir toutes les sources importantes de risque ;
les processus de mesures doivent évoluer en fonction des besoins des utilisateurs de ce type d’information
et répondre à leurs attentes ;
La mesure des les positions, lesquelles ? ouvertes peuvent être décomposées en limites partielles en fonction des
risques contreparties, activités, produits ou toutes autres mesures utiles â la direction générale de la banque ;
les normes utilisées pour mesurer chaque type de risque doivent reposer sur des principes applicables à
tous les produits et activités mesurés.
La détermination et l’initiation de réponses adéquates aux risques doivent être fondées sur l’évaluation
permanente du risque et du rendement ;
la direction générale doit s’assurer que l’activité opérationnelle n’expose pas la banque à des pertes
La gestion du évitables ou pouvant l’exposer à des difficultés majeures ;
risque la gestion du risque implique en somme la mise en place de procédures pour identifier et évaluer les
alternatives de gestion d’une situation de risque par référence à la politique de la banque.
les préposés au contrôle du risque et la détermination de limites par risque doivent justifiés
d’indépendance à l’égard des gérants des risques ;
Le contrôle du les limites de risque et la politique de la banque doivent se caractériser par leur cohérence ;
risque les rapports doivent procurer à la direction g é n é r a l e une information facile à exploiter, complète et
â temps sur l’exposition au risque.
Dans le cadre de ses prérogatives, l’auditeur interne au sein d’une banque procède à des diagnostics
périodiques (Cf. Fig.11) et aussi fréquents que nécessaire du système de contrôle interne et de management
des risques et, à cet effet, il se doit de :
centrer ses travaux sur les risques significatifs identifiés ;
auditer les processus de gestion des risques dans le but de fournir des assurances sur la qualité et
l’efficience de ces systèmes ;
porter le compte-rendu des risques à la direction générale et au comité permanent d’audit interne.
(Fig.11)
Source : Cadre de référence de la gestion des risques FERMA, 2003
Les modalités de maîtrise des risques, suivants, encourus potentiellement par une banque feront l’objet de
développement spécifiques pour chaque risque :
i. le risque de crédit ;
ii. le risque de marché ;
iii. le risque global de taux d’intérêt ;
iv. le risque opérationnel.
Page 69
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Les pertes consécutives aux défaillances, constituent l’un des risques précisés du métier de banquier, elles
résultent généralement :
de faiblesses du contrôle interne ;
d’activités de crédit non appropriées.
Le dispositif de contrôle interne à mettre en œuvre pour prévenir ce risque doit permettre de :
s’assurer que le risque de crédit qu’une banque accepte d’encourir, inclut tous les engagements au
bilan et en hors bilan par relation et, qu’il est surveillé et évalué convenablement, en permanence,
aussi fréquemment que nécessaire conformément aux consignes de la banque en la matière, à la
réglementation bancaire et aux exigences des autorités de contrôle ;
vérifier que les dossiers de crédit sont correctement documentés et mis à jour régulièrement, et
comportent des informations sur chacune des relations engagées, sur ses activités, sa situation
financière, ses partenaires et relations, la composition et la localisation de son patrimoine,
l’implantation géographique de ses unités d’exploitation, les détails et la justification des concours
qui lui sont consentis et la nature et titres des garantie recueillies pour en assurer la couverture,
etc…
identifier de manière centralisée tous les risques bilan et hors bilan à l’égard d’une même
contrepartie ou d’un groupe de contreparties, d’un même secteur économique, d’un pays ou d’une
zone géographique ;
appréhender différentes catégories internes d’appréciation du niveau de risque de crédit à partir
d’informations qualitatives et quantitatives ;
s’assurer que le système de délégations de pouvoir est formalisé et respecté ;
assurer la cotation en amont des engagements et, en aval, la détection des engagements douteux,
risqués et impayés ainsi que la concentration des risques par groupe, secteur et souverain ;
acceder sur demande et en temps réel à toute information d’origine interne et externe renseignant
sur le comportement actuel et prévisible des contreparties dont les engagements sont surveillés en
application des réglementations en vigueur et à la suite de leur défection ou mise sous statut
juridique particulier, etc…
Il importe, par ailleurs, de souligner que l'appréciation du risque de crédit par la quasi majorité des banques
locales tient à des critères, tels que prévus par la circulaire BCT n°91-24 elle résulte, habituellement :
pour les relations personnes morales, d’une analyse rétrospective et prospective de la situation
économique et financière de celles-ci et, surtout, des caractéristiques actuelles de leur marché et de
Page 70
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
ses perspectives et sert, en tout cas, à assurer sa classification par catégorie d’entreprises (GEI et
PME/PMI) ;
pour les clients personnes physiques, de leur segmentation selon des critères tenant à leur statut
social, la nature de leur revenu et à leur secteur d’appartenance et, partant, de l’évaluation du risque
que les revenus de cette catégorie de client présentent et, ce eu égard aux incertitudes quant à sa
véracité et permanence.
De manière générale, la surveillance des risques repose sur un contrôle à deux niveaux :
Contrôle à priori
Contrôle à posteriori
Contrôle à priori :
Ce contrôle repose sur le principe consistant à vérifier que les principales opérations des clients ont acquis
l’accord d'un délégataire40 dès lors que celles-ci mettent la position de la contrepartie en anomalie
(notamment les dépassements) ou concourent à la mise en place d'un nouveau crédit.
Ce traitement est en général centralisé au niveau de la Direction des Crédits qui prend en charge toute la
fonction d'octroi de crédits relative aux clients d'une certaine taille.
Ce contrôle suppose l’existence d'outils ou utilitaires offerts par tout système d’information permettant, à
l’instar des systèmes de type global bancaire (exemple : Delta global bancaire ou Temenos T24), de fournir
sur demande des informations sur les autorisations et les utilisations en résultant par contrepartie.
Contrôle à posteriori :
Le principe de contrôle à posteriori est assuré aussi fréquemment que nécessaire selon les consignes en la
matière de la banque ou prévues par les réglementations en vigueur et, ce par une surveillance assidue des
dépassements, des impayés etc…
La pertinence de ce contrôle tient à la vigilance des opérationnels et ce, grâce à leur aptitude avérée à
pronostiquer en temps réel les risques inhérents aux opérations dont ils ont la charge d’administrer.
La technique du Rating
Cette technique consiste à attribuer une note à chaque client (appelée aussi "cotation" ou "rating") par
référence à une grille de notation interne.
Cette technique, applicable aussi aux dossiers de crédit, est révélatrice de leur qualité et de l’opposabilité
des documents y insérés.
L’étude de la Rentabilité
Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations effectuées
avec le client et ce, à travers l’analyse prévisionnelle des charges et des produits y afférents.
40 Un délégataire : c’est la personne en charge des dossiers de crédit. Il peut être un chargé d’affaires (senior
banker) pour les GEI ou le chef d’agence pour les PME/PMI et les personnes physiques
Page 71
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
En l'état actuel des choses, la rentabilité des opérations n'est souvent obtenue qu’à travers un PNB agrégé.
Elle ne prend pas en compte tous les coûts et notamment le coût du risque.
Certaines banques sont parvenues récemment à établir un RBE (Résultat Brut d’Exploitation) par client et
par opération. Cependant, ce calcul reste approximatif dans la mesure où les charges affectées à chaque
relation sont attribuées sur la base de clés de répartition qui restent empreintes d'arbitraire en l'absence d'un
système de comptabilité analytique permettant de décliner finement les coûts par client.
Page 72
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 73
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 74
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 75
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Cette entité, couvrant, théoriquement, l’ensemble des activités financières au sein d’une banque, à savoir :
les opérations sur le marché des changes, le marché des dinars-devises, le marché monétaire, le marché
des titres et, le marché d’instruments financiers à terme, nécessite des mesures draconiennes de contrôle
interne pour tenir compte :
du volume important et des spécificités particulières des opérations traitées ;
de la sophistication caractérisant les techniques exercées pour l’exécution des ordres d’opéré qui lui
sont donnés et de la célérité des décisions que celle-ci implique nécessairement.
Or, ces deux objectifs, qui ne sont pas irréalisables, ne sont pas pour autant faciles à atteindre en raison :
du recours fréquent dans les salles de marché à l’outil informatique et électronique ;
de temps de réaction très court aux demandes des services des salles de marché ;
des délais, souvent très courts, impartis pour le débouclement d’une position.
Page 76
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
vérifier que ces risques font l’objet d’une évaluation appropriée et d’une surveillance assidue dans le
but d’en prévoir et d’en prévenir en temps réel les conséquences potentielles et, ce en agrégeant,
notamment, les positions consolidées ou non par marché et par instrument financier, dont ils
découlent ;
être revu dans sa composition en tant que de besoin pour tenir compte, essentiellement, de
l’évolution de l’activité sur les marchés et de leur environnement.
Les expositions aux risques de marché doivent être suivies en permanence et faire l’objet de reporting à
diffuser au niveau de tous les échelons de la hiérarchie. Les manquements aux règles, une fois identifiés et
Page 77
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
analysés, seront suivis de mesures correctives comportant soit l’octroi de limites supplémentaires soit le
débouclement des positions pour un retour à l’intérieur des limites notifiées.
L’audit de l’activité de marché comporte trois étapes : l’évaluation du contrôle interne, l’audit des opérations
et l’audit des comptes. Les objectifs généraux de cet audit consistent à apprécier :
La qualité et la fiabilité des informations véhiculées sur la nature des opérations traitées, des
positions prises et de leur rentabilité ;
L’efficience des systèmes de maîtrise des risques générés par les opérations traitées à la salle des
marchés ;
La contribution des différents services concernés (front office, back office, contrôle des risques et
contrôle interne) à la maîtrise de ce risque.
La mission d’audit de la salle des marchés aura pour objet d’apprécier comment sont couverts les risques
liés à l'activité de marché à travers la couverture des cinq domaines suivants :
i. les traitements en front office ;
ii. les traitements en back office ;
iii. la gestion du risque de contrepartie ;
iv. la gestion du risque juridique ;
v. la gestion de la sécurité physique.
Page 78
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 79
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 80
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 81
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 82
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 83
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 84
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 85
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 86
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 87
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 88
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre de :
s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif, du passif et du
hors bilan de la banque, du fait d’une évolution défavorable des taux d’intérêt, sont correctement
mesurés et font l’objet d’une surveillance régulière et adéquate ;
mettre en place une gestion actif/passif (ALM = Asset Liability Management) permettant
d’appréhender les positions et les flux certains et prévisibles résultant de ces opérations ainsi que
les différents facteurs de risques de taux d’intérêt global en découlant et d’évaluer l’impact des
facteurs significatifs sur les résultats et les fonds propres de la banque ;
choisir des paramètres et des hypothèses pour l’évaluation du risque global de taux d’intérêt en
tenant compte du niveau d’activité de la banque sur les différents marchés ;
réexaminer périodiquement ces hypothèses pour s’assurer de leur cohérence et de leur validité au
regard de l’évolution de la structure des activités exercées et des conditions du marché ;
évaluer, à partir de scénarios catastrophes «stress test» revus périodiquement, les conséquences
des situations exceptionnelles sur les résultats et les fonds propres de la banque. Les résultats sont
communiqués à la direction générale qui en informera le conseil d’administration.
Page 89
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
En effet, la position structurelle de taux recèle des risques majeurs en cas de variation durable et
significative des taux d'intérêt. Pour une banque de dépôt, par exemple, le scénario catastrophe serait une
forte baisse des taux suivie d'une longue période de taux bas.
Il se constitue alors un risque atypique, dont la maîtrise et l’appréhension, certes requises par les articles 35
à 37 de la circulaire BCT n°2006-19 du 28 novembre 2006, nécessitent la planification de missions d’audit
interne spécifiques et de portée générale pour s’assurer de :
l’existence d’un système de mesure du risque global de taux permettant à la banque d’appréhender
les différents facteurs de ce risque ;
L’existence d’un système de mesure du risque global de taux permettant à la banque d’évaluer
périodiquement l’impact de ce risque sur les fonds propres ;
L’existence d’un système pour réaliser des simulations de scenarios des risques de taux d’intérêt en
cas de fortes variations des paramètres de marché ou de rupture des hypothèses retenues ;
la validité et de la cohérence des paramètres et des hypothèses retenus pour l’évaluation du risque
global de taux d’intérêt ;
L’existence de mécanismes de remontée des informations relatives aux résultats des mesures du
risque global de taux d’intérêt pour en assurer la communication au conseil d’administration
(fréquence, périodicité, contenu, feed-back,…).
Page 90
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 91
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 92
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Cette définition recouvre les erreurs humaines, les fraudes et malversations, les défaillances des systèmes
d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies,
inondations, etc.… En fait, son champ d'application semble tellement large qu'on n'en perçoit pas le
périmètre.
De plus, la notion de risque opérationnel apparaît en première analyse, peu novatrice, dans la mesure où les
banques n'ont pas attendu le comité de Bâle pour organiser leurs activités sous forme de procédures, et
pour se doter de départements d'audit interne chargés de vérifier la bonne application de ces procédures.
Ainsi, il est admis que le risque opérationnel est la conséquence de tout fait ou tout événement :
qui perturbe le déroulement normal des processus par métier ;
qui génère des pertes financières ou une dégradation de l'image de la banque.
Parmi les risques croissants qui menacent les banques, on peut citer les exemples suivants :
L’automatisation accrue des techniques, si elle n’est pas bien maîtrisée, elle peut transformer les
risques d’erreurs humaines (traitement manuel) en risques de pannes des systèmes, à mesure que
l’on recourt davantage à des systèmes automatisés et intégrés ;
Le développement du commerce électronique entraîne des risques potentiels (problèmes de fraude
interne et externe et de sécurité des systèmes) ;
Les acquisitions, fusions, regroupements et annulations de fusions mettent à rude épreuve la
viabilité des systèmes nouveaux ou nouvellement intégrés ;
L’apparition de banques offrant des services nombreux pour des montants importants oblige à
entretenir en permanence des contrôles internes et des systèmes de secours de haut niveau ;
Les techniques d’atténuation du risque (par exemple, sûretés, dérivés de crédit, accords de
compensation et titrisation) utilisées par les banques afin d’optimiser leur exposition aux risques de
marché et de crédit peuvent engendrer d’autres formes de risques (par exemple, juridique).
Les incidents (Cf. Fig.12 & Fig.13) de nature opérationnelle, selon le comité de Bâle, susceptibles d’occasionner
des pertes, regroupent :
Fraude interne : par exemple, informations inexactes sur les positions, vol commis par un employé
et délit d’initié d’un employé opérant pour son propre compte.
Fraude externe : par exemple, hold-up, faux en écriture, chèques et effets de cavalerie et
dommages dus au piratage informatique.
Page 93
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Unités
organisationnelles
Acteurs
Instances et
comités
cause
interne Logiciels
informatiques
SI
Moyens
d’exploitation
Client
Tiers
Cause
Fournisseurs / Prestataires
externe
Partenaires
Autres
(Fig.12)
Page 94
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
(Fig.13)
Les travaux du comité de Bâle ont défini une segmentation des risques en 8 lignes métiers et 7 catégories
d’événements qui permettent de constituer une matrice à 56 cases représentatives de l’ensemble des
activités bancaires et des risques associés.
Page 95
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Dommages aux actifs Destruction ou dommages résultant d’une catastrophe Catastrophes et -Pertes résultant d’une catastrophe
corporels naturelle ou d’autres sinistres autres sinistres naturelle
-Pertes humaines dues à des causes
externes (terrorisme, vandalisme)
Exécution, livraison et Pertes résultant d’un suspens sur transaction ou d’un Saisie, exécution et -Difficultés de communication
gestion des processus problème dans la gestion des processus ou pertes subies suivi des transactions -Erreurs dans la saisie, le suivi ou le
dans le cadre des relations avec les contreparties chargement
commerciales et les fournisseurs -Non-respect de délais ou d’obligations
-Erreurs de manipulation du
modèle/système
-Erreurs comptables/d’affectation d’un
élément
-Autres erreurs d’exécution
-Fautes dans la gestion des sûretés
Page 96
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Exécution, livraison et Pertes résultant d’un suspens sur transaction ou d’un Saisie, exécution et -Difficultés de communication
gestion des processus problème dans la gestion des processus ou pertes subies suivi des transactions -Erreurs dans la saisie, le suivi ou le
dans le cadre des relations avec les contreparties chargement
commerciales et les fournisseurs -Non-respect de délais ou d’obligations
-Erreurs de manipulation du
modèle/système
-Erreurs comptables/d’affectation d’un
élément
-Autres erreurs d’exécution
-Fautes dans la gestion des sûretés
(Fig.14)
Source : Comité de Bâle sur le contrôle bancaire (BRI)
Les systèmes et procédures mis en place pour assurer la maîtrise des risques opérationnels devront
permettre de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances, de
quelque ordre que ce soit, sont identifiés et qu’ils font l’objet de mesures susceptibles de limiter leur
survenance et leur impact sur le fonctionnement global de la banque (Cf. Fig.15).
Civil
Pénal
Assignation Dommages / Frais juridiques
Prudhomme
Autres
CMF
Conséquences
Réglementair BCT
qualitatives
Sanctions & Pénalités
e et assimilé
Administration fiscale
Autres
Incidence de continuité
Santé et sécurité
Sanctions & Pénalités
Climat social
Image / Réputation
(Fig.15)
Page 97
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Certaines banques ont eu l'idée de constituer une base de données interne incluant tous les événements de
pertes occasionnées dans le cadre de l'exercice de leurs activités. Ces événements doivent, néanmoins,
être identifiés de manière exhaustive par l'inspection générale, l'audit interne ainsi que par les préposés au
reporting en interne41.
Un processus métier désigne un ensemble de tâches successives en vue de fournir un produit ou un service
à la clientèle. La définition des processus métier répond en premier lieu à un découpage économique de
l'activité de la banque, et non à un découpage organisationnel.
L'identification des processus métier commence par le recensement des différents produits et services ainsi
que des acteurs y impliqués et de leurs tâches respectives.
A chaque étape du processus on associe les incidents susceptibles d'en perturber le fonctionnement.
Chaque événements de risque est évalué en termes de :
Probabilité d'occurrence (fréquence de survenance)
Perte encourue en cas de survenance (impact)
A chaque événement à l’origine d’une perte est associé une catégorie de risques (Cf. Fig.14) rendant l'analyse
des données plus facile et plus rapide. Pour être réaliste et utile, l'analyse des processus métier et des
risques encourus doit être confiée aux opérationnels concernés.
La cartographie est ensuite complétée par l'identification des facteurs de risque : « Key Risk Indicators » qui
sont les éléments quantitatifs susceptibles de mesurer la probabilité de survenance d'un risque (nombre
d'opérations traitées, taux d'absentéisme, etc.…). Cette notion constitue le fondement de la méthode dite :
« Score Card ».
L'identification a priori des risques aboutit à une cartographie conceptuelle des activités dont seul l’examen
sur le terrain, permet de valider la description et l'identification des zones d'activité sensibles, en amant, pour
mettre en place les contrôles adéquats en aval. L’étape suivante est la collecte des incidents constatés dans
une base historique, permettant d'évaluer les pertes réellement subies suite aux risques opérationnels (Loss
Data).
41 Le système de collecte et de reporting sur les incidents opérationnels constitue une partie intégrante des procédures
de gestion du risque opérationnel
Page 98
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La collecte des incidents opérationnels s'effectue généralement sous forme déclarative. Les opérationnels
remplissent des fiches standardisées qui sont ensuite saisies dans une base de données. On peut
également prévoir, pour les incidents de type panne informatique, une collecte automatique ou semi-
automatique (rapport d’incident sur les valeurs des pertes encourues).
Ces bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'informations
pour la gestion des risques opérationnels. Ces bases de données offrent une vision objective, chiffrée, des
risques encourus.
La collecte des événements de perte s'appuie sur la cartographie précédemment établie pour le
recensement et le référencement des incidents. Cette collecte permet par ailleurs, par un effet rétroactif, de
parfaire cette cartographie.
L'exploitation statistique des données de pertes ainsi recensées permet d'obtenir un graphique (Cf. Fig.16) des
événements de pertes où s'échelonnent, d'une extrémité à l'autre, les événements fréquents ayant un
impact financier faible, jusqu'aux événements rarissimes aux conséquences catastrophiques.
(Fig.16)
Composants de l’évaluation :
Cette exposition est évaluée par une cotation des risques, en fréquence et en impact, basée sur le niveau de
perte potentielle :
Page 99
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Réalité
Défaillant Peu efficace Efficace
Pertinence
Défaillant Défaillant A améliorer Bon
A améliorer Défaillant A améliorer Bon
Bon Défaillant A améliorer Excellent
L’aire des risques récurrents, ou attendu (fréquence élevée, faible impact unitaire) : est évalué, en
tenant compte du niveau des contrôles permanents, par le montant des pertes récurrentes attendues à
horizon d’un an et/ou par le niveau de nuisance des impacts non financiers (risque d’image, risque
réglementaire, sanctions pénales). Exemples : risque d’erreurs de bourse, risque de fraude à la carte
bancaire, intérêts de retard pour paiements tardifs42.
L’aire des risques majeurs (fréquence faible, impact élevé) : est évalué, en cas de défaillance grave des
contrôles permanents ou d’événement(s) externe(s) exceptionnel(s), par le montant de la perte potentielle
maximale et/ou par l’importance de l’impact non financier, dont la fréquence varie d’une fois par an à une
fois tous les dix ans. (Exemples : dissimulations de position, départ de personne clé, pannes informatiques
sérieuses, amendes réglementaires majeures…).
42 « Sound practices for the management and supervision of operational Risk » (février 2003) - Risk Management :
Identification, Assessment, Monitoring and Mitigation/ Control
Page 100
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La cartographie fournit, processus par processus, l’exposition aux risques opérationnels pour chaque
catégorie de risque de la typologie Bâle II, et permet ainsi au management de l’entité de connaître ses
principales zones de vulnérabilité et d’appliquer une gestion par nature de risque.
La cartographie des risques est une composante du Tableau de Bord Risques (TBR) de la banque, destiné
au management. Elle lui permet de décider des actions à mener pour gérer ces risques : assumer, éviter,
prévenir (réduire la fréquence), atténuer (réduire l’impact) ou transférer (couverture par des assurances).
En retenant comme base de travail la typologie des risques opérationnels définis par le comité de Bâle on
remarque une tendance à la concentration des incidents opérationnels au niveau de quatre domaines
d’activités :
i. Le domaine lié aux traitements comptables (exécution livraison et gestion des processus)
ii. Le domaine lié à la gestion des ressources humaines (RH et sécurité de travail)
iii. Le domaine lié au système d’information (dysfonctionnement des systèmes)
iv. Le domaine des opérations à l’agence (fraude interne, fraude externe, négligences des règles clients)
Page 101
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La mission a pour objectif d’apprécier comment sont couverts les risques opérationnels liés à la fonction
comptable. Parmi les familles de risques recensées, on citera notamment les risques de non exhaustivité, de
non qualité, de non fiabilité de l’information comptable, des comptes et des états financiers, de l’information
financière consolidée, réglementaire et fiscale.
L’audit de la fonction comptable devra mesurer le niveau des risques, leur évolution, et l’avancement des
plans d’actions correcteurs.
Page 102
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 103
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 104
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
43 Les applications périphériques englobent pour les banques qui ne disposent pas d’un système du type global
bancaire les application gérant les opérations à l’agence, la monétique, le SBE, etc.
Page 105
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 106
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 107
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La fonction RH est une fonction support, la mission d’audit aura pour objet d’apprécier la parfaite couverture
des risques liés à cette fonction.
Les investigations auront donc pour objet de répondre à deux types de préoccupations :
Celles relatives à l’audit de conformité : conformité avec les accords sociaux, avec les aspects
juridiques et fiscaux, avec les budgets et avec l’organisation interne de la banque ;
Celles relatives aux audits de gestion : quelles sont les pratiques de rétribution, les freins à la
mobilité interne, la politique de gestion des compétences, l’efficacité de la formation, l’appréciation
de la qualité du climat social.
Parmi les familles de risques recensées, citons principalement les risques de management, juridiques, de
déontologie et de conformité, opérationnels et fiscaux. L’audit des ressources humaines devra mesurer le
niveau des risques, leur évolution et l’anticipation de plans d’action correcteurs.
Page 108
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
B. Stratégie
Objectifs et points de contrôles :
Des objectifs sont-ils fixés annuellement par ligne-métier ? Sont-ils accompagnés de plans d’actions ?
La synergie avec le management est-elle suffisante ?
La direction des RH est-elle associée à la détermination des objectifs ? La procédure budgétaire intègre-t-elle les objectifs en
matière de RH ? Les objectifs annuels généraux de la banque sont-ils communiqués aux différents responsables de la
banque ?
Risques :
Risque lié au management.
Risque opérationnel : risque lié aux ressources humaines (non prise en compte des impératifs de la banque, non respect du
budget, non application des décisions prises)
Approche et étendue des travaux d’audit :
=> Obtenir les plans d’actions, les instructions en matière de recrutement, les plans de formation de gestion individuelle et
d’acquisition de moyens.
=> Demander les communications avec le management (courriers, mails…).
=> Vérifier l’existence d’une communication institutionnelle, de règles écrites, de visites régulières.
=> Vérifier si le Directeur des RH participe à la fixation des objectifs (notes, mails…).
=> Vérifier si la direction des RH participe à la procédure budgétaire dans le cadre de l’élaboration du budget général de la
banque.
C. Qualité
Objectifs et points de contrôles :
Y a-t-il une démarche qualité au sein de la direction des RH
Risques :
Risque opérationnel : risque lié au RH (efficacité non mesurée)
Approche et étendue des travaux d’audit :
=> Vérifier les études statistiques sur les délais de traitement des demandes (de congé, de formation, etc.), sur les
couvertures de postes, sur le suivi de la formation, la satisfaction des stagiaires.
D. Déontologie
Objectifs et points de contrôles :
La réglementation interne et le code de déontologie de la banque sont-ils respectés ?
Les règles de confidentialité sont-elles respectées au sein de la direction des RH ?
Risques :
Risque lié au management,
Risque opérationnel : risque juridique
Risque de déontologie et de Conformité (divulgation d’informations sensibles)
Approche et étendue des travaux d’audit :
=> Vérifier par sondage que le règlement intérieur et le code de déontologie ont été remis et lus par chaque collaborateur.
Vérifier la sécurité et la confidentialité du système de gestion de la paie et le calcul du bonus, la distribution des fiches de
Page 109
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 110
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 111
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 112
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 113
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 114
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 115
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La maîtrise de la fonction système d'information, au sein de toute banque commerciale comme ailleurs,
passe notamment par la maîtrise des quatre domaines suivant :
Une organisation claire et un management adéquat avec des procédures générales visant à
maîtriser la fonction SI dans son ensemble ;
La maîtrise de la sécurité par une analyse régulière des risques pesant sur le système d'information
de l'entité (sécurité logique, sécurité physique, et la continuité d’activité) ;
L'efficacité, l'efficience et l'intégrité des applications développées (en interne ou en externe), des
progiciels ou des systèmes existants ayant subi des modifications ;
L'exhaustivité des procédures d’exploitation du SI : indicateurs de qualité, performance, planification
et contrôle des travaux.
Dans le cadre de l’audit du SI, l’analyse portera sur le domaine de la sécurité informatique dans la mesure
où il est à cheval sur deux catégories d’événements à risques opérationnels à savoir :
i. Fraude externe (niveau 1) sécurité des systèmes (niveau 2)
ii. Dysfonctionnement des systèmes (niveau 1)et des systèmes (niveau 2)
Page 116
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
44 Les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux
exigences de leurs métiers
45 Incidents, erreurs, indiscrétion, fraude, sabotage
46 Audit externe, contrôles du responsable sécurité
47 Il doit comprendre une évaluation quantitative des risques, une définition des risques intolérables (en liaison avec
les utilisateurs), les moyens de sécurité existants, ceux à mettre en place, le planning et les priorités, un budget annuel
de la sécurité, les principes et règles de sécurité à mettre en place, ainsi que les responsabilités et dates prévues de
mise en œuvre
Page 117
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
48 Internet, Intranet
49 Pour les entités de taille importante, il est recommandé que le responsable sécurité n’administre pas lui-même la
sécurité
50 Par exemple : charte de sécurité, formation / action de sensibilisation (journal interne)
51 Clause de confidentialité, règles d’accès aux matériels, logiciels, données et documentations en plus des procédures
applicables à l’ensemble du personnel
Page 118
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
=> Analyser l'architecture de la sécurité d'accès et les systèmes de sécurité en place52 pour accéder aux traitements et aux
données informatiques.
=> S'assurer qu'elle couvre tous les systèmes : serveurs centraux (mainframe), serveurs décentralisés, micro-ordinateurs
connectés ou connectables, réseaux,...
=> Lister les utilisateurs ayant accès à ces fonctions. S'assurer que cette liste est limitée aux personnes en charge de
l'administration de la sécurité.
Identification et Objectifs et points de contrôles
authentification
Y a-t-il pour chaque utilisateur une identification et une authentification (mot de passe, clé ou carte personnelle, …)
effectivement utilisées et conditionnant l’accès aux systèmes d’information et à leurs données ?
Risques :
Risque opérationnel : risque systèmes d’information
Risque opérationnel : fraude interne, fraude externe
Approche et étendue des travaux d’audit :
=> S’assurer, pour quelques systèmes / données sensibles sélectionnés, que chaque utilisateur dispose de son propre
identifiant (le partage à travers d’identifiants génériques étant à proscrire) pour y accéder.
=> Vérifier que les mécanismes d’identification et d’authentification couvrent tous les points d’accès53 aux systèmes
informatiques.
=> S’assurer que des procédures sont en place afin de préserver l’efficacité des mécanismes d’authentification par mot de
passe.
Procédure de Objectifs et points de contrôles
gestion des
Existe-t-il une procédure de gestion des profils et des habilitations des utilisateurs, incluant une approbation formelle pour
habilitations
l'octroi des droits d'accès ?
Est-ce que l’utilisateur n'a accès qu'aux systèmes et aux données qui lui sont nécessaires à la réalisation des tâches
spécifiques à sa fonction ?
Des précautions sont-elles prises pour la protection de l'accès aux données confidentielles conservées sur ordinateur
personnel, réseau local ou messagerie ?
Risques :
Risque opérationnel : risque systèmes d’information
Risque opérationnel : fraude interne, fraude externe
Approche et étendue des travaux d’audit :
=> Vérifier si la procédure traite l'ensemble des événements de la gestion des habilitations (création, modification,
suppression) incluant une demande écrite et sa validation formelle.
=> Pour quelques utilisateurs, et sur quelques systèmes sensibles, vérifier l'existence des demandes et leur validation
formelle.
=> S'assurer également que les ajouts d'accès font l'objet d'une demande et que la suppression / modification des profils /
habilitations est rapide après le départ / la mutation d’un collaborateur. Pour cela, prendre la liste les derniers départs et
mutations au sein de l'entité.
=> Sur quelques systèmes sensibles, faire un sondage principalement pour quelques utilisateurs ayant des accès privilégiés
(très étendus). S'assurer que chaque utilisateur n'a que les accès (en consultation, ajout, modification ou suppression) qui lui
sont nécessaires.
Interconnexions Objectifs et points de contrôles
avec l’extérieur
Est-ce que tous les systèmes informatiques / serveurs de la banque ont des accès depuis l’extérieur correctement
sécurisés ?
Dans le cadre d’échanges ou de transactions électroniques entre la banque et l’extérieur, les procédures en place
Page 119
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
54 Pare-feu : Mécanisme employé pour protéger le réseau interne d’une entreprise des accès ou usages non autorisés
tout en permettant aux utilisateurs locaux d’accéder à l’Internet
55 DeMilitarised Zone : Il s'agit d'une zone "tampon" entre les systèmes informatiques (réseau interne) de l'entité et le
réseau externe (Internet)
56 Secure Socket Layer (SSL) : protocole de sécurisation des transactions assurant la confidentialité, l'intégrité et en
principe l'authentification des parties et la non-répudiation
57 Technique de représentation d’un texte en clair en un équivalent symbolique (« hash code » / sceau) indécodable,
qui permet de détecter toute altération du texte en claire
58 Les contrôles de niveau 1 sont contenus dans le traitement des opérations (contrôle informatiques, contrôles
manuels) et ceux du niveau 2 sont effectués par la hiérarchie qui supervise le traitement des opérations
59 Trace d’enregistrement
Page 120
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
60 Equipement de contrôle d’accès, détection et extinction incendie, détection humidité, climatisation, onduleurs,
batteries, groupes électrogènes,…
61 Il s'agit d'un disjoncteur permettant d'arrêter l'alimentation de l'ensemble des équipements en une seule opération
d'un "coup de poing" d'où le nom de la commande
Page 121
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
=> S'assurer que ces études ont bien pris en compte les principales menaces liées à l'environnement extérieur62.
En l'absence d'étude particulière, vérifier que le responsable informatique a conscience de ces risques.
=> S'assurer que des dispositifs spécialisés sont installés pour surveiller et contrôler l'environnement.
=> Vérifier si le bâtiment renferme uniquement les locaux et installations informatiques. Si le bâtiment n'est pas à l'usage
exclusif de l'informatique, examiner la liste et la nature d'activité des autres services et départements s'y trouvant.
=> Déterminer si ce voisinage se traduit par des facteurs de risque spécifiques63.
=> S'assurer qu'aucun panneau n'indique la présence du site informatique et qu'aucun matériel du site n'est visible et
facilement accessible de l'extérieur.
=> S'assurer que le transformateur est protégé contre les risques d'incendie, de dégâts des eaux et d'accès non autorisés.
=> S'assurer que les équipements/matériels nécessaires64 au fonctionnement de la salle informatique sont branchés sur
l'onduleur et sur le groupe électrogène.
=> Vérifier que la capacité de l'onduleur est suffisante pour les matériels branchés.
=> S'assurer que la capacité réelle (testée) des batteries (généralement 20 minutes) permet, soit l'arrêt des systèmes
informatiques, soit de tenir jusqu'à la fin de la montée en puissance du groupe électrogène.
=> Vérifier que la capacité du groupe électrogène est suffisante pour les matériels branchés.
=> S'assurer que le groupe est testé au moins une fois par mois.
=> Vérifier qu'il est prévu une sécurité de démarrage du groupe par redondance ou mode de secours (air comprimé,
essence, batterie, ...).
=> S'assurer que la commande « coup de poing » ne puisse pas être actionnée malencontreusement, mais reste cependant
aisément accessible.
=> S'assurer que, lors de la mise en place des installations électriques et lors de changements importants, leur conformité
est vérifiée.
=> Prendre connaissance des procès verbaux d'inspection technique et s'assurer de la mise en conformité de l'installation
avec les recommandations formulées, le cas échéant.
=> S'assurer que l'installation de climatisation est systématiquement réétudiée à l'occasion d'aménagement des locaux, ou
de mise en place de nouveaux matériels (serveurs, périphériques, ...).
=> Vérifier la présence de thermomètres, hygromètres et leur emplacement.
=> Relever les indications portées par les instruments de mesure et vérifier qu'elles sont conformes aux plages préconisées
par les constructeurs des matériels informatiques.
Sécurité incendie et Objectifs et points de contrôles
dégâts des eaux
L'ensemble des bâtiments renfermant les locaux informatiques et les locaux attenants sont-ils protégés par une installation
de détection et d'extinction automatique ?
Des extincteurs mobiles sont-ils conservés dans les locaux informatiques et les locaux voisins ?
Ces extincteurs sont-ils périodiquement vérifiés ?
Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle respectée ?
Les salles informatiques sont-elles vidées de tout stock de papier ou matériaux inflammables ?
A-t-on fait des études sur les dangers présentés par l'eau dans les locaux informatiques et les locaux voisins ?
A-t-on vérifié qu'il n'existe pas de canalisations apparentes ou traversant les faux- planchers ?
Les blocs de climatisation sont-ils à l'extérieur de salles d’ordinateurs ?
Les faux-planchers sont-ils dotés d'un système de détection d'eau ou d'humidité, et en cas de besoin existe-t-il un dispositif
garantissant l'évacuation de l'eau ?
Risques :
Risque opérationnel : dommages aux actifs corporels
Approche et étendue des travaux d’audit :
=> Demander une description des systèmes de détection et d'extinction (sprinklers -eau-, halon / CO2 - gaz dangereux-,
FM200 -poudre-,...).
=>S'assurer que les faux planchers sont protégés contre le risque incendie par l'existence d'un détecteur et d'une bonbonne
de gaz d'extinction sous le faux plancher.
62 Menaces liées à l'environnement extérieur: phénomènes météo, inondation (cours d'eau, sources et nappes
phréatiques), coulée de boue, orages/foudre (paratonnerre), qualité/stabilité du terrain, zone sismique, etc. mais
également le voisinage à risques pollution, menaces chimiques, voisinage ou stockage de matières inflammables
63 Allers et venues de personnes extérieures, stockage de matières inflammables, ...
64 Il ne s’agit pas d’avoir les serveurs sur onduleurs mais également les équipements de communication et les consoles
de pilotage des systèmes informatiques
Page 122
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 123
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
67 Le plan de continuité est l'outil de contrôle interne qui assure la gestion des ressources et des données informatiques
sensibles, en cas d'interruption de traitement. Le plan de continuité des activités comprend les éléments suivants: le plan
de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de backup et le plan
de reprise d'activités qui intègre les schémas fonctionnels et organisationnels complétant les moyens matériels.
Page 124
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
68 En mode dégradé, l'exploitation n'assure que partiellement les services habituels. En général, seules les fonctions
indispensables à la continuité des traitements sont assurées. Des procédures manuelles, ou des procédures
automatisées de contournement, peuvent se substituer à des procédures automatisées utilisées en mode normal
d’exploitation
Page 125
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Des risques spécifiques à l’agence existent et tiennent à la décentralisation, donc à l’éloignement des
centres de décision et de la taille de l’entité, du nombre d’employés et du système d’information et de
gestion.
Ces risques sont illustrés notamment par :
une application incorrecte de la politique pronée par la direction générale au niveau stratégique,
commercial et normes de contrôle ;
un non respect des procédures opérationnelles internes en matière de crédit et de garanties,
ressources financières, titres/investissements détenus, sécurité des locaux et démarche
commerciale ;
un dépassement des limites de l’agence en matière de ressources disponibles pour le financement
du portefeuille de crédit, la concentration sectorielle et les limites individuelles associées à un
emprunteur ou un groupe d’emprunteurs ;
Une insuffisance de performance et de pénétration du marché, avec des conséquences au niveau
de la rentabilité ;
Une mauvaise application des procédures internes : crédits, ressources, titres, sécurité, etc.…
Une information incomplète ou peu fiable fournie par l’agence sur les risques et le portefeuille à
risques par âge, le volume d’activité par catégories de produits, les charges de l’agence et les
résultats, le nombre de clients actifs, etc.…
Les mauvaises relations internes, avec les amplifications inévitables à l’échelle d’une petite unité, et
pouvant avoir des répercussions en termes de risques opérationnels (taux d’absentéisme, taux
d’erreurs, manipulations) efficacité et fiabilité des services fournis par l’agence et réputation à l’égard
de la clientèle.
Dans le cadre de ce travail, il sera procédé à l’audit du domaine des opérations à l’agence dans la mesure
où il est à cheval sur quatre catégories d’événements à risques opérationnels :
i. Fraude interne (niveau 1) activités et transactions non autorisées (niveau 2) vol et fraude (niveau 3)
ii. Fraude externe (niveau 1) vol et fraude (niveau 2)
iii. Négligences des règles clients (niveau 1) conformité, diffusion d’informations et devoir fiduciaire
(niveau 2)
iv. Exécution, livraison et gestion des processus (niveau 1) admission et documentation clientèle
(niveau 2) gestion des comptes clients (niveau 3)
69 Mirroring / Clustering : redondance d’une ressource informatique (disques / CPU) fonctionnement en parallèle. La
panne d’une ressource étant transparente pour le déroulement des traitements par le passage à la ressource en miroir
/ cluster
Page 126
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 127
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 128
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 129
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 130
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 131
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 132
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 133
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Page 134
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Les interventions de l’auditeur interne s’insèrent dans un périmètre restreint caractérisé par un travail de
détail. Actuellement, le champ d'intervention s’est beaucoup élargi : l’auditeur est chargé d’effectuer le
diagnostic des systèmes de reportings, des dispositifs de pilotage très sophistiqués, et des systèmes utilisés
par la direction générale. Ainsi, les auditeurs sont en contact permanant avec l'état-major de la banque, dans
une approche similaire à celle d’un consultant.
Pour maximiser l’efficacité et l’efficience de l’audit interne, il faut faire intervenir des auditeurs spécialistes en
leur apportant si nécessaire, le soutien et l’appui d'experts métier très pointus sur les aspects les plus
techniques.
Ce sont des horizons nouveaux qui s’ouvrent pour le métier de l'audit bancaire qui doit se doter d’équipes
compétentes formées et de spécialistes assimilant dans le détail l’ensemble des risques appréhendés et
parlant d'égal à égal avec les audités. Ces équipes sont généralement recrutées parmi les ingénieurs
financiers ayant des connaissances mathématiques extrêmement poussées, parfois complétées par une
expérience de ou de contrôle des risques dans une banque.
Pour l'audit interne bancaire, il s'agit donc de mettre en place une approche structurée intégrant les
composantes stratégiques, organisationnelles et humaines en même temps que les facteurs risques, coûts
et efficacité.
Contrairement à ce qu’on pense, l’audit interne n’est pas la solution miraculeuse à tous les maux et
problèmes de gestion, ni la garantie absolue contre tous les risques.
Page 135
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
i. Au niveau de la méthodologie :
Les techniques et les outils qui demeurent, en dépit de leur rigueur, entachés d’un niveau minimal
d’inexactitude, tel est le cas des sondages et du concept de seuil de signification couramment utilisés dans
la démarche d’audit externe et de commissariat aux comptes. Les résultats de l’évaluation des risques et
des vérifications ne sont pas certains.
A cela, il y a lieu d’ajouter les limites inhérentes au système de contrôle interne sur lequel repose la
méthodologie d’audit.
L'audit interne est une fonction d'évaluation à la disposition de la banque pour examiner et apprécier le bon
fonctionnement, la cohérence et l'efficience de son contrôle interne.
Le responsable de l'audit interne, qui fait partie du management de l’organisation, agit dans le cadre d'une
charte d'audit affirmant son indépendance. La variété de ses interventions le conduit à entretenir des
relations étroites avec différents partenaires externes, et notamment les commissaires aux comptes.
1. Les relations entre les auditeurs internes et les commissaires aux comptes :
Aujourd'hui, l'importance des relations entre auditeurs internes et auditeurs externes varie avec l'implication
de toutes les parties prenante et l'orientation des travaux des auditeurs internes. Elle dépend aussi de
l'existence d'une structure dédiée au contrôle des procédures et logiciels comptables et de la bonne volonté
de la direction générale. Ces relations sont parfois intenses, souvent occasionnelles, voire totalement
inexistantes.
Des différences de fond existent entre audit interne et commissariat aux comptes.
Page 136
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Sur le plan du statut : le statut de l'audit interne est défini dans le cadre d'une charte d'audit approuvée par
la direction générale et/ou le conseil d'administration de l'organisation, celui du commissariat aux comptes
est défini dans un cadre légal et réglementaire70.
Au plan de l'indépendance : garantie par un rattachement au plus haut niveau de l’organisation et une
relation étroite avec le comité permanent d'audit pour l'audit interne, légalement et juridiquement protégée
pour le commissariat aux comptes.
Au plan de l'objectif : l'audit interne s'assure que les différentes activités sont sous contrôle et que
l'organisation est efficiente. Dans ce contexte, il est amené à examiner l'ensemble du dispositif de contrôle
interne et à se prononcer sur la qualité de la gestion. L'audit externe certifie les comptes en s'assurant de la
régularité, de la sincérité et de l'image fidèle des états financiers. A ce titre, il s'intéresse essentiellement au
dispositif de contrôle interne comptable.
Au plan du champ d'investigation : pour l'audit interne, aucune activité ne peut échapper à ses contrôles,
pour le commissariat aux comptes, le champ d'intervention englobe tout ce qui concourt à la détermination
des résultats et à l'élaboration des états financiers.
Au plan de la périodicité des interventions : l'audit interne intervient de manière permanente au sein de
son organisation, dans le cadre de missions le plus souvent planifiées en avance mais pouvant être, selon
les circonstances, non programmées ou décidées en urgence. Par contre, la présence des commissaires
aux comptes est rythmée sur l'exercice comptable.
L’évaluation du contrôle interne, est un point de convergence de l’audit interne et du commissariat aux
comptes, même si l'appréhension du contrôle interne est différente entre les deux professions, elle n'en est
pas moins une préoccupation majeure pour l'une et l'autre. Il est donc souhaitable, dans un souci d'efficacité,
qu'elles coordonnent au mieux leurs activités et s'appuient sur leurs compétences et ressources respectives.
Une coopération entre l’audit interne et le commissariat aux comptes s’impose. En fait cette coopération est
formellement prévue par les normes édictées par les deux professions.
70 Code des sociétés commerciales, lois organiques régissant les corporations professionnelles OECT et CCT
Page 137
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La norme MPA 550 d’IIA71 précise que le directeur de l'audit interne doit coordonner les efforts de l'audit
interne et de l'audit externe. De son côté, la norme 2106 de la Compagnie Nationale des Commissaires aux
Comptes en France définit les conditions d'utilisation des travaux des auditeurs internes.
Les conditions et les modalités d'une collaboration entre audit interne et commissariat aux comptes
s’articulent autour des points suivants :
Existence d'un service d’audit interne compétent, indépendant, disposant de moyens adaptés à sa
mission, respectueux des normes pour la pratique professionnelle de l'audit interne et à même
d'appréhender les techniques, les méthodes et la terminologie des commissaires aux comptes ;
A l'initiative du responsable de l'audit interne et en concertation avec les commissaires aux comptes,
identification des missions d'intérêt commun et coordination des travaux pour s'assurer de leur
déroulement efficace ;
Transmission des rapports de missions d'intérim à l'audit interne, et libre accès des commissaires
aux comptes aux rapports des auditeurs internes dont le contenu est en relation avec l'exécution de
leur mandat ;
Communication aux commissaires aux comptes du rapport annuel de l'audit interne sur les
conditions dans lesquelles le contrôle interne est assuré dans l'organisation, et transmission, à
l'audit interne, de la lettre de direction sur les contrôles effectués par les commissaires aux
comptes ;
Réunions de travail périodiques, une à deux fois par an, au cours desquelles chacun rend compte
de ses investigations et de ses conclusions sur les sujets d'intérêt commun ;
Information annuelle du conseil d'administration ou du comité d'audit lorsqu'il existe, sur les résultats
de la collaboration entre l'audit interne et le commissariat aux comptes en mettant notamment en
évidence les convergences ou divergences d'appréciation concernant l'efficacité du dispositif de
contrôle interne.
Information de l'audit interne par les commissaires aux comptes, de toute mission spécifique qui leur
est confiée et qui n'entre pas dans le cadre légal de la certification des comptes.
L'audit interne peut recourir en cas de besoin à l'assistance ponctuelle de cabinets externes spécialistes de
la discipline auditée au plan de la formation, de la méthodologie ou du conseil :
Page 138
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
La formation auprès d'un cabinet externe permettra à l'auditeur interne d'acquérir les fondements de
la technique et le langage de son futur interlocuteur ;
L'utilisation d'une méthodologie développée par un cabinet de conseil externe spécialiste du
domaine considéré fera gagner beaucoup de temps, permettra de connaître les « best practices »
de la fonction auditée et évitera les faux pas et les erreurs d'appréciation à l'auditeur interne
néophyte dans ce domaine ;
L'appui à titre de conseil d'un spécialiste chevronné dans la discipline considérée permettra d'aller
rapidement à l'essentiel, d'enrichir les travaux déjà effectués ou de conforter les conclusions émises.
De la même façon, le service d'audit interne peut avoir recours, s'il l'estime utile, à du personnel en
provenance de cabinets externes pour lui apporter un renfort ponctuel d'auditeurs généralistes en raison
d'une surcharge momentanée de travail ou de personnel spécialisé dans un domaine particulièrement pointu
pour lequel le service ne dispose pas des ressources appropriées.
La Co-traitance : consiste à constituer avec un consultant externe et pour une mission ponctuelle, une
équipe commune placée sous la responsabilité de l'audit interne.
Cette coopération entre auditeurs internes et consultants externes ne peut être que bénéfique car elle
associe, à l'étude d'un problème spécifique, des professionnels de haut niveau parlant le même langage,
utilisant des méthodes similaires et agissant de manière complémentaire : les uns, imprégnés de la culture
d'entreprise, apportent leur connaissance de l'organisation et leurs expériences internes, les autres, en
contact avec le monde extérieur, apportent leur technicité et leurs expériences. Travaillant de concert, ils
pourront atteindre ensemble l'efficacité maximale.
La sous-traitance : consiste à confier d'une manière permanente ou ponctuelle à un cabinet externe, l'audit
d'un ou plusieurs établissements (par exemple à l'étranger) ou d'une ou plusieurs fonctions ou activités
spécifiques (par exemple la sécurité informatique).
Dans tous les cas de figure, le cabinet externe agit sous l'autorité du responsable de l'audit interne qui lui
définit le programme d'intervention et rapporte à la direction générale et, le cas échéant, au comité d'audit,
les principales conclusions des missions sous-traitées.
Parmi les arguments qui militent en faveur de la sous-traitance, on peut essentiellement mettre en avant des
motifs d'ordre matériel ou technique : nécessité de mettre en œuvre des compétences hautement qualifiées,
manque de disponibilité des équipes internes, absence de maîtrise de certaines langues étrangères.
Derrière ces motifs, se profile bien souvent un souci d'économie visant à ne pas accroître les moyens
permanents de l'audit interne.
Page 139
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
d’information,.etc... En bref, il va comparer la règle et la réalité, ce qui devrait être et ce qui est. Autrement
dit, il va travailler par rapport à un référentiel et c’est en cela que son travail est relativement simple.
L’auditeur, s’étant informé sur tout ce qui devrait être, signale les distorsions, les non applications (évitables
ou inévitables) les mauvaises interprétations des dispositions établies, il en analyse les causes et les
conséquences et recommande ce qu’il convient de faire pour qu’à l’avenir les règles soient appliquées.
Avec les manquements graves et répétés aux différentes législations et réglementations, constatés
récemment, l’audit de conformité semble bien prendre une importance accrue et émerge de plus en plus sur
l’actualité, et ce, d’autant plus que les dispositions réglementaires sont de plus en plus strictes et
contraignantes (LSF en France, Sarbanes-Oxley Act aux États-Unis, circulaires BCT). Les évolutions dans le
domaine bancaire insistent sur l’importance de cette notion de conformité (« compliance » dans la
terminologie Anglo-Saxonne). La MPA 2100-572 confirment cette importante observation.
L’audit de conformité peut être également qualifié « d’audit de régularité » avec une distinction entre la
conformité avec les dispositions légales et réglementaires et la régularité par rapport aux règles internes de
la banque. Mais dans les deux cas, la démarche est la même : comparer la réalité à un référentiel retenu.
En France, le principe du respect de la conformité a été inscrit, dès 1997, dans le règlement n°97-02 du
Comité de la Réglementation Bancaire et Financière (CRBF) relatif au contrôle interne.
En Tunisie le contrôle de la conformité a été introduit par la circulaire BCT n°2006-06 parue à la même
époque que la circulaire BCT n°2006-19 relative au contrôle interne bancaire.
1. Le risque de non-conformité :
Le risque de non-conformité « Compliance Risk » se définit comme étant le risque de non respect des
dispositions réglementaires applicables aux activités bancaires et financières, y compris celles relatives à la
prévention du blanchiment d’argent et du financement du terrorisme, des normes et usages professionnels
et déontologiques et de protection des intérêts des investisseurs et des clients.
Par ce risque, on entend également le risque de préjudices qu'une banque peut subir suite à l’exercice non
conforme des activités aux normes en vigueur. Il peut comporter plusieurs variétés de risques tels le risque
de réputation, le risque légal, le risque de contentieux, le risque de sanctions ainsi que certains aspects du
risque opérationnel.
Par normes en vigueur, il faut entendre dans ce contexte, toutes les exigences et règles auxquelles la
banque est soumise dans l'exercice de ses différentes activités, notamment :
les lois, règlements et circulaires régissant l'accès au secteur financier et l'exercice des activités
bancaires ;
72 Mise Pratique d’Application : interprétation des normes internationales d’audit interne de l’IIA
Page 140
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
les lois et circulaires traitant des obligations professionnelles, c'est-à-dire les règles de lutte contre le
blanchiment des capitaux et le financement du terrorisme ainsi que les règles de conduite du secteur
financier et de protection des déposants et des investisseurs.
Les banques peuvent opter, pour leurs fonctions de conformité, à une couverture qui va au-delà des activités
classiques pour toucher des thèmes relevant du droit du travail, du droit social, du droit des sociétés ou de la
protection de l’environnement.
Du fait de l’importance et des spécificités du risque de non-conformité, celui-ci paraît devoir être pris en
charge par une fonction dédiée, permanente et autonome, à l’instar des autres risques encourus par les
banques, et être pleinement intégrée dans l’environnement de contrôle de la banque. Ses objectifs seront
donc remodelés et réaménagés pour :
organiser, coordonner et structurer les contrôles en matière des diverses réglementations à
différents niveaux de l'organisation bancaire ;
protéger la banque de tout préjudice qui pourrait résulter du non-respect des normes en vigueur ;
assister la direction générale dans la gestion efficace des risques de non-conformité.
La conformité n’est pas du ressort exclusif de la fonction qui lui est dédiée. Elle concerne également le
conseil d’administration, la direction générale ainsi que tout le personnel de la banque. Elle est dès lors à
considérer comme un élément important de la culture véhiculée d’une banque laquelle, doit être promue à
tous les niveaux de la banque.
Dans ce contexte, une réflexion a été engagée au niveau international, notamment au sein du comité de
Bâle73, afin, d’une part, mieux appréhender, dans le calcul des exigences de fonds propres, les risques
autres que les risques de crédit et de marché et, d’autre part, de formuler des propositions spécifiques quant
aux modalités de contrôle du risque de non-conformité.
Comme le relève le comité de Bâle, le risque de non-conformité fait désormais l’objet d’une gestion
formalisée74.
73 Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques -
Consultative Document on the Compliance Function in Banks
74 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les
banques « Consultative Document on the Compliance Function in Banks ». « Sound Practices for the Management and
Supervision of Operational Risk » – « Saines pratiques de gestion et de contrôle du risque opérationnel » (février
2003) point 2.
Page 141
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
En effet, les banques ont engagé, à des degrés divers, une réflexion quant aux modalités d’organisation d’un
dispositif permettant de s’assurer de la conformité de leurs activités à la réglementation, à la loi, aux normes
ou aux usages professionnels. La quasi-totalité des grandes banques se sont déjà dotées d’un responsable
de la conformité (le titre varie selon les établissements : responsable de la conformité, « Compliance
Officer », contrôleur de conformité, déontologue, …) avec néanmoins des définitions hétérogènes de ses
fonctions (limitation de son champ d’intervention à la supervision du dispositif de prévention du blanchiment
d’argent et au suivi du respect de la déontologie).
Enfin, quelques banques, plus avancées encore, ont d’ores et déjà construit des états spécifiques pour le
suivi du risque de non-conformité. Ceci permet d’informer régulièrement le conseil d’administration et la
direction générale de la banque du niveau de maîtrise de ce risque ainsi que de tout événement significatif
relevant de ce problème.
Le Comité de Bâle a entrepris des travaux spécifiques sur la conformité. En effet, un groupe de travail
consacré à la fonction de conformité dans les banques a été constitué et a publié en octobre 2003 un
document consultatif. Ce texte, qui a pour objet d’identifier les meilleures pratiques dans ce domaine et d’en
favoriser la diffusion, a énoncé onze principes concernant la conformité.
L’objectif du comité de Bâle, en publiant pour consultation un tel document, vise à favoriser la diffusion, au
sein des banques, d’une «culture de conformité» afin qu’elle se traduise, formellement (charte de
conformité), par une attention accrue à ce risque. L’intention du comité de Bâle est de veiller à ce que cette
fonction soit bien assurée. L’attention des banques est attirée sur le fait qu’il s’agit - par nature - d’une
fonction indépendante des activités opérationnelles, dont le rattachement hiérarchique doit être très élevé,
mais dont le fonctionnement est inclus dans le champ de l’audit interne.
75 Formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003
Page 142
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Un champ exhaustif d’exercice de la fonction couvrant tous les secteurs, toutes les zones
géographiques et tous les contextes réglementaires du groupe ;
Une contribution générale au renforcement d’une culture de la conformité ;
Une activité de conseil et de contrôle ;
La mise en œuvre d’une information interne fiable et synthétique afin de hiérarchiser les risques et
de s’assurer que la politique de conformité mise en œuvre permet de détecter les éventuelles
anomalies et surtout de les prévenir ;
Une indépendance à assurer ;
Une fonction qui devra être adaptée à la nature de chaque banque ;
Une implication des plus hautes instances de la banque ;
La fonction de conformité disposant de moyens suffisants ;
Une fonction auditable.
Page 143
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Conclusion générale
L’audit est une discipline qui prend ces dernières années, de plus en plus d’importance et d’ampleur dans le
secteur bancaire en raison de son apport indéniable en matière de valeur ajoutée tant au sein de la banque
qu’en matière de gouvernement d’entreprise en général.
Il a été tenté, tout au long de ce mémoire, de mettre en exergue ce concept de valeur ajoutée propre à la
fonction audit interne et de démontrer ses applications concrètes dans les domaines en relation avec les
métiers de la banque.
Pour que l'audit interne soit un véritable outil d'efficacité et de création de la valeur ajoutée, il est primordial
de mettre en œuvre un cadre réglementaire et juridique (SOX Act, LSF, CBCT, etc.…) :
délimitant les obligations et les contraintes de fonctionnement d’une banque au sein de son
environnement ;
appréhendant les risques et respectueux des moyens de les maîtriser ;
définissant clairement les fonctions de contrôle réparties sur plusieurs niveaux tels que définis par la
réglementation ;
créant une synergie et une complémentarité entre les fonctions de contrôles permanents (le système
de contrôle interne) et les fonctions de contrôles périodiques (l’audit interne)
Et assurant enfin un rattachement hiérarchique et fonctionnel garantissant une célérité dans la
remontée des anomalies et une efficacité dans la prise de décision.
Ceci étant, l'audit bancaire présente quelques spécificités de par ses propres particularités et de celles de
l’environnement analysé. En fait, son application au système de management et de contrôle des risques
bancaires, entraîne une pluridisciplinarité au niveau des champs observés : ressources humaines, système
d'information, comptabilité, activités de marché, etc.… Ce phénomène est accentué par la complexité des
risques bancaires nécessitant des diligences supplémentaires pour l’auditeur en matière d’observation,
d’interprétation des résultats et d’élaboration d’un système de référence.
A l'évidence, quelle que soit la nature des missions confiées à l'audit interne, le niveau d'efficacité sera
fonction d'un certain nombre de paramètres tels : la pertinence de l'approche empruntée, l'exhaustivité du
périmètre audité, le savoir-faire technique et les qualités intrinsèques des auditeurs.
Ainsi, face a l’évolution des métiers bancaires, ayant généré de nouvelles variantes de risques et modifié les
facteurs de fragilité financière, il devient impératif de développer des outils d'audit spécifiques dans le but de
détecter et de couvrir tous les risques inhérents à l'activité bancaire.
Page 144
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Ce faisant, l’audit interne n’a pas stagné et continuera d’évoluer pour apporter aux banques toujours plus de
valeur ajoutée par une prospection sur les contours de l’audit interne de demain et une définition des défis et
des enjeux futurs de la profession à savoir :
affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la faveur d’un
rattachement hiérarchique à la direction générale et de liens fonctionnels avec le comité d’audit,
lorsqu’il existe ;
se positionner, plus encore que par le passé, comme un outil majeur de détection, de prévention et
de maîtrise des risques, en coordination avec toute autre fonction concernée (Risk management,
Compliance,..) ;
maintenir son indépendance, son objectivité et son impartialité ;
accroître son professionnalisme à travers :
une formation permanente ;
une méthodologie et des outils adaptés et performants basés t sur les risques ;
En relevant ces défis, l’audit interne sera un acteur incontournable de la bonne gouvernance de
l’organisation bancaire et apportera aux banques encore plus de valeur ajoutée par :
la révélation des problèmes potentiels et les risques qui en découlent afin de prendre rapidement les
actions correctrices ;
l’apport au top mangement d’une vue objective des opérations au sein de la banque ;
l’assurance sur l’accomplissement des objectifs tout en respectant les lois et les règlements en
vigueur ;
la prévention de la fraude ;
la détection des opérations inefficaces en vue de leurs améliorations ;
Il reflète ainsi l’image d’un audit interne au service tant de la direction générale que du comité d’audit, à
même de prévenir la destruction de valeur au sein de l’organisation bancaire et d’apporter une contribution
déterminante à une bonne gouvernance.
Page 145
Bibliographie
Ouvrages de base :
ANTOINE SARDI, « Audit interne des banques », presse universitaire de France, 1990, 128 p
G.BENEDICT & R.KERVAL, « évaluation du contrôle interne dans la mission d’audit », FOUCHER,
1990, 95 p
Textes législatifs :
Page 146
La circulaire aux établissements de crédit n°2006-06 du 24 juillet 2006 relative à la mise en place
d’un système de contrôle de la conformité dans les établissements de crédit
La circulaire aux établissements de crédit n°2006-07 du 24 juillet 2006 relative au comité exécutif de
crédit
La circulaire aux établissements de crédit n°2006-19 du 28 novembre 2006 relative à la mise en
place d’un système de contrôle interne et des comités d’audit au sein des banques
La note aux banques et établissements financiers n°93-23 du 30 juillet 1993 relative aux termes de
référence pour l’audit des comptes
La circulaire aux établissements de crédit de France n°97-10
La circulaire n°99-02 du 16 avril 1999 aux établissements de crédits et aux réviseurs agréés de la
commission des banques et finance de Belgique
Normes professionnelles :
Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA
Code d’éthique de l’IIA
Articles de presse :
IFACI, « prise de position : commentaires de l’IFACI sur le document consultatif du comité de BALE
relatif à l’audit interne dans les banques et aux relations entre les superviseurs bancaires et les
auditeurs internes et externes » ; décembre 2001
CLAUDE MAUVAIS, « Le modèle COBIT », la lettre d’ADELI n°43, avril 2001
OLIVIER REMOND & BRUNO RENHAS, « l’enjeu de Bâle 2 pour le système d’information de la
banque de détail », Banque magazine, n°650, septembre 2003
BARBARA LAMBERT & ANTONIO MIRA, « l’approche risque au centre de l’audit bancaire »,
AGEFI, novembre 2003
GROUPE DE TRAVAIL DE L’AFAI, « contrôle interne et systèmes d’information », novembre 2003
INSTITUT DES VERIFICATEURS INTERNES DE MONTREAL, « l’Auditeur libre », octobre 2004
IFACI, « prise de position : audit interne - qualité », mai 2004
JULIEN DIDIERJEAN & LUCA TAGLIABUE & BERTRAND JABOULAY, « audit interne : un
intervenant incontournable au sein de la gouvernance d’entreprise », octobre 2007
Articles Internet :
Page 147
« Les implications de la loi Sarbanes Oxley transformer des obligations légales en avantage
concurrentiel » (http://www.decisio.info)
« L’implication des nouvelles lois de sécurité financières sur les démarches d’audit suite aux
scandales financiers à la ENRON » (http://adserver.aol.fr)
« Loi Sarbanes Oxley » (http://fr.wikipiédia.org/wiki)
« Media _press articles » (http://www.ey.com/global:content.nsf/luxembourg_E/home)
« Mise en place de la loi Sarbanes Oxley en 10 points » (http://www.xmcopartner.com/actu-
secu/actu-secu-mars2006)
« Utilité de la loi Sarbanes Oxley » (http://adserver.aol.fr/adlink)
« le risque opérationnel » (http://fmarkets.com/php/engine/go.php)
« la loi Sarbanes Oxley : faits et conséquences » (http://www.ey.com/ch/corporate-governance)
« Risk management et audit interne : des fonctions clés pour l’efficacité du dispositif de contrôle
interne » (http://www.deloitte.fr)
« do you speak COSO » (http://www.keyword.fr)
« SocGen : sept questions sur une affaire mystérieuse » (http://www.LeFigaro.fr)
« la société générale et le paradoxe de Bâle » (http://www.lesechos.fr)
« PV d’audition de Jérôme KERVIEL par la brigade financière » (http://www.lexinter.net)
« présentation du COBIT V4.1 : COBIT socle de la gouvernance SI » (http://www.afai.fr)
HENDA ZAKHMA, « la mise en place des comités d’audit dans les établissements bancaires en
Tunisie », 1999
SAMIA BELHADJ, « La gestion du risque de crédit : vers une nouvelle approche quantitative et
perspective pour les établissements bancaires », 2000
MOHAMED ABID, « gestion du risque de taux d’intérêt : appréciation couverture et rôle de l’expert
comptable », 2000
MOHAMED FEHRI KOUTI, « Le contrôle interne de l’activité monétique dans les banques en
Tunisie », 2001
HOUSSEMEDDINE TAABOURI, « Les opérations de change dans les banques : gestion, risques,
contrôle interne et approche de révision », 2002
MOUNIR GRAJA, « Nouveau dispositif d’adéquation des fonds propres BALE II : mise en œuvre
dans le système bancaire Tunisien », 2003
HAMIDE ATIDE, « Gestion des risques bancaires : enjeux règlementaires et opérationnels », 2004
KAMAL ABOU EL JAOUAD, AFEF EDDELALI et FLAVIO ADAM POUZONI « les enjeux du
contrôle interne », Université d'Auvergne Clermont 1 Faculté des sciences économiques et de
gestion, 2007
Page 148
HICHEM ZMARROU; « le dispositif de maîtrise des risques et le contrôle interne au sein des
établissements de crédits », Ecole supérieure de commerce Lille, 2006
IFACI, « résultat de l’enquête sur les rapports 2003 des présidents de conseils relatifs aux
procédures de contrôle interne », septembre 2003
IFACI, « résultat de l’enquête sur la pratique de l’audit interne en France 2005 », 2005
IFACI, « groupe professionnel banque :troisième rencontre commission bancaire / IFACI »,
novembre 2005
AMF, « Le dispositif de contrôle interne cadre de référence », 2005
AMF, « Rapport 2007 de l’AMF sur le gouvernement d’entreprise et le contrôle interne », janvier
2008
COMITE DE BALE SUR LE CONTROLE INTERNE, « gestion du risque opérationnel », octobre
1998
COMITE DE BALE SUR LE CONTROLE INTERNE, « principes fondamentaux pour un contrôle
bancaire efficace », octobre 2006
COMITE DE BALE SUR LE CONTROLE INTERNE, « deuxième pilier la surveillance prudentielle »,
juin 2004
COMITE DE BALE SUR LE CONTROLE INTERNE, « internal audit in banking organisation and the
relationship of the supervisory authorities with international and external auditors », juillet 2000
COMITE DE BALE SUR LE CONTROLE INTERNE, « internal audit in banks and the supervisor’s
relationship with auditors : a survey », août 2002
COMITE DE BALE SUR LE CONTROLE INTERNE, « renforcement de la gouvernance d’entreprise
dans les établissements bancaires », février 2006
COMITE DE BALE SUR LE CONTROLE INTERNE, « saines pratiques pour la gestion et la
surveillance du risque opérationnel » février 2003
COMITE DE BALE SUR LE CONTROLE INTERNE, « cadre d’évaluation des systèmes de contrôle
interne », janvier 1998
THE INSTITUTE OF INTERNAL AUDITOR (IIA), « les normes d’audit interne : les raisons de leur
importance », 2005
GLOBAL TECHNOLOGY AUDIT GUIDE (GTAG), « auditing application controls », juillet 2007
GLOBAL TECHNOLOGY AUDIT GUIDE (GTAG), « identity and acess management », novembre
2007
PCAOB, « auditing standard n°5 : an audit of internal control over financial reporting that in
integrated with an audit of financial statements and related independence rule and conforming
amendments », mai 2007
CLUSIF, « la réforme Bâle 2 : une présentation générale », décembre 2004
CONTROLE FEDERAL DES FINANCES, « mise en place d’un système de contrôle interne »,
décembre 2003
INTOSAI; « lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur
public » ; 2004
Page 149
L. HOUDOT, « rapport 2004 de l’AMF sur le gouvernement d’entreprise et le contrôle interne »,
février 2005
FREDERIC BERNARD, REMI GAYRAUD & LAURENT ROUSSEAU, « le contrôle interne », 2006
JEAN BEDARD, « la loi Sarbanes Oxley et la vérification interne », cour à l’université Laval,
septembre 2003
SERGE JEANNEAU, « initiatives récentes des comités siègent à Bâle et du forum sur la stabilité
financière », rapport trimestriel BRI, décembre 2002
JEAN FRANCOIS NANTERRE, « gestion de la qualité : audits internes et externes » ; 2004
PRICE WATERHOUSE COOPERS, « comment rééquilibrer les priorités de l’audit interne dans l’ère
Sarbanes-Oxley », mai 2005
PRICE WATERHOUSE COOPERS, « système de contrôle interne : un outil de gestion en pleine
mutation », juin 2007
DELOITTE, « risk management et audit interne : des fonctions clés pour l’efficacité du dispositif de
contrôle interne », mars 2005
ERNEST & YOUNG, « les pratiques de l’audit interne dans les groupes mondiaux et les spécificités
françaises », octobre 2007
MAZARS, « la mise en œuvre d’IFRS 7 et du pilier 3 de Bâle II dans les établissements de crédit »,
janvier 2008
MAZARS, « la première application d’IFRS 7 dans la communication financière des établissements
de crédits européens », juillet 2008
MAZARS, « une analyse de la communication financière des établissements de crédit en arrêté
intermédiaire dans un contexte de crise », novembre 2008
AON CARTOGRAPHIE & CONTROLE DES RISQUES en association avec NYSE EURONEXT,
« regards croisés sur la communication financière des risques de l’entreprise : pratiques et opinions
des émetteurs et analystes », novembre 2007
PROTIVITI SAS, « baromètre du risque management 2007 », janvier 2008
EWART S WILLIAMS, « the internal auditor in our emerging financial environment », septembre
2007
MAKRAM CHEMANGUI & RIADH MANITA, « évaluation de la qualité de l’audit interne-audit
externe : proposition d’une démarche de conceptualisation », janvier 2008
GERARD PARIZEAU, « la gestion du risque de crédit et la stabilité du système financier
international » avril 2000
IFACI, « l’audit interne vers une collaboration renforcée avec ses partenaires externes », septembre
1998
COMMISSION DU VICE PRESIDENT KINNOCK, « conditions de mise en place d’une structure
d’audit interne dans chaque service de la commission » décembre 2000
PWC ADVISORY INTERNAL AUDIT, « pricewaterhousecoopers, state of internal audit profession
study : internal audit post Sarbanes Oxley » janvier 2006
Séminaires et formations :
Page 150
SYLVIE LE DAMANY, ANNIE BRESSAC, THIERRY VAN SANTEN & PIERRE ALEXANDRE
BAPST, « gestion des risques, audit interne et contrôle interne », AMRAE, janvier 2006
MONDHER BELLALH & SAMI BEN JOUDA, « la mise en application de la nouvelle circulaire
2006-19 de la BCT relative au contrôle interne dans les établissements de crédits », IMAC, février
2007
JEAN LOUIS GUARNIERO, « les nouveaux outils de l’audit interne et du contrôle interne », ATAI,
mai 2007
MOUNIR GRAJA & CHIHEB GHANEMI, « nouveau dispositif d’adéquation des fonds propres Bâle
II », APTBEF, février 2008
Sites Web :
www.jurisitetunisie.com
www.apbt.org.tn
www.bis.com
www.ifaci.com
www.theiia.org
www.pwc.com/internalaudit
www.controle-interne-theses-syntheses.info
Page 151
Annexes
Page 152