A Fonction Audit Interne Dans Les Etablissements de Credits: LE Nouvel Outil DE Creation DE LA Valeur Ajoutee

UNIVERSITE DE LA MANOUBA
Institut Supérieur de Comptabilité et d’Administration des Entreprises

Commission Nationale d’Expertise Comptable
Mémoire de diplôme national d’Expert Comptable
LA FONCTION AUDIT INTERNE DANS LES

ETABLISSEMENTS DE CREDITS
LE NOUVEL OUTIL DE CREATION DE LA VALEUR AJOUTEE
Proposé par : Mohamed Amine SELTANA

Dirigé par : Mohamed SELTANA
Année universitaire 2011 - 2012

Table des matières
TABLE DES ABREVIATIONS ......................................................................................................................... 5
INTRODUCTION GENERALE ......................................................................................................................... 6
PREMIERE PARTIE : ...................................................................................................................................... 8
LE MANAGEMENT DES RISQUES DANS LE SECTEUR BANCAIRE : UNE EVOLUTION RATIFIEE ....... 8
Chapitre I : Historique et objectifs du contrôle interne ..................................................................................................................... 9

Section 1 : Les origines et les sources du contrôle interne ................................................................................................................ 9
§ 1 - Aux USA ................................................................................................................................................................................ 9
1. Le référentiel COSO 1 (Internal Control – Integrated Framework).................................................................................. 9
2. Le référentiel COSO 2 (Entreprise Risk Management Framework) ................................................................................ 9
§ 2 - En Europe............................................................................................................................................................................ 11
§ 3 - En Tunisie............................................................................................................................................................................ 12
Section 2 : La montée en puissance des obligations réglementaires ............................................................................................... 13
§ 1 - La loi Sarbanes-Oxley Act ................................................................................................................................................... 13
§ 2 - Le règlement n°97-02 du 21 février 1997 du CRBF et les lois de sécurité financière ......................................................... 14
1. Le règlement n°97-02 du CRBF tel que modifié par le règlement n°2001-01 .............................................................. 14
2. La loi n°2003-706 du 01 août 2003 sur la sécurité financière (LSF) ............................................................................. 15
3. La loi n°2005-96 du 18 octobre 2005 sur le renforcement de la sécurité des relations financière ............................... 15
§ 3 - La circulaire BCT n°2006-19 du 18 novembre 2006 ........................................................................................................... 16
Section 3 : Le contrôle interne au service de la pérennité de l’entreprise ........................................................................................ 18
§ 1 - La sauvegarde du patrimoine et la fiabilité de l’information ................................................................................................. 18
§ 2 - Le respect des orientations de l’organe exécutif et des procédures ................................................................................... 19
§ 3 - Un système de pilotage de l’entreprise ............................................................................................................................... 19
Chapitre II : Les spécificités du processus de management des risques dans le secteur bancaire .......................................... 20
Section 1 : L’évolution du risque bancaire ........................................................................................................................................ 20
Section 2 : Les risques majeurs de l’activité bancaire ...................................................................................................................... 20
§ 1 - Le risque de crédit ............................................................................................................................................................... 22
§ 2 - Le risque de marché ............................................................................................................................................................ 23
§ 3 - Le risque global de taux d’intérêt......................................................................................................................................... 24
§ 4 - Le risque de liquidité............................................................................................................................................................ 25
§ 5 - Le risque de règlement ........................................................................................................................................................ 25
§ 6 - Le risque opérationnel ......................................................................................................................................................... 26
1. Les composantes du risque opérationnel ..................................................................................................................... 26
2. L’apport de la réforme Bâle II : les trois piliers du ratio « Mc Donough » ...................................................................... 28
3. Les innovations de la réforme Bâle 2 ............................................................................................................................ 28
Section 3 : Les principes fondamentaux de management des risques selon le comité de Bâle 2 ................................................... 30
§ 1 - Surveillance par le Conseil d’Administration et culture de contrôle ..................................................................................... 30
§ 2 - Evaluation des risques ........................................................................................................................................................ 31
§ 3 - Activités de contrôle ............................................................................................................................................................ 31
§ 4 - Informations et communications .......................................................................................................................................... 32
§ 5 - Surveillance ......................................................................................................................................................................... 32
§ 6 - Evaluation des systèmes de contrôle interne par les autorités prudentielles ...................................................................... 33
DEUXIEME PARTIE : .................................................................................................................................... 34
LES NOUVELLES PREROGATIVES DE L’AUDIT INTERNE COMME OUTIL DE CREATION DE LA

VALEUR AJOUTEE DANS LE CADRE DU SYSTEME DE MANAGEMENT DES RISQUES EN MILIEU
BANCAIRE .................................................................................................................................................... 34
Chapitre I : Les enjeux de l’audit interne .......................................................................................................................................... 35

Section 1 : Une distinction nécessaire entre le système et la fonction ............................................................................................. 35
§ 1 - Distinction contrôle permanent et contrôle périodique ........................................................................................................ 35
§ 2 - L’audit interne : un contrôle au troisième degré .................................................................................................................. 36
§ 3 - Les qualités intrinsèques à la fonction d’audit interne ......................................................................................................... 37
1. Comparaison entre l’audit interne et les notions voisines : ........................................................................................... 38
2. Les centres d’intérêt de l’audit interne :......................................................................................................................... 38
3. Les différentes missions de l’audit interne : .................................................................................................................. 39
4. La démarche de l’audit interne : .................................................................................................................................... 39
Section 2 : Audit interne : le nouvel acteur du gouvernement d’entreprise ...................................................................................... 40
Section 3 : Organisation du contrôle bancaire.................................................................................................................................. 44
§ 1 - Elaboration et application des règlementations et exigences prudentielles ........................................................................ 45
1. Adéquation des fonds propres : .................................................................................................................................... 45
2. Gestion du risque de crédit : ......................................................................................................................................... 46
3. Gestion des risques de marché..................................................................................................................................... 47
4. Gestion des autres risques............................................................................................................................................ 47
5. Contrôles internes ......................................................................................................................................................... 49
§ 2 - Méthodes de contrôle bancaire ........................................................................................................................................... 49
1. Contrôle sur pièces ....................................................................................................................................................... 50
2. Le contrôle sur place ..................................................................................................................................................... 50
3. Surveillance sur une base consolidée ........................................................................................................................... 51
§ 3 - Exigences en matière d’information applicables aux établissements de crédit ................................................................... 51
1. Normes comptables ...................................................................................................................................................... 51
2. Portée et fréquence des transmissions d'informations .................................................................................................. 52
3. Confirmation de l'exactitude des informations transmises ............................................................................................ 52
4. Confidentialité des informations prudentielles ............................................................................................................... 52
5. Communication financière externe ................................................................................................................................ 52
Chapitre II : L’Audit interne au cœur du dispositif de contrôle bancaire....................................................................................... 53

Section 1 : Les conditions préalables à tout Audit interne ................................................................................................................ 53
§ 1 - Des objectifs clairement exprimés (la charte) ...................................................................................................................... 53
§ 2 - Une définition précise des fonctions .................................................................................................................................... 53
§ 3 - Une attitude prospective ...................................................................................................................................................... 54
§ 4 - Un plan d’audit..................................................................................................................................................................... 54
§ 5 - Des techniques appropriées ................................................................................................................................................ 55
§ 6 - Un travail de qualité ............................................................................................................................................................. 55
1. Une étude préalable : .................................................................................................................................................... 55
2. Un programme d’audit : ................................................................................................................................................. 55
3. Des dossiers documentés : ........................................................................................................................................... 55
4. Des rapports de qualité : ............................................................................................................................................... 55
5. Un suivi effectif des recommandations :........................................................................................................................ 55
§ 7 - Des moyens qualitatifs et quantitatifs suffisants .................................................................................................................. 56
1. Aspect quantitatif : ......................................................................................................................................................... 56
2. Aspect qualitatif : ........................................................................................................................................................... 56
Section 2 : Une planification stratégique des missions d’audit interne axée sur les risques ............................................................ 56
§ 1 - La démarche méthodologique d’une mission d’audit interne .............................................................................................. 57
1. La phase de préparation : ............................................................................................................................................. 59
2. La phase de réalisation : ............................................................................................................................................... 63
3. La phase de conclusion : .............................................................................................................................................. 65
4. La phase de suivi : ........................................................................................................................................................ 67
5. La gestion des risques inhérents à l’activité bancaire ................................................................................................... 68
§ 2 - Maîtrise du risque de crédit ................................................................................................................................................. 70
1. Maîtrise par le système de contrôle interne : ................................................................................................................ 70
2. Maîtrise par l’audit interne : ........................................................................................................................................... 72
§ 3 - Maîtrise du risque de marché .............................................................................................................................................. 76
§ 4 - Maîtrise du risque global du taux d’intérêt ........................................................................................................................... 89
§ 5 - Maîtrise du risque opérationnel ........................................................................................................................................... 93
2. Maîtrise par l’audit interne : ......................................................................................................................................... 101
Section 3 : Un périmètre d’action étendu et enrichi de nouvelles prérogatives .............................................................................. 135
§ 1 - Les limites globales et opérationnelles de l’audit interne .................................................................................................. 135
§ 2 - Un partenariat privilégié avec les auditeurs légaux et les consultants externes ............................................................... 136
1. Les relations entre les auditeurs internes et les commissaires aux comptes :............................................................ 136
2. Les relations entre les auditeurs internes et les consultants externes : ...................................................................... 138
§ 3 - Le contrôle réglementaire : le contrôle de conformité ....................................................................................................... 139
1. Le risque de non-conformité :...................................................................................................................................... 140
2. La gestion du risque de non-conformité : .................................................................................................................... 141
3. Un contexte international et réglementaire en évolution : ........................................................................................... 142
4. Pistes possibles pour limiter le risque de non-conformité : ......................................................................................... 142
CONCLUSION GENERALE ........................................................................................................................ 144
BIBLIOGRAPHIE ......................................................................................................................................... 146
ANNEXES .................................................................................................................................................... 152

Table des abréviations
BCT Banque Centrale de Tunisie
CMF Commission des Marchés Financiers
SIBTEL Société Interbancaire de Télécompensation
AMF Autorité des Marchés Financiers
IFACI Institut Français d’Audit et de Contrôle Interne
SEC Security and Exchange Commission
CRBF Commission de Régulation de la Bourse de France
OECT Ordre des Experts Comptables de Tunisie
CCT Compagnie des Comptables de Tunisie
IIA Institute of Internal Auditors
SOX Act Loi Sarbanes Oxley Act
LSF Loi de Sécurité Financière
COSO Committee Of Sponsoring Organizations
NCT Norme Comptable Tunisienne
IFRS International Financial Reporting Standard
IAS International Accounting Standard
MPA Mise en Application Pratique
CEO Chief Exécutive Officer
CFO Chief Financial Officer
BO Back Office
FO Front Office
RH Ressources Humaines
DRH Direction (Directeur) des Ressources Humaines
PCA Plan de Continuité d’Exploitation
IRB Internal Rated Basing
TBR Tableau de Bord Risques
SIG Système d’Information de Gestion
KRI Key Risque Indicator
ALM Assets Liability Management
VAR Value At Risque
DAB Distributeur Automatique de Billets
PNB Produit Net Bancaire
CT Crédit Court Terme
MT Crédit Moyen Terme
LT Crédit Long Terme
CAT Compte à Terme
BC Bon de Caisse
FRAP Feuille de Révélation et d’Analyse du Problème
GEI Grande Entreprise ou Industrie
PME/PMI Petite et Moyenne Entreprise ou Industrie
Page 5
La fonction audit interne dans les établissements de crédit :
MEMOIRE D’EXPERTISE COMPTABLE le nouvel outil de création de la valeur ajoutée
Introduction générale
Les mutations vécues par le secteur bancaire à l’échelle internationale ont mis les banques face à un
environnement socioéconomique mouvant et de plus en plus complexe. En effet, les banques Tunisiennes à
l’instar des banques étrangères ont vécu de profonds bouleversements dans les années quatre vingt-dix se
traduisant par la décentralisation et l'internationalisation des activités, la croissance du volume des
opérations, le développement de produits sophistiqués et la prise de risques dans un contexte de baisse des
marges.
Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle des risques, de
protection des investisseurs et de transparence des marchés et d'autre part, des exigences toujours plus
aigues en matière de management des risques et d’organisation des établissements bancaires accroissant
du même coup le risque de contrôles inadaptés et défaillants. Le pilotage des risques bancaires, à travers
les fonctions de management des risques, est devenu depuis quelques années dans les pays occidentaux
(Etats Unis, Japan, Grande Bretagne, France,…) un phénomène d'actualité.
Les turbulences financières qui ont secoué les marchés financiers internationaux ont mis en évidence
certaines faiblesses dans le management des risques au sein des banques. Ce management longuement
assimilé à une simple conformité aux règles prudentielles s'est avéré inefficace dans la mesure où celui-ci
s’est limité dans la plupart des cas au respect d'un ensemble d'indicateurs plutôt généraux et à passer sous
silence un aspect fondamental de la gestion des risques bancaires en l’occurrence l'implication de la
direction générale et du conseil d'administration dans le contrôle des organisations bancaires.
Les pertes subies par certaines banques et établissements financiers surtout au niveau de l’activité
« Trading », en plus des menaces de faillite ayant lourdement pesé sur le secteur bancaire, ont eu pour
conséquence un durcissement de la part des autorités de régulation des contrôles et des sanctions
devenues plus dissuasives. Ces instances ont d’ailleurs développé des doctrines exigeantes voire
contraignantes pour les banques en matière de gestion et de maîtrise des risques mettant l’accent sur la
protection des déposants.
La solidité et la pérennité de toute banque sont une responsabilité qui incombe en premier lieu au
gouvernement d’entreprise de celle-ci. Il n'y a aucun système de surveillance bancaire pouvant remplacer
une gestion saine et efficace de la banque. Celle-ci passe désormais par une implication plus stricte du
gouvernement d’entreprise dans le choix d'outils pertinents les mieux adaptés au profil de risque de
l'établissement bancaire. L'existence d'une structure d'audit interne au sein d'une banque traduit la volonté
affirmée de la part de ses instances dirigeantes de se doter d'un outil capable de limiter les risques inhérents
à ses activités, de rendre l'organisation existante plus performante et généralement, d'accroître l'efficacité et
la valeur ajoutée de celle-ci. En fait, l’audit interne peut jouer un rôle non négligeable en matière
Page 6
d’optimisation du management d’une banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien
apte à remplir la mission qui lui est assignée.
La fonction d’audit interne dans les banques semble, actuellement, contribuer réellement à la création de
valeur ajoutée et, ce en raison de l’évolution de son rôle de «gardienne des intérêts et du patrimoine» vers
un organe assurant une activité indépendante, objective et propre à permettre à une organisation, d’une
part, d’avoir une assurance sur le degré de maîtrise de ses opérations et des risques y inhérents et, d’autre
part, d’améliorer les moyens en place pour y parvenir.
Ce rôle de la fonction d’audit interne, impliquant le recours à des techniques diversifiées pour évaluer et,
partant, améliorer les dispositifs de contrôle des risques de management et de gouvernance, en a fait un
véritable vivier de consultants dans les domaines opérationnels et stratégiques les plus variés, avec pour
objectif final la création de valeur ajoutée pour l’organisation. Mais en réalité, l’accent mis sur le contrôle
interne par la réglementation en vigueur n’a amené les équipes d’audit interne qu’à se focaliser et à
mobiliser leurs ressources dans cette direction à ce titre, il est opportun de se demander comment la
fonction audit interne contribue t elle à la création de valeur ajoutée dans le processus de production d’une
organisation ?
Le présent mémoire essaie de synthétiser quelques éléments de réponse à certaines interrogations se

rapportant aux systèmes de contrôle interne, d’audit et de management des risques :
 Quel est le véritable rôle de l’audit interne dans le gouvernement d’entreprise ? est-t-il le nouveau
cheval de bataille du conseil d’administration pour évaluer l’efficacité des systèmes de contrôle
interne ? où est-t-il un simple maillon de la chaîne de contrôle parmi tant d’autres ?
 Quel est l’impact des nouvelles dispositions en matière de management des risques du comité de
Bâle sur la conduite et la planification des missions d’audit interne ? L’audit interne a-t-il vu le champ
ème
de son intervention élargi ou au contraire relégué à un simple rôle de contrôleur de 3 degré ?
 La valeur ajoutée de l’audit interne se manifeste-t-elle dans l’adaptabilité des procédures d’audit
interne aux pratiques de gestion existantes ou au contraire dans la manière dont le processus
d’audit peut façonner les pratiques de gestion ?
Pour répondre à l’ensemble de ces interrogations nous nous proposons tout au long de ce mémoire de
revenir, dans une première partie, sur les origines du contrôle interne, de rappeler ses fondements puis
d’analyser et de présenter ses différentes composantes en rapport avec le domaine bancaire. Un soin
particulier sera réservé à l’apport des recommandations du comité de Bâle en la matière.
Ensuite, nous mettrons l’accent, dans la seconde partie, sur le rôle joué par l’audit interne dans le dispositif
de management des risques afin de renforcer ce dernier, nous enchaînerons ensuite par un essai sur
l’impact des nouvelles dispositions en matière de maîtrise des risques bancaires selon le comité de Bâle sur
la conduite et la planification des missions d’audit. Nous essaierons enfin, au vu de ces éléments, de situer
la fonction audit interne dans le gouvernement d’entreprise et par conséquent de définir son statut de
créateur de valeur ajoutée.
Page 7
Première partie :
Le management des risques dans le

secteur bancaire : une évolution
ratifiée
Chapitre I :
Historique et objectifs du contrôle

interne
Section 1 : Les origines et les sources du contrôle interne
§ 1 - Aux USA
Les origines du contrôle interne remontent à l’année 1992 au cours de laquelle le « Committee Of
Sponsoring Organisations », ayant relayé la commission « TREADWAY » engagée à partir 1985 dans des
travaux pour déterminer les causes des fraudes dans les reporting et les états financiers et proposer les
mesures pour en assurer la prévention et la détection, a, publié son rapport sur le contrôle interne connu
comme le référentiel COSO.
1. Le référentiel COSO 1 (Internal Control – Integrated Framework)

Le référentiel COSO 1 a défini le cadre de référence du contrôle interne et l’a présenté comme étant un
processus, dont les trois objectifs, les cinq mécanismes et le champ d’application, sont illustrés par le cube
(Cf. Fig.1), suivant :
(Fig.1)
Source : COSO ERM Executive Summary
2. Le référentiel COSO 2 (Entreprise Risk Management Framework)

Le « Committee Of Sponsoring Organisations » a publié en 2002 un deuxième référentiel, dit : COSO 2, se
démarquant du premier référentiel par son orientation vers la gestion des risques et l’introduction de la
notion de « risk appetite » et la confirmation du contrôle interne en tant que processus transversal institué
par le conseil d’administration, les dirigeants et le personnel, ayant pour mission de :
 identifier les insuffisances organisationnelles et procédurales entravant potentiellement la gestion
d’une entreprise ;
Page 9
 maîtriser les risques inhérents aux ressources déployés par une entreprise et à ses opérations et
activités dans les limites du « risk appetite » ou appétence au risque, ou plus précisément, le degré
de risque qu’une entreprise accepte de courir en réalisant son objet social ;
 fournir une assurance raisonnable que la gestion d’une entreprise satisfait généralement aux
objectifs qui lui sont assignés, aux réglementations et lois en vigueur, ainsi qu’aux décisions et
consignes de ses organes délibérants et d’administration.
(Fig.2)
Source : COSO ERM Executive Summary
Le COSO 2 a introduit, par rapport au COSO 1 une nouvelle fonction qui est celle du « Risk Officer1 » et a
remodelé son architecture (Cf. Fig.2) à trois plans comme suit :
Premier plan : "Niveaux de l’organisation"
 Décomposition plus stricte de la structure de l’organisation ;
 Mise en évidence de la nécessité de prendre en compte l’ensemble de l’organisation pour que le
COSO 2 soit appliqué avec succès.
Deuxième plan : "Objectifs"
 Définition d’un nouvel objectif : « stratégique » ;
 Elargissement de la notion de reporting pour couvrir en plus du reporting financier un reporting sur
les systèmes d’information. De plus, cette notion couvre dorénavant et à la fois la remontée
d’informations internes et externes.
Troisième plan : "Eléments de contrôle"
 Enrichissement de l’axe « éléments de contrôle » qui devient « éléments de gestion des risques » et
qui passe ainsi de cinq à huit catégories :
 L’élément environnement interne est complété de la notion d’appétence aux risques ;
 L’élément évaluation des risques est éclaté en quatre sous-éléments ;
 L’élément activités de contrôle reste inchangé ;
 L’élément information et communication est complété par les notions de temps et de
granularité de l’information ;
 L’élément pilotage reste inchangé.
1 Le responsable de management des risques
Page 10
§ 2 - En Europe
Dans le carde de l’Union Européenne, le contrôle interne est intimement lié au contrôle financier exercé dans
le cadre du contrôle légal des comptes et, ce comme en témoignent les directives, suivantes :
i. La quatrième directive 78/660/CEE du conseil de l’Union Européenne du 25 juillet 1978 concernant
les comptes annuels de certains types de sociétés ;
ii. La septième directive 83/349/CEE du conseil de l’Union Européenne du 13 juin 1983 concernant les
comptes consolidés ;
iii. La huitième directive 84/253/CEE du conseil de l’Union Européenne du 10 avril 1984 concernant
l’agrément des personnes chargées du contrôle légal des documents comptables.
ème
Aussi, le projet de révision de la 8 directive 2006/43/CEE du parlement Européen et du Conseil de l’Union
Européenne amendant la directive 84/253/CEE promulguée le 28 septembre 2005 et adoptée par les 25
pays membres de l’Union Européenne le 17 mai 2006, a prescrit pour des considérations de contrôle interne
aux comités d’audit, d’évaluer l’efficacité des systèmes de contrôle interne et de gestion des risques.
Dans ce même ordre d’idée, il serait édifiant de présenter, ci-dessous, les expériences vécues en matière de
contrôle interne, du moins, par les pays suivants :
En France, le contrôle interne est régi par :

 Le règlement n°97-02 de la Commission de Régulation de la Bourse de France (CRBF), tel que
modifié par le règlement n°2001-01 du 26 juin 2001 et n°2004-02 du 15 janvier 2004 ayant énuméré
les éléments constitutifs du dispositif de contrôle interne dans les banques ;
 Le cadre de référence du contrôle interne publié au cours du mois de mai 2006 par l’Autorité des
Marchés Financiers (AMF) qui a défini le contrôle interne ainsi que ses dispositifs et ses objectifs,
sachant que ce cadre est en accord quasi parfait avec le référentiel American COSO et le référentiel
Britannique « Trumbull guidance ».
Il importe aussi de souligner à ce même sujet, que le plan comptable général français promulgué par le
règlement n°99-03 du 29 avril 1999 du Comité de la Réglementation Comptable (CRC) a fixé, dans son titre
4 les conditions et mesures nécessaires à l’existence de systèmes contrôle interne comptable et, ce pour le
consacrer dans son rôle de garant de la fiabilité des informations financières restituées par une entreprise.
En Angleterre, le « Trumbull guidance », dit également : « Trumbull report », a constitué le cadre de

référence du contrôle interne dans ce pays, notamment, pour les sociétés cotées à la bourse de Londres en
raison des obligations mises à leur charge en matière d’information financière par le « Combined Code2 ».
2 Le « Combined Code » sur la corporate governance a fixé les normes de bonnes pratiques en matière de
composition des conseils d’administration, de rémunération, d’indépendance, d’audit et des relations avec les
actionnaires
Page 11
En Allemagne, la loi portant réforme du système de contrôle des comptes « KonTraG » de 1998 a
institutionnalisé le concept du « corporate governance », lequel a été adopté pour garantir, particulièrement,
la justification de la décision au sein de l’entreprise et la transparence quant aux salaires des dirigeants et
mandataires sociaux.
Au Luxembourg, la circulaire 98/143 de l’Institut Monétaire Luxembourgeois (IML) a, d’une part défini le
dispositif de contrôle interne ainsi que ses mécanismes et ses objectifs et, d’autre part, prescrit, seulement,
aux banques et, notamment, à leur directeurs généraux de soumettre à la Commission de Surveillance du
Secteur Financier (CSSF) un rapport sur leurs dispositifs de contrôle interne.
§ 3 - En Tunisie
C’est la norme comptable Tunisienne NCT 01, entrée en application par l’arrêté du ministère des finances du
31 décembre 1996, qui a précisé dans son deuxième chapitre les tenants, aboutissants, mécanismes et
objectifs des diapositifs de contrôle interne dans tout processus de production d’informations financières et
comptables.
Aussi, ses mécanismes et objectifs, ont été précisés plus en détail par la norme comptable Tunisienne
NCT 22 relative au contrôle interne et à l’organisation comptable dans les établissements bancaires et, ce
pour tenir compte des spécificités des activités bancaires. Cette norme, ayant prescrit aux banques de se
doter de dispositifs de contrôle interne, a affirmé la volonté des autorités de contrôle, en l’occurrence la
Banque Centrale de Tunisie (BCT), de confirmer le contrôle interne en tant que processus incontournable de
gouvernance et, ce en procédant à partir de 1987 à sa réglementation, dans les conditions, ci-dessous,
exposées :
 La parution le 18 décembre 1987 de la circulaire aux banques n°87-46 régissant les règles
prudentielles de contrôle des risques bancaires inhérents aux actifs et opérations bancaires,
notamment, les opérations de crédit ;
 La parution en 1991 de la circulaire aux banques n°91-24 du 7 décembre 1991, qui a mis à la
charge des commissaires aux comptes l’obligation d’émettre expressément dans leur rapport aux
organes délibérants et aux autorités de contrôle un avis circonstancié sur les dispositifs de contrôle
interne dans les banques ;
 La parution en 1993 de la note aux banques et aux établissements financiers n°93-23 du 30 juillet
1993, qui a défini les termes de référence de l’audit des comptes bancaires et de gestion, y
comprises les politiques et procédures, des banques.
Aussi, la loi n°2001-65 modifiant, respectivement, la loi n°94-25 du 7 février 1994 et la loi n°67-51 du
7 décembre 1967 relative aux banques, a confirmé cette tendance des autorités de contrôle, en
l’occurrence, la BCT :
 en imposant aux banques de se doter de structures permanentes d’audit interne, à constituer en
comité d’audit interne ;
 en prescrivant le rattachement dudit comité d’audit interne des banques au conseil d’administration.
Page 12
D'ailleurs, la loi n°2006-19, relative aux établissements de crédit du 02 mai 2006 modifiant la loi n°2001-65
précitée, a abondé dans ce même ordre d’idée en décrétant dans son premier chapitre une série de
dispositions et de principes de bonne gouvernance, dont et, à titre indicatif, ce qui suit :
 la création d’un comité exécutif de crédit ;
 l’institution d’un système de contrôle de la conformité ;
 la mise en place d’un système de contrôle interne propre à assurer en temps réel l’évaluation
continue des procédures internes ainsi que la mesure, le suivi et la maîtrise des risques ;
 la limitation du nombre des mandats de commissariat aux comptes ;
 l’attribution du mandat de commissariat aux comptes des banques à deux commissaires aux
comptes.
Section 2 : La montée en puissance des obligations réglementaires
§ 1 - La loi Sarbanes-Oxley Act
La loi « Sarbanes Oxley Act » (SOX Act), promulguée le 30 juillet 2002 dans le sillage des scandales
financiers (ENRON, ADELPHIA, XEROX et WORDCOM) ayant ébranlé les marchés financiers aux Etats
Unis en 2001 et 2002, est venue conforter, notamment, les dispositifs règlementaires antérieurs relatifs au
contrôle interne, en l’occurrence, les lois « Securities Act » de 1933 et « Securities Exchange Act » de 1934,
relative à la prévention des manœuvres frauduleuses en matière de reporting financier.
L'objectif de la loi « Sarbanes-Oxley », étant de prévenir les fraudes et les conflits d'intérêt au sein d’une
entité, il est, donc évident, qu’elle conduise sur les marchés à une transparence univoque concernant les
transactions y négociées, propre à consolider d’avantage la confiance des parties prenantes aux opérateurs
déployés et mécanismes fonctionnant dans ces marchés.
En effet, de cette loi se dégage les trois principes fondamentaux, suivants :

i. L'exactitude ;
ii. L'accessibilité à l'information et la responsabilité des gestionnaires ;
iii. L'indépendance des organes de direction et de délibération.
Elle a été, faut il le souligner, adoptée pour pallier les insuffisances caractérisant le contrôle interne en tant
que processus dans l’entreprise mais aussi pour exiger des membres de conseil d’administration en
exercice, de justifier tant qu’ils seront en fonction leur indépendance à l’égard de l’entreprise qu’ils dirigent
et, a requit à cet effet :
 du directeur général (Chief Exécutive Officer - CEO) et du directeur financier (Chief Financial Officer
- CFO) de produire annuellement à l’adresse du conseil d’administration une affirmation (section 302
de la loi) formalisée concernant la régularité des états financiers ;
 de la direction générale de présenter à la « Securities and Exchange Commission » (SEC) les
justificatifs des ajustements et des opérations comptables non répétitives et règlementées avec
notamment, les parties liées au sens des lois et normes en vigueur ;
Page 13
 des organes d’administration d’établir annuellement un rapport sur le contrôle interne, à soumettre
pour avis et certification des auditeurs externes.
Cette même loi a prévu, également et, pour être respectée et appliquée scrupuleusement, les dispositions
suivantes :
 l’institution au sein de toute entreprise d’un comité d’audit, indépendant (section 301 de la loi), dont
les procédures et outils doivent être agréés par le « Public Company Accounting Oversight Board »
(PACOB) (section 101-109) ;
 l’institution de deux organes de contrôle à postériori des entreprises, à savoir :
 la « Securities and Exchange Commission » (SEC), chargée du contrôle des entreprises
cotées, une fois toutes les trois années ;
 le « Public Company Accounting Oversight Board » (PACOB), chargé de la réglementation,
la normalisation des procédures de contrôle interne et de la surveillance de ses dispositifs et
structures qui lui sont dédiées.
 le recours à des mesures et sanctions (section 906 de la loi) pour dissuader les manœuvres
frauduleuses en matière d’information comptable ou financière contrevenant de quelque origine que
ce soit aux lois et règlementations en vigueur, notamment, celles régissant le contrôle interne et le
reporting financier et comptable.
§ 2 - Le règlement n°97-02 du 21 février 1997 du CRBF et les lois de sécurité

financière
1. Le règlement n°97-02 du CRBF tel que modifié par le règlement n°2001-01

Le règlement n°97-02, de la Commission de Régulation de la Bourse de France (CRBF), tel que modifié par
le règlement n°2001-01 du 21 Février 1997, a prescrit aux banques françaises d’appréhender la gestion de
leurs risques dans les conditions admises généralement à l’échelle internationale.
Ce règlement a confirmé les dispositions règlementaires antérieures, relatives :

i. au contrôle interne (CRBF. n°90-08) ;
ii. à la mesure et au contrôle des risques de marché (CRBF. n°88-04) ;
iii. au risque de taux d’intérêt sur les opérations de marché (CRBF. n°90-09) ;
iv. à l’organigramme comptable et au dispositif de traitement de l’information (CRBF. n°91-04).
Ce règlement a aussi imposé aux banques de respecter, à raison de leurs activités, des règles minimales de
bonne gestion des risques et a subordonné leur mise en application à la réalisation préalable des conditions,
suivantes :
 Responsabilisation du conseil d’administration et de la direction générale sur tout ce qui concerne le
contrôle interne, l’instrumentalisation et la propagation de la culture de contrôle ;
 Evaluation adéquate et en permanence des risques inhérents aux activités ;
 Mise en place d’éléments clés de contrôle à chaque niveau opérationnel ;
Page 14
 Existence de circuits prédéfinis et clairs de l’information ;

 Surveillance assidue des opérations et ressources.
2. La loi n°2003-706 du 01 août 2003 sur la sécurité financière (LSF)

er
La loi sur la Sécurité financière, promulguée en France le 1 août 2003, se caractérise par les principes
fondamentaux, suivants :
 Transparence des comptes et gouvernance de l'entreprise ;
 Renforcement du contrôle interne ;
 Garantie de sécurité pour les actionnaires.
La loi sur la sécurité financière a attribué au président du conseil d’administration ou du conseil de

surveillance des toutes les sociétés anonymes la responsabilité de produire annuellement un rapport sur les
dispositifs du contrôle interne en place dans leur entreprise, à soumettre, pour avis et, le cas échéant,
certification des commissaires aux comptes, elle a aussi requis de ceux là même de :
 Justifier en permanence leurs indépendance à l’égard de leur entreprise ;
 Produire à l’intention de leurs actionnaires un compte rendu sur leurs de décisions relatives au
contrôle interne et sur les actions entreprises pour en assurer l’exécution ;
 Exiger de leur président de rendre compte aux actionnaires de toute anomalie ou défaillance du
contrôle interne ayant, de par ses effets, rejailli négativement sur les résultats financiers et
processus d’exploitation et d’administration.
3. La loi n°2005-96 du 18 octobre 2005 sur le renforcement de la sécurité des relations

financière
A l’instar de la loi de sécurité financière (LSF) en France et la « SOX Act » aux USA, la Tunisie a entrepris
des efforts pour réorganiser et légiférer un cadre pour la sécurisation des relations financières entre les
différents intervenants sur la place financière, ce qui a donné lieu à la mise à jour de plusieurs dispositions
au niveau du code des sociétés commerciales et de la loi n°94-117 portant réorganisation du marché
financier et la loi n°94-55 relative au registre de commerce.
La dite loi a mis, en effet, l’accent, dans sa première partie, sur le renforcement du rôle des auditeurs
externes en :
 introduisant la notion des limites chiffrées par référence au total bilan, au chiffre d’affaires et à
l’effectif pour le calcul des honoraires relatifs aux missions de certification des commissaires aux
comptes n’impliquant pas des diligences spécifiques, telles les missions requises par les différentes
circulaires de la BCT. Les honoraires relatifs à ces diligences sont fixés par convention entre les
parties prenantes, en l’occurrence : le commissaire aux comptes et la banque cliente, cette
convention est communiquée impérativement pour information et contrôle à la commission de
contrôle érigée au sein de l’Ordre des Experts Comptables Tunisiens ;
Page 15
 habilitant les techniciens en comptabilité inscrits à la CCT3 à exercer, sous certains conditions4, le
commissariat aux comptes des entreprises ;
 limitant le nombre des mandats de commissariat aux comptes dans les entreprises autres que les
banques, respectivement, à trois mandats successives pour les commissaires aux comptes
personnes physiques et à cinq mandats successives pour les commissaires aux comptes agissant
sous forme de sociétés d’expertise comptable et, en impartissant aux commissaires aux comptes de
veiller à la rotation de leurs équipes d’intervention d’une année à l’autre ;
 imposant aux banques de recourir au Co-commissariat pour l’audit de leurs comptes annuels. Cette
mesure d’ordre public, a requis de ces derniers de participer aux réunions des conseils
d’administration appelés conformément à l’article 201 du code des sociétés commerciales à arrêter
leurs comptes annuels, y compris l’état des sûretés et le rapport annuel y relatif ;
 prescrivant au directeur général et au directeur financier et comptable de remettre, sous leur
responsabilité, aux commissaires aux comptes une lettre d’affirmation selon le modèle prévu par
l’arrêté du ministre des finances du 17 juin 2006.
La deuxième partie de la loi n°2005-96 a été consacrée au renforcement de la politique de communication

financière des sociétés et à la consolidation des règles de bonne gouvernance par :
 la présentation d’un cadre juridique pour l’instauration des comités permanents d’audit interne ;
 la redynamisation du rôle du registre de commerce dans la divulgation d’informations clés se
rapportant à l’entreprise ;
 l’instauration de nouvelles obligations à la charge des sociétés faisant appel public à l’épargne.
La troisième partie de la loi n°2005-96 a apporté certains amendements à la loi n°94-117 portant
réorganisation du marché monétaire en étendant le champ des contrôles du Conseil du Marché Financier
(CMF) à l’activité de gestion de portefeuilles.
§ 3 - La circulaire BCT n°2006-19 du 18 novembre 2006
La circulaire BCT n°2006-19 du 18 novembre 2006 traitant des dispositifs requis pour assurer la bonne
administration des risques bancaires, a recommandé aux Banques :
 d’adopter des pratiques de contrôle interne à la mesure des divers risques auxquels elles sont
habituellement exposées et, qui ne dérogent en rien dans leur principe aux prescriptions faites à ce
sujet par le comité de Bâle ;
 de pourvoir leur fonction de contrôle interne de moyens procéduraux et outils requis par leur mission
ciblant, non seulement, l’investigation des erreurs et anomalies détectées mais, également,
l’identification, la qualification des risques d’erreur et des anomalies imputables à des défaillances
3 CCT : Compagnie des Comptables de Tunisie

4 L’exercice du commissariat aux comptes est permis pour les membres de la CCT tant que le total bilan n’a pas
dépassé 1,5 millions de TND, le chiffre d’affaires 0,3 millions de TND et l’effectif 50 personnes
Page 16
ou défection des systèmes dans le but d’en prévenir et, le cas échéant, d’en quantifier les
conséquences et effets ;
 d’évaluer régulièrement les apports de la fonction de contrôle interne et de ses capacités humaines
et matérielles à prévoir et, partant, à prévenir les risques auxquels elles sont exposées à raison de
leurs activités et ressources.
La dite circulaire a défini par ailleurs le contrôle interne comme un « ensemble de processus, méthodes et
mesures appropriés et adaptés visant à assurer en permanence la sécurité, l’efficacité et l’efficience des
opérations, la protection des actifs, la fiabilité de l’information financière et la conformité de ces opérations
avec les lois et les réglementations en vigueur5 », et a rappelé aussi les principaux objectifs, qui lui sont
dévolus. La vérification de leur réalisation par la fonction d’audit interne est à rechercher dans les directions,
suivantes :
 le mode et les moyens de gestion d’une banque et de protection de son patrimoine, il s’agit là d’un
objectif d’ordre opérationnel ;
 les capacités d’une banque à produire en temps utile les informations nécessaires à l’appréciation
de ses performances et perspectives, il s’agit là d’un objectif d’information ;
 les capacités d’une banque à se conformer et à s’adapter à ses différentes politiques, d’une part,
ainsi qu’aux réglementations, normes et règles professionnelles et déontologiques, d’autre part, il
s’agit là d’un objectif de conformité.
La circulaire de la BCT n°2006-19 a proposé aux banques pour l’atteinte des objectifs précisés une
architecture du système de contrôle interne, fondée sur les principes, suivants :
 conformité aux dispositions législatives et réglementaires et aux orientations de la banque ;
 élaboration de procédures écrites et contrôle de la traçabilité des opérations ;
 fixation, respect et surveillance des limites par type de risque encouru ;
 élaboration et communication périodiques d’informations financières fiables et pertinentes ;
 séparation des fonctions ;
 principe des « quatre yeux » (contre-vérifications, double contrôle des actifs, doubles signatures,
etc.…) ;
 simulation de scénarios de crises pour les différents risques ;
 révision permanente des dispositifs opérationnels et de contrôle.
Elle a attribué, enfin, au conseil d’administration d’une banque locale ou off-shore ainsi qu’à ses filiales
financières ou à leur direction générale la responsabilité d’instaurer une culture et des dispositifs de contrôle
interne à leur mesure et en cohérence avec l’organisation du groupe et la nature de l’activité des entités
contrôlées.
5 Article 3 de la circulaire n°2006-19
Page 17
Section 3 : Le contrôle interne au service de la pérennité de l’entreprise
Le contrôle interne est la réunion au sein d’une entité économique de dispositifs d’ordre organisationnel et
procédural et de structures opérationnelles nécessairement indépendantes, compétentes, réputées
généralement servir la décision tendant à l’utilisation et au réemploi optimal des ressources disponibles et,
surtout, à leur préservation dans le temps et en l’état.
Aussi, ces dispositifs et structures, ne se démarquent ils pas des autres fonctions dans l’entreprise par cette
particularité et, surtout, par leur dynamisme, qui ont fait du contrôle interne une composante non négligeable
dans n’importe quel type d’organisation et mode de gouvernance d’une entreprise. Cette acception du
contrôle interne, au demeurant, affirmée par les lois et les réglementations bancaires, dénote indéniablement
de l’impact très positif de ses effets sur la décision de gestion en général et, surtout, dans tout processus de
prévention et détection des risques inhérents aux activités et dans tout dispositif mis en place pour garantir
la protection des ressources disponibles et, conséquemment, la continuation dans le temps de l’entreprise
et, ce par :
 la conformité aux lois et règlements en vigueur ;
 l’application des instructions de la direction générale et des orientations fixées par le conseil
d’administration ;
 le bon fonctionnement des processus internes de la banque, notamment ceux concourant à la
sauvegarde de ses actifs ;
 la fiabilité des informations financières.
§ 1 - La sauvegarde du patrimoine et la fiabilité de l’information
Le patrimoine d’une entreprise regroupe l’ensemble de ses actifs corporels incorporels, tels que le savoir-
faire, l’image ou la réputation. Ces actifs peuvent disparaître à la suite de vols, fraudes, improductivité,
erreurs, usurpation, ou résulter d’une mauvaise décision de gestion ou d’une faiblesse de contrôle interne.
Le contrôle interne, tel que défini au paragraphe, ci-dessus, contribue à la sauvegarde du patrimoine, grâce
aux dispositifs, ci-dessous, conduisant à :
 La séparation des tâches de garde, d’administration, de contrôle et de comptabilisation des actifs
réputées incompatibles et la définition des circuits d’information ainsi que des relations et
passerelles fonctionnelles entre ces tâches ;
 La formalisation et la mise en place de procédures informatiques et comptables de traitement, de
contrôle et de justifications des informations relatives à la garde, administration, contrôle et à la
comptabilisation des actifs et la définition des supports pour en assurer le bon cheminement.
Il contribue aussi à l’amélioration des informations financières, en amenant :

 à la formalisation des procédures et contrôles comptables ;
Page 18
 à la mécanisation des traitements des opérations à partir du stade de leur saisie jusqu’à la
production des états de synthèse et de contrôle des informations comptables et financières y
relatives restituées par ces systèmes ;
 à la vérification de la régularité et la conformité des données comptables restituées au regard des
normes comptables, des lois et réglementations.
§ 2 - Le respect des orientations de l’organe exécutif et des procédures
Les instructions et orientations de la direction générale permettent à tout un chacun au sein d’une entreprise
de connaître l’étendue de leurs attributions et prérogatives. Le contrôle interne, en requérant la diffusion de
dites orientations et instructions dans l’entreprise, fait obstacle théoriquement à toute les velléités de ne pas
les respecter, conduisant, nécessairement, à une dilution des responsabilités, nuisible à la bonne conduite
des activités et, conséquemment, à la survie de l’entreprise.
§ 3 - Un système de pilotage de l’entreprise
Le contrôle interne, en aidant à la prévention et à la maîtrise des risques affectant potentiellement les
activités et les risques résultant de l’exploitation et de l’administration des diverses ressources, s’apparente
pratiquement au sein d’une entreprise à un système de pilotage de celle-ci dans son ensemble. Ce pilotage
se traduit généralement par un suivi méticuleux et la rectification en temps opportun des objectifs assignés
aux processus et moyens conduisant à la satisfaction des conditions nécessaires à sa poursuite dans le
temps.
Page 19
Chapitre II :
Les spécificités du processus de

management des risques dans le
secteur bancaire
Section 1 : L’évolution du risque bancaire
Les banques sont réputées, de tout temps et de par les métiers y exercés, gérer des risques. Ces risques
conjugués sont communément qualifiés de risques bancaires, lesquels sont défini par certains théoriciens
comme étant «l’incertitude temporelle d’un évènement ayant une certaine probabilité de survenir et de
mettre en difficulté une banque»6.
Par ailleurs, le risque bancaire, qui était réduit, il n’y a pas longtemps, à un risque d’ordre financier qualifié
communément de risque de crédit ou de contrepartie tenant aux activités traditionnelles d’une banque, à
savoir l’octroi de crédit, recouvre depuis quelques années de nouveaux risques d’ordre structurel et
comportemental, tels que présentés, ci-dessous, par la figure (Cf. Fig.3) pouvant s’avérer en première analyse
aussi graves si non plus graves de conséquences que le risque de crédit.
Ces nouveaux risques sont consécutifs à la multiplication et la dématérialisation des services et prestations
rendus par les banques sous la pression d’une demande exigeante et d’une concurrence très active sur un
marché financier et de change reconnus par leur volatilité et sensibilité aux mutations, crises et scandales
sociaux économiques de par le monde d’une part et, d’autre part, d’un actionnariat de plus en plus avide de
profit. Ces éléments réunis constituent désormais la cause des divers risques encourus par les banques. Il
s’agit, en l’occurrence, des risques opérationnels, qui sont à l’origine des scandales ayant ébranlé ces
dernières années le marché financer et de change un peu partout dans le monde.
Section 2 : Les risques majeurs de l’activité bancaire
Les risques encourus habituellement par les banques au titre de leurs activités et stratégies sont de trois
types, qualifiés généralement de risques financiers, risques opérationnels et risques de réputation,
présentés ci dessous (Cf. Fig.3) :
6 Pratique de l’activité bancaire « François DESMICHT » - DOUND 2JJ4, page 239
Page 20
(Fig.3)
Chacune de ces classes de risques englobe plusieurs risques associés dont la nature et les causes sont
mises en évidence par le diagramme ci-dessous (Cf. Fig.4) :
Structure bilan
Structure / rentabilité du compte de résultat
Adéquation des fonds propres
Risque de Crédit Crédit
Risques Financiers
Illiquidité
Marché
Devis
Politique macroéconomique
Infrastructure financière
Infrastructure légale
Risque Marché Responsabilité civile
Responsabilité de la réglementation
Réputation et risque fiduciaire
Risque pays
Risque de Liquidité Illiquidité
Fraude interne
Opérationnels
Fraude externe
Risques
Pratique en matière d'emploi et sécurité du lieu de travail

Risque Opérationnel Clients, produits et services d'affaires
Dégradation des actifs physiques
Interruption d'activité et défaillance du système
Exécution livraison et gestion du process
Risques Global de Taux d'Intérêt Taux fixe / taux variable
Risques
Autres
Risque de Règlement Réglement / contrepartie

Risque Stratégique stratégies
Risque de Réputation Image de marque
(Fig.4)
Page 21
§ 1 - Le risque de crédit
L’article 22 de la circulaire BCT n°2006-19 définit le risque de crédit comme étant le « …risque encouru en
cas de défaillance d’une contrepartie ou de contreparties considérées comme un même bénéficiaire au sens
de la réglementation en vigueur ».
Ce risque, qui court depuis la mise en place d’un crédit jusqu’à son parfait recouvrement, serait matérialisé
au cas où il se précisait par la perte de la totalité ou d’une quotité des engagements financiers ou par
signature, dont il a découlé.
Il découle, aussi :
 de l’impossibilité pour une banque d’exécuter les sûretés qu’elle a recueillies au titre de ses
engagements, cette situation est réputée constituer un risque dit de garantie ;
 de l’agrégation hors normes réglementaires de l’encours de crédit par contrepartie, par groupe, par
secteur, par pays, par devise etc… Dans ce cas le risque encourus est qualifié de risque de
concentration ;
 des difficultés rencontrées par un pays éprouvé économiquement ou en crise latente à assurer le
service de ses dettes, cette situation présente un risque pays ;
 des variations négatives de la valeur faciale des crédits et placements en monnaies étrangères
consécutives aux fluctuations incontrôlées ou imprévisibles des ces devises. Cette situation
représente un risque de change, qui se caractérise, néanmoins, par sa neutralité si les ressources
et emplois correspondant sont libellés dans la même devise. Dans ce cas et comme il est démontré
ci-dessous, le risque ne porte que sur la marge de la banque mais dans le cas contraire, le montant
en principal est également exposé au risque.
Emplois Ressources Emplois Ressources
Principal de la dette 1000 k$ 1000 k$ 1000 k$ 1000 kDT

Intérêt de la dette (t=10 %) 100 k$ 100 k$
Hypo u : var + 0,05 parité $/DT

principal néant 0 DT [-(1000*1,05)+(1000*1,05)] gain change +50 DT [-(1000)+(1000*1,05)]
Impact/échéance
intérêt gain change +5 DT (100*0,05) gain change +5 DT (100*0,05)
Hypo v : var - 0,05 parité $/DT
principal néant 0 DT [-(1000*0,95)+(1000*0,95)] perte change -50 DT [-(1000)+(1000*0,95)]
Impact/échéance
intérêt perte change -5 DT (100*0,05) perte change -5 DT (100*0,05)
 des fraudes diverses et des actes de malversation, vols, détournements, infractions auxquels une
banque est exposée, cette situation présente un risque de fraude ;
 des concours accordés à des conditions hors marché, ou selon des procédures exceptionnelles à
des dirigeants de la banque, à des entreprises dans lesquelles ils ont des intérêts ou des associés
communs, dans ce cas le risque encouru est un risque d’initiés ;
Page 22
 du non respect des règlementations régissant l’activité de crédit, cette situation présente un risque
légal et réglementaire, qui pourrait ébranler une banque en l’exposant ainsi que ses dirigeants à de
lourdes sanctions administratives et pénales ;
 de l’incompatibilité des emplois d’une banque classés selon leur maturité avec les ressources dont
ils découlent classés selon leur volatile et stabilité, cette situation expose une banque à un risque
de liquidé ou d’illiquidité, qui découle aussi de retraits massifs des dépôts à vue ;
 de variations significatives des taux d’intérêts acceptés pour le financement d’un crédit, cette
situation présente un risque de taux d’intérêt. En fait, le taux d’intérêt (rémunération du crédit) peut
s’avérer supérieur au rendement du crédit en cas de variations des taux d’intérêt.
Selon une enquête couvrant 68 banques européennes en difficulté, menée par le sous-comité bancaire de
surveillance de l'Institut Monétaire Européen (IME), le risque de crédit est la cause principale de difficultés
rencontrées par 75% de ces banques, lequel constat a été par ailleurs confirmé entre 2008 et 2009 par la
crise immobilière (crise des « Subprimes ») qui a provoqué des pertes sérieuses et la faillite de plusieurs
banques Américaines.
Pour parier à ce risque le comité de Bâle a prévu :

À partir de 1988 un ratio de solvabilité, communément reconnu sous l’appellation de ratio « Cooke »7, qui a
obligé les banques à justifier en permanence de fonds propres compatibles avec le total de leur
engagements. Les limites de ce ratio résident dans sa prise en compte pour l’évaluation du risque de crédit
uniquement le concours des prêts accordés et la négligence de la qualité de l’emprunteur en l’occurrence la
banque.
À partir de 2004 le ratio « Mc Donough », qui prend en compte non seulement les concours d’une banque à
une contrepartie mais aussi les particularités de celle ci et, ce grâce à un système de notation interne à
mettre en place au sein de chaque banque dénommé Internal Rating Based (IRB).
§ 2 - Le risque de marché
L’article 31 de la circulaire BCT n°2006-19 définit le risque de marché comme « …les risques de pertes qui
peuvent résulter :
 des fluctuations des prix sur les titres de transaction et de placement telles que définis par les
normes comptables et sur tout autre instrument financier prévu par la réglementation en vigueur.
 ou des positions susceptibles d’engendrer un risque de change, notamment les opérations de
change au comptant ou à terme. ».
Les pertes imputables à ce risque sont la conséquence des variations des cours de change, des taux
d’intérêt, des instruments financiers (titres de créance, titres de propriétés) ou des matières premières. Ce
7 Le ratio Cooke a été introduit par le comité de Bâle et il communément reconnu comme l’accord de Bâle 1
Page 23
risque fait l’objet d’une exigence supplémentaire de fonds propres8 prévue dans le cadre du ratio « Mc
Donough »9.
Le développement exponentiel des volumes traités sur les marchés traditionnels, et surtout sur les nouveaux
marchés des produits dérivés, tels que les contrats de gré à gré (FORWARDS) les contrats à terme
(FUTURES), les SWAPS, les OPTIONS et les WARRANTS, a considérablement amplifié le risque de
marché devenu représentatif du risque de change et du risque de prix.
Dans ce contexte, de nouvelles entités appelées « salle des marchés » ont ainsi été créées pour répondre
justement à cette contrainte croissante du risque de marché. L’ensemble des activités financières ont été
réunies dans cette nouvelle entité qui regroupe :
 le marché des changes ;
 le marché monétaire ;
 le marché des titres et fonds ;
 le marché obligataire.
Ce risque s’est illustré dans des scandales qui ont mis en exergue une étonnante faiblesse dans le système
de contrôle interne en place dans certaines banques. La faillite de la banque BARINGS en 1995 en est
l’exemple type.
§ 3 - Le risque global de taux d’intérêt
L’article 34 de la circulaire BCT n°2006-19 définit le risque global du taux d’intérêt comme « …le risque
encouru en cas de variation des taux d’intérêt, mesuré sur l’ensemble des opérations de bilan et hors bilan à
l’exception, le cas échéant, des opérations soumises aux risques de marché ».
Le risque global de taux d’intérêt est matérialisé par l’impact négatif que pourrait avoir une évolution
défavorable des taux d’intérêt sur la situation financière d’une banque conséquence, du non-adossement
des ressources aux emplois ou du décalage, des emplois et des ressources quant aux échéances de
révision des taux.
Les principales formes du risque de taux d’intérêt auxquelles les banques sont généralement exposées sont
les suivantes :
 risque de révision de taux sur les échéances ;
8 En janvier 1996, le Comité de Bâle a publié un document amendant l'accord sur les fonds propres et mettant en
œuvre une nouvelle exigence de fonds propres liée aux risques de marché. Pour calculer le coefficient de fonds
propres, les banques auront la possibilité d'utiliser une méthode standardisée ou leurs propres modèles internes. Les
autorités de contrôle du G 10 envisagent de recourir à des contrôles ex post (c'est-à- dire à des comparaisons entre
chiffres obtenus par les modèles et résultats effectifs) sur la base des systèmes internes de mesure du risque des
banques pour l'application des normes de fonds propres.
9 Pilier 2 des accords du comité de Bâle 2 sur la surveillance prudentielle
Page 24
 risque de déformation de la courbe des taux (courbe des taux d’émission des Bons de Trésor), qui
résulte des modifications de la pente et de la configuration de la courbe ;
 risque de base dû à une corrélation imparfaite dans l’ajustement des taux reçus et versés sur des
produits différents, dotés par ailleurs de caractéristiques de révision de taux analogues ;
 risque de clauses optionnelles lié aux options explicites ou implicites dont sont assorties certaines
créances, dettes et positions du hors-bilan des banques.
Les activités bancaires de dépôt et de crédit peuvent être fortement impactées par des variations
importantes des taux d'intérêt.
A c tif P a s s if A c tif P a s s if
Crédits à court terme Dépôts à vue
Avoirs de trésorerie
pool
Titres de transaction Ressources
interbancaires M arg e T a u x fix e T a u x fix e
transfert ac q u is e T a u x fix e T a u x fix e
M a rg e
Crédits à moyen terme Dépôts d’épargne exposée
Titres de placement
pool
Ressources de marché Taux Taux Taux
Taux
M arg e va ria b le va ria b le v a ria b le v a ria b le
ac q u is e
transferts in d e x 1 in d e x 1 in d e x 1 in d e x 1
M a rg e
exposée
Taux Taux
Crédits à long terme Capitaux Taux Taux
Titres de participations
pool M arg e
va ria b le
va ria b le
v a ria b le
v a ria b le
permanents ac q u is e
in d e x 2 in d e x 2
in d e x 2 in d e x 2
Gap taux fixe = Actif taux fixe – Passif taux fixe

Gap taux variable = Actif taux variable – Passif taux variable
Gap indexk= Actif indexk – Passif indexk
§ 4 - Le risque de liquidité
L’article 38 de la circulaire BCT n°2006-19 définit le risque de liquidité comme « …le risque pour
l’établissement de crédit et la banque non résidente de ne pas pouvoir s’acquitter dans des conditions
normales, de leurs engagements à leurs échéances. ».
La défaillance due à l’illiquidité, est plutôt une cause qu’un effet. Il est souvent la conséquence du crédit que
suscite une banque sur le marché et auprès de ses diverses relations.
Un autre aspect du risque de liquidité est celui de ne pas pouvoir trouver, à un instant donné, des
instruments financiers destinés à couvrir une position, ou de devoir les acheter ou les vendre à un prix
anormal, du fait de l’insuffisance ou de l’absence de liquidité sur le marché.
§ 5 - Le risque de règlement
L’article 42 de la circulaire BCT n°2006-19 définit le risque de règlement comme « …le risque de
survenance, au cours du délai nécessaire pour le dénouement de l’opération de règlement, d’une défaillance
ou de difficultés qui empêchent la contrepartie d’un établissement de crédit ou d’une banque non résidente
de lui livrer les instruments financiers ou les fonds convenus, alors que ledit établissement de crédit ou ladite
banque non résidente a déjà honoré ses engagements à l’égard de ladite contrepartie. ».
Page 25
Le risque de règlement est basé sur une relation tripartite : une banque, un donneur d’ordre et un
bénéficiaire. Le risque de règlement est omniprésent dans l’activité bancaire internationale (crédit
documentaire, remise documentaire, etc…).
§ 6 - Le risque opérationnel
L’article 45 de la circulaire BCT n°2006-19 définit le risque opérationnel comme « …le risque de pertes
résultant de carences ou de défaillances attribuables à la conception, à l’organisation et à la mise en œuvre
des procédures, aux erreurs humaines ou techniques ainsi qu’aux événements extérieurs. La définition
inclut, le risque juridique mais exclut les risques stratégiques et de réputation. ».
Le règlement de la Commission de Régulation de la Bourse de France (CRBF) n°97-J214 définit le risque

opérationnel comme « …le risque résultant d’insuffisances de conception, d’organisation et de mise ne
œuvre des procédures d’enregistrement dans le système comptable et plus généralement dans les
systèmes d’information de l’ensemble des événements relatifs aux opérations de l’établissement. ».
Pour le comité de Bâle il est matérialisé directement ou indirectement par les pertes résultant de processus,
de systèmes et de structures humaines défaillantes et inadéquates, de risque juridique, de risque
informatique, de risque comptable, de risque déontologique, des fraudes, des pertes, des vols et des
événements externes.
Le risque opérationnel est un thème dont la définition ne fait pas l’objet d’un consensus aussi il mérite à ce
qu’on s’y intéresse promptement.
1. Les composantes du risque opérationnel

Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et l’environnement
externe font courir à la banque. Ils se décomposent en quatre sous-ensembles :
 les risques liés au système d’information : défaillance matérielle, bug logiciel, obsolescence des
technologies (matériel, langages de programmation,…) ;
 les risques liés aux processus (saisies erronées, non respect des procédures,…) ;
 les risques liés aux personnes (absentéisme, fraude, mouvements sociaux,… mais aussi capacité
de la banque à assurer la relève sur les postes clés) ;
 les risques liés aux évènements extérieurs (terrorisme, catastrophe naturelle, environnement
réglementaire,…).
Ces quatre sous-ensembles représentent une compilation de risques se définissant comme suit :
 Risque juridique : Le règlement de la Commission de Régulation de la Bourse de France (CRBF)
n°97-J2 le définit comme le risque lié à tout litige avec une contrepartie résultant de toute
imprécision, lacune ou insuffisance de nature quelconque susceptible d’être imputable à la banque
au titre de ses opérations dont :
Page 26
 une mauvaise rédaction ou insuffisance de documentation de contrat qui rend leur exécution
impossible ou difficile ;
 procès intentés pour maintien ou rupture abusive des concours ;
 garanties difficiles à réaliser ou ne pouvant l’être faute d’être suffisamment fondées
juridiquement aussi bien formellement que dans leur principe ;
 actions en responsabilité engagées contre une banque en réparation des préjudices causés
à un client du fait de l’ambigüité des termes de leur engagement avec cette banque.
 Risque déontologique : L’activité sur les marchés financiers peut créer des confusions entre les
intérêts des clients, ceux de la banque et parfois même ceux de la direction générale.
 Risque réglementaire : La réglementation bancaire est extrêmement exigeante, complexe et
impose des contraintes sévères aux banques. Leur non-respect peut se traduire par des amendes
ou des sanctions imposées par les autorités juridiques ou de contrôle (Banque Centrale, Ministère
des Finances, CMF, etc.…).
 Risque de blanchiment : Le système bancaire peut servir par inadvertance ou de manière
délibérée comme plateforme pour le blanchiment de « l’argent sale » découlant d’activités
criminelles, visé en Tunisie par la loi n°2003-75 du 10 décembre 2003 relative à la lutte contre le
financement du terrorisme et le blanchiment d’argent et à l’institution de la Commission Tunisienne
d’Analyse Financière (CTAF).
 Risque de fraude : Ce risque résulte de vol, de falsification et de contrefaçon avec préméditation
dans le but de contourner ou de se soustraire à des obligations contractuelles légales et
réglementaires. Il peut également résulter d’agressions externes (hold-up et fraudes sur les moyens
de paiement).
 Risque comptable : ce risque résulte d’erreur dans les enregistrements comptables et de mauvais
fonctionnement des procédures et des systèmes de comptabilisation.
 Risque sur les systèmes d’information : Les systèmes d’information bancaire deviennent de plus
en plus complexes pour répondre à des besoins, internes et externes, de plus en plus
contraignants : Information sur les risques, information sur la rentabilité, comptes annuels, états
périodiques, statistiques, déclarations fiscales. Ce risque résulte de la production par une banque
d’informations erronées et/ou en dehors des délais prescrit, ces informations doivent être fiables et
rapidement disponibles. L’opacité des résultats et des risques, due aux faiblesses des systèmes
d’information, peut avoir de graves conséquences.
 Risque informatique : L’informatique est un véritable outil de production dans une banque. Son
efficacité est un facteur prépondérant dans la bataille de la rentabilité et de l’adaptation à un
environnement de plus en plus difficile et concurrentiel. Les erreurs de conception ou de réalisation,
les retards dans la mise en œuvre de technologies nouvelles, l’insuffisance de maîtrise de systèmes
de plus en plus complexes, constituent des risques importants avec des conséquences directes sur
la rentabilité et la qualité des services. L’absence ou la faiblesse des procédures de sauvegarde, de
back up ou de PCA peut entraîner des pertes significatives.
Page 27
 Risque de ressources humaines : c’est le risque d’infraction à la réglementation du travail en

vigueur et au non respect des procédures internes en matière de recrutement, de suivi et de gestion
des carrières.
2. L’apport de la réforme Bâle II : les trois piliers du ratio « Mc Donough »
L’appréciation de la solvabilité bancaire, jusqu’ici mesurée au travers du ratio « Cooke», prend désormais en
compte les risques opérationnels, en sus des risques de crédit et des risques de marché. Ceci se fait grâce
au nouveau ratio baptisé « Mc Donough ».
Le nouvel accord sur les fonds propres du comité de Bâle 2 dans sa version amendée a pour but de mieux
asseoir l’évaluation de l’adéquation des fonds propres sur les principales composantes des risques
bancaires et d’encourager les banques à renforcer leurs procédures de mesure et de gestion des risques.
Pilier I : Renouvellement des exigences minimales de fonds propres afin de mieux tenir compte de
l'ensemble des risques bancaires et de leur réalité économique
 les fonds propres couvrent les risques de crédit et de marché et les risques opérationnels ;
 de nouvelles techniques personnalisées pour l’évaluation du risque de crédit allant de la méthode
standard à la méthode avancé Internal Rated Based (IRB).
Pilier II : Renforcement de la surveillance prudentielle par les superviseurs nationaux

 les stratégies des banques peuvent varier quant à la composition de l'actif et la prise de risques. Les
banques centrales auront alors plus de liberté dans l'établissement des normes face aux banques,
pouvant exiger des hausses de capital là où elles le jugeront nécessaire.
Pilier III : Utilisation de la communication d'informations financières afin d'améliorer la discipline de

marché
 de nouvelles règles de transparence sont établies quant à l'information mise à la disposition du
public sur l'actif, les risques et leur gestion.
3. Les innovations de la réforme Bâle 2

La logique de cette réforme est simple : elle suggère le passage d’une méthode purement quantitative et
forfaitaire à une méthode combinant le qualitatif et le quantitatif tout en restant plus sensible à la qualité
intrinsèque des risques.
Page 28
Le comité de Bâle 2 exige des banques de justifier pour la couverture du risque opérationnel la disponibilité
en permanence d’une quotité de fonds propres à calculer selon les trois approches, suivantes :
i. l’approche « Indicateurs de Base », qui en arrête le montant 15% au produit annuel brut10 des
trois dernières années ;
ii. l’approche « Standard », qui la fixe à une quotité de la somme des produits bruts pondérés par un
facteur (bêta) spécifique à chaque branche d’activité ;
Catégorie d’activité Facteur bêta
Paiement et règlement 18%
Fonctions d’agent 15%
Gestion d’actifs 12%
Courtage de détail 12%
Financement des entreprises 18%
Négociation et vente 18%
Banque de détail 12%
Banque commerciale 15%
iii. l’approche « Mesures Avancées » qui en estime la valeur en évaluant la perte potentielle que la
banque pourrait supporter.
Illustration chiffrée : Méthode « Indicateurs de Base » Illustration chiffrée : Méthode « Standard »

Produit Net Bancaire Capital Indicateur de base Indicateur pondéré
Banque Ligne d'activité Taux
2004 2005 2006 Total Moyenne pour le R.O Année N-2 Année N-1 Année N Année N-2 Année N-1 Année N
Financement
UBCI 64 340 68 861 73 481 206 682 68 894 10 334 10 10 10 18% 1,8 1,8 1,8
d'entreprise
BIAT 170 353 178 509 12 066 560 928 186 976 28 046 Négociation et
20 -60 30 18% 3,6 -10,8 5,4
ventes
ATTIJARI BANK 80 949 76 878 81 481 239 308 79 769 11 965
Courtage -10 10 20 12% -1,2 1,2 2,4
BT 81 517 89 908 110 326 281 571 93 917 14 088 Banque
20 15 10 15% 3,0 2,3 1,5
STB 124 236 143 637 182 727 450 600 150 200 22 530 commerciale
BNA 135 619 147 937 175 948 459 504 153 168 22 975 Banque de détail 20 20 30 12% 2,4 2,4 3,6
ATB 63 894 70 134 82 687 216 715 72 238 10 836 Paiement et

10 -40 10 18% 1,8 -7,2 1,8
règlement
BH 104 892 123 270 143 143 371 305 123 768 18 565
Service d'agence 20 15 0 15% 3,0 2,3 0,0
Gestion d'actifs 0 20 30 12% 0,0 2,4 3,6
Somme des indicateurs pondérés annuels 14,4 -5,7 20,1
Correction des valeurs négatives à zéro
Exigences annuelles en fonds propres 14,4 0 20,1
Exigence globale en fonds propres pour le risque opérationnel 11,5
L’approche « Mesures Avancées » bien qu’ayant le mérite d’astreindre une banque à une exigence réduite
de fonds, nécessite au moins le respect des critères suivants :
 un critère général : l’approbation préalable par l’autorité de régulation
 des critères qualitatifs :
 fonction « Gestion du Risque Opérationnel » (GRO) indépendante
 implication de la direction générale par une intégration dans la gestion des risques au
quotidien
 reporting régulier des expositions et des pertes
 programme régulier d’analyse des scénarios
 documentation sur les procédures, les contrôles en place, etc.…
10 Produit annuel brut moyen = les intérêts créditeurs et les autres produits d’exploitation excepté les agios réservés,
les plus/moins values sur cession des titres et les éléments extraordinaires
Page 29
 audits internes et/ou externes

 des critères quantitatifs :
 prise en compte des pertes sévères mais rares et calibrage à partir des pertes attendues et
inattendues
 processus de gestion et bases de données cohérentes avec la définition du risque
opérationnel
 système d’information adéquat
 procédures pour l’usage des données d’origine externe
 revue périodique des méthodologies et paramètres
 historique de données sur 5 années
 existence de corrélations entre assurances et ajustements qualitatifs (tenant compte de la
qualité des contrôles et/ou de l’environnement économique)
Section 3 : Les principes fondamentaux de management des risques

selon le comité de Bâle 2
Le processus de contrôle interne, qui visait traditionnellement à réduire la fraude, les détournements de
fonds et les erreurs, a pris une dimension plus vaste et recouvre désormais l'ensemble des risques encourus
par les banques.
Le comité de Bâle11 insiste sur l’importance des principes fondamentaux pour un contrôle interne efficace
répartis sur cinq catégories étroitement liés :
i. surveillance par le conseil d’administration et culture de contrôle ;
ii. évaluation des risques ;
iii. activités de contrôle ;
iv. information et communication ;
v. activités de surveillance.
§ 1 - Surveillance par le Conseil d’Administration et culture de contrôle
Principe 1 : Le conseil d’administration devrait être chargé d’approuver et de revoir périodiquement les
grandes stratégies et les principales politiques de la banque, d’apprécier les risques substantiels qu’elle
encourt, de fixer des niveaux acceptables pour ces risques et de s’assurer que la direction générale prend
les dispositions nécessaires pour identifier, mesurer, surveiller et contrôler ces risques, d’approuver la
structure organisationnelle et de veiller à ce que la direction générale surveille l’efficacité du système de
11 Le Comité de Bâle sur le contrôle bancaire, institué en 1975 par les gouverneurs des banques centrales des pays
du Groupe des dix, rassemble les autorités de contrôle des banques. Il est composé de hauts représentants des
autorités de contrôle bancaire et banques centrales d’Allemagne, de Belgique, du Canada, des Etats-Unis, de France,
d’Italie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de Suède et de Suisse. Ses réunions ont
habituellement pour cadre la Banque des Règlements Internationaux, à Bâle, siège de son Secrétariat permanent.
Page 30
contrôle interne. Le conseil d’administration est responsable en dernier ressort de l’existence et du respect
d’un système de contrôle interne adéquat et performant12.
Principe 2 : La direction générale devrait être chargée de mettre en œuvre les stratégies et politiques
approuvées par le conseil d’administration, d’élaborer des processus permettant d’identifier, de mesurer, de
surveiller et de contrôler les risques encourus, de mettre en place une structure organisationnelle fixant
clairement les rapports de responsabilité, d’autorité et de notification, de garantir l’exercice effectif des
responsabilités déléguées, de définir des politiques de contrôle interne appropriées et de surveiller
l’adéquation et l’efficacité du système de contrôle interne13.
Principe 3 : Le conseil d’administration et la direction générale sont chargés de promouvoir des critères
élevés d’éthique et d’intégrité et d’instaurer, au sein de l’organisation bancaire, une culture qui souligne et
démontre, à tous les niveaux du personnel, l’importance des contrôles internes. Tout le personnel de
l’organisation doit comprendre son rôle dans le contrôle interne et s’impliquer activement dans ce
processus14.
§ 2 - Evaluation des risques
Principe 4 : Un système de contrôle interne efficace nécessite de reconnaître et d’évaluer en permanence

les risques importants qui pourraient compromettre la réalisation des objectifs de la banque. Cette évaluation
devrait couvrir l’ensemble des risques encourus par la banque et l’organisation bancaire consolidée (c’est-à-
dire risque de crédit, risque pays et risque de transfert, risque de marché, risque du taux d’intérêt, risque de
liquidité, risque opérationnel, risque juridique et risque de réputation). Une révision des contrôles internes
peut s’avérer indispensable pour traiter de manière appropriée tout risque nouveau ou précédemment
incontrôlé15.
§ 3 - Activités de contrôle
Principe 5 : Les activités de contrôle devraient faire partie intégrante des activités quotidiennes de la
banque. Un système de contrôle interne efficace nécessite la mise en place d’une structure de contrôle
appropriée, avec des activités de contrôle définies à chaque niveau opérationnel. Celles-ci devraient inclure
les éléments suivants16 :
 Examens au plus haut niveau ;
 Contrôles appropriés d’activité pour les différents départements ou unités ;
 Contrôles physiques ;
 Vérification du respect des plafonds d’engagement et suivi en cas de non-respect ;
 Système d’approbations et d’autorisations ;
 Système de vérifications et de contrôles par rapprochement.
12 Cadre pour les systèmes de CI dans les organisations bancaires, Comité de Bâle septembre 1998
Page 31
Principe 6 : Un système de contrôle interne efficace nécessite que les tâches soient séparées de façon
appropriée et que le personnel ne soit pas chargé de responsabilités conflictuelles. Les domaines
susceptibles de donner lieu à des conflits d’intérêts devraient être identifiés, circonscrits aussi étroitement
que possible et soumis à une surveillance attentive d’une tierce partie indépendante17.
§ 4 - Informations et communications
Principe 7 : Un système de contrôle interne efficace nécessite l’existence de données internes adéquates et
exhaustives − d’ordre financier, opérationnel ou ayant trait au respect de la conformité − ainsi que
d’informations de marchés extérieures sur les événements et conditions intéressant la prise de décision. Ces
données et informations devraient être fiables, récentes, accessibles et présentées sous une forme
cohérente18.
Principe 8 : Un système de contrôle interne efficace nécessite l’existence de systèmes d’information fiables
couvrant toutes les activités importantes de la banque. Ces systèmes, notamment ceux qui comportent et
utilisent des données informatisées, doivent être sûrs, surveillés de manière indépendante et étayés par des
plans de secours adéquats19.
Principe 9 : Un système de contrôle interne efficace nécessite des voies de communication performantes
pour garantir que l’ensemble du personnel comprend et respecte parfaitement les politiques et procédures
affectant ses tâches et responsabilités et que les autres informations importantes parviennent à leurs
destinataires20.
§ 5 - Surveillance
Principe 10 : L’efficacité globale des contrôles internes de la banque devrait être surveillée en permanence.
Le suivi des principaux risques devrait faire partie des activités quotidiennes de la banque de même que les
évaluations périodiques effectuées par les secteurs d’activité et l’audit interne21.
Principe 11 : Un audit interne efficace et exhaustif du système de contrôle interne devrait être effectué par
un personnel bien formé et compétent bénéficiant d’une indépendance opérationnelle. La fonction d’audit
interne, en tant qu’élément de la surveillance du système de contrôle interne, devrait rendre compte
directement au conseil d’administration, ou à son comité d’audit, ainsi qu’à la direction générale22.
Principe 12 : Les déficiences des contrôles internes, qu’elles soient détectées par un secteur d’activité,
l’audit interne ou un autre personnel de contrôle, devraient être notifiées dans les meilleurs délais au niveau
de direction appropriée et faire l’objet d’un traitement rapide. Les déficiences importantes devraient être
signalées à la direction générale et au conseil d’administration23.
Page 32
§ 6 - Evaluation des systèmes de contrôle interne par les autorités

prudentielles
Principe 13 : Les autorités prudentielles devraient exiger que toutes les banques, quelle que soit leur
dimension, disposent d’un système efficace de contrôle interne correspondant à la nature, à la complexité et
au degré de risque inhérent à leurs activités de bilan et de hors bilan et réagissant aux modifications de
l’environnement et des conditions d’activité de la banque. Dans les cas où les autorités prudentielles
constatent que le système de contrôle interne n’est pas adéquat ou efficace par rapport au profil de risque
spécifique de la banque elles devraient intervenir en conséquence24.
Page 33
Deuxième partie :
Les nouvelles prérogatives de l’Audit

interne comme outil de création de la
valeur ajoutée dans le cadre du
système de management des risques
en milieu bancaire
Chapitre I :
Les enjeux de l’audit interne
Section 1 : Une distinction nécessaire entre le système et la fonction
L’audit interne est une fonction indépendante rattachée au sommet de la hiérarchie qui tend à sécuriser les
actifs, fiabiliser les informations, assurer l’efficacité des opérations et l’efficience de l’organisation.
Le contrôle interne est un système déployé à travers toute la banque et dont la responsabilité et le
fonctionnement, l’évaluation relèvent, respectivement, des organes d’administration, de la direction générale
de la banque et, de la compétence de l’audit interne.
Dans le cadre des missions d’audit financier, l’évaluation du contrôle interne est un élément obligatoire et
déterminant da la démarche de l’auditeur. En effet, en identifiant ensuite en évaluant, le contrôle interne
relatif à la comptabilisation des opérations, l’auditeur détermine l’étendue et la nature des diligences de
contrôle qu’implique nécessairement sa mission. Il apparait ainsi à l’évidence que plus le contrôle interne
relatif à la comptabilisation des opérations est fiable, moins approfondis seront les contrôles d’un auditeur
dans le cadre de ce genre de mission.
Il en est également de même pour l’audit opérationnel dont la finalité est de répondre à la question de
savoir : Dans quelle mesure l’activité ou l’entité est-elle maîtrisée ? Le système de contrôle interne constitue
un élément de réponse à cette question.
Pour l’appréciation du contrôle interne, l’auditeur utilise des techniques plus ou moins développées en
fonction de la complexité de l’organisation et de la nature de la mission d’audit et, aussi, des autocontrôles,
formalisés ou informels, exercés par les opérationnels.
§ 1 - Distinction contrôle permanent et contrôle périodique
Le contrôle interne est un système qui fonctionne d’une façon permanente et qui englobe l’ensemble des
structures de la banque afin de garantir la pérennité de l’organisation, l’efficacité des traitements et la
sauvegarde des actifs.
L’audit interne par contre est une fonction qui s’insère dans le cadre du processus global de contrôle à
l’échelle d’une organisation, néanmoins l’intervention ponctuelle de l’audit interne, programmée dans le
cadre d’un plan d’intervention annuel (le plan d’audit) la rend périodique.
Page 35
En Tunisie, la circulaire BCT n°2006-19 du 28 novembre 2006 a prévu dans son article 7 deux types de
contrôles :
i. la première catégorie de contrôles, prévue dans l’alinéa (a) de cet article, regroupe le contrôle
permanant de la conformité, de la sécurité, de la validation des opérations réalisées et du respect
des autres diligences liées à la surveillance des risques et est dédiée à des agents qui
l’accomplissent d’une façon permanente ;
ii. la deuxième catégorie de contrôles, prévue dans l’alinéa (b) de cet article, regroupe le contrôle
périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect
des procédures, de l’efficacité et du caractère approprié des dispositifs du contrôle interne et est
dédiée à des agents, autres que ceux chargés du contrôle permanent, et qui l’accomplissent au
moyen d’enquêtes.
En France, le règlement n°97-02 du CRBF a fait une distinction entre :

 le « dispositif de contrôle régulier » assimilé à du contrôle permanent exercé par les entités internes
du type « back » ou « middle office » et qui s’intègre dans les processus opérationnels et
fonctionnels pour en assurer le déroulement correct ;
 le « dispositif de contrôle des systèmes internes de contrôle » dont la mission est la vérification à
posteriori du fonctionnement correct du dispositif de contrôle interne et la confirmation de sa
capacité à assurer la maîtrise des risques de la banque.
§ 2 - L’audit interne : un contrôle au troisième degré
En Tunisie, les dispositions de l’alinéa 7-b de la circulaire BCT n°2006-19 du 28 novembre 2006 a préconisé
une pyramide des contrôles (Cf. Fig.5) chapeautée par l’audit interne en tant qu’unique structure habilitée à
effectuer le contrôle périodique.
Périodiques
Contrôles
Pyramide des Contrôles
Audit
Contrôle à Distance
Permanents
Contrôles
Contrôle Permanent 2 é Niveau
Contrôle Permanent 1 é Niveau
(Fig. 5)
Les différents niveaux de contrôle couvrent :
er
Au 1 niveau :
Les contrôles remplis en temps réel au niveau du front office par les différents opérateurs y déployés.
Page 36
ème
Au 2 niveau :
Les contrôles sur terrain remplis au jour le jour au niveau du back office par des préposés indépendants et
hautement qualifiés dans les domaines de leur intervention, à l’effet de s’assurer entre autres, du bon
fonctionnement des procédures et du respect des consignes d’administration des risques.
Il apparaît ainsi que l’ensemble des contrôles opérationnels de niveau 1 et 2 constitue les contrôles
permanents qui incluent les contrôles comptables, les vérifications de caisse, et les documents justificatifs y
afférents. Ces contrôles sont confiés à des préposés faisant partie intégrante des cycles opérationnels d’une
banque.
ème
Les contrôles de 3 niveau :
Les contrôles périodiques et ponctuels initiés par les entités d’audit interne ou d’inspection et/ou par les
auditeurs externes, en l’occurrence, les commissaires aux comptes.
§ 3 - Les qualités intrinsèques à la fonction d’audit interne
L’audit interne, tel que défini par l’Institute of Internal Audit (IIA) est « …une activité indépendante et
impartiale menée pour produire de la valeur ajoutée pour une organisation en lui apportant l’assurance sur
son fonctionnement et des conseils pour l’améliorer. Il aide cette organisation à atteindre ses objectifs par
une approche systématique et méthodique d’évaluation et d’amélioration des processus de maîtrise des
risques, de contrôle et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité25 ».
De cette définition on retient que la fonction audit interne est :

 exercée par une entité spécialisée, préservant une certaine distance par rapport au domaine
examiné et assistant la direction générale pour le contrôle de ses activités
 exercée par une entité interne indépendante au sein de la banque qui vise à :
 apprécier l’exactitude et la sincérité des informations notamment comptables
 s’assurer de l’existence physique et de la sincérité comptable des opérations
 garantir l’intégrité du patrimoine
 juger de l’efficacité des systèmes d’informations
En contre partie de ce travail, l’audit interne suscite deux niveaux d’attentes de la part :
Des audités : lesquels attendent de l’audit interne une identification des insuffisances affectant leurs
structures et procédures et, des recommandations pour les régulariser ;
De la direction générale (ordonnateur de l’audit) : laquelle attend, une assurance de qualité et de fiabilité
grâce à l’avis de l’audit interne sur la rigueur de la gestion et, aussi, sur le bon fonctionnement du système
de contrôle interne et son appréciation sur la qualité du système d’information et de pilotage.
25 Version française de la définition internationale, approuvée le 21 mars 2000 par le conseil d’administration de
l’Institut de l’Audit Interne
Page 37
1. Comparaison entre l’audit interne et les notions voisines :

a)-. Audit interne et inspection :
Caractéristiques Audit interne Inspection
Régularité / efficacité Contrôle le respect des règles et leur Contrôle le respect des règles sans les
pertinence, caractère suffisant… interpréter ni les remettre en cause
Méthode et objectifs Remonte aux causes pour proposer des S’en tient aux faits et identifie les actions
recommandations pour éviter la nécessaires pour les réparer et remettre
réapparition du problème en ordre
Evaluation évalue les systèmes et non les hommes et Détermine les responsabilités : évalue le
vérifié leur fonctionnement comportement des hommes, parfois leurs
compétence et qualités
Service / police Privilégie le conseil et donc la coopération Privilégie le contrôle et donc

avec les audités l’indépendance des contrôleurs
Sélection / sélectivité Répond aux préoccupations du manager Investigations approfondies et contrôles

soucieux de renforcer sa maitrise, sur très exhaustifs
mandat de la direction générale
b)-. Audit interne et management des risques :

Caractéristiques Audit interne Risk management
Risques visés Risques de dysfonctionnement : Risques pures : aléatoires, accidentels,
transgression des règles, désordres sans espérance de gain.
inefficacités. Risques portant sur les biens et les
Risques portant sur l’ensemble des personnes
ressources
Traitement des risques Identification, démonstration, Identification, résolution

recommandation
Référentiel Contrôle interne, pratique d’organisation Chiffrages coût des mesures / fréquence
communément adoptées (probabilité) et gravité (impact) des risques
Niveau 3ème niveau 2ème niveau
2. Les centres d’intérêt de l’audit interne :

La maîtrise des différents aspects du fonctionnement d’une banque constitue le principal centre d’intérêt de
l’audit interne et ce, de par ses objectifs qui tendent habituellement à s’assurer :
 de la réalité ou d’exactitude en comparant les faits aux pièces existantes et en vérifiant que
l’institution a bien réalisé ce qu’elle déclare ;
 de la conformité aux règles en comparant les pratiques effectives aux procédures prescrites
(législation, impératifs techniques) ;
 de la cohérence et de la pertinence en vérifiant que la banque est capable de réaliser ses objectifs
visés et de bien exploiter les ressources et moyens mis en œuvre ;
 de l’efficacité en comparant les objectifs visés aux résultats atteints ;
 de l’efficience en vérifiant l’optimisation des moyens mis en œuvre ;
 de la potentialité et de la flexibilité en vérifiant que la banque peut être en mesure de connaître et
d’estimer ses risques et de savoir si elle peut anticiper leurs évolutions et maîtriser leurs
changements.
Page 38
3. Les différentes missions de l’audit interne :

Les principales catégories de missions accomplies par l’audit interne se répartissent entre les missions
d’audit « assurance » et les missions de conseil « consulting services » et regroupent :
 l’audit financier « Financial Audit »
 l’audit opérationnel « Opérationnel Audit »
 l’audit de conformité « Compliance Audit »
 l’audit informatique « IT-Audit »
 l’audit de la gestion « Management Audit »
L’audit financier vise à fournir une appréciation motivée sur l’intégrité et la fiabilité de l’information
financière.
L’audit opérationnel a pour objectif d’évaluer et d’améliorer le système de contrôle interne au niveau d’un
processus, ou d’un domaine spécifique, d’une activité et, de tout autre dispositif sans rapport avec
l’information financière.
L’audit de conformité consiste à vérifier le respect des procédures internes et des aspects légaux et
réglementaires en vigueur et également des politiques décisions et consignes des organes de direction et
des instances délibérantes.
L’audit informatique couvre les aspects liés à l’administration et l’exploitation de la logistique informatique
et non à la qualité de la gestion informatique, laquelle, relève du « Management Audit ».
Le management audit traite de la qualité de la gestion.
Types Objectifs
Audit financier
Audit opérationnel  Sécurité de l’information financière
Audit de conformité  Efficacité et efficience des opérations
 Conformité aux lois et règlementations
Audit informatique  Efficience de la stratégie
Management Audit
En pratique, certaines banques ne disposent pas d’un processus formalisé de management des risques,
l’audit interne peut participer à sa mise en œuvre, en qualité de coordinateur. Dans ces circonstances, l’audit
interne effectue une mission de conseil. Ce volet de services rendus par l’audit interne apporte une grande
valeur ajoutée à la banque.
Pour créer de la valeur ajoutée, les ressources de l’audit interne se focalisent sur les principaux risques
auxquels est exposée la banque. Pour cela, l’audit interne effectue une analyse périodique des risques et
tient compte des anomalies signalées par le processus de management des risques.
4. La démarche de l’audit interne :

L’audit interne est rattaché au sommet de la hiérarchie et ses interventions s’inscrivent dans la cadre d’un
plan de travail sur trois années consécutives durant lesquelles il est sensé assurer une couverture
exhaustive de l’ensemble des activités de la banque.
Page 39
La démarche d'audit interne s’articule autour des axes suivants :

 un plan annuel d’audit horodaté ;
 des programmes de missions spécifiques ;
 des papiers de travail normalisés ;
 des rapports de synthèse détaillés ;
 une phase de suivi pour les missions.
L’étendue du plan annuel d’audit est basée sur :

 une cartographie des risques (si elle existe) alimentée par une base de données des anomalies
détectées par les mécanismes de contrôle interne permanents (reporting opérationnel permanent) et
les recommandations issues des missions d’audit interne. Cette approche est qualifiée d’approche
normalisée26 ou académique ;
 l’appréciation du premier responsable de l’audit interne quant à la concentration des risques et
l’historique des incidents dans la banque. Ceci revient à dire que les missions d’audit seront plus
orientées vers les domaines et les process de lignes métiers ayant enregistré des anomalies de
fonctionnement dans le passé ou le cas échéant des présomptions de dysfonctionnement. Cette
approche est plus classique et reste influencée par le jugement professionnel et les orientations du
premier responsable de l’audit interne.
Section 2 : Audit interne : le nouvel acteur du gouvernement d’entreprise
Il est essentiel de pratiquer une bonne gouvernance pour gagner et conserver la confiance du public dans le
système bancaire, laquelle confiance est indispensable au bon fonctionnement du secteur et de l’économie
dans son ensemble. Des insuffisances dans ce domaine peuvent mener à des faillites bancaires
susceptibles d’entraîner des coûts importants pour la société ainsi que d’autres conséquences à travers
leurs répercussions potentielles sur les systèmes d’assurance des dépôts, avec peut-être des effets
macroéconomiques plus larges (par exemple, risque de contagion ou incidence sur les systèmes de
paiement). En outre, une gouvernance déficiente peut susciter la défiance des marchés dans la capacité
d’une banque à gérer convenablement ses actifs et passifs, notamment les dépôts qui lui sont confiés, ce
qui, par voie de conséquence, peut déclencher un retrait massif de dépôts ou une crise de liquidités. Outre
leurs obligations vis-à-vis de leurs actionnaires, les banques ont à fortiori, des obligations à l’égard de leurs
déposants.
L’Organisation du Commerce et du Développement Extérieur (OCDE) entend par gouvernement d’entreprise

un concept qui fait référence « aux relations entre la direction d’une entreprise, son conseil d’administration,
ses actionnaires et toutes autres parties prenantes. Il détermine également la structure selon laquelle sont
définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une surveillance des
26 L’approche normalisée fait référence aux normes et standards de la profession d’audit et de mangement des
risques
Page 40
résultats obtenus. Un gouvernement d’entreprise de qualité doit inciter le conseil d’administration et la

direction générale à poursuivre des objectifs conformes aux intérêts de la banque et de ses actionnaires et
faciliter une surveillance effective des résultats obtenus. L’existence d’un système de gouvernement efficace
au sein de chaque entreprise et, dans l’économie considérée dans sa globalité, contribue à maintenir la
confiance nécessaire au bon fonctionnement d’une économie de marché27 »
Le gouvernement d’entreprise d’une banque regroupe :

 le conseil d’administration, qui décide des valeurs à véhiculer au sein de la banque, de la
stratégie, du niveau de risques et des politiques fondamentales de la banque ;
 le comité permanent d’audit, qui veille à la gestion opérationnelle et financière de la banque ;
 la direction générale, qui a la responsabilité de la conduite de la banque, et des contrôles y
exercés y compris la mise en place d’un système de management des risques ;
 le commissaire aux comptes, qui est chargé de vérifier la sincérité et la régularité de l’information
financière au regard des normes comptables en vigueur eu égard aux objectifs généralement
dévolus à l’audit financiers.
L’audit interne doit être placé en staff. Ses relations avec le gouvernement d’entreprise sont schématisées
par le diagramme ci-dessous :
INTERVENANTS MANAGEMENT DES RISQUES
Actionnaires Objectifs
Info.
Stratégie Opérations Conformité
Financière
CO SO & CO BIT
Conseil d’administration Environnement de contrôle
Définitions des objectifs
Identification des événements
Direction
M oyens
Comité d’audit Évaluation des risques

générale
Traitement des risques
Activités de contrôle
Audit interne Commissaire aux Information et communication
comptes
Pilotage
L’Institut Français d’Audit et de Contrôle Interne (IFACI) définit la gouvernance comme un ensemble de
processus, réglementations, lois et institutions influant la manière dont la banque est dirigée, administrée et
contrôlée28.
Pour les banques, la gouvernance traduit la manière dont le conseil d’administration et la direction générale
conduisent les opérations et les activités en arrêtant les objectifs attendus ainsi que les procédures et les
27 Lignes directrices de l’OCDE sur le gouvernement d’entreprise des entreprises publiques, octobre 2005
28 Définition de l’IFACI
Page 41
moyens pour les réaliser conformément aux attentes de toutes les parties prenantes29 (actionnaires,
ministère de tutelle, tiers divers etc.…) dans le strict respect de la règlementation et des politiques
économiques en vigueur dans le pays.
L'audit interne contribue à l’amélioration de la bonne gouvernance et crée par la même occasion de la valeur
ajoutée en évaluant les processus de gouvernance et en formulant les recommandations appropriées en vue
de leur amélioration. À cet effet, il évalue et vérifie que ses processus répondent aux objectifs suivants :
 promotion des règles et des valeurs d’éthique au sein de la banque ;
 garantie d’une gestion efficace des performances, assortie d’une obligation de rendre compte ;
 communication au sein de la banque, d’informations relatives aux risques et aux contrôles ;
 apport d’informations adéquates au conseil d’administration, aux auditeurs externes et à la direction
générale, en assurant une coordination efficace de leurs activités ;
 évaluation de la conception, de la mise en œuvre et de l’efficacité des objectifs, des programmes et
des activités de l'organisation liés à l’éthique ;
 garantie quant à la cohérence des objectifs des missions réalisées avec les valeurs et les objectifs
généraux de la banque.
Source : Badr FGUIGUI l’audit systémique un outil d’efficacité du risk management 2007
La contribution de l’audit interne à l’amélioration de la gouvernance suppose que soient réunies plusieurs
conditions :
L’indépendance, notamment pour l’élaboration d’un plan d’audit qui couvre effectivement et
exhaustivement les principales zones de risques : rattachement de l’audit interne aux dirigeants,
président du conseil d’administration ou directeur général pour réduire les risques d’interférence sur
le choix des missions et la formulation des recommandations ;
Le professionnalisme, clef d’une démarche d’audit incontestable et constructive, qui s’appuie sur un
code de déontologie et sur l’application des normes professionnelles rigoureuses.
29 Compte tenu du rôle particulier des banques dans l’économie nationale et locale et dans les systèmes financiers,
ainsi que des conséquences pour les systèmes connexes de garantie des dépôts implicites et explicites, les autorités de
contrôle, l’État et les déposants sont considérés comme des parties prenantes
Page 42
L’audit interne contribue à la promotion de la bonne gouvernance et sera d’autant plus efficace s’il a l’accès
au sein de la banque à un interlocuteur privilégié en l’occurrence le comité permanent d’audit interne qui a
des responsabilités élargies pour appréhender les risques et notamment ceux ayant une portée stratégique.
En fait, le comité permanent d’audit interne garantit et consacre l’indépendance de l’audit interne, laquelle
entité est le seul organe suffisamment qualifié permettant d’avoir une meilleure vision et perception des
risques encourus ou latents à soumettre à l’examen du conseil d’administration. De son côté, l’audit interne
est en mesure d’apporter aux administrateurs, par l’intermédiaire du comité permanent d’audit, une vision
impartiale et professionnelle sur les risques encourus par la banque.
Concrètement, l’audit interne constitue un relais essentiel pour le comité permanent d’audit interne en lui
fournissant des évaluations et des recommandations sur le fonctionnement du système de contrôle interne
au sein de la banque. En fait, à chaque réunion du comité permanent d’audit interne, l’entité audit lui soumet
l’ensemble des anomalies, leur qualification et les risques y associés, appréhendés à travers les missions
sur le terrain. Ces missions recouvrent des contrôles inopinés au niveau des agences du réseau de la
banque et des contrôles programmés pour les autres départements.
Le comité permanent d’audit est appelé, à l’occasion de chaque réunion, de statuer (dans le cadre de
l’appétence pour le risque) sur les différents risques et de prendre les mesures adéquates pour soit les
appréhender soit les transférer via les mécanismes de réduction des risques (assurances). Le comité
permanent d’audit peut, le cas échéant, déléguer à l’entité audit interne des investigations sur des anomalies
mis en exergue par l’audit externe (commissaire aux comptes).
D’un autre point de vue et pour le comité de Bâle, le conseil d’administration et la direction générale sont
tenus de tirer profit de l’audit interne et de l’ensemble du dispositif de contrôle interne.
A cet effet et dans le cadre d’un document, publié en Février 2006, à l’attention des autorités de contrôle et
des banques intitulé « Renforcement de la gouvernance d’entreprise dans les établissements bancaires », le
comité de Bâle a formulé des recommandations pour promouvoir la bonne gouvernance dans les banques.
Dans ce contexte, le principe 5 du document met en relief les fondements régissant les interactions entre
l’entité audit interne et le comité permanent d’audit comme suit :
 le conseil d’administration via son comité permanent d’audit interne considère le travail des auditeurs
et des contrôleurs internes (en référence au système permanent de contrôle interne) comme un outil
indépendant de vérification et de validation des informations fournies par la direction générale sur
les opérations et les résultats de la banque ;
 l’entité d’audit interne gagne en efficacité par la reconnaissance des processus d’audit et de contrôle
interne que le conseil d’administration lui garantit à l’échelle de la banque ;
 le conseil d’administration exploite les conclusions des auditeurs avec diligence et efficacité en
exigeant que la direction générale de la banque prenne rapidement les mesures correctives ;
 l’entité audit interne est rattachée au conseil d’administration à travers le comité permanent d’audit à
qui elle rend directement compte de ses travaux ;
Page 43
 les administrateurs indépendants rencontrent, une fois par an, en l’absence de la direction générale
l’auditeur externe et les responsables des fonctions audit interne, conformité, contrôle interne et de
la direction juridique. Cette réunion est de nature à renforcer la capacité du conseil d’administration
de la banque à surveiller la façon dont la direction générale met en œuvre les politiques approuvées
par le conseil et à s’assurer que les stratégies commerciales de la banque et ses expositions aux
risques sont en adéquation avec le niveau d’appétence préalablement fixé.
Section 3 : Organisation du contrôle bancaire
Le contrôle des banques est assuré en interne et en temps réel par les dispositifs en place dont l’audit
interne, les autocontrôles et les contrôles hiérarchisés en amont des opérations et de toutes les décisions
d’ordre opérationnel et, périodiquement et, au besoin par :
 les autorités de contrôle (en Tunisie ce contrôle est du ressort de la Banque Centrale de Tunisie).en
vertu des pouvoirs qui leur sont conférés par détermination de la loi, en matière de contrôle
prudentiel ;
 les auditeurs externes en vertu des lois en vigueur ou des mandats contractuelles.
De par sa nature, l'activité bancaire conduit à prendre des risques très diversifiés. Les autorités de régulation
et de contrôle doivent comprendre ces risques et s'assurer que les banques les mesurent et les gèrent de
manière adéquate. La mission du contrôle consiste à s’assurer que les banques conduisent leurs activités de
manière saine et sûre et que leurs fonds propres et réserves sont suffisants pour faire face aux risques
qu'elles encourent.
Un contrôle bancaire ferme et efficace fournit une assurance élevée que le marché ne peut offrir et qui, en
se conjuguant à une politique macroéconomique efficace, contribue de façon déterminante à la stabilité
financière d'un pays. On peut penser que le contrôle bancaire comporte des coûts élevés, mais l’expérience
sur le terrain a montré qu'un contrôle insuffisant coûte encore plus cher.
A l’échelle d’un pays, tout système de contrôle bancaire efficace30 est fondé sur des conditions préalables et
sur plusieurs éléments externes, à savoir :
 des politiques macroéconomiques saines et soutenables ;
 des infrastructures publiques bien développées ;
 une discipline de marché efficace ;
 des mécanismes assurant un degré approprié de protection systémique (ou filet de sécurité public).
Bien qu’elles ne relèvent pas, le plus souvent, directement de la compétence des contrôleurs, ces conditions
préalables ont, dans la pratique, une incidence directe sur l’efficacité du contrôle bancaire.
30 Comité de Bâle, principaux fondamentaux pour un contrôle bancaire efficace, octobre 2006
Page 44
Le comité de Bâle a analysé plusieurs formules permettant de mieux développer des initiatives pour
renforcer la surveillance prudentielle via les contrôles bancaires dans tous les pays, et a formulé à cette fin,
un recueil sur les principes fondamentaux, les recommandations et les lignes directrices (25 principes en
tout) pour un contrôle bancaire efficace.
Dans le cadre de cette section, il sera présenté une analyse de ces principes en relation avec l’application
des règlements et des exigences prudentielles, les méthodes de contrôle bancaire et les exigences en
matière d’informations applicables aux banques.
§ 1 - Elaboration et application des règlementations et exigences prudentielles
La première prérogative assignée aux contrôleurs bancaires est de s’assurer que les directeurs généraux
des banques appliquent et respectent la réglementation et les exigences prudentielles en vigueur y compris
celles qui recouvrent :
 l'inadéquation des fonds propres ;
 l’insuffisance de constitution de provisions pour pertes sur prêts ;
 les concentrations des actifs et de la liquidité ;
 la mauvaise gestion des risques et des contrôles internes.
L’objet de ces contrôles est de limiter les prises de risque imprudentes par les banques. Ces contrôles ne
doivent pas se substituer aux décisions de la direction générale mais plutôt imposer des normes
prudentielles minimales afin que les banques exercent leurs activités de manière appropriée.
1. Adéquation des fonds propres :

Les fonds propres remplissent plusieurs fonctions :
 ils constituent une source permanente de revenu pour les actionnaires et de financement pour la
banque ;
 ils permettent de supporter les risques, d'absorber les pertes et fournissent une base d'expansion
ultérieure ;
 ils incitent les actionnaires à s'assurer que la banque est gérée de manière sûre et saine.
Des normes minimales de fonds propres sont prévues et leur adéquation aux risques encourus par les
déposants, créanciers et autres parties intéressées à la bonne marche de la banque sont mesurées par le
ratio de solvabilité31 préconisé en Tunisie par la circulaire BCT n°91-24 du 17 décembre 1991 telle que
modifié par la circulaire n°99-04 du 19 mars 1999 et la circulaire n°2001-12 du 04 mai 2001.
31 Ratio Cooke des accords de Bâle I, ou ratio Mc Donough des accords de Bâle II
Page 45
Ratio de Fonds propres réglementaires

>=8 %
solvabilité Risques encourus pondérés
Composition des fonds règlementaires : Composition des risques encourus pondérés :
 Les fonds propres réglementaires sont divisés en :  Les risques encourus pondérés :
Fonds propres de base (Capital de la banque + réserves + fonds social + report à

nouveau bénéficiaire – quote-part capital non encore libérée – reports à nouveau déficitaire (Les engagements bruts clientèle – Garanties – Provisions et Agios rés) * Quotité(1)
– non valeurs nettes d’amortissement)
Fonds propres complémentaires 1er niveau (emprunt obligataire convertible en actions

(1)- La quotité (20%, 50% et 100%)
+ réserves de réévaluation + subvention non remboursable…)
Fonds propres complémentaires 2eme niveau (emprunt subordonné)
Les FP compl. ne sont pris en compte qu’à hauteur des FP de base
Les contrôleurs bancaires vérifient le niveau du ratio de solvabilité de toute banque. Si ce ratio tombe au-
dessous du minimum, les autorités de contrôle s'assurent que la banque a arrêté des stratégies réalistes
pour remédier à cette situation, à défaut des restrictions peuvent lui être imposées.
D’autres ratios (voir infra) sont également prévus et leurs respect est impératif dans le cadre d’une bonne
gestion rationnelle et prudentielle.
2. Gestion du risque de crédit :

La gestion des crédits est l’activité phare des banques et nécessite la mise en place d’un ensemble de
mesures et de techniques formalisées en normes pour :
 le suivi et l’administration des crédits ;
 l’évaluation de la qualité des actifs et la justification de l’adéquation des provisions et des réserves
assimilées constituées pour la couverture des pertes latentes sur prêts ;
 la surveillance, la prévention et la détection des concentrations des crédits par relation prise
individuellement, ou dans le cadre d’un groupe d’emprunteurs apparentés ;
 l’alerte sur le risque pays.
Les contrôleurs bancaires s’assurent que chaque banque définit une politique formalisée et documentée de
sa fonction crédit qui répond aux standards du comité de Bâle en la matière du point de vue des règles
prudentielles et des critères d’administration et d’approbation des prêts et ce, par l’examen périodique des
divers crédits, la classification des actifs et la constitution de provisions. Ces politiques sont revues
régulièrement et appliquées de manière permanente et cohérente.
Les contrôleurs bancaires veillent à la proscription des abus dans l’octroi des crédits à des emprunteurs
apparentés à la banque et vérifient son exposition envers les gros emprunteurs suivant les seuils définis par
Page 46
le comité de Bâle et pour la Tunisie par référence à la circulaire BCT n°91-24 du 17 décembre 1991 telle que
modifié par la circulaire n°99-04 du 19 mars 1999 et la circulaire n°2001-12 du 04 mai 2001.
Les ratios de concentration et de division des risques : Les ratios de gestion :
Risques encourus sur un même bénéficiaire

<= 25 %
Fonds Propres Nets Coût du risque = Dotations clientèle nettes de reprises
Total crédits par décaissement
Total des risques encourus sur les bénéficiaires dont les risques
encourus pour chacun d'entre eux sont supérieurs ou égaux à 5% des FPN Taux des NPL’s = Actifs classés
< ou = 5 fois les FPN Total engagements bruts
Total des risques encourus sur les bénéficiaires dont les risques Taux de couverture = Provisions clientèle + agios réservés
encourus pour chacun d'entre eux sont supérieurs ou égaux à 15% des Actifs classés
FPN < ou = 2 fois les FPN
Coefficient d’exploitation = masse salariale + charges générales d’exploit + amortis
PNB
Limite des concours accordés aux actionnaires, dirigeants et
administrateurs < ou = 3 fois les FPN
Les autorités de contrôle assignent au besoin des limites absolues aux catégories de prêts ci haut en
exigeant leur déduction des fonds propres ou leur couverture par des garanties. Les transactions avec des
parties apparentées qui font encourir des risques spécifiques à la banque sont soumises à l'approbation du
conseil d'administration, notifiées à l’autorité de régulation voire totalement interdites.
Les contrôleurs bancaires s'assurent que les banques sont dotées de politiques et procédures adéquates
pour identifier, suivre et contrôler le risque-pays et le risque de transfert liés à leurs activités internationales
de prêt et d'investissement ainsi que pour constituer des réserves appropriées en fonction de ces risques32.
3. Gestion des risques de marché

Les contrôleurs bancaires vérifient que les banques mesurent leur exposition aux risques de marché et
l’adéquation de ces risques avec le niveau suffisant de fonds propres.
Les contrôleurs bancaires vérifient les limites d’exposition au risque telles que fixées par la direction
générale de la banque et l’instauration de contrôles internes adaptés aux opérations de change.
4. Gestion des autres risques

Les contrôleurs bancaires passent en revue le processus global de gestion des risques instauré par
l’instance dirigeante dans la perspective de suivre les risques de taux d’intérêt, de liquidité et le risque
opérationnel et de constituer une couverture suffisante de ces risques en fonds propres.
Risque de taux d'intérêt :

Les contrôleurs bancaires suivent la manière avec laquelle les banques contrôlent leur risque de taux
d'intérêt à travers :
32 En 1982, le comité de Bâle a examiné les questions relatives au risque pays dans un document intitulé « gestion
des prêts internationaux des banques » - volume I
Page 47
 Une appréciation sur le terrain des politiques et des procédures de gestion des risques, des
systèmes de mesure, de suivi et de contrôle en place.
 Une revue des informations communiquées par les banques sur les niveaux de risque de taux
d’intérêt (pallier d’échéances, monnaie et composition des portefeuilles, distinction entre activité de
négociation et les autres opérations, etc…).
Gestion de la liquidité :
L'objet de la gestion de la liquidité est de garantir que la banque est en mesure de s’acquitter pleinement de
ses obligations contractuelles.
Les éléments-clés d'une gestion rigoureuse englobent :
 des systèmes performants d'information de la direction générale ;
 un contrôle permanent de la liquidité ;
 une analyse des besoins de financement selon différents scénarios ;
 une diversification des sources de financement et des programmes d'urgence.
Les autorités de contrôle attendent des banques qu'elles gèrent leurs créances, dettes et contrats de hors-
bilan de façon à maintenir une liquidité adéquate. Chaque banque devrait disposer d'une base de
financement diversifiée, tant en termes de sources de fonds que d'échéanciers, et garantir également un
niveau approprié d'actifs liquides égaux à au moins 100% des passifs exigibles. Cette exigence est fixée en
Tunisie par la circulaire BCT n°91-24 du 17 décembre 1991 telle que modifiée par la circulaire BCT n°91-24
du 17 décembre 1991 telle que modifié par la circulaire n°99-04 du 19 mars 1999 et la circulaire n°2001-12
du 04 mai 2001.
Ratio de Actifs liquides

>=100%
liquidité Passifs exigibles
Risque opérationnel :
Les autorités de contrôle s’assurent de l’existence au sein des banques de dispositifs idoines de contrôle
interne comportant, entre autres, une fonction d'audit et des politiques de gestion ou de limitation du risque
opérationnel (à travers des systèmes d'assurance ou des programmes d'urgence). Elles encouragent
également les banques à se doter de plans de reprise d'activité33 (PRA) adéquats et dûment testés,
prévoyant un site secondaire de repli et de secours, de manière à les protéger en cas de catastrophes
imprévues.
33 Article 15 de la circulaire BCT n°2006-19 du 28 novembre 2006
Page 48
5. Contrôles internes
Les autorités de contrôle bancaire s'assurent que les banques sont dotées de contrôles internes adaptés à
la nature de leurs activités se caractérisant par :
 des structures organisationnelles (définition des tâches et responsabilités, limites discrétionnaires
pour l'approbation des prêts et procédures de prise de décision) ;
 des procédures comptables (vérification de la concordance des comptes, listes des contrôles, bilans
périodiques, etc.) ;
 une intégration du principe des «quatre yeux» (séparation des diverses fonctions, contre-
vérifications, double contrôle des actifs, doubles signatures, etc…) ;
 un contrôle physique des actifs et des investissements ;
 une indépendance des fonctions d’audit interne et externes ;
 une intégration de la fonction de contrôle de la conformité.
Les auditeurs internes et les commissaires aux comptes effectuent, chacun dans le cadre de ses
prérogatives directes, une contre-vérification de l’efficacité et de la permanence de ces contrôles internes.
Les autorités de contrôle qui veillent de leur coté au bon fonctionnement au sein des banques, attribuent à
une entité indépendante34 le soin du respect de la réglementation bancaire et non bancaire et à sa bonne
adéquation avec les textes des lois en vigueur.
Ces mêmes autorités de contrôle veille également à ce que les banques se dotent de pratiques et de
procédures en matière de lutte contre les fraudes et d’une insuffisance de connaissance de la clientèle
(exemple : formulaire « KYC »35) dans le dessein de promouvoir un haut degré d’éthique et de
professionnalisme dans le secteur et empêchant l’implication de la banque (même par inadvertance) dans
des affaires criminelles ou de blanchiment d’argent.
§ 2 - Méthodes de contrôle bancaire
La mise en place d’un contrôle bancaire de la part des autorités prudentielles requiert la collecte et l'analyse
d'informations, pouvant se faire sur place ou sur pièces. Un système de surveillance bancaire efficace doit
recourir aux deux procédés ci-dessus, le contrôle sur place étant effectué par des inspecteurs.
En Tunisie, la loi n°2001-65 du 10 juillet 2001 telle que modifiée par la loi n°2006-19 du 2 mai 2006 a confié
à la Banque Centrale de Tunisie (BCT) le pouvoir de contrôler les banques à travers des mesures
combinant :
34 En Tunisie, le contrôle de la conformité « compliance » est devenu obligatoire après la publication de la circulaire
BCT n°2006-12
35 Formulaire KYC « Know Your Customer » vise à collecter le maximum d’informations personnelles (revenus et leurs
sources, patrimoine mobilier et immobilier, les comptes bancaires, etc…) sur les clients lors de la phase ouverture de
compte et d’entrée en relation
Page 49
 l’analyse de tous les documents, éclaircissements et justifications communiqués par les banques sur
la correcte application de la réglementation en vigueur ;
 l’analyse des rapports des commissaires aux comptes des banques sur le système de contrôle
interne qu’ils ont eu l’occasion de tester et d’évaluer ainsi que leurs rapports destinés à l’assemblée
générale des actionnaires ;
 la vérification sur pièce et sur place par les propres moyens de la Banque Centrale de Tunisie
(BCT).
La circulaire BCT n°2006-19 du 28 novembre 2006 a mis, également, à la charge du responsable de l’audit
interne la préparation d’un rapport annuel sur le système de contrôle interne à l’attention de la Banque
Centrale de Tunisie (BCT).
Quels que soient les types de contrôle sur place et sur pièces, les autorités prudentielles doivent avoir des
contacts réguliers avec la direction générale de la banque et une connaissance approfondie de ses activités.
1. Contrôle sur pièces

Il est exercé sur la base des documents comptables et financiers et des données statistiques communiquées
périodiquement par les banques (états financiers, ratios de liquidité et de solvabilité, taux de NPL’s, niveau
des créances classées, etc.…) en plus de la collecte d’informations sur les entités affiliées aux banques (les
filiales) ainsi que les analyses rendues publiques par des organisations de notation.
Ces informations peuvent servir à vérifier le respect des exigences prudentielles, telles que l'adéquation des
fonds propres ou les limites d’exposition vis-à-vis d'emprunteurs individuels.
La surveillance sur pièces peut mettre en évidence des problèmes potentiels, en particulier entre deux
inspections sur place, et fournir ainsi une détection anticipée et une suggestion d'action corrective à
entreprendre avant que les problèmes ne s'aggravent. Ces documents peuvent être également utilisés pour
faire ressortir les tendances, au niveau non seulement des banques mais de l'ensemble du système
bancaire. Ils peuvent, également, offrir des bases de discussion avec les directions générales des banques
soit de manière périodique, soit lorsque des problèmes se manifestent. Ils constituent un élément essentiel
du calendrier des inspections, de manière à tirer le meilleur parti du temps limité alloué aux vérifications sur
place.
2. Le contrôle sur place

Il est effectué par des missions d'inspection globales inscrites dans le cadre d'un programme annuel établi
par l’autorité de contrôle. Il constitue un moyen de vérification de l'exactitude des informations transmises et
d'appréciation de l'organisation et du fonctionnement interne des banques.
Le contrôle sur place constitue, pour l'autorité de contrôle, un moyen de vérifier ou d'évaluer divers aspects,
notamment :
 l'exactitude des différents états (financiers, comptables, statistiques…) fournis par la banque ;
 l'activité et la situation globale de la banque ;
Page 50
 l'adéquation des systèmes de gestion des risques et des procédures de contrôle interne ;
 la qualité du portefeuille de prêts et le niveau approprié des réserves et des provisions pour
créances douteuses ;
 la compétence de la direction générale ;
 le caractère adéquat des systèmes comptables et d'information ;
 les questions mises en évidence lors de contrôles sur pièces ou d'inspections précédentes sur
place ;
 le respect par la banque des lois et réglementations ainsi que des conditions précisées dans
l'agrément bancaire.
En plus de ces vérifications périodiques, le contrôle sur place peut revêtir la forme d'une mission d'inspection
ponctuelle ayant l'aspect d'une enquête de courte durée et portant sur des opérations particulières.
3. Surveillance sur une base consolidée

Le contrôle bancaire, prend en considération les activités directes de la banque ainsi que les activités
indirectes exercées par les entreprises affiliées ainsi que celles qui sont conduites tant dans les
implantations nationales qu'à l'étranger. L’autorité de contrôle s’assure que ces activités ne font pas encourir
à la banque des risques au-delà des exigences prudentielles.
§ 3 - Exigences en matière d’information applicables aux établissements de

crédit
Dans le cadre d’un contrôle efficace de la situation du secteur bancaire, les autorités de contrôle reçoivent
des banques des informations financières, regroupant les états financiers et les engagements classés
assortis d'explications ainsi que de précisions sur les principaux risques encourus, à des intervalles réguliers
qui font l’objet d’une contre vérification dans le cadre des contrôles sur place. L’objectif de ses
communications financières est d’obtenir une assurance sur la correcte application par les banques des
principes et normes comptables en matière de présentation de la situation financière et de la rentabilité de
ses activités, d’évaluation des actifs et de prise en compte des provisions pour créances douteuses.
1. Normes comptables
Pour que les informations communiquées par les banques soient comparables et aient une signification
claire, les principes retenus et les techniques utilisées dans la préparation des états financiers et des
reportings prudentiels devraient être fondés sur des normes comptables nationales pour les banques locales
et des normes comptables internationales pour les banques ayant l’obligation de préparer des reportings à
destination des sociétés mères implantées en dehors du territoire national.
Page 51
2. Portée et fréquence des transmissions d'informations

L'autorité de contrôle fixe la portée et la fréquence des reportings et des communications financières par les
banques.
L’autorité de contrôle élabore, pour cette communication financière, un ensemble de formulaires
d’informations à envoyer par les banques suivant des périodicités déterminées (mensuelle, trimestrielle et
annuelle).
3. Confirmation de l'exactitude des informations transmises

La direction générale de la banque engage sa responsabilité quant à l’exactitude des informations
financières et des reportings prudentiels communiqués à l’autorité de contrôle. Cette dernière doit s'assurer
que ces données et informations ont fait l’objet d’un contrôle et d’une approbation de la part des
commissaires aux comptes certifiant leur fiabilité.
Cette certification rentre dans les diligences des commissaires aux comptes consistant à émettre un avis
motivé sur les états financiers de la banque et le rapport de gestion destinés aux actionnaires et au public.
4. Confidentialité des informations prudentielles

Les informations financières communiquées par les banques sont portées à la connaissance du public à
l’exception de certaines catégories d’information qui restent confidentielles tels les comptes individuels de la
clientèle ainsi que les problèmes que l'autorité de contrôle aide certaines banque à résoudre.
5. Communication financière externe

La communication d'informations financières constitue un complément au contrôle, c’est pour cette raison,
que les banques portent à la connaissance du public (au niveau des journaux quotidiens et des sites internet
spécialisés) des informations complètes, communiquées avec célérité et en abondance, sur leurs activités et
leur situation financière pour que les opérateurs du secteur bancaire puissent évaluer les risques inhérents à
l’ensemble du secteur36.
36 Le Comité de Bâle a constitué un groupe de travail pour examiner les questions liées à l'information financière et
fournir des références à la profession bancaire
Page 52
Chapitre II :
L’Audit interne au cœur du

dispositif de contrôle bancaire
Section 1 : Les conditions préalables à tout Audit interne
Pour être efficace, tout audit interne doit remplir les conditions suivantes :
§ 1 - Des objectifs clairement exprimés (la charte)
Les objectifs assignés à l’audit interne dans une banque sont formellement arrêtés par sa direction générale
ou par tout autre organe y siégeant ayant qualité de le faire et, sont, généralement, présentés sans
ambigüité dans une charte d’audit incluant les objectifs qu’il conviendra à chaque banque d’adapter en
fonction de son environnement et de ses priorités à savoir :
 La sauvegarde du patrimoine et la fiabilité de l’information ;
 Le respect des orientations de l’organe exécutif et des procédures ;
 Un système de pilotage de la banque.
§ 2 - Une définition précise des fonctions
Habituellement, les fonctions de l’audit interne sont définies par la charte d’audit et à défaut par l’organe de
direction ou des organes délibérants, dont il relève.
Actuellement et depuis l’acceptation de l’audit interne comme un fondement du dispositif de bonne
gouvernance, ces fonctions sont traduites et concrétisées, à titre indicatif et essentiellement, par :
 des audits financiers, couvrant :
 en aval, les divers flux d’une entreprise, ces audits sont qualifiés d’audits « de conformité » ;
 en amont, les processus dont découlent ces flux, ces contrôles sont qualifiés de « contrôle des
contrôles ».
 des audits opérationnels, car ils couvrent les procédures ainsi que les différents aspects et résultats
de la gestion d’une entité, d’une branche d’activité, etc…
Ces audits, à objectifs, certes, différents mais fondamentalement indissociables et complémentaires de par
leur finalité, correspondent, théoriquement, à la fonction de l’audit interne dans une banque, laquelle se
révèle actuellement importante en raison de son apport apprécié et appréciable sur le plan de la détection
et, surtout, de la prévention des risques et des dérapages.
Page 53
La fonction d’audit interne, consistant initialement à veiller à la sécurité a subi de profondes évolutions
depuis quelques années. A l’origine, son rôle était de faire des contrôles, essentiellement axés sur la
sécurité, dans un environnement peu sensible aux préoccupations du contrôle interne. L’intégration des
dispositifs de contrôle interne dans les opérations a eu pour effet de reléguer ces contrôles aux
opérationnels et a orienté l’audit vers l’appréciation du correcte fonctionnement des dispositifs de contrôle en
place « Il semble que l’on soit passé du contrôle immédiat au contrôle des contrôles37 ».
Parallèlement, les objectifs de l’audit interne, et le contenu de sa mission, vont subir des évolutions
significatives : aux objectifs, sécurité et respect des décisions de la direction générale, va s’ajouter l’objectif
efficacité. Par ailleurs, l’audit sanction va peu à peu être remplacé par l’audit prévention.
Ces évolutions ont permis aux auditeurs et aux inspecteurs d’acquérir un capital d’expériences et de
compétences, qui incite tout naturellement les directions générales à en solliciter les services pour des
missions nouvelles, à vocation de conseil. Néanmoins, les limites, quant aux domaines de compétence de
l’audit interne, qui existaient sous différentes formes et pour différentes raisons, ont été progressivement
levées. Il est maintenant admis que l’audit interne a pour mission d’intervenir partout ou existe un risque.
§ 3 - Une attitude prospective
L’audit et l’inspection doivent avoir une attitude résolument prospective pour déceler les nouveaux risques
associés aux nouvelles activités aussi bien à l’intérieur qu’à l’extérieur de la banque. Identifier les nouveaux
risques, mais aussi les nouvelles techniques destinées à les contrer, devient une nécessité pour adapter en
permanence les dispositifs en place, ou en créer de nouveaux. Les nouveaux risques doivent être anticipés
dans un double objectif : introduire à la source les dispositifs de contrôle indispensables, former les auditeurs
et adapter en conséquence les programmes de travail et d’intervention.
§ 4 - Un plan d’audit
Compte tenu des objectifs et des domaines d’intervention de chacune des missions confiées à l’audit
interne, une planification concertée et approuvée est arrêtée pour chacune d’entre elles dans le but d’en
assurer la bonne conduite et la réalisation dans le temps et l’espace dans les meilleures conditions. Cette
planification doit préciser impérativement en fonction des risques inhérents aux activités et des dispositifs du
contrôle interne en place :
 le champ, le calendrier et la fréquence de chaque mission ;
 le type et les objectifs escomptés de la mission ainsi que la nature et l’étendue des procédures et
diligences requises pour sa réalisation ;
 les ressources et les moyens humains et matériels nécessaires.
37 Bernard BENOIST-LUCY, inspecteur général BNP Paribas
Page 54
§ 5 - Des techniques appropriées
Des techniques, appropriées aux buts recherchés et aux opérations examinées, doivent être utilisées. Ces
techniques sont celles communément utilisées par les auditeurs : sondages, questionnaires de contrôle
interne, digrammes de circulation des informations et des documents, confirmations directes, logiciels d’audit
informatique, etc.…
§ 6 - Un travail de qualité
1. Une étude préalable :

Avant d’engager le contrôle d’une agence, d’un service, d’une branche d’activité, de situations comptables,
des performances, des projections etc…, il est nécessaire de prendre connaissance de l’ensemble des
éléments se rapportant à l’objet de ce contrôle dans le but d’en définir du moins l’approche générale.
2. Un programme d’audit :
Un programme de travail, tenant compte de l’étude préalable, doit être élaboré pour orienter les contrôles à
réaliser sur leurs sujets et objectifs.
3. Des dossiers documentés :

Chaque mission est à documenter par un :
Dossier permanent : comportant toutes les informations et les données relatives, dites permanentes sur
l’opération, l’activité ou l’unité contrôlée.
Dossier de travail : comportant la documentation relative à la planification, l’approche générale, le
programme de travail, les résultats et les conclusions des travaux accomplis et à leur supervision et revues.
Ces dossiers doivent être conservés et disponibles à toute requête de consultation ou de revue.
4. Des rapports de qualité :

Le rapport d’audit constitue l’aboutissement de toute mission d’audit. C’est le document sur la base duquel
seront jugés :
 les hommes, aussi bien le personnel de l’unité contrôlée que l’auditeur lui-même ;
 l’efficacité de l’organisation de l’unité contrôlée ;
 les procédures et le système de contrôle interne de l’unité contrôlée.
Il est établi à l’adresse des principaux responsables de la banque et sera lu par les auditeurs externes, d’où
l’importance à accorder à sa rédaction et la qualité des informations, déductions et recommandations y
consignées.
5. Un suivi effectif des recommandations :

Les recommandations de l’audit interne, doivent faire l’objet d’un planning de réalisation planifié, en accord
avec les intéressés, dont les résultats sont portés à la connaissance de qui de droit.
Page 55
§ 7 - Des moyens qualitatifs et quantitatifs suffisants
1. Aspect quantitatif :
A l’exception du ratio de l’IFACI fixant le nombre d’auditeurs à 6,56 pour 1000 salariés, il n’existe pas
d’autres normes pour déterminer le nombre d’intervenants par type et objectifs de missions d’audit. En effet,
les ressources et les moyens matériels et humains alloués à l’audit interne sont, théoriquement, en étroite
corrélation avec le plan de charge pluriannuel de ces structures. Ils sont révisés annuellement en fonction de
l’urgence des besoins pressants et clairement précisés.
La parité théorique, voire problématique, entre les besoins et les ressources alloués à l’audit interne est
généralement l’objet d’arbitrage de la part de la direction générale entre les tenants et aboutissants
recherchés de l’audit interne ou par référence à l’expérience d’entreprises d’envergure et à activités
similaires ou compte tenu de la confiance témoignée à l’égard des dispositifs de contrôle interne en place de
contrôle interne, des structures humaines, etc…
2. Aspect qualitatif :
Les auditeurs doivent justifier, à la fois, de compétences techniques confirmées ou acquises en matière
d’audit. Ils sont, également, supposés avoir des connaissances dans les domaines informatiques, de gestion
et d’administration en général et des qualités humaines nécessaires et suffisantes pour leur permettre de
dépasser le phénomène de rejet et de surmonter les entraves qui leur sont réservées par les audités. Cette
polyvalence et ces qualités de l’auditeur interne sont généralement entretenues par des cycles de formations
continues dans les divers domaines de leur métier.
Section 2 : Une planification stratégique des missions d’audit interne

axée sur les risques
L’auditeur interne au sein d’une banque, en charge de la vérification de la régularité des enregistrements
des opérations, de l’appréciation de la situation des risques ainsi que des politiques et processus de leur
gestion et contrôle, doit pour se faire recourir à des méthodes pointues pour analyser l’environnement, les
risques existants ou potentiels et l’organisation interne.
Compréhension de l’environnement
Cette phase suppose la réalisation d’une enquête pour :
 positionner la banque dans son environnement en répondant aux questions, suivantes : quels sont
ses clients ? ses produits ? ses marchés ? quel est géographiquement son périmètre d’intervention
et son contexte socio économique ? quels sont ses actionnaires et quelles sont leurs attentes ? quel
est le cadre légal et réglementaire régissant son fonctionnement et ses activités ?
 identifier les risques inhérents à ses activités (business risks), notamment, les risques résultant de :
 sa sensibilité à l’évolution des indicateurs économiques, tels que les taux de change, taux
d’intérêt, etc.… et à la concurrence ;
Page 56
 sa tendance à se développer et son incapacité à s’accommoder des mutations caractérisant

son environnement et son cadre légal, réglementaire et technologique, telles que la taxation de
l’épargne, la prévention des délits de blanchiment d’argent, e-business, fournisseurs
informatiques, disponibilité et la sécurité de l’information, etc...
Appréciation de la culture de risque

La deuxième étape consiste à apprécier la culture de risque au sein de la banque et ce, compte tenu du
degré de sophistication de son système de contrôle interne après un examen préalable de sa politique de
gestion des risques et des mécanismes en place pour l’exécuter.
Cette culture de risque, qui est matérialisée en pratique par des comportements typiques face aux risques38,
conduit, nécessairement, d’une part, à l’attribution de « Risk Owner »39 pour chaque risque et, d’autre part,
à la fixation de limites par risque et, enfin à l’émission régulièrement et autant que nécessaire de rapports
sur l’exposition au risque pris globalement et individuellement.
Appréciation et analyse de chaque risque

L’auditeur procède à une estimation des risques inhérents à chaque domaine d’activité (crédit, ressources
humaines, système d'information, etc…).
L’auditeur doit ensuite étayer sa compréhension des systèmes de gestion et de contrôle des risques
encourus et apprécier l’adéquation et l’efficacité des mesures prises par la banque en vue de les minimiser.
Ce travail permettra à l’auditeur de déterminer l’étendue, la périodicité et les méthodes de vérification qu’il
doit entreprendre, en accord avec les principes de la profession.
Le respect des conditions d’autorisation

Cette phase suppose la réalisation de tests par sondages selon l’une des techniques admises en matière
d’estimation des proportions telle que la méthode de l’unité monétaire, pour s’assurer du respect des
conditions d’autorisation. Cette méthodologie pourrait permettre l’identification des foyers de risques et des
zones d’ombre méritant des régularisations pouvant par leurs effets améliorer les systèmes de contrôle
interne.
§ 1 - La démarche méthodologique d’une mission d’audit interne
La démarche méthodologique (Cf. Fig.6) d’une mission d’audit axée sur les risques est structurée en quatre
phases dont trois principales et une quatrième complémentaire à savoir :
i. préparation/étude
ii. réalisation/vérifications
iii. conclusion
iv. suivi
38 éviter un risque (par exemple, ne pas rentrer sur un nouveau marché ou ne pas offrir certains types de services),
réduire ou transférer un risque (par exemple, utilisation des dérivés de crédit), accepter le risque
39 Risk Owner = propriétaire du risque
Page 57
(Fig.6)
Les trois premières phases (Cf. Fig.7) correspondant au processus de déroulement d’une mission d’audit se
présentent schématiquement, comme suit :
(Fig.7)
Source : Initiation à l’audit interne CERAM SOPHIA ANTIPOLIS
La quatrième phase, qui est celle du suivi constitue à elle seule une mission à part entière, néanmoins, il est
important de la considérer comme un aboutissement logique des trois premières phases.
Page 58
La réalisation des audits axés sur les risques doit obéir aux consignes, ci-dessous à savoir :
 constat  interrogation  hypothèse  recommandation ;
 approche systémique et examen multidisciplinaire ;
 constitution de repères et de systèmes de référence ;
 comparaisons susceptibles de mettre en évidence des écarts significatifs et d’en apprécier la valeur ;
 démarche inductive : partir des faits pour remonter vers les causes ;
 introduction de la quantification pour les risques.
De toute manière l’auditeur doit suivre et respecter une démarche d’audit conforme aux normes
professionnelles d’audit et les standards de l’Institute of Internal Audit (IIA).
1. La phase de préparation :
Cette étape est l’une des plus importantes dans une mission d'audit axée sur les risques, elle permet à
l’auditeur de connaître le contexte de la mission et d’identifier les risques spécifiques liés aux domaines à
auditer.
a)- Ordre de mission :

L’ordre de mission ou lettre de mission constitue un mandat donné par le premier responsable de l’audit
interne aux auditeurs à l’effet de réaliser leur mission lorsque elle est programmée dans le plan d’audit ou
par le directeur général ou l’ordonnateur de l’audit lorsque la mission est en dehors de ce plan. Ce mandat
donne droit d’accès à toutes les informations et services à auditer.
b)- Prise de connaissance :

Il s’agit tout d’abord de prendre connaissance :
 de l’environnement de l’entité à auditer ;
 des objectifs de la fonction à auditer ;
 des activités du service ou de la fonction ;
 des tableaux de bord ;
 de la réglementation interne et externe, circulaires BCT, réglementation spécifique ;
 des rapports mensuels de l’activité ;
 etc…
Il faut ensuite prendre connaissance du contexte organisationnel interne de l’entité à auditer par la collecte
des informations et documents concernant :
Page 59
 l’organisation générale et la structure ;

 l’organigramme ;
 les manuels de procédures et manuels comptables ;
 les fiches de fonctions ou fiches de postes ;
 les pouvoirs de signatures ;
 les effectifs et environnement de travail ;
 l’environnement informatique ;
 les systèmes de contrôle existants ;
 les méthodes, procédures et règles de gestion ;
 la répartition des responsabilités ;
 les réformes en cours ou prévues ;
 la balance consolidée, balance par unité de gestion, etc.…
 les rapports d’audits antérieurs ;
 les comptes rendus de contrôle interne ;
 les rapports d’Audits externes et la lettre de direction des commissaires aux comptes ;
 les techniques de travail utilisées ;
 la comparaison des principaux indicateurs d’activité et de résultat du domaine par rapport à d’autres,
s’ils sont jugés performants (Benchmarking).
c)- Identification des zones à risques :

L’objectif est de :
 identifier les risques potentiels ;
 évaluer les mesures et les processus de gestion et de contrôle en place pour réduire ou éliminer ces
risques potentiels.
La première étape à ce stade consiste à identifier les processus principaux de l’entité auditée au moyen de :
 questionnaires en nombre suffisant eu égard à la taille et à la complexité de l’entité auditée et aux
consignes et objectifs de la mission d’audit ;
 réunions de travail avec les préposés concernés ;
 interviews directes.
A l’issue de cette étape, les processus sont mappés dans une matrice (Cf. Fig.8) avec présentation des
processus horizontalement et des services verticalement.
Page 60
(Fig.8)
Source : Audit interne un acteur incontournable au sein de la gouvernance d’entreprise, 2007
Une fois tous les processus identifiés et approuvés, ils sont visualisés par des « Flow Charts » comme suit :
Les éléments clés du système de contrôle interne de chaque processus sont ensuite repris dans une matrice
des risques (Cf. Fig.9). Ces éléments sont :
 les risques inhérents, c'est-à-dire les risques qui existent si le management ne met en place aucune
mesure corrective ;
 la description des contrôles en place ;
 le type de contrôle (automatique, manuel, préventif ou de détection) ;
 la fréquence de fonctionnement du contrôle ;
 la personne responsable de l’exécution du contrôle ;
 les assertions d’audit ;
 les rubriques des états financiers, affectées par le processus ;
 l’appréciation de la conception du contrôle ;
 l’efficacité des contrôles en place ;
 les risques résiduels.
Page 61
(Fig.9)
Source : Audit interne un acteur incontournable au sein de la gouvernance d’entreprise, 2007
Les risques résiduels- résultant du processus d’évaluation, c'est-à-dire des risques non couverts par des
mesures de correction adéquates et susceptibles d’avoir un impact significatif et une probabilité d’occurrence
élevée- seront traités en fonction de l’appétence au risque de la banque.
Tableau des forces et des faiblesses apparentes

Tâches Objectifs Risques Evaluation
1ère étape : découper le processus audité en tâches ou opérations élémentaires (1ère colonne) et indiquer en face de chacune des tâches l’objectif
recherché. Il répond à la question à quoi sert-elle ? (2ème colonne)
2ème étape : en face de chaque tâche et des objectifs qui lui sont assignés, l’auditeur interne répond à la question : que peut-il se passer si les
objectifs ne sont pas réalisés, si la tâche est mal faite ou n’est pas faite ? il s’agit de rappeler les risques essentiels attachés à la tâche en question
(3ème colonne du tableau)
3ème étape : (4ème colonne du tableau) une évaluation du risque attaché à cette tâche : risque dangereux (D) ; risque élevé (I) ; risque moyen (M) ;
risque faible (F)
Tableau des risques éventuels

Entorses aux principes de Contrôle Conséquences potentielles sur le Conséquence potentielle sur les
Anomalies
Interne patrimoine états financiers
Exemple d’anomalies : instructions d’inventaire inexistantes, absence de comptabilisation des garanties, montant des provisions minorés, risques
fiscaux non identifiés, des suspens non apurés, etc.…
Exemple d’entorse aux principes du contrôle interne : absence de supervision, non-conformité avec les normes comptables en vigueur,
mauvaise appréciation des risques et charges, absence d’un guide fiscal, absence et/ou mauvais suivi des suspens anciens, etc.
Exemple de conséquences potentielles sur le patrimoine : détournement, fraude, risques de pertes, camouflage en comptabilité, perte de jour
de valeur, risque de pénalité de retard et de redressement fiscal, absence d’inventaire physique, etc.
Exemple de conséquences potentielles sur les états financiers : valeurs d’exploitation inexactes, la rubrique engagements des garanties
reçues ne reflète pas la réalité, résultat de l’exercice gonflé et provisions pour risques et charges minorées, etc.…
Page 62
Illustration : exemple d’un process crédit
d)- élaboration des programmes de travail :

Une fois le travail de collecte d’informations terminé le chef de mission et son équipe procèdent à la
rédaction d’un «plan d’approche», à valider par le responsable de l’audit.
Le «plan d’approche» présente :

 l’audité, son rattachement hiérarchique et le cadre réglementaire régissant ses activités ;
 la mission, son objet, ses objectifs, sa planification dans le temps et dans l’espace et la composition
de l’équipe d’intervention affectée à sa réalisation ;
 les chiffres clefs sur les réalisations antérieures et actuelles de l’audité et les données puisées des
résultats d’audit dans le passé de ce dernier ainsi que sur les faits significatifs, événements majeurs,
zones d’ombre et foyers de risque caractérisant sa gestion et ses processus de contrôle et de
protection ;
 la démarche et les techniques d’audit à retenir, des consignes spécifiques ou particulières d’audit à
respecter pour tenir compte des réglementations et lois applicables à l’audité ou des objectifs
extraordinaires de la mission ;
 les livrables attendus de la mission et l’échéance de leur production.
2. La phase de réalisation :
Lors de cette phase l’accent est mis sur l’analyse les risques potentiels identifiés lors de la précédente
phase, la prise de connaissance du dispositif de contrôle interne existant et la vérification de sa bonne
application ainsi que de ses limites.
Page 63
a)- Organisation d’une réunion d’ouverture :

Elle a pour but d'établir avant le démarrage des travaux les premiers contacts avec l'ensemble des
personnes impliquées et, de présenter la mission, ses objectifs, son périmètre, les pré-requis à sa bonne
conduite et réalisation dans l’espace et dans le temps.
Le responsable de l’audit doit présenter le rôle et la teneur de sa mission tout en insistant sur la vocation
d’assistance que peut apporter l’audit interne en vue d’améliorer l’existant.
Cette réunion est clôturée par la rédaction d’un compte rendu comportant l’acceptation expresse des termes
de la mission par les parties concernées présentes.
b)- Evaluation du contrôle interne :

Pour évaluer le système de contrôle interne, l’auditeur doit vérifier l’existence effective de :
 un système de définition des pouvoirs, vérifiable par l’existence d’un recueil mis à jour des
signatures autorisées, des délégations de pouvoir en matière d’engagement et de crédit et des
habilitations d’accès au système sécurisé de traitement de l’information.
 un système mécanisée de traitement de l’information, se caractérisant sur le plan logique par :
 des sécurités et des contrôles informatiques pour empêcher les créations, modifications et
suppressions des saisies de données, non autorisées ou initiées sans considération des
procédures ;
 des interfaces entre le système central de traitement de l’information et les autres applications
périphériques dédiées à l’exploitation ainsi qu’au contrôle et administration des ressources
humaines, matérielles et financières disponibles et des emplois en résultant ;
 et, des utilitaires éprouvés pour alerter des anomalies de saisie des données et, surtout, pour
informer en temps réel des performances réalisées.
 des procédures formalisées, cela suppose, d’une part, l’existence d’un organigramme détaillé
précisant les passerelles fonctionnelles et hiérarchiques ainsi que les circuits d’information entre les
principales fonctions y prévues et, d’autre part, de manuels, y compris la charte d’audit, des
procédures générales d’exploitation, d’administration et de gestion des risques, de comptabilisation
et de contrôle ;
Page 64
 une piste d’audit, satisfaisant aux dispositions prévues à ce sujet par le paragraphe 22 de la
deuxième partie de la norme comptable générale NCT 01, traitant de l’organisation comptable et
clairement définie pour permettre la remontée des enregistrements et données (Cf. Fig.10) résultant de
la pièce justificative aux différents postes des états financiers en transitant du journal général au
grand livre et à la balance.
(Fig.10)
Piste d’audit dans le cadre d’un système comptable mécanisé
Les tests et les contrôles :

Il s’agit de tester les informations recueillies, afin de s’assurer de leur exactitude et ce, à travers l’une des
techniques d’audit la plus adéquates (Interview, techniques d’échantillonnage, rapprochements et
reconstitutions, observations physiques, examens analytiques, etc…). Ces tests permettent aussi de vérifier
l’existence effective des forces et faiblesses apparentes identifiées.
Tout disfonctionnement rencontré lors de l’accomplissement des travaux doit faire l’objet de préparation
d’une Feuille de Révélation et d’Analyse de Problème « F.R.A.P ».
c)- Validation avec les responsables intervenants dans les processus :

Il s’agit à ce stade de valider par les audités les constats relevés et consignés par les « F.R.A.P » afin
d’obtenir leur adhésion positive et active au travail de l’audit interne.
3. La phase de conclusion :
Dans le cadre de cette phase il y lieu de présenter et de valider les conclusions de la mission avec les
responsables de l’entité auditée, de rédiger le pré-rapport d’audit à partir des investigations sur le terrain et
de finaliser le rapport définitif.
Page 65
a)- Evaluation et hiérarchisation des risques

L’auditeur interne porte une appréciation sur la qualité du contrôle de l’activité ou de la fonction auditée, en
cherchant une réponse à la question usuelle, de savoir : «Est-ce que tel ou tel processus permet la maîtrise
des activités et des risques associés» à l’issue de :
 ses tests de fonctionnement et de cheminement de ces processus ;
 son évaluation de leur efficience et faiblesse, de la qualité de leur restitution et, surtout, de sa
quantification des risques de pertes consommées ou latentes leur relatif.
Sur la base de ses constats, l’auditeur interne révise ses évaluations préliminaires des risques potentiels
inhérents aux activités et systèmes concernés par la mission d’audit, en procédant à leur hiérarchisation par
degré de gravité de manière à pouvoir, en premier lieu, en déterminer les effets et conséquences potentiels
et, ensuite en sélectionner sur cette base ceux méritant d’être divulgués et de faire l’objet d’une
communication formalisée à toutes les parties concernées.
b)- Organisation de la réunion de clôture

La réunion de clôture, regroupe le responsable de l’audit interne, le chef de la mission d’audit et les
responsables de l’entité auditée, et a pour finalité la présentation et la discussion des résultats de l’audit et
des recommandations s’y rapportant, dont le but final est d’en assurer la validation à l’unanimité, avec en
marge des propositions pratiques pour l’avenir.
c)- Elaboration et validation du projet de rapport

Pour donner aux conclusions à consigner dans le rapport définitif d’audit un aspect ne se prêtant à aucune
contestation et pour parer surtout aux objections et remarques, généralement, désobligeantes des audités,
les auditeurs établissent à l’issue de leur mission un projet de rapport d’audit rappelant l’objet et les objectifs
de la mission et récapitulant les résultats dégagés et les recommandations s’y rapportant pour avis et, le cas
échéant, pour complément de précision à formuler de préférence par un écrit authentifié.
d)- Elaboration et diffusion du rapport définitif

Dés qu’elles acquièrent l’assentiment des toutes les parties concernées par une mission d’audit interne, les
conclusions validées sont reprises dans un rapport définitif d’audit à l’adresse de l’ordonnateur de l’audit. Ce
Page 66
rapport, signé par son émetteur, daté et revu avant sa diffusion, doit rappeler et exposer selon les standards
de rapport de l’établissement, en l’occurrence, une banque et, à titre illustratif ce qui suit :
 les objectifs de la mission, son objet, les délais, conditions et modalités de sa réalisation avec une
mention spéciale concernant les empêchements à sa bonne conduite ;
 les faits décelés et les recommandations s’y rapportant exposés clairement et de manière intelligible
garantissant leur justification avec précision et concision ;
 les différents commentaires sur les indicateurs de performances, d’ordre financier, matériel
etc…associés ou indirectement en relation avec l’objet de la mission d’audit interne.
Le rapport d’audit interne ne doit en aucun cas comporter des points non validés par les audités.
4. La phase de suivi :
Les objectifs de cette phase consistent à suivre les recommandations du rapport définitif d’audit afin d’en
vérifier la portée effective sur tous les plans et de déterminer les mesures prises par l’entité auditée pour
améliorer sa performance et évaluer si ces mesures sont suffisantes pour remédier aux déficiences
constatées.
Lettre de suivi
Accomplissement des travaux de

revue
Projet de rapport de suivi
Validation
Rapport de suivi
a)- Déclenchement
Après l’écoulement d’un laps de temps, généralement, prédéfini à partir de la date de sa diffusion, tout
rapport d’audit interne est l’objet de suivi, par des auditeurs indépendants de ses rédacteurs mais
généralement et pour des considérations d’ordre pratique et d’efficacité par ceux là mêmes.
b)- Accomplissement des travaux de suivi

Une réunion est organisée avec le management de la fonction auditée pour identifier les actions réalisées et
les actions qui ne l’ont pas été.
L’auditeur vérifie sur le terrain les affirmations du management en vue de les confirmer ou de les infirmer.
c)- Projet de rapport de suivi

Les résultats du suivi sont repris dans un rapport comportant une synthèse distinguant les recommandations
appliquées, les recommandations non appliquées et les nouvelles recommandations s’il y a lieu, en plus des
annexes qui détaillent, pour chaque recommandation, le pourcentage de réalisation.
Page 67
d)- Validation et élaboration du rapport de suivi

Le projet de rapport de suivi, une fois discuté et validé avec le management de la fonction auditée, donne
lieu à un rapport définitif de suivi traduisant généralement un consensus concernant les améliorations à
adopter pour corriger tous les dysfonctionnements identifiés et signalés dans le rapport d’audit interne,
adressé pour information à la direction générale.
5. La gestion des risques inhérents à l’activité bancaire
a)- L’importance de la maîtrise des risques

Les dispositifs de gestion et de maîtrise des risques bancaires constituent, de l’avis de tout initié, l’un des
facteurs et, non des moindres, de protection, de sauvegarde et de bon emploi des ressources d’une banque
et, en conséquence, un contributeur opérant dans la formation de sa valeur ajoutée, en offrant en général un
cadre méthodologique idoine à toutes ses activités actuelles ou futures, se caractérisant par des
dispositions, procédures et contrôles propres à :
 améliorer le processus des décisions, à les étayer et à en assurer l’exécution ;
 optimiser l’allocation du capital et des ressources ;
 gérer et maîtriser la volatilité des ressources et des emplois en découlant ;
 protéger le patrimoine et l’image de marque de l’organisation ;
 optimiser l’efficience opérationnelle.
b)- Surveillance et revue du processus de maîtrise des risques

Une gestion efficace des risques bancaires suppose l’existence dans une banque de structures de veille et
de reporting ayant pour mission de s’assurer que ces risques sont identifiés et évalués en temps utile et que
les dispositifs en place à cet effet fonctionnent normalement, dans le cadre et les limites impartis et ce, dans
la mesure où ils ne dérogent pas aux réglementations et normes professionnelles.
En effet, tout procédé de surveillance et de revue du processus de gestion et de maîtrise des risques, doit
permettre de vérifier si :
 Les mesures adoptées en la matière ont produit les résultats escomptés,
 Les procédures instaurées et les informations recueillies pour l’évaluation des risques identifiés, sont
appropriées,
c)- Les modalités de maîtrise des risques

La démarche permettant la maîtrise des risques, comporte les quatre étapes, ci-dessus :
Les étapes Les moyens

Les risques spécifiques et les sources de ces risques auxquels une banque est exposée doivent être
identifiés et définis ;
 la détermination du niveau de risque qu’une banque est prête â prendre doit être fondée sur ses objectifs et
L'identification traduit en termes mesurables ;
des risques le catalogue d’ensemble des risques d’une banque est conditionné par les changements de stratégie, d’un
ajustement au marché, d’évolution technologique ou d’autres événements liés.
Page 68
Les mesures se caractérisant par leur globalité, doivent couvrir toutes les sources importantes de risque ;
les processus de mesures doivent évoluer en fonction des besoins des utilisateurs de ce type d’information
 et répondre à leurs attentes ;
La mesure des les positions, lesquelles ? ouvertes peuvent être décomposées en limites partielles en fonction des
risques contreparties, activités, produits ou toutes autres mesures utiles â la direction générale de la banque ;
les normes utilisées pour mesurer chaque type de risque doivent reposer sur des principes applicables à
tous les produits et activités mesurés.
La détermination et l’initiation de réponses adéquates aux risques doivent être fondées sur l’évaluation
permanente du risque et du rendement ;
 la direction générale doit s’assurer que l’activité opérationnelle n’expose pas la banque à des pertes
La gestion du évitables ou pouvant l’exposer à des difficultés majeures ;
risque la gestion du risque implique en somme la mise en place de procédures pour identifier et évaluer les
alternatives de gestion d’une situation de risque par référence à la politique de la banque.
les préposés au contrôle du risque et la détermination de limites par risque doivent justifiés
 d’indépendance à l’égard des gérants des risques ;
Le contrôle du les limites de risque et la politique de la banque doivent se caractériser par leur cohérence ;
risque les rapports doivent procurer à la direction g é n é r a l e une information facile à exploiter, complète et
â temps sur l’exposition au risque.
Dans le cadre de ses prérogatives, l’auditeur interne au sein d’une banque procède à des diagnostics
périodiques (Cf. Fig.11) et aussi fréquents que nécessaire du système de contrôle interne et de management
des risques et, à cet effet, il se doit de :
 centrer ses travaux sur les risques significatifs identifiés ;
 auditer les processus de gestion des risques dans le but de fournir des assurances sur la qualité et
l’efficience de ces systèmes ;
 porter le compte-rendu des risques à la direction générale et au comité permanent d’audit interne.
(Fig.11)
Source : Cadre de référence de la gestion des risques FERMA, 2003
Les modalités de maîtrise des risques, suivants, encourus potentiellement par une banque feront l’objet de
développement spécifiques pour chaque risque :
i. le risque de crédit ;
ii. le risque de marché ;
iii. le risque global de taux d’intérêt ;
iv. le risque opérationnel.
Page 69
§ 2 - Maîtrise du risque de crédit
1. Maîtrise par le système de contrôle interne :

Le risque de crédit est celui auquel une banque est confrontée du fait de la défaillance de ses clients
bénéficiaires de crédits, il constitue la cause essentielle des difficultés et des faillites accusées ces dernières
années par certaines banques (exemple : Lehmann Brother aux Etats Unis)
Les pertes consécutives aux défaillances, constituent l’un des risques précisés du métier de banquier, elles
résultent généralement :
 de faiblesses du contrôle interne ;
 d’activités de crédit non appropriées.
Le dispositif de contrôle interne à mettre en œuvre pour prévenir ce risque doit permettre de :
 s’assurer que le risque de crédit qu’une banque accepte d’encourir, inclut tous les engagements au
bilan et en hors bilan par relation et, qu’il est surveillé et évalué convenablement, en permanence,
aussi fréquemment que nécessaire conformément aux consignes de la banque en la matière, à la
réglementation bancaire et aux exigences des autorités de contrôle ;
 vérifier que les dossiers de crédit sont correctement documentés et mis à jour régulièrement, et
comportent des informations sur chacune des relations engagées, sur ses activités, sa situation
financière, ses partenaires et relations, la composition et la localisation de son patrimoine,
l’implantation géographique de ses unités d’exploitation, les détails et la justification des concours
qui lui sont consentis et la nature et titres des garantie recueillies pour en assurer la couverture,
etc…
 identifier de manière centralisée tous les risques bilan et hors bilan à l’égard d’une même
contrepartie ou d’un groupe de contreparties, d’un même secteur économique, d’un pays ou d’une
zone géographique ;
 appréhender différentes catégories internes d’appréciation du niveau de risque de crédit à partir
d’informations qualitatives et quantitatives ;
 s’assurer que le système de délégations de pouvoir est formalisé et respecté ;
 assurer la cotation en amont des engagements et, en aval, la détection des engagements douteux,
risqués et impayés ainsi que la concentration des risques par groupe, secteur et souverain ;
 acceder sur demande et en temps réel à toute information d’origine interne et externe renseignant
sur le comportement actuel et prévisible des contreparties dont les engagements sont surveillés en
application des réglementations en vigueur et à la suite de leur défection ou mise sous statut
juridique particulier, etc…
Il importe, par ailleurs, de souligner que l'appréciation du risque de crédit par la quasi majorité des banques
locales tient à des critères, tels que prévus par la circulaire BCT n°91-24 elle résulte, habituellement :
 pour les relations personnes morales, d’une analyse rétrospective et prospective de la situation
économique et financière de celles-ci et, surtout, des caractéristiques actuelles de leur marché et de
Page 70
ses perspectives et sert, en tout cas, à assurer sa classification par catégorie d’entreprises (GEI et
PME/PMI) ;
 pour les clients personnes physiques, de leur segmentation selon des critères tenant à leur statut
social, la nature de leur revenu et à leur secteur d’appartenance et, partant, de l’évaluation du risque
que les revenus de cette catégorie de client présentent et, ce eu égard aux incertitudes quant à sa
véracité et permanence.
De manière générale, la surveillance des risques repose sur un contrôle à deux niveaux :
 Contrôle à priori
 Contrôle à posteriori
Contrôle à priori :
Ce contrôle repose sur le principe consistant à vérifier que les principales opérations des clients ont acquis
l’accord d'un délégataire40 dès lors que celles-ci mettent la position de la contrepartie en anomalie
(notamment les dépassements) ou concourent à la mise en place d'un nouveau crédit.
Ce traitement est en général centralisé au niveau de la Direction des Crédits qui prend en charge toute la
fonction d'octroi de crédits relative aux clients d'une certaine taille.
Ce contrôle suppose l’existence d'outils ou utilitaires offerts par tout système d’information permettant, à
l’instar des systèmes de type global bancaire (exemple : Delta global bancaire ou Temenos T24), de fournir
sur demande des informations sur les autorisations et les utilisations en résultant par contrepartie.
Contrôle à posteriori :
Le principe de contrôle à posteriori est assuré aussi fréquemment que nécessaire selon les consignes en la
matière de la banque ou prévues par les réglementations en vigueur et, ce par une surveillance assidue des
dépassements, des impayés etc…
La pertinence de ce contrôle tient à la vigilance des opérationnels et ce, grâce à leur aptitude avérée à
pronostiquer en temps réel les risques inhérents aux opérations dont ils ont la charge d’administrer.
La technique du Rating
Cette technique consiste à attribuer une note à chaque client (appelée aussi "cotation" ou "rating") par
référence à une grille de notation interne.
Cette technique, applicable aussi aux dossiers de crédit, est révélatrice de leur qualité et de l’opposabilité
des documents y insérés.
L’étude de la Rentabilité
Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations effectuées
avec le client et ce, à travers l’analyse prévisionnelle des charges et des produits y afférents.
40 Un délégataire : c’est la personne en charge des dossiers de crédit. Il peut être un chargé d’affaires (senior
banker) pour les GEI ou le chef d’agence pour les PME/PMI et les personnes physiques
Page 71
En l'état actuel des choses, la rentabilité des opérations n'est souvent obtenue qu’à travers un PNB agrégé.
Elle ne prend pas en compte tous les coûts et notamment le coût du risque.
Certaines banques sont parvenues récemment à établir un RBE (Résultat Brut d’Exploitation) par client et
par opération. Cependant, ce calcul reste approximatif dans la mesure où les charges affectées à chaque
relation sont attribuées sur la base de clés de répartition qui restent empreintes d'arbitraire en l'absence d'un
système de comptabilité analytique permettant de décliner finement les coûts par client.
Suivi des provisions

Les encours qui, au regard de la réglementation en vigueur, sont considérés comme créances classées,
doivent être enregistrés dans des comptes appropriés et donner lieu à la constitution des provisions à leur
mesure satisfaisant en tout cas les dispositions de la norme Tunisie NCT 24.et, la circulaire BCT n°91-24.
Les créances classées et les provisions correspondantes sont, en application de la circulaire BCT n°93-08,
communiqués aux autorités de régulation et au conseil d’administration.
2. Maîtrise par l’audit interne :

L’audit des crédits doit porter principalement sur les points suivants :
 L’évaluation du contrôle interne ;
 Le contrôle de la justification des comptes ;
 Le contrôle du portefeuille ;
 L’évaluation de la qualité des crédits et des risques ;
 L’examen des créances douteuses.
Domaine : Risque de crédit

Politique générale Objectifs et points de contrôles :
Est-ce que la politique en matière de crédit est formalisée ?
Y a-t-il communication et diffusion de la politique à l’échelle de la banque ?
Risques :
Risque stratégique
Risque opérationnel : risques administratif et de traitement (fraude interne)
Approche et étendue des travaux d’audit :
=> Obtenir le budget annuel de la banque et le plan pluriannuel d’activité (Business plan).
=> Vérifier l’adéquation de l’évolution de l’activité crédit avec les orientations et de la stratégie fixée par la direction générale.
=> Vérifier l’adéquation des orientations de la banque avec la conjoncture économique du pays.
Couverture et Objectifs et points de contrôles :
division des
La banque respecte t elle la règlementation et les circulaires de la BCT en matière de division et de couverture des risques
risques
(CBCT n°91-24) ?
La banque respecte t elle les exigences règlementaires en matière de fonds propres (ratio de solvabilité Bâle 2)
Risques :
Risque légal et réglementaire
Risque de réputation
Risque opérationnel : risque comptable
=> Sur la base d’un échantillon, vérifier que la banque, et avant tout engagement, exige de sa clientèle dont les
engagements auprès du système financier dépassent cinq (5) millions de dinars (CBCT n°91-24), les états financiers de
l’exercice précédant l’année de l’octroi de crédit, certifiés par un commissaire aux comptes.
Page 72

=> Vérifier que la banque exige les états financiers des exercices qui suivent l’année de l’octroi de crédit, certifiés par un
commissaire aux comptes.
=> Vérifier que la banque exige une notation récente attribuée par une agence de notation pour les relations non cotées en
bourse et dont les engagements auprès du secteur bancaire dépassent vingt cinq (25) millions de dinars (CBCT n°91-24).
Système de Objectifs et points de contrôles :
délégation
Existe t il un système d’autorisation des crédits documenté et homogène ?
Existe t il un recueil des conditions de banque (commission, taux, frais…) en fonction des types des crédits et des clients ?
Existe t il des systèmes de délégation et de décentralisation dans l’octroi des crédits ?
Existe t il un système pyramidal de décentralisation dans la prise de décision en matière de crédits ?
Y a t il des seuils et des paliers d’autorisation et de décentralisation pour l’octroi des crédits ?
Risques :
Risque de concentration
Risque légal et règlementaire
Risque opérationnel : risque administratif et de traitement (fraude interne)
=> Vérifier sur la base d’un échantillon de dossiers que les taux et les commissions perçues (commissions d’étude,
d’engagement) sont conformes au recueil des conditions générales de la banque.
Sur la base d’un échantillon vérifier les autorisations délivrées pour les crédits décentralisés par rapport à l’échelle des seuils
de délégations en vigueur à la banque.
=> Vérifier pour chaque type de crédit commercialisé par la banque les niveaux hiérarchiques de prise de décision.
=> Sur la base d’un échantillon, vérifier que les crédits font l’objet d’une double autorisation en fonctions des niveaux
hiérarchiques (chef d’agence et direction risque/crédits).
Gestion des Objectifs et points de contrôles :
dossiers de crédits
Existe t il des check-lists pour les éléments composant tout dossier de crédit ?
Existe t il une politique en matière de mise à jour des dossiers selon la typologie des crédits ?
Risques :
Risque d’initiés
Risque de garantie
=> Vérifier à partir d’un échantillon que le dossier contient les pièces suivantes :
- une demande de financement émanant du client,
- une fiche de renseignements dûment remplie et signée par le client conformément aux modèles prévus pour chaque type
de dossier et par nature de crédit,
- une étude de rentabilité du projet, identification des autres affaires s’il s’agit d’un groupe (crédit d’investissement) ou le fiche
de paie ou justificatif du revenu (crédit à la consommation),
- les documents fournis par l’entreprise conformément aux listes prévues pour chaque type de crédits
=> Vérifier sur la base d’un échantillon de dossiers l’existence des documents suivants :
- la situation des engagements du client et/ou du groupe auprès de la banque et du système bancaire,
- l’évaluation des engagements du client s’il y en a (classification de la créance, provisions constituées, agios réservés) telle
qu’effectuée par la direction chargée de l’évaluation des actifs de la banque,
- l’expertise technique (en interne ou en externe),
- la note du comité de crédit (étude complète et approfondie),
Suivi des risques Objectifs et points de contrôles :
Existe-t-il une procédure de suivi des crédits de gestion ?
Existe t il une procédure de contrôle et de suivi des comptes des clients pour détecter les soldes débiteurs non autorisés ?
Y a-t-il un mécanisme de gestion des impayés sur les crédits à la clientèle (préservation du droit cambiaire) ?
Existe-t-il une procédure de suivi des garanties réelles et les cautions personnelles permettant de mettre à jour la valeur des
dites garanties ?
Existe-t-il une procédure de suivi de la clientèle permettant de prendre en considération tout événement pouvant impacter le
client et par la même la créance consentie ?
Y a-t-il un comité de suivi qui statut périodiquement sur les dossiers des clients pour actualiser les quotas des lignes de
crédits ?
Risques :
Risque de garantie
Page 73

Risque opérationnel : fraude interne
Risque légale et réglementaire
=> Pour les cautions, vérifier que les commissions sur cautions et avals sont facturées automatiquement ;
=> Vérifier la bonne tenue de l’échéancier ;
=> Vérifier que les cautions échues sont apurées ;
=> Vérifier que le traitement des prorogations d’échéances des cautions et avals et le calcul des commissions y relatives est
informatisé ;
=> S’assurer de l’élimination systématique de l’état des cautions en cours de celles dont l’échéance est prescrite ;
=> Vérifier la méthode de classement des dossiers de cautions ;
=> Vérifier qu’il n’existe pas de cautions anciennes supérieures à 15 ans sur la liste des cautions en cours ;
=> Vérifier qu’un avis d’annulation existe dans les dossiers des cautions annulées.
=> Vérifier que les autorisations de crédit non encore débloqués en fin d’exercice sont systématiquement envoyées au
service comptable.
=> Vérifier l’existence d’un suivi de la circulation des dossiers engagements par la banque.
=> Vérifier que les conditions bancaires privilégiées échues sont renouvelées dans les meilleurs délais.
=> Vérifier qu’il n’existe pas de débits importants non autorisés pour le personnel de la banque.
=> Vérifier qu’il n’existe pas de débits importants non autorisés pour les clients.
=> Vérifier que les comptes débiteurs non mouvementés sont apurés.
=> Vérifier que l’encours des crédits consolidés ne comprend pas les intérêts.
Système Objectifs et points de contrôles :
d’information et de
Existe-t-il des tableaux de bord et un système de reporting sur l’activité crédit ?
contrôle de gestion
Existe-t-il des travaux analytiques sur la rentabilité des crédits en fonction de la cible clientèle, région, etc.… ?
Y a-t-il une exploitation des reportings par la direction générale dans un dessein de prise de décision ?
Risques :
Risque stratégique
=> Vérifier que la banque dispose d’une base de données clientèle lui permettant de positionner une relation dans son
secteur et de déceler les secteurs en difficultés.
=> Vérifier si la direction du contrôle de gestion prépare des reportings réguliers sous forme de tableaux de bord à l’attention
des agences appartenant au réseau de la banque.
Dans l’affirmative vérifier l’adéquation et la pertinence des informations avec les besoins des exploitants (directeurs
d’agence).
=> Vérifier si les tableaux de bord font l’objet de commentaires de la part des exploitants et par conséquent d’une prise en
compte de leurs avis sur les réalisations commerciales.
Système Objectifs et points de contrôles :
informatique
Existe-t-il des sécurités quant aux conditions de mise en place, de modification et de dénouement des crédits ?
Existe-t-il un système de reporting réglementaire mécanisé et fiable aux autorités de régulation ?
Risques :
Risque de fraude
Risque opérationnel
=> Vérifier si la gestion des crédits est informatisée
Dans l’affirmative, vérifier que le système informatique remplit les fonctions de calcul des intérêts et des plans
d’amortissement, la génération automatique des écritures comptables, le calcul et la comptabilisation des intérêts courus et
non échus, l’édition de l’état des crédits en cours
=> S’assurer que le système interdit la saisie des crédits non autorisés, des conditions non autorisées, des prorogations non
autorisées et toutes les modifications non autorisées
=> Rapprocher sur la base d’un échantillon de dossiers la décision de déblocage avec la décision du comité du crédit et
l’avis de notification du crédit au client concernant notamment le montant du crédit, sa durée, la périodicité des
remboursements, la nature des intérêts et les commissions à prélever
=> Prendre un échantillon de tableaux d’amortissements arrêtés par la direction de l’informatique et s’assurer du bon calcul
des intérêts, taux, montant du déblocage,…
s’assurer que la banque transmet pour contrôle à posteriori à la BCT, les informations sur l’activité crédits (défalcation CCT,
CMT et CLT)
Page 74

Séparation des Objectifs et points de contrôles :
tâches
Y a-t-il une séparation physique des tâches d’autorisation, réalisation et contrôle ?
Existe-t-il une séparation logique des tâches d’autorisation, de réalisation et de contrôle ?
Existe-t-il un système documenté et référencié de définition des rôles et des tâches ?
Risques :
Risque opérationnel : fraude interne (risque d’initiés)
=> S’assurer que la banque dispose d’un manuel des procédures (ou le cas échéant de notes de procédures) pour décrire et
retracer le cheminement des différents types de crédits
=> Vérifier que ces procédures (ou notes de procédures) spécifient les tâches allouées à chaque intervenant dans le circuit
du crédit
=> Sur la base d’un échantillon de dossiers vérifier la matérialisation physique des autorisations et des contrôles
conformément aux procédures en vigueur
Gestion du Objectifs et points de contrôles :
portefeuille
Y a-t-il un système de conservation et de suivi des effets au niveau du service portefeuille ?
Y a-t-il un système d’autorisation et d’encaissement des effets en portefeuille ?
Risques :
Risque de garantie
Risque opérationnel : risque administratif et de traitement
=> Pour les crédits mobilisés, vérifier sur la base d’un échantillon l’existence des chaines d’effets.
=> Vérifier la procédure de conservation et de gestion des effets à la banque et s’assurer qu’elle prévoit des inventaires
physiques réguliers des effets.
Gestion du Objectifs et points de contrôles :
contentieux
Y a-t-il une gestion du contentieux documentée et diffusée ?
Existe-t-il un suivi en phase précontentieux ?
Existe-t-il un suivi en phase contentieux devant les instances judiciaires ?
Existe-t-il une procédure de gestion et de suivi des provisions pour créances douteuses et pour risques spécifiques et
généraux ?
Risques :
Risque comptable
Risque stratégique
=> Rapprocher la situation comptable à la situation extracomptable et analyser toute discordance,
=> Stratifier les comptes contentieux sélectionnés en fonction des critères suivants : affaires en instruction, affaires en
poursuite devant les tribunaux, affaires en poursuite retrait grosse, affaires en exécution.
=> Vérifier que les dossiers sélectionnés comprennent :
- la décision de transfert au contentieux,
- les documents juridiques de la relation,
- l’avis et le préavis de clôture de compte (comparer la date d’établissement des avis et la date de transmission du dossier au
contentieux),
- les relevés de compte relevant les mouvements des 6 derniers mois,
- les garanties,
- le résumé de l’état d’avancement de la procédure judiciaire,
- la nature,
- l’origine et les justificatifs de la créance,
- les diverses correspondances (le titulaire du compte les avocats les huissiers notaires et les experts),
- la fiche signalétique.
=> Vérifier que ces dossiers font l’objet d’un suivi particulier : compte ordinaire clôturé, décomptes d’agios arrêtés,
mouvements débits en principe interdit, sauf pour les frais d’enregistrement, avocats, huissiers notaires.
=> Relever la date de transmission de chaque dossier au contentieux et préciser les causes d’un retard éventuel à l’étape de
l’instruction
=> Pour les dossiers sélectionnés en poursuite, relever la date de transmission du dossier à l’avocat et la comparer avec
celle de la réception du dossier par le contentieux
=> S’assurer pour les affaires en exécution : de la bonne application de la décision judiciaire, de la bonne comptabilisation, à
Page 75

défaut, précisez les causes du non exécution.
=> Vérifier si le choix des avocats et des huissiers notaires est approuvé par la direction générale
=> Vérifier que le suivi des huissiers notaires se fait de façon permanente et systématique
=> Vérifier s’il y a lieu des arrangements à l’amiable
=> Vérifier l’application des circulaires internes qui régissent les tâches du contentieux
=> Déterminer la nature de la relation entre le contentieux siège et le contentieux de la direction régionale en particulier en ce
qui concerne : la communication des états des clients contentieux à leur niveau, La communication d’un état d’avancement
de la procédure judiciaire pour chaque relation, la transmission des dossiers au contentieux siège, etc.
=> Examiner la tenue des dossiers contentieux, existe-t-il un découpage du dossier comme suit : la fiche signalétique, le
dossier juridique, le dossier crédit, le dossier garantie, les relevés de compte, les correspondances internes, les
correspondances avec le ou les avocats, les correspondances avec le ou les huissiers notaires, autres correspondances, les
justificatifs des frais, le résumé des différentes actions judiciaires, autres informations
=> Déterminer le risque global des créances contentieuses, en se référant à la circulaire CBCT n°91-24
=> Déterminer si les biens immeubles donnés en garanties sont évalués conformément aux dispositions de la circulaire
CBCT n°91-24
=> Vérifier l’inscription de la garantie auprès des instances compétentes
§ 3 - Maîtrise du risque de marché

Face à l’accroissement des risques liés aux instruments des marchés financiers, les banques ont étoffé leurs
organisations par la création d’une nouvelle entité appelée « salle des marchés ».
Cette entité, couvrant, théoriquement, l’ensemble des activités financières au sein d’une banque, à savoir :
les opérations sur le marché des changes, le marché des dinars-devises, le marché monétaire, le marché
des titres et, le marché d’instruments financiers à terme, nécessite des mesures draconiennes de contrôle
interne pour tenir compte :
 du volume important et des spécificités particulières des opérations traitées ;
 de la sophistication caractérisant les techniques exercées pour l’exécution des ordres d’opéré qui lui
sont donnés et de la célérité des décisions que celle-ci implique nécessairement.
Deux objectifs sont assignés à la salle des marchés :

 améliorer la rentabilité des activités bancaires sur les marchés désignés, ci-dessus ;
 améliorer la sécurité en centralisant les risques de marchés de manière à en assurer la mesure et la
maîtrise.
Or, ces deux objectifs, qui ne sont pas irréalisables, ne sont pas pour autant faciles à atteindre en raison :
 du recours fréquent dans les salles de marché à l’outil informatique et électronique ;
 de temps de réaction très court aux demandes des services des salles de marché ;
 des délais, souvent très courts, impartis pour le débouclement d’une position.
Le dispositif de contrôle des risques de marché doit :

 renseigner, en temps utile et autant de fois que de fluctuations importantes et imprévisibles des taux
d’intérêt, sur les risques encourus par une banque en raison de variations de taux d’intérêt
susceptibles d’affecter les prix des instruments financiers négociés ;
Page 76
 vérifier que ces risques font l’objet d’une évaluation appropriée et d’une surveillance assidue dans le
but d’en prévoir et d’en prévenir en temps réel les conséquences potentielles et, ce en agrégeant,
notamment, les positions consolidées ou non par marché et par instrument financier, dont ils
découlent ;
 être revu dans sa composition en tant que de besoin pour tenir compte, essentiellement, de
l’évolution de l’activité sur les marchés et de leur environnement.
Le système de mesure des risques de marché :

La mesure des risques de marché représente un aspect sensible de l’ensemble du dispositif de gestion des
risques. Elle résulte de systèmes permettant de :
 appréhender quotidiennement les positions détenues par instrument et d’en calculer les résultats ;
 mesurer le risque de taux d’intérêt, le risque de change et le risque sur titres de propriété liés à ces
positions ;
 assurer un suivi quotidien et une évaluation au prix du marché de toutes les opérations de change
ou de taux et mesurer l’adéquation des fonds propres de la Banque aux risques résultant des
opérations portant sur le portefeuille de négociation (calcul d’une «Value At Risk» fondée sur la
notion de perte potentielle maximale) ;
 agréger sur une base homogène toutes les positions, quels que soient les produits et les marchés.
Cette mesure globale est fondée elle aussi sur la notion de perte potentielle maximale ;
 élaborer régulièrement des scénarios catastrophes ou de crise (stress test) mesurant les
conséquences des situations exceptionnelles et avisant de leurs signes précurseurs. Les résultats
sont communiqués au conseil d’administration ;
 procéder au moins une fois par mois au rapprochement des résultats comptables et des résultats de
gestion (les résultats fournis par les applications gérant la salle des marchés) et analyser les écarts
constatés.
 s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces
risques.
Le système de surveillance et de maîtrise des risques :

Ce système exige la mise en place de limites internes pour l’ensemble des risques de marché mesurables.
Ces limites, d’ordre :
 global, données par la direction générale en ce qui concerne les activités de marché, en termes
d’exigences de fonds propres ou de « Value At Risk » (VAR) ;
 opérationnel, exprimées en nominal, en terme de « Stop-Loss » et de sensibilité.
permettent d’encadrer a priori les expositions au risque de marché et d’en préciser les moyens à mettre en
œuvre pour les contenir. Elles doivent faire l’objet d’une revue au moins annuelle, et être surveillées par un
système dénonçant leur franchissement.
Les expositions aux risques de marché doivent être suivies en permanence et faire l’objet de reporting à
diffuser au niveau de tous les échelons de la hiérarchie. Les manquements aux règles, une fois identifiés et
Page 77
analysés, seront suivis de mesures correctives comportant soit l’octroi de limites supplémentaires soit le
débouclement des positions pour un retour à l’intérieur des limites notifiées.

Le risque de marché est intimement lié à la notion de change et de gestion des limites et des positions en
devises, c’est pour cela que l’audit de la salle des marchés représente le domaine de prédilection pour
obtenir une assurance quant au respect des exigences en matière de contrôle interne exposé dans le
paragraphe précédent.
L’audit de l’activité de marché comporte trois étapes : l’évaluation du contrôle interne, l’audit des opérations
et l’audit des comptes. Les objectifs généraux de cet audit consistent à apprécier :
 La qualité et la fiabilité des informations véhiculées sur la nature des opérations traitées, des
positions prises et de leur rentabilité ;
 L’efficience des systèmes de maîtrise des risques générés par les opérations traitées à la salle des
marchés ;
 La contribution des différents services concernés (front office, back office, contrôle des risques et
contrôle interne) à la maîtrise de ce risque.
Les orientations majeures de la mission d’audit des risques de marché consistent à :

 recenser l'ensemble des activités, stratégies et instruments traités par la salle des marchés objet de
l’audit,
 inventorier les applications de gestion et de traitement de ces activités et instruments,
 faire la revue des procédures de traitement,
 examiner les principales procédures comptables,
 analyser le mode d'élaboration des résultats comptables et de gestion, ainsi que la procédure de
rapprochement de ces deux résultats,
 inventorier des différents états de reporting et leur mode d'élaboration.
La mission d’audit de la salle des marchés aura pour objet d’apprécier comment sont couverts les risques
liés à l'activité de marché à travers la couverture des cinq domaines suivants :
i. les traitements en front office ;
ii. les traitements en back office ;
iii. la gestion du risque de contrepartie ;
iv. la gestion du risque juridique ;
v. la gestion de la sécurité physique.
Domaine : Risque de marché

Les traitements en A. Stratégie, politique budget
Front Office
Objectifs et points de contrôles :
Une stratégie a-t-elle été définie ? Cette stratégie est-elle en phase avec celle de la banque ? La stratégie prend-elle en ligne
Page 78

de compte tous les risques inhérents à l’activité ?
Un budget a-t-il été élaboré ? La direction générale de la banque est-elle impliquée dans la procédure budgétaire ?
Risques :
Risque de gestion :
Approche et étendue des travaux d’audit : Approche et étendue des travaux d’audit :
=> Prendre connaissance du plan triennal de la banque, des notes internes et du Budget.
=> Examiner la procédure budgétaire en lisant les courriers, les notes, les projets, etc.
B. Organisation de l’activité
L’activité a-t-elle été clairement définie et mise en place ?
Les tâches des employés sont-elles clairement définies ? n’y a-t-il pas de chevauchements ?
Les opérations internes entre des desks animés par la même hiérarchie sont-elles interdites ?
La répartition des traders coïncide t’elle avec celle des commerciaux ? Tous les commerciaux peuvent-ils effectuer des
opérations avec les clients ? Ces opérations sont-elles dûment autorisées ?
Les traders prennent-ils des positions non couvertes ?
Risques :
Risque opérationnel : fraude interne (activités non autorisées)
Risque opérationnel : pratiques commerciales
Risque déontologique
Risque de marché
=> Prendre connaissance de la définition des postes, de l’organigramme et des notes internes.
=> Analyser l’affectation des traders et des vendeurs aux clients, aux différents produits, aux différentes devises au moyen
des statistiques (nombre d’opérations, volumes) et en fonction des résultats.
=> Analyser l’affectation des traders par rapport aux besoins de la force de vente.
=> Vérifier les délégations de pouvoir de chaque vendeur et la comparer avec les produits traités.
=> Analyser le courant d’opérations pour voir si les vendeurs peuvent à un moment quelconque prendre des positions
ouvertes sans les déclarer.
=> Le contrôle le plus important est celui effectué lors de la réception par le Back Office des confirmations et des
réclamations des clients.
C. Stratégie de Trading
Une stratégie a-t-elle été définie pour les activités de Trading ?
Risques :
Risque stratégique
=> Examiner le livre des positions de Trading et vérifier que son évolution correspond effectivement à cette stratégie.
=> Examiner des positions du journal de Trading. Analyser particulièrement les positions des jours qui ont enregistré les plus
gros gains ou les plus grosses pertes et demander des explications.
D. Informations relatives au marché
Les analyses envoyées aux clients sont-elles réalisées par des collaborateurs qualifiés et autorisés à le faire ?
Risques :
Risque de réputation
Risque déontologique
=> Examiner les analyses du marché envoyées aux clients.
E. Comité de gestion
Page 79

Quels sont les différents comités auxquels le responsable du Trading participe ?
Quelle est la nature des relations qui existent entre le front office et le Back Office, la comptabilité et la direction des
engagements ?
La contribution des commerciaux est-elle clairement identifiée (marge, rémunération des traders) et calculée par une
direction indépendante ?
Risques :
Risque financier
=> Examiner les procès verbaux des réunions.
=> Vérifier par un examen (requêtes informatiques) dans le système d’information l’exactitude de la contribution des
vendeurs
F. Avis d’opéré
Les avis d’opéré contiennent-ils toutes les informations nécessaires au traitement des opérations ?
Existe-t-il une piste d’audit pour chaque ticket ? Les tickets de transaction sont-ils horodatés ? Existe-t-il une piste d’audit en
cas d’annulation ou de modification ?
Dans le cas où le Front Office peut annuler ou modifier des opérations (et particulièrement les opérations échues) dans les
systèmes Front Office et Back Office, la validité de ces annulations/modifications est-elle contrôlées de façon indépendante ?
Des heures limites de traitement des opérations ont-elles été fixées ? sont-elles respectées ? Les opérations hors site sont-
elles autorisées ? Dans l’affirmative, les traders ont-ils obtenu préalablement l’autorisation de la direction générale de la
banque ? Ces opérations sont-elles effectuées dans les conditions de sécurité voulues ?
Risques :
Risque de marché
=> Procéder par sondage sur les tickets des opérations de change pour s’assurer de leur exactitude.
=> Vérifier que la procédure assure ce contrôle. Les traders chargés de plusieurs desks/portefeuilles devraient faire l’objet
d’une attention toute particulière. Des procédures spécifiques devraient s’appliquer à ces personnes.
=> Examiner les tickets des transactions.
=> Lorsque les opérations ne sont pas matérialisées par un ticket mais saisies directement dans un système, examiner
l’heure de saisie des différentes opérations afin de mettre en lumière d’éventuelles concentrations inhabituelles.
=> Examiner les annulations/modifications.
=> Dans le cas d’un système informatique intégré, examiner les fonctionnalités et vérifier qu’une piste d’audit est conservée
pour les opérations annulées ou modifiées.
=> Examiner les tickets de la salle des marchés.
=> Vérifier les procédures relatives aux opérations hors site.
=> S’assurer que l’autorisation a été donnée par la direction générale et le déontologue de la banque.
=> S’assurer que ces opérations sont effectuées dans les conditions de sécurité voulues : séparation des fonctions,
justificatif de l’opération, et les contrôles par le Back Office respectés.
G. Gestion des positions
Est-ce que chaque opérateur tient un état récapitulatif des opérations au niveau du Front Office ? Les opérations sont-elles
enregistrées dans l’ordre chronologique sur cet état ?
La position (position de change, solde, impasse en taux, sensibilité, …) de chaque trader est-elle toujours disponible et
constamment mise à jour ?
Toutes les positions du Front Office sont-elles rapprochées avec celles du Back Office ?
Dans le cas d’un système Front Office automatisé, une solution de secours de suivi des positions est-elle en place et a-t- elle
été testée ?
Risques :
Risque opérationnel : risque comptable (perte de la piste d’audit)
Risque de marché.
Risque opérationnel : pratiques et relations commerciales
Page 80

Risque de crédit
=> Vérifier les états récapitulatifs du trader ou s’assurer que le système Front Office assure cette fonction.
=> Examiner l’état pour s’assurer que les opérations sont enregistrées dans l’ordre chronologique.
=> S’assurer que l’état récapitulatif du trader est bien disponible.
=> Dans le cas d’un système Front Office automatisé, s’assurer que les opérations sont saisies immédiatement en vérifiant
les heures de saisie des opérations pour mettre en évidence d’éventuelles concentrations inhabituelles ou des opérations
tardives.
=> Dans le cas d’un système Front Office automatisé, vérifier la codification du portefeuille/périmètre de la position.
=> Examiner les positions communiquées aux traders par les autres directions (production, commercial,…).
=> Vérifier le type de rapprochements effectués sur les positions et s’assurer de leur efficacité. S’assurer que ces
rapprochements sont effectués régulièrement.
=> Examiner les positions provenant des autres directions pour s’assurer qu’elles sont communiquées en temps voulu.
=> Vérifier les solutions de secours ainsi que les tests réalisés.
H. Suivi des limites de risque
Le Front Office est-il en mesure de suivre les risques de marché ?
Le Front Office est à même de suivre les risques de contrepartie ?
Risques :
Risque de marché
Risque de crédit
=> S’assurer que le Front Office dispose des moyens matériels pour suivre les limites de risques de marché.
=> Examiner les utilisations afin d’identifier tout dépassement des limites.
=> Dans l’éventualité où le Front Office n’a pas de moyens pour suivre les limites, s’assurer que l’utilisation n’est pas proche
de la limite.
=> S’assurer que le Front Office a les moyens matériels pour suivre ses limites de risques de contrepartie.
=> Passer en revue les utilisations pour identifier tout dépassement des limites.
I. Matérialisation des opérations
Existe-t-il des contrôles permettant de s’assurer que toutes les opérations initiées par le Front Office sont matérialisées ?
Existe-t-il une procédure d’enregistrement des conversations téléphoniques ?
Les enregistrements sont-ils conservés dans un endroit dont l’accès est limité aux personnes dûment autorisées et interdit
aux équipes du Front Office ?
Les enregistrements sont-ils conservés pendant une durée minimum d’une année ?
Les personnes habilitées à écouter les conversations ont t elles été approuvées par le déontologue de la banque ?
Lorsqu’une conversation téléphonique est écoutée, le personnel concerné est-il autorisé à entendre la conversation
impliquant la personne incriminée ?
Risques :
Risque opérationnel : relation clientèle et pratiques commerciales.
Risque opérationnel : risque administratif et de traitement.
=> S’assurer que la salle des marchés dispose des moyens nécessaires pour enregistrer toutes les conversations
téléphoniques ou les communications par Reuter ou pour fournir tout autre justificatif des opérations.
=> S’assurer que l’accès au système d’enregistrement de conversations téléphoniques est protégé.
=> Vérifier que les enregistrements sont conservés pendant au moins une année.
=> S’assurer que le déontologue de la banque a bien donné son accord sur les personnes habilitées à écouter les
conversations téléphoniques.
J. Séparation des tâches
Est-il interdit aux traders et à leurs assistants d’effectuer les tâches suivantes :
- rédiger, valider et envoyer des confirmations ou des contrats de Trading, enregistrer les opérations de Trading, tenir les
livres de positions et des échéanciers, préparer des rapports d’activité quotidiens et des états de positions (à l’exception des
notes pour informer les traders sur les positions prises) ?
Page 81

- réévaluer les positions régulièrement et déterminer les gains ou les pertes pour les comptes officiels ?
dénouer les opérations ou effectuer d’autres fonctions de paiement ou de réception de fonds, telles que l’émission ou la
réception et le traitement d’opérations par câble ou par courrier, des effets ou des lettres de change ?
- recevoir les confirmations des contreparties et les rapprocher avec les contrats ou les avis de courtiers, suivre les
confirmations en suspens et corriger les erreurs qui s’y rapportent et autres fonctions de traitement similaires ?
- gérer et rapprocher les comptes NOSTRI et autres comptes débiteurs et créditeurs concernés par les activités de Trading ?
préparer, approuver et enregistrer toute autre écriture comptable ?
Le personnel du Front Office est-il exclu des listes de signatures autorisées et des personnes habilitées à : ouvrir des
comptes au nom de la Banque auprès de confrères ou de courtiers ? initier des transferts ou des mouvements sur ces
comptes ?
Une unité indépendante de la salle est elle chargée de revoir les rapports quotidiens pour détecter les dépassements de
limites autorisées ?
Risques :
Risque opérationnel : fraude interne (activité non autorisée)
=> Examiner les contrats et les confirmations pour s’assurer qu’aucun(e) n’est signé(e) ni envoyé(e) par des traders ou par
toute personne qui leur est rattaché.
=> Vérifier la liste des signatures autorisées et des pouvoirs pour s’assurer que tous les traders et leurs assistants en sont
exclus.
=> S’assurer qu’aucune écriture comptable n’est saisie directement par les traders et qu’aucune position n’est tenu par eux.
=> S’assurer que la comptabilité effectue ces tâches indépendamment de l’intervention du Front Office.
=> Vérifier que le secteur comptabilité est indépendant du Front Office dans le cadre de ses réévaluations et de ses calculs
de pertes et profits. Tous les chiffres utilisés par la direction de la comptabilité doivent préalablement être validés par le Back
Office.
=> S’assurer que les traders n’ont pas accès aux systèmes (SWIFT, télex…) ou aux moyens de paiement (lettres de
change).
=> S’assurer que ces fonctions sont physiquement séparées.
=> S’assurer que les traders ne reçoivent aucune confirmation. Il conviendrait d’éviter que des télécopies, télex, etc. ne
soient reçus dans la salle. Si un télex ou un télécopieur est nécessaire dans la salle, il y a lieu de s’assurer qu’aucune
confirmation ne peut être reçue exclusivement dans la salle.
=> S’assurer que les comptes NOSTRI et autres comptes débiteurs et créditeurs sont rapprochés par un service
indépendant du Front Office.
=> S’assurer qu’aucune écriture comptable n’est saisie directement par les traders.
=> S’assurer que le Back Office saisit ces écritures lui-même sans aucune intervention du Front Office.
=> S’assurer que toutes les personnes rattachées au Front Office sont exclues de la liste des signatures autorisées et des
mandataires.
=> S’assurer que la fonction suivie de limites n’est pas rattachée au Front Office.
K. Politique commerciale
Existe-t-il un programme de visites aux clients ?
Chaque réunion avec un client fait-elle l’objet d’un compte rendu ?
Les commerciaux coordonnent-ils leur action avec le secteur commercial de la banque des entreprises ?
Risques :
Risque opérationnel : relation clientèle et pratiques commerciales
=> S’assurer qu’il existe bien un planning de visites.
=> Passer en revue les visites rendues aux clients pour s’assurer que le planning est respecté.
=> Examiner les comptes rendus de visite.
=> S’assurer que les visites aux clients sont effectuées conjointement avec le service commercial.
=> S’assurer que les cadres de la banque commerciale sont informés des positions prises par les clients et qu’elles sont
suivies. Demander à voir les comptes rendus de visites, les états des positions des clients.
Les traitements en A. Structure et gestion de l’activité
Back Office
Qui est chargé de contrôler la productivité ?
Avec quelle périodicité la qualité de la productivité est-elle évaluée ?
La direction dispose-t-elle de processus et d’outils spécifiques pour mesurer et améliorer la productivité et la qualité du
Page 82

service ?
Existe-t-il des statistiques détaillées par produit sur le nombre d’opérations ? le nombre d’erreurs ? le nombre de
réclamations ?
Les contrôles effectués par la hiérarchie sont-ils formalisés ?
Risques :
=> Demander les plans d’actions, les notes de projet ou les statistiques relatives à la productivité tenues par la direction.
=> Demander des statistiques portant au moins sur les deux dernières années afin d’analyser l’évolution.
=> S’assurer que les documents vérifiés par la hiérarchie sont correctement visés.
B. Procédures et organisation
Des procédures formelles existent-elles au niveau de la banque ? Ces procédures sont- elles mises à jour régulièrement et
communiquées aux membres du personnel concernés ?
L’application correcte des procédures au niveau de la banque fait-elle l’objet de vérifications régulières ?
Risques :
=> Demander à consulter les procédures les plus récentes et vérifier qu’elles correspondent à l’activité actuelle.
=> S’assurer que les membres du personnel connaissent parfaitement les procédures en vigueur.
C. Séparation des tâches
Le Back Office est-il hiérarchiquement indépendant du Front Office ?
Existe-t-il une véritable séparation des tâches entre le Front Office / Back Office ?
Des contrôles spécifiques sont-ils mis en œuvre pour s’assurer qu’il existe une indépendance totale entre le Front Office (qui
initie les opérations), le Back Office (qui saisit les opérations dans les systèmes de gestion), les personnes chargées des
règlements et la direction de la comptabilité ?
Les fonctions de rapprochement et de confirmation sont-elles assurées par des personnes différentes au sein du Back
Office ?
Risques :
=> Demander les organigrammes et les définitions des postes.
=> S’assurer par exemple que les systèmes Back Office ne permettent pas de saisir des opérations dans les positions
tenues par le Front Office.
=> Vérifier de même que les systèmes Front Office ne permettent pas le traitement et le règlement des opérations.
=> Par le biais d’entretiens, identifier les personnes chargées de ces différentes fonctions.
D. Saisie des opérations
Les tickets d’opéré font-ils l’objet d’un horodatage ?
Les tickets d’opéré sont-ils pré-affectés aux opérateurs ou aux desks ?
Les tickets d’opéré sont-ils différents selon le type d’instrument ?
Les horodateurs sont-ils à jour ?
Les tickets d’opéré sont-ils correctement et complètement remplis ? (exactitude des données).
Les tickets d’opéré contiennent-ils toutes les informations requises par les règles de marché ?
Les tickets d’opéré sont-ils signés par les traders ?
Les opérations sont-elles saisies au fil de l’eau et correctement ?
Les fonctions de saisie et de validation des opérations sont-elles effectivement séparées ?
Si les traders utilisent Reuters, les conversations sont-elles imprimées au Back Office ?
Les impressions de conversations Reuters sont-elles régulièrement vérifiées par le Back Office ?
Les opérations internes sont-elles formalisées par un ticket d’opéré ?
Un rapprochement est-il effectué entre les tickets d’opéré et les saisies dans le système ?
Page 83

Risques :
Risque de marché
Risque opérationnel : risque administratif et de traitement (exécution et gestion des processus)
=> Vérifier que les tickets d’opérations sont bien horodatés au moment ou l’ordre client est reçu et au moment où l’exécution
est achevée.
=> S’assurer que les tickets d’opéré contiennent des informations relatives au desk.
=> Prendre un échantillon de tickets d’opéré par type d’instrument et vérifier qu’ils sont différents.
=> Vérifier que tous les tickets d’opéré précisent l’heure de conclusion de l’opération.
=> Vérifier au FO que les horodateurs indiquent les bonnes dates et heure.
=> Prendre un échantillon de tickets d’opéré et vérifier qu’ils sont complètement remplis et qu’ils ne comportent pas de mots
rayés ou effacés.
=> Prendre de façon aléatoire quelques opérations et comparer la date d’opération avec la date de saisie, la date de valeur,
la date de paiement.
=> Déterminer le nombre d’opérations saisies de façon incorrecte, rechercher les causes et analyser les conséquences.
=> Vérifier les signatures apposées sur les tickets d’opéré, les droits d’accès aux systèmes
et les noms des utilisateurs utilisés pour la saisie.
=> Vérifier la cohérence entre les tickets / les télex / les impressions Reuters.
=> Vérifier que les contrôles relatifs aux conversations Reuters sont documentés et formalisés.
=> Vérifier que les tickets d’opéré relatifs aux opérations internes sont correctement remplis.
=> S’assurer qu’ils peuvent être facilement identifiés par le Back Office (numéros spécifiques, archivage …). Cette
vérification peut être menée de pair avec celle des retards de saisie.
E. Archivage des dossiers
Les dossiers sont-ils conservés dans un endroit sûr ? l’accès à ce local est-il protégé ?
Les dossiers des opérations sont-ils correctement conservés ? sont-ils complets (ticket d’opéré, confirmations, ordres de
paiement, fiches de saisie, documentation légale, messages télex et description de produits complexes, s’il y a lieu …) ?
Les différents types d’opérations peuvent-ils être aisément individualisés ? opérations en cours ? opérations échues ?
Risques :
Risque opérationnel : relation client et pratiques commerciales
Approche et étendue des travaux d’audit
=> Tester les droits d’accès au local dans lequel les dossiers sont conservés.
=> Choisir quelques opérations et s’assurer que les fichiers peuvent être facilement trouvés et qu’ils sont correctement
documentés.
F. Modification / annulation d’une opération
Existe-t-il une procédure pour la modification ou l’annulation d’une opération ?
Existe-t-il une piste d’audit en cas d’annulation ou de modification d’une opération (registre spécifique, classement des
tickets d’opéré correspondants ….) ?
Toutes les modifications/annulations sont-elles expliquées, autorisées par la hiérarchie et documentées ?
Des états d’anomalies spécifiques sont-ils édités en cas de modification des opérations ?
Risques :
=> Prendre un échantillon d’opérations modifiées et annulées et analyser le processus.
G. Gestion des opérations en dehors des heures d’ouverture
Un horaire butoir a-t-il été défini en ce qui concerne l’activité
Existe-t-il une procédure formalisée en ce qui concerne le traitement des opérations conclues en dehors des heures
d’ouverture ?
Page 84

Risques :
=> Demander à consulter la procédure relative aux négociations en dehors des heures d’ouverture.
=> Identifier les opérations effectuées en dehors des heures d’ouverture et analyser de quelle manière elles ont été traitées.
H. Contrôle de la position
Le Back Office procède-t-il périodiquement rapprochement entre les positions du Front Office et du Back Office ? Sinon de
quelle manière les positions à vérifier sont-elles choisies ?
Les positions du Back Office et de la comptabilité sont-elles rapprochées périodiquement (au moins à chaque date d’arrêté
comptable) ?
Risques :
Risque de marché
=> Choisir certaines opérations et rapprocher les saisies / la récapitulation des saisies / les tickets d’opéré ou demander à
voir des rapprochements effectués par le Back Office.
=> Si le rapprochement est automatisé, analyser les états d’anomalies.
=> Vérifier que l’état contient toutes les positions à rapprocher.
=> Vérifier que toutes les positions du BO sont bien enregistrées dans le système comptable.
=> En cas de comptabilisation automatique, vérifier qu’il n’y a pas de suspens ou s’il y en a, qu’ils sont identifiés et
documentés.
I. Suspens
Existe-t-il une procédure spécifique pour liquider les suspens ?
Cette procédure est-elle correctement appliquée ?
Les anomalies sont-elles numérotées, enregistrées dans un registre interne et signalées à la direction ?
Les suspens sont-ils détectés et réglés ponctuellement ?
Une piste d’audit est-elle assurée lorsque le suspens implique la modification ou l’annulation d’une opération ?
Une analyse des suspens est-elle faite à l’attention de la direction : origine, conséquences financières ? Cet impact financier
est-il systématiquement affecté au desk responsable du suspens ?
Quelles actions correctives sont entreprises ? Sont-t elles approuvées par la direction ?
Risques :
=> Vérifier que le Back Office est au courant de tous les suspens et qu’il en assure le suivi : si les suspens sont mis dans un
fichier spécifique, demander à le consulter et procéder à un examen détaillé ; nombre des suspens, explications, temps
nécessaire à leur règlement…
=> Demander à consulter la procédure interne relative au règlement des suspens ou toute note d’information.
J. Processus de confirmation
Le Back Office est-il le seul service chargé de l’envoi et de la réception des confirmations ?
La réception ou l’envoi de confirmations par le Front Office est-il strictement interdit(e) ?
Le processus de confirmation est-il automatisé ? Dans l’affirmative, est-il suffisamment sécurisé (accès à SWIFT) ?
Les confirmations sont-elles envoyées à l’extérieur en temps opportun (un jour ouvrable au plus tard après la date
d’opération) ?
Les confirmations sont-elles vérifiées avant d’être envoyées ?
Ces confirmations sont-elles signées par des signataires dûment autorisés ?
Existe-t-il un suivi formalisé des confirmations non reçues ? ou non signées ?
Est-il procédé à un rapprochement formel entre les tickets d’opéré, les confirmations envoyées et les confirmations reçues de
contreparties et les saisies dans le système ?
Ce rapprochement est-il fait manuellement ou automatiquement ?
Les signatures apposées sur les confirmations sont-elles vérifiées ?
Page 85

Risques :
Risque opérationnel : relation clients et pratiques commerciales
=> Vérifier que toutes les confirmations sont directement envoyées par le Back Office et qu’elles sont conservées par ce
secteur.
=> Vérifier que le Front Office ne peut pas avoir accès au processus de génération des confirmations.
=> Vérifier que les confirmations ne peuvent être effectuées que par des personnes autorisées, et qu’il existe une piste de
connexion.
=> Prendre quelques confirmations et s’assurer qu’elles contiennent toutes les informations utiles relatives à l’opération et
qu’elles sont signées par des personnes autorisées.
=> Examiner les états récapitulatifs des confirmations pour identifier les opérations dont les confirmations sont en suspens
depuis quelques jours.
=> Vérifier si toutes les différences entre les confirmations envoyées par les contreparties et les états de la Banque sont
enregistrées dans un registre des anomalies.
=> Vérifier que toutes les irrégularités sont envoyées pour règlement à un cadre indépendant de la fonction.
=> Vérifier que tous les suspens nécessitant une action corrective sont rapidement identifiés, examinés et réglés en temps
opportun.
=> Analyser les états d’anomalies éventuels.
=> Demander à consulter le recueil des signatures autorisées des contreparties conservé par le BO et le comparer à
quelques confirmations.
K. Gestion de la trésorerie
Les mouvements sont-ils cumulés et enregistrés par date de valeur ? par devise ? par correspondant ?
La banque dispose-t-elle d’un système de gestion de la trésorerie fiable ?
La banque dispose-t-elle d’un outil fiable de gestion de prévisions des flux ?
La prévision de liquidité et les soldes comptables sont-ils rapprochés quotidiennement ?
Les opérateurs sont-ils informés des nouvelles prévisions de position ? Comment ?
Risques :
=> Prendre quelques comptes et analyser le processus de gestion de la trésorerie en liaison avec la fonction FO.
L. Analyse des réclamations
Existe-t-il une procédure formalisée pour traiter les réclamations des clients ?
Toutes les réclamations sont-elles consignées dans un registre ad hoc ? Ce registre est-il à jour ? est-il correctement tenu
(indique-t-il la nature de la réclamation, la date de règlement, la solution apportée …) ?
Ce registre est-il régulièrement soumis à l’audit interne ? Est-il visé par la direction de la banque ?
Les réclamations non réglées sont-elles soumises à la direction pour décision ? dans quel délai ?
Chaque réclamation de client est-elle étudiée d’un point de vue financier ?
Des pénalités de retard sont-elles systématiquement demandées et payées ?
La personne chargée d’étudier les réclamations est-elle différente de celle qui initie ou traite les opérations ?
Est-ce que les conversations téléphoniques sont enregistrées ?
Risques :
Risque opérationnel : pratiques commerciales et relation client
=> Analyser de quelle manière les réclamations est traitées par le BO. S’il existe un registre, l’examiner.
=> Vérifier que la fonction examen des réclamations est assurée par des personnes indépendantes (par des entretiens,
l’examen de l’organigramme).
=> Vérifier que les conversations sont enregistrées.
La gestion du A. Octroi des lignes de crédit
Page 86

risque de Objectifs et points de contrôles :
contrepartie
Est-ce que les lignes pour les opérations de marché font partie de la demande globale de lignes de risque pour la
contrepartie ?
Est-ce que les lignes de risque sont accordées par le Comité de Crédit ?
Est-ce que la direction commerciale est informée des lignes de risque pour les activités de marché sur les clients
accrédités ?
Risques :
Risque de crédit
=> Vérifier, par sondage, que les contrats cadres sont bien signé avant/pendant que la banque entre en transaction avec un
client.
=> Vérifier que les lignes sont bien accordées par le Département des Engagements.
=> Vérifier que le département commercial est bien informé des demandes de lignes pour les opérations de marché.
B. Système de gestion du risque de crédit
Existe-t-il un système de gestion du risque de crédit pour les opérations de marché ?
Est-il en temps réel ?
Couvre-t-il l’ensemble des produits ?
Risques :
Risque de crédit
=>Vérifier que l’ensemble des produits traités sont pris en compte par le système de gestion des risques de contrepartie,
notamment des produits comme les instruments à départ dans le futur.
C. Réévaluation
Dans le cas où le système n’est pas intégré, est-ce que les réévaluations des positions clients sont réalisées par un service
indépendant du Front Office ?
Si le système n’est pas intégré : est-il maîtrisé (qu’il soit développé en interne ou acheté à un fournisseur) ? Est-il sécurisé en
termes de droit d’accès, de sauvegarde et de backup ?
Est-ce que les paramètres de marché servant à la réévaluation pour le calcul du risque de contrepartie sont validés par un
service indépendant ?
Risques :
Risque opérationnel : fraude interne (vol et fraude)
Risque de crédit
=> Vérifier que les réévaluations sont faites par un service indépendant du Front Office. Il faut vérifier que le système de
gestion du risque de contrepartie est suffisamment sécurisé, il faudra veiller à vérifier que les paramètres de marché servant
au calcul des positions soient fournis par un service indépendant du Front Office.
=> Vérifier que les paramètres de marché sont validés par un département indépendant du Front Office.
D. Suivi du risque de crédit
Est-ce que les risques de contrepartie sont suivis par un service indépendant du Front Office ?
Est-ce que les positions sont suivies sur une base continue (temps réel) et contrôlées par un service indépendant du Front
Office ?
Est-ce que les dépassements de limites sont notifiés au responsable du desk avec copie au management ? ces notifications
de dépassement sont elles suivies ?
Risques :
Risque de Crédit
=> Vérifier qu’un département réellement indépendant contrôle le risque de contrepartie.
Page 87

=> Vérifier que pour chaque dépassement une notification est envoyée au responsable du desk avec copie à sa hiérarchie.
=> Vérifier que pour chaque dépassement, les actions correctrices ont été prises à partir des mails, des mémos etc.…
La gestion du A. Capacité légale des personnes
risque juridique
Est-ce que le trader possède la capacité d’engager sa banque sur des opérations de marché ?
Est-ce que le trader est habilité à traiter pour tous types d’opérations (Options, Swaps de taux etc.…) et de montants ?
Risques :
Risque opérationnel : risque juridique
Vérifier dans le dossier client la ou les personnes autorisées à traiter.
Vérifier que seuls les traders réguliers sont autorisés à traiter.
B. Contrats
Est-ce que les contrats sont signés avec les contreparties ?
Avant de traiter le premier deal, y a-t-il un suivi en cas d’absence de contrat signés ?
Est-ce que la personne qui a signé avait le pouvoir de le faire ?
Risques :
=> Vérifier que les contrats des transactions sont signés avant de réaliser la première transaction et que les signatures ont
été authentifiées.
C. Conversation téléphonique
Est-ce que le système d’enregistrement des conversations fonctionne correctement ?
Risques :
Risque commercial.
=> Vérifier le fonctionnement du système, vérifier également l’existence d’une procédure pour la conservation des
enregistrements.
La gestion de la A. Accès
sécurité physique
Est-ce que l’accès à la salle des marchés est réservé uniquement aux personnes autorisées ?
Risques :
Risque opérationnel : Fraude externes
=> Vérifier que les portes sont fermées et que l’accès est réservé au personnel du Front- Office.
B. Systèmes
Est-ce que les PC et autres systèmes de Dealing sont déconnectés en dehors des heures de travail ?
Est-ce que le système d’enregistrement des conversations fonctionne correctement
Risques :
=> Risque opérationnel : fraude interne
=> Risque juridique et commercial : Même si un enregistrement n’est pas une preuve forte, cet appareil aidera sur
d’éventuels litiges.
Page 88

=> Vérifier que les systèmes informatiques sont bien déconnectés en dehors des heures de travail.
=> Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la conservation des enregistrements.
C. Back up
Y a-t-il un système de backup au niveau de la salle des marchés ? Est-ce que ce système est opérationnel ?
Risques :
Risque de continuité d’activité.
=> Pour ce contrôle il faudra s’associer avec l’auditeur en charge de la fonction informatique.
§ 4 - Maîtrise du risque global du taux d’intérêt

Le risque global de taux d’intérêt pour une banque se définit comme étant le risque résultant de variations
des taux d’intérêt convenus au titre de l’ensemble des opérations reflétées au bilan et hors du bilan d’une
banque.
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre de :
 s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif, du passif et du
hors bilan de la banque, du fait d’une évolution défavorable des taux d’intérêt, sont correctement
mesurés et font l’objet d’une surveillance régulière et adéquate ;
 mettre en place une gestion actif/passif (ALM = Asset Liability Management) permettant
d’appréhender les positions et les flux certains et prévisibles résultant de ces opérations ainsi que
les différents facteurs de risques de taux d’intérêt global en découlant et d’évaluer l’impact des
facteurs significatifs sur les résultats et les fonds propres de la banque ;
 choisir des paramètres et des hypothèses pour l’évaluation du risque global de taux d’intérêt en
tenant compte du niveau d’activité de la banque sur les différents marchés ;
 réexaminer périodiquement ces hypothèses pour s’assurer de leur cohérence et de leur validité au
regard de l’évolution de la structure des activités exercées et des conditions du marché ;
 évaluer, à partir de scénarios catastrophes «stress test» revus périodiquement, les conséquences
des situations exceptionnelles sur les résultats et les fonds propres de la banque. Les résultats sont
communiqués à la direction générale qui en informera le conseil d’administration.
Le risque de taux est mesuré par référence :

 a son assiette, constituée généralement des actifs et des passifs stratifiés par duration et taux ;
 aux marges acquises antérieurement au titre de positions par nature de taux d’intérêt ;
 à la marge moyenne calculée en fonction du taux moyen sur la base d’une assiette moyenne de
l'actif et du passif ;
 à la sensibilité de la marge d'intérêt aux fluctuations des taux intérêt.
Page 89
En effet, la position structurelle de taux recèle des risques majeurs en cas de variation durable et
significative des taux d'intérêt. Pour une banque de dépôt, par exemple, le scénario catastrophe serait une
forte baisse des taux suivie d'une longue période de taux bas.

Le risque de taux ne résulte pas d’une tendance de ses facteurs fondamentaux ni d’une activité ou d’une
ligne de métier bien précise mais d’événements extraordinaires voire conjoncturels que la banque ne
contrôle pas.
Il se constitue alors un risque atypique, dont la maîtrise et l’appréhension, certes requises par les articles 35
à 37 de la circulaire BCT n°2006-19 du 28 novembre 2006, nécessitent la planification de missions d’audit
interne spécifiques et de portée générale pour s’assurer de :
 l’existence d’un système de mesure du risque global de taux permettant à la banque d’appréhender
les différents facteurs de ce risque ;
 L’existence d’un système de mesure du risque global de taux permettant à la banque d’évaluer
périodiquement l’impact de ce risque sur les fonds propres ;
 L’existence d’un système pour réaliser des simulations de scenarios des risques de taux d’intérêt en
cas de fortes variations des paramètres de marché ou de rupture des hypothèses retenues ;
 la validité et de la cohérence des paramètres et des hypothèses retenus pour l’évaluation du risque
global de taux d’intérêt ;
 L’existence de mécanismes de remontée des informations relatives aux résultats des mesures du
risque global de taux d’intérêt pour en assurer la communication au conseil d’administration
(fréquence, périodicité, contenu, feed-back,…).
Domaine : Risque de taux d’intérêt

réévaluation
Est-ce que la banque procède à des réévaluations de ses actifs tenant compte du risque de taux d’intérêt ?
des risques
Risques :
Risque de taux d’intérêt
=> Vérifier l’adéquation des réévaluations des actifs et des passifs à court et à long terme.
=> Vérifier l’adéquation des hypothèses de réévaluation des dépôts à vue.
=> Apprécier la vulnérabilité des bénéfices et du capital suite à des grands changements de taux d'intérêt, tels que les chocs de
taux et l'évolution graduelle des taux, (exemple, un changement de 200 points de base sur 12 mois).
=> S’enquérir sur la présence de produits dérivés de gré à gré, sur les futures et les SWAPS de taux d'intérêt, utilisé pour
rééquilibrer les disparités de réévaluation.
Base des Objectifs et points de contrôles :
risques
Est-ce que la banque utilise des indices de mesure référenciés pour l’estimation du risque de taux d’intérêt ?
Risques :
=> Vérifier si la banque recourt à l'utilisation de différents indices de prix pour les actifs et les passifs (exemple, le premier, CMT,
Libor,) qui peuvent changer à des moments différents ou dans des proportions différentes.
Page 90

=> Estimer l'impact des changements sur les flux de trésorerie et les corrélations entre réévaluation des instruments de
couverture et les positions couvertes.
Courbe des Objectifs et points de contrôles :
taux
Est-ce que la banque se réfère à une courbe des taux pour mesurer l’exposition de ses positions bilancielles et hors bilan ?
Risques :
=> Estimer l'exposition des positions de bilan et de hors-bilan aux variations du niveau absolu de la courbe de rendement des
taux d’intérêts et de sa forme (exemple, l'élévation du niveau, aplatissement de la pente jusqu’au niveau de la pente raide,
inversion de la courbe, et les torsions).
Options sur les Objectifs et points de contrôles :
actifs
Est-ce que la banque prend en compte pour l’estimation du risque de taux l’impact des options liées à la nature des crédits
bancaires ?
Risques :
=> Estimer l’impact des options écrites intégrées dans les crédits sur le niveau du risque de taux d’intérêt (exemple :
remboursements anticipés de prêts et des prêts hypothécaires, le plafonnement des taux d'intérêt, limitation des planchers pour
les prêts à taux variable, et les titres remboursables par anticipation).
Faire l’inventaire des contrats d'Options en bourse et de gré à gré.
Facteurs Objectifs et points de contrôles :
stratégiques
Est-ce que la stratégie commerciale de la banque est capable de gérer et de s’adapter aux fluctuations des taux d’intérêt ?
Risques :
=> Apprécier la capacité de la stratégie de financement de la banque à tolérer les variations défavorables des taux d'intérêt.
=> Apprécier l'impact des choix stratégiques de la banque sur le risque de taux d'intérêt (exemple : adopter de nouvelles activités
commerciales, spéculer sur le sens et la volatilité des taux d'intérêt, investir dans le soutien des nouvelles technologies).
Facteurs Objectifs et points de contrôles :
externes
Est-ce que la banque est capable de gérer les phénomènes externes susceptibles d’impacter de manière significative le risque
de taux d’intérêt ?
Risques :
=> Apprécier la capacité de la banque à résister aux changements des taux d'intérêt provoqués par des facteurs externes (la
conjoncture économique, les modifications législatives et réglementaires, la physionomie du marché, les changements
technologiques, la concurrence et les conditions du marché).
Politique de Objectifs et points de contrôles :
gestion du
Est-ce que la politique de gestion du risque de taux est en adéquation avec les orientations de la direction générale ?
risque de taux
Est-ce que la politique de gestion du risque de taux a été autorisée par le conseil d’administration ?
Risques :
Risque opérationnel : activités ou transactions non autorisées
=> Vérifier la politique de gestion du risque de taux d’intérêt avec l’orientation stratégique et les limites de tolérance de la
banque.
=> Vérifier l'adéquation des lignes directrices établissant les limites de risque ou des positions, y compris les exigences de
réévaluation périodiques.
Page 91

=> S’assurer de l'approbation de la politique de gestion du risque de taux d'intérêt par le conseil d’administration
Pour valider le modèle de gestion du risque global de taux d’intérêt retenu par la banque, s’assurer qu’il est adossé à des
normes adéquates et valides.
Processus de Objectifs et points de contrôles :
gestion du
Est-ce que les processus de gestion du taux d’intérêt sont flexibles et cohérents avec la politique de la direction générale ?
risque de taux
Risques :
=> Apprécier les processus de communication de la direction générale sur le risque de taux.
=> Apprécier la capacité des processus de communication en place à produire des informations de gestion exactes, complètes
et pertinentes.
=> Vérifier la capacité des systèmes de mesure du risque de taux à appréhender les risques inhérents liés aux positions de bilan
et de hors bilan.
=> S’assurer que les hypothèses retenues sont clairement définies et raisonnables.
=> Vérifier le caractère adéquat des contrôles internes en matière de risque de taux (la séparation des tâches, double contrôle,
l'autorité en rapport avec les tâches, etc.…).
=> Apprécier le caractère suffisant des « stress tests » périodiques ainsi que l'utilisation de scénarios pouvant réduire ou éliminer
les profits, ainsi que la capacité des tests à évaluer avec précision l'effet des conditions liées aux nouveaux projets.
=> Faire une synthèse, en fonction de la compréhension de l’auditeur, sur la vulnérabilité les limites ou les faiblesses des outils
de mesure du risque de taux.
=> Apprécier les processus d’évaluation de l'impact des taux de change sur les revenus de la banque.
=> Vérifier la flexibilité des systèmes de mesure du risque de taux face aux conditions défavorables en temps opportun.
Ressources Objectifs et points de contrôles :
humaines
Est-ce que la banque dispose d’un personnel qualifié pour la gestion du risque de taux ?
Risques :
Risque opérationnel : ressources humaines et sécurité de travail
Risque de taux
=> Apprécier le degré de l'expertise technique et managériale du personnel chargé de l’évaluation du risque global du taux
d’intérêt.
=> Vérifier la politique de management, de formation et des seuils de rémunération du personnel chargé de l’évaluation du risque
global du taux d’intérêt.
=> Faire une synthèse sur l'adéquation des réponses de la direction générale quant aux lacunes identifiées par le système de
gestion du risque de taux.
=> Apprécier la capacité des dirigeants à développer et à mettre en place de nouveaux produits, services et systèmes en
réponse à l'évolution de l’activité de la banque, de l'économie nationale, et les banques concurrentes.
=> Apprécier le degré de compréhension et d'adhésion du personnel à l'orientation stratégique de la banque et de la l’appétence
aux risques tel que définie et arrêtée par la direction générale et le conseil d’administration.
contrôle interne
Est-ce que la banque dispose d’un système de contrôle interne capable d’appréhender et de suivre le risque de taux d’intérêt
avec la célérité et l’efficacité requise ?
Risques :
=> Vérifier la rapidité, l'exactitude, l'exhaustivité et la pertinence des systèmes d'information de gestion liés à la surveillance du
risque de taux.
=> Vérifier la portée, la fréquence, l'efficacité et l'indépendance des mécanismes d'examen du risque de taux.
=> Vérifier l'efficacité des systèmes de contrôle interne visant l’identification et la prévention des carences du contrôle interne
liées au risque de taux.
Page 92
§ 5 - Maîtrise du risque opérationnel

Le comité de Bâle définit le risque opérationnel comme « le risque de pertes provenant de processus
internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes ».
Cette définition recouvre les erreurs humaines, les fraudes et malversations, les défaillances des systèmes
d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies,
inondations, etc.… En fait, son champ d'application semble tellement large qu'on n'en perçoit pas le
périmètre.
De plus, la notion de risque opérationnel apparaît en première analyse, peu novatrice, dans la mesure où les
banques n'ont pas attendu le comité de Bâle pour organiser leurs activités sous forme de procédures, et
pour se doter de départements d'audit interne chargés de vérifier la bonne application de ces procédures.
Ainsi, il est admis que le risque opérationnel est la conséquence de tout fait ou tout événement :
 qui perturbe le déroulement normal des processus par métier ;
 qui génère des pertes financières ou une dégradation de l'image de la banque.
Parmi les risques croissants qui menacent les banques, on peut citer les exemples suivants :
 L’automatisation accrue des techniques, si elle n’est pas bien maîtrisée, elle peut transformer les
risques d’erreurs humaines (traitement manuel) en risques de pannes des systèmes, à mesure que
l’on recourt davantage à des systèmes automatisés et intégrés ;
 Le développement du commerce électronique entraîne des risques potentiels (problèmes de fraude
interne et externe et de sécurité des systèmes) ;
 Les acquisitions, fusions, regroupements et annulations de fusions mettent à rude épreuve la
viabilité des systèmes nouveaux ou nouvellement intégrés ;
 L’apparition de banques offrant des services nombreux pour des montants importants oblige à
entretenir en permanence des contrôles internes et des systèmes de secours de haut niveau ;
 Les techniques d’atténuation du risque (par exemple, sûretés, dérivés de crédit, accords de
compensation et titrisation) utilisées par les banques afin d’optimiser leur exposition aux risques de
marché et de crédit peuvent engendrer d’autres formes de risques (par exemple, juridique).
Les incidents (Cf. Fig.12 & Fig.13) de nature opérationnelle, selon le comité de Bâle, susceptibles d’occasionner
des pertes, regroupent :
 Fraude interne : par exemple, informations inexactes sur les positions, vol commis par un employé
et délit d’initié d’un employé opérant pour son propre compte.
 Fraude externe : par exemple, hold-up, faux en écriture, chèques et effets de cavalerie et
dommages dus au piratage informatique.
Page 93
 Pratiques en matière d’emploi et sécurité sur le lieu de travail : exemple, demandes

d’indemnisation de travailleurs, violation des règles de santé et de sécurité des employés, activités
syndicales, plaintes pour discrimination entre le personnel et responsabilité civile en général.
 Pratiques concernant les clients, les produits et l’activité commerciale : exemple, violation de
l’obligation fiduciaire, utilisation frauduleuse d’informations confidentielles sur la clientèle, opérations
boursières frauduleuses pour le compte de la banque, blanchiment d’argent et vente de produits non
autorisés.
 Dommages aux biens physiques : exemple, actes de terrorisme, vandalisme, séismes, incendies
et inondations.
 Interruption d’activité et pannes de systèmes : exemple, pannes de matériel et de logiciel
informatiques, problèmes de télécommunications et pannes d’électricité.
 Exécution des opérations, livraisons et processus : exemple, erreur d’enregistrement des
données, défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur
d’accès aux comptes de la clientèle et défaillances des fournisseurs ou conflits avec eux.
Niveau I Niveau II Niveau III
Unités
organisationnelles
Acteurs
Instances et
comités
cause
interne Logiciels
informatiques
SI
Moyens
d’exploitation
Client
Tiers
Cause
Fournisseurs / Prestataires
externe
Partenaires
Autres
(Fig.12)
Page 94
(Fig.13)
Les travaux du comité de Bâle ont défini une segmentation des risques en 8 lignes métiers et 7 catégories
d’événements qui permettent de constituer une matrice à 56 cases représentatives de l’ensemble des
activités bancaires et des risques associés.
Niveau 1 Définition Niveau 2 Exemples

Fraude interne Pertes dues à des actions visant à frauder, à détourner des Activité non autorisée -Transactions non notifiées
biens ou à contourner les règlements, la législation ou la (intentionnellement)
politique de la banque (à l’exception des atteintes à l’égalité et -Transactions de type non autorisé (avec
des actes de discrimination visés ci-après), impliquant au perte financière)
moins une partie interne à la Banque -Évaluation (intentionnellement) inexacte
d’une position
Page 95
Vol et fraude -Fraude

-Détournement de fonds
-Détournement d’actifs
-Destruction malveillante d’actifs
-Contrefaçon de documents
-Falsification de chèques
-Trafic de devises
-Fraude/évasion fiscale (délibérée)
-Corruption/commissions occultes
-Délit d’initié (dans l’intérêt d’un
particulier)
Fraude externe Pertes dues à des actions visant à frauder, à détourner des Vol et fraude -Vol qualifié
biens ou à contourner la législation, de la part d’une partie -Contrefaçon de documents
extérieure à la banque -Falsification de chèques
Sécurité des systèmes -Dommages dus au piratage informatique
-Vol d’informations (avec perte financière)
Pratiques en matière Pertes résultant d’actions non conformes à la législation ou Relations de travail -Questions liées aux rémunérations et
d’emploi et sécurité sur le aux conventions relatives à l’emploi, la santé ou la sécurité, de aux avantages, à la résiliation du
lieu de travail demandes d’indemnisation au titre d’un dommage personnel contrat de travail
ou d’atteintes à l’égalité des droits/d’actes de discrimination -Activité syndicale
Sécurité du lieu de -Responsabilité civile (chute, etc.)

travail -Événements liés à la réglementation sur
la santé et la sécurité du personnel
-Indemnisation du personnel
Égalité des droits et -Tous types de discrimination
discrimination
Clients, produits et Pertes résultant d’un manquement (non intentionnel ou dû à la Conformité, devoir -Non-respect des procédures établies
pratiques commerciales négligence) à une obligation professionnelle (y compris d’information et devoir -Violation du devoir de confidentialité
exigences en matière de fiducie et de conformité) envers un fiduciaire -Atteinte à la vie privée
ou des clients déterminés ou résultant de la nature ou de la -Pratiques de vente agressives
conception d’un produit -Opérations fictives
-Utilisation abusive d’informations
confidentielles
Pratiques -Pratiques incorrectes

commerciales/de -Manipulation du marché
marché incorrectes -Délit d’initié (au nom d’une entreprise)
-Activité non conforme à l’agrément
-Blanchiment d’argent
Défauts d’un produit -Vices de conception ou non-respect des

contraintes administratives ou
commerciales (absence d’autorisation,
etc.)
-Erreurs de modélisation
Sélection, promotion -Insuffisance de l’analyse clientèle

et exposition au risque -Dépassement des limites d’exposition
envers un client
Dommages aux actifs Destruction ou dommages résultant d’une catastrophe Catastrophes et -Pertes résultant d’une catastrophe
corporels naturelle ou d’autres sinistres autres sinistres naturelle
-Pertes humaines dues à des causes
externes (terrorisme, vandalisme)
Interruptions d’activité et Pertes résultant d’interruptions de l’activité ou de Systèmes -Matériel

dysfonctionnements des dysfonctionnements des systèmes -Logiciel
systèmes -Télécommunications
-Interruptions/perturbations d’un service
public/collectif
Exécution, livraison et Pertes résultant d’un suspens sur transaction ou d’un Saisie, exécution et -Difficultés de communication
gestion des processus problème dans la gestion des processus ou pertes subies suivi des transactions -Erreurs dans la saisie, le suivi ou le
dans le cadre des relations avec les contreparties chargement
commerciales et les fournisseurs -Non-respect de délais ou d’obligations
-Erreurs de manipulation du
modèle/système
-Erreurs comptables/d’affectation d’un
élément
-Autres erreurs d’exécution
-Fautes dans la gestion des sûretés
Page 96
Surveillance et -Manquement aux obligations

information financière d’information financière
-Inexactitudes dans les rapports externes
(entraînant des pertes)
Acceptation et -Absence d’autorisation par le client ou

documentation absence de déni de responsabilité
clientèle -Pièces justificatives
absentes/incomplètes
Gestion des comptes -Accès non autorisé aux comptes

clients -Données clients incorrectes (entraînant
des pertes)
-Actifs clients perdus ou endommagés
par négligence
Contreparties -Prestations inadéquates d’une

commerciales contrepartie professionnelle
-Litiges divers avec une contrepartie
professionnelle
Exécution, livraison et Pertes résultant d’un suspens sur transaction ou d’un Saisie, exécution et -Difficultés de communication
gestion des processus problème dans la gestion des processus ou pertes subies suivi des transactions -Erreurs dans la saisie, le suivi ou le
dans le cadre des relations avec les contreparties chargement
commerciales et les fournisseurs -Non-respect de délais ou d’obligations
-Erreurs de manipulation du
modèle/système
-Erreurs comptables/d’affectation d’un
élément
-Autres erreurs d’exécution
-Fautes dans la gestion des sûretés
(Fig.14)
Source : Comité de Bâle sur le contrôle bancaire (BRI)
Les systèmes et procédures mis en place pour assurer la maîtrise des risques opérationnels devront
permettre de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances, de
quelque ordre que ce soit, sont identifiés et qu’ils font l’objet de mesures susceptibles de limiter leur
survenance et leur impact sur le fonctionnement global de la banque (Cf. Fig.15).
Pertes de PNB Montant à gagner

Conséquences
financière directe Montant des dommages / Surcoûts
Autres pertes directes
de facturation / …
Satisfaction Client Nombre de client Impactés
Civil
Pénal
Assignation Dommages / Frais juridiques
Prudhomme
Autres
CMF
Conséquences
Réglementair BCT
qualitatives
Sanctions & Pénalités
e et assimilé
Administration fiscale
Autres
Incidence de continuité
Santé et sécurité
Sanctions & Pénalités
Climat social
Image / Réputation
(Fig.15)
Page 97
Certaines banques ont eu l'idée de constituer une base de données interne incluant tous les événements de
pertes occasionnées dans le cadre de l'exercice de leurs activités. Ces événements doivent, néanmoins,
être identifiés de manière exhaustive par l'inspection générale, l'audit interne ainsi que par les préposés au
reporting en interne41.
Cartographie des risques opérationnels :

La première étape de la démarche de suivi du risque opérationnel consiste à établir une cartographie des
risques. Cette cartographie est une matrice basée sur une analyse des processus métier combiné avec la
typologie des risques opérationnels.
Un processus métier désigne un ensemble de tâches successives en vue de fournir un produit ou un service
à la clientèle. La définition des processus métier répond en premier lieu à un découpage économique de
l'activité de la banque, et non à un découpage organisationnel.
L'identification des processus métier commence par le recensement des différents produits et services ainsi
que des acteurs y impliqués et de leurs tâches respectives.
A chaque étape du processus on associe les incidents susceptibles d'en perturber le fonctionnement.
Chaque événements de risque est évalué en termes de :
Probabilité d'occurrence (fréquence de survenance)
Perte encourue en cas de survenance (impact)
A chaque événement à l’origine d’une perte est associé une catégorie de risques (Cf. Fig.14) rendant l'analyse
des données plus facile et plus rapide. Pour être réaliste et utile, l'analyse des processus métier et des
risques encourus doit être confiée aux opérationnels concernés.
La cartographie est ensuite complétée par l'identification des facteurs de risque : « Key Risk Indicators » qui
sont les éléments quantitatifs susceptibles de mesurer la probabilité de survenance d'un risque (nombre
d'opérations traitées, taux d'absentéisme, etc.…). Cette notion constitue le fondement de la méthode dite :
« Score Card ».
L'identification a priori des risques aboutit à une cartographie conceptuelle des activités dont seul l’examen
sur le terrain, permet de valider la description et l'identification des zones d'activité sensibles, en amant, pour
mettre en place les contrôles adéquats en aval. L’étape suivante est la collecte des incidents constatés dans
une base historique, permettant d'évaluer les pertes réellement subies suite aux risques opérationnels (Loss
Data).
41 Le système de collecte et de reporting sur les incidents opérationnels constitue une partie intégrante des procédures
de gestion du risque opérationnel
Page 98
La collecte des incidents opérationnels s'effectue généralement sous forme déclarative. Les opérationnels
remplissent des fiches standardisées qui sont ensuite saisies dans une base de données. On peut
également prévoir, pour les incidents de type panne informatique, une collecte automatique ou semi-
automatique (rapport d’incident sur les valeurs des pertes encourues).
Ces bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'informations
pour la gestion des risques opérationnels. Ces bases de données offrent une vision objective, chiffrée, des
risques encourus.
La collecte des événements de perte s'appuie sur la cartographie précédemment établie pour le
recensement et le référencement des incidents. Cette collecte permet par ailleurs, par un effet rétroactif, de
parfaire cette cartographie.
L'exploitation statistique des données de pertes ainsi recensées permet d'obtenir un graphique (Cf. Fig.16) des
événements de pertes où s'échelonnent, d'une extrémité à l'autre, les événements fréquents ayant un
impact financier faible, jusqu'aux événements rarissimes aux conséquences catastrophiques.
(Fig.16)
Les aires de la matrice composant la cartographie des risques sont :

i. L’aire des risques négligeables ;
ii. L’aire des risques récurrents ;
iii. L’aire des risques majeurs ;
iv. L’aire des risques insupportables.
Composants de l’évaluation :
Cette exposition est évaluée par une cotation des risques, en fréquence et en impact, basée sur le niveau de
perte potentielle :
Page 99
Echelle de sinistralité Très

Faible Modéré Significatif
Echelle de fréquence significatif
Rarement Faible Faible Modéré Majeur
Occasionnel Faible Modéré Modéré Majeur
Fréquent Modéré Modéré Majeur Majeur
Très fréquent Majeur Majeur Majeur Majeur
Réalité
Défaillant Peu efficace Efficace
Pertinence
Défaillant Défaillant A améliorer Bon
A améliorer Défaillant A améliorer Bon
Bon Défaillant A améliorer Excellent
L’aire des risques récurrents, ou attendu (fréquence élevée, faible impact unitaire) : est évalué, en
tenant compte du niveau des contrôles permanents, par le montant des pertes récurrentes attendues à
horizon d’un an et/ou par le niveau de nuisance des impacts non financiers (risque d’image, risque
réglementaire, sanctions pénales). Exemples : risque d’erreurs de bourse, risque de fraude à la carte
bancaire, intérêts de retard pour paiements tardifs42.
L’aire des risques majeurs (fréquence faible, impact élevé) : est évalué, en cas de défaillance grave des
contrôles permanents ou d’événement(s) externe(s) exceptionnel(s), par le montant de la perte potentielle
maximale et/ou par l’importance de l’impact non financier, dont la fréquence varie d’une fois par an à une
fois tous les dix ans. (Exemples : dissimulations de position, départ de personne clé, pannes informatiques
sérieuses, amendes réglementaires majeures…).
Illustration chiffrée d’une cartographie des risques opérationnels :

Risque adminstratif Risque système Risque juridique Risque ressources Risque commercial,
Risque comptable
et de traitement d'information et fiscale humaines clients produits
Gravité 502 319 171 359 3 242
Fréquence 0,8 0,5 1,0 0,4 0,6 0,7
Evaluation 274,056 157,789 170,500 141,717 1,508 90,444
42 « Sound practices for the management and supervision of operational Risk » (février 2003) - Risk Management :
Identification, Assessment, Monitoring and Mitigation/ Control
Page 100
La cartographie fournit, processus par processus, l’exposition aux risques opérationnels pour chaque
catégorie de risque de la typologie Bâle II, et permet ainsi au management de l’entité de connaître ses
principales zones de vulnérabilité et d’appliquer une gestion par nature de risque.
La cartographie des risques est une composante du Tableau de Bord Risques (TBR) de la banque, destiné
au management. Elle lui permet de décider des actions à mener pour gérer ces risques : assumer, éviter,
prévenir (réduire la fréquence), atténuer (réduire l’impact) ou transférer (couverture par des assurances).
La cartographie des risques opérationnels a pour objectifs de :

 Identifier les risques opérationnels par métiers, domaines, ou processus, selon deux natures :
 Les risques à fréquence importante et à faible impact (risques récurrents ou attendus « Expected
Losses »)
 Les risques rares à fort impact (risques majeurs « Unexpected Losses »)
 Evaluer et hiérarchiser périodiquement les risques opérationnels portés par les processus au sein
des métiers, selon une approche structurée et formalisée, s’appuyant sur une méthodologie et des
nomenclatures communes à l’ensemble de la banque ;
 Etablir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles, lesquels
seront à surveiller à l’aide d’indicateurs des risques clés « Key Risk Indicators » (à définir par
chaque direction) ;
 Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques ;
 Satisfaire aux critères qualitatifs d’éligibilité édictés par Bâle II, pour être autorisé à appliquer les
méthodes avancées de calcul des fonds propres économiques.

L’audit interne a un rôle important dans la maitrise du risque opérationnel à travers trois axes :
 en intervenant en amont dans la phase de conception et d’identification des risques et des incidents
opérationnels susceptibles d’alimenter la cartographie, néanmoins la gestion de la cartographie par
analogie de doit pas être parmi les prérogatives de l’audit ;
 en intervenant en aval en alimentant la cartographie des risques par les anomalies détectées dans le
cadre de missions de contrôle périodique ;
 en exerçant un contrôle périodique sur le fonctionnement et la permanence des processus de
gestion du risque opérationnel au niveau de la banque et en procédant à des appréciations sur la
validité des mesures en fonction des choix de la banque.
En retenant comme base de travail la typologie des risques opérationnels définis par le comité de Bâle on
remarque une tendance à la concentration des incidents opérationnels au niveau de quatre domaines
d’activités :
i. Le domaine lié aux traitements comptables (exécution livraison et gestion des processus)
ii. Le domaine lié à la gestion des ressources humaines (RH et sécurité de travail)
iii. Le domaine lié au système d’information (dysfonctionnement des systèmes)
iv. Le domaine des opérations à l’agence (fraude interne, fraude externe, négligences des règles clients)
Page 101
a)- Domaine des traitements comptables :

Les objectifs de cet audit sont les suivants :
 S’assurer de la fiabilité de l’information financière et de sa conformité aux lois et normes en vigueur.
On entend par information financière à la fois les comptes sociaux individuels, consolidés, le tableau
de détermination du résultat fiscal ainsi que les états de reporting réglementaires ;
 Apprécier la fiabilité du système d’information comptable ;
 Identifier les dysfonctionnements éventuels du dispositif de contrôle interne ;
 Porter une appréciation sur les résultats et la rentabilité de la direction comptable ;
 S’assurer de la connaissance et du respect des règles de déontologie.
La mission a pour objectif d’apprécier comment sont couverts les risques opérationnels liés à la fonction
comptable. Parmi les familles de risques recensées, on citera notamment les risques de non exhaustivité, de
non qualité, de non fiabilité de l’information comptable, des comptes et des états financiers, de l’information
financière consolidée, réglementaire et fiscale.
L’audit de la fonction comptable devra mesurer le niveau des risques, leur évolution, et l’avancement des
plans d’actions correcteurs.
Domaine : Risque opérationnel / Sous catégorie : Traitements comptables

Structure et D. Organisation et rattachement hiérarchique :
organisation
générale
L’organisation de la fonction comptable de la banque permet-elle de satisfaire les contraintes ou les besoins de la banque et
d’assurer la remontée des informations nécessaires à la production des comptes ?
Le rattachement hiérarchique de la direction de la comptabilité est-il conforme à son rôle et à l’indépendance nécessaire à la
fonction ?
Existe-t-il une définition des missions et des responsabilités de la direction de la comptabilité ainsi que des règles de
fonctionnement qui lui sont applicables ?
Les missions de la direction de la comptabilité ont-elles été déclinées au niveau de chaque collaborateur par l’intermédiaire
d’une définition de fonction signée par le responsable hiérarchique et les collaborateurs ?
Risques :
Risque opérationnel de non exhaustivité, de non qualité et de non fiabilité de l’information comptable.
=> Obtenir l’organigramme de la banque et analyser le positionnement hiérarchique de la direction de la comptabilité et le
pouvoir décisionnel de son responsable. La norme prévoit que le responsable de la comptabilité soit rattaché au directeur
général de la banque ou au directeur financier.
=> Vérifier que les missions et les responsabilités ainsi que les champs d’intervention de la direction de la comptabilité ont
été définis par une structure hiérarchique compétente (direction générale ou comité exécutif).
=> Vérifier que la direction de la comptabilité est en charge des missions suivantes :
- la production des reportings et des états réglementaires ;
- le contrôle et la justification des comptes ;
- la mise à jour du plan de comptes de la banque ;
- la validation du paramétrage des états financiers eu égard à la comptabilité ;
- la rédaction des procédures comptables conformément aux lois et règlements en vigueur.
E. Ressources humaines et moyens
La direction de la comptabilité dispose-t-elle des ressources humaines adaptées à ses missions ?
La formation des collaborateurs de la direction de la comptabilité est-elle suffisante et adaptée à ses besoins ?
La direction de la comptabilité dispose elle d’une documentation suffisante et mise à jour ?
Page 102

Risques :
Risque opérationnel : non exhaustivité, non qualité et non fiabilité de l’information comptable
=>S’assurer de l’adéquation qualitative et quantitative des ressources avec la charge de travail : nombre de personnes,
qualification et niveau de compétence du personnel. Pour cela, vérifier : les dossiers du personnel, les évaluations annuelles,
les plans de formation des trois dernières années, les mouvements et la rotation du personnel.
F. Système d’information
Le service comptable dispose-t-il des outils adaptés à l’exercice de ses missions ?
Risques :
=> S’entretenir avec le responsable de la comptabilité sur le système d’information utilisé.
=> Repérer les zones de fragilité du système : délai et qualité des reportings, nature et nombre d’écritures comptables
saisies manuellement par le service comptable, mauvaise qualité (ou absence) de l’interface entre les différents sous-
systèmes, accès du système informatique aux mois et aux exercices précédents (faire attention aux écritures manuelles
rétroactives).
G. Normes et procédures comptables
Existe-t-il des normes et procédures comptables adaptées au fonctionnement de la direction de la comptabilité ? Sont-elles
mises à jour en fonction des évolutions de la réglementation ? Sont-elles connues par les membres du personnel et
accessibles à tous ?
Risques :
=> Vérifier que les procédures comptables de la banque sont produites et validées par La direction de la comptabilité et
incluent principalement :
- le plan de comptes ;
- les modalités d’enregistrement, de traitement et de restitution des informations ;
- l’exhaustivité des schémas comptables utilisés ;
- la périodicité et la nature des contrôles mis en œuvre ;
- la fixation du calendrier d’arrêté des états financiers ;
- le respect des principes comptables en vigueur et de la réglementation.
H. Définition des responsabilités de saisie et de contrôle des comptes
Les responsabilités de saisie et de contrôle des comptes ont elles été définies pour l’ensemble des comptes ?
Risques :
En règle générale, les saisies comptables sont décentralisées dans les différents départements de la banque (Back Offices,
Ressources Humaines, Moyens Généraux, etc.…). Il convient de vérifier que le service comptable a réparti les comptes par
département, a édité une « balance par service gestionnaire » à justifiée par chaque département concerné, a établi une
fiche de fonctionnement documentée par compte (schémas comptables), a listé les contrôles de premier niveau qui
comprennent principalement :
- le pointage des opérations passées en compte ;
- la régularisation des écritures ;
- la justification des soldes comptables et le rapprochement du solde comptable avec les documents internes (détail des
écritures composant le solde comptable).
I. Archivage des données comptables
Page 103

Le service comptable a-t-il mis en place une procédure d’archivage des documents comptables selon les normes en
vigueur ?
Risques :
Risque fiscal
=> Vérifier l’existence d’une procédure d’archivage et sa conformité aux normes en vigueur
Séparation des A. Respect du principe de séparation des fonctions
fonctions
La banque respecte-t-elle le principe de séparation des fonctions entre la production, le contrôle et l’analyse ?
Risques :
Risque opérationnel : fraude interne (activités et transactions non autorisées)
=> S’assurer du respect du principe de séparation des fonctions au sein du service comptable (stricte séparation entre la
saisie, la validation informatique et le contrôle des comptes).
=> S’assurer du respect de ce principe dans tous les services en charge des saisies comptables
B. Accès à la saisie des écritures et les habilitations
L’accès au logiciel comptable est-il contrôlé (seul un nombre restreint d’opérateurs a accès au logiciel comptable)
généralement le personnel des Back Offices et de la comptabilité ? les habilitations accordées à ces personnes sont elles
limitées à leurs besoins ?
Risques :
Risque opérationnel : fraude interne (activités et transactions non autorisées)
=> Vérifier que les profils utilisateurs des collaborateurs correspondent aux besoins de leurs postes.
=> S’assurer que les accès à l’interface de forçage des saisies (permettant de mouvementer n’importe quel compte) sont
strictement limités au personnel de la direction de la comptabilité
Les contrôles A. Contrôles de deuxième niveau
exercés par la
direction de la Objectifs et points de contrôles :
comptabilité
Est-ce que la direction de la comptabilité effectue un contrôle sur les comptabilités décentralisées dans les BO ?
Risques :
Risque opérationnel de fraude et de non fiabilité de l’information comptable
S’assurer que le contrôle de deuxième niveau effectué par la comptabilité comprend les points de contrôle suivants :
=> vérification mensuelle des justifications des comptes ;
=> contrôle de la piste d’audit par sondage en allant du solde de la balance générale jusqu’à l’écriture d’origine ;
=> mise sous surveillance de certains comptes à risque (comptes d’attente, comptes pivots, comptes NOSTRI) ;
=> suivi et analyse de la régularisation des suspens comptables.
Ces contrôles doivent être matérialisés, conservés dans un dossier (classé par nature de compte, par type d’opération, par
devise...) et disponibles pour les besoins de vérification par les commissaires aux comptes.
B. Interfaces entre les systèmes d’information et la comptabilité générale
La Direction de la comptabilité vérifie-t-elle régulièrement les interfaces entre les systèmes opérationnels (extracomptable) et
la comptabilité générale ?
Risques :
Risque opérationnel de fraude et de non fiabilité de l’information comptable
Page 104

Vérifier que la direction de la comptabilité :
=> effectue périodiquement (par exemple tous les mois) un contrôle sur les interfaces entre les systèmes opérationnels
(applications périphériques43) et la comptabilité générale ;
=> identifie et analyse les écarts éventuels, et s’assure que les corrections adéquates on été apportées par les Back Offices.
C. Opérations saisies par la comptabilité
Le responsable de la comptabilité a-t-il mis en place une procédure de suivi et de contrôle des opérations saisies par l’équipe
de la direction de la comptabilité ?
Risques :
=> Recenser les opérations saisies et comptabilisées.
=> Etudier le processus de comptabilisation de ces opérations (qui définit le schéma de comptabilisation, qui effectue la
saisie, qui valide la saisie et quels sont les contrôles de deuxième niveau exercés).
D. Ouverture, clôture et modification des comptes
La direction de la comptabilité a-t-elle la responsabilité de la gestion du plan des comptes de la banque (ouverture, clôture et
modification) ?
Risques :
Risque opérationnel : fraude interne,
=> Vérifier que la direction de la comptabilité suit rigoureusement son plan des comptes en s’assurant qu’elle est :
- la seule habilitée à procéder à l’ouverture, à la clôture et à la modification des comptes internes ;
- la seule habilitée à élaborer une procédure à l’usage de la direction pour l’ouverture, la clôture et la modification des
comptes ;
- la seule habilitée à éditer régulièrement le plan de comptes et à vérifier formellement toutes les modifications intervenues ;
- la seule capable d’identifier de suivre et de clôturer les comptes dormants.
E. Rapprochement comptabilité et contrôle de gestion
Est-ce que la direction de la comptabilité procède en concertation avec la direction du contrôle de gestion aux
rapprochements entre les états financiers et les états de gestion (extra comptables) ?
Risques :
Risque opérationnel : risque comptable de non fiabilité des comptes et des états financiers
=> Vérifier la fréquence des rapprochements entre les informations comptables et les informations de gestion.
=> Obtenir les derniers états de rapprochement et s’assurer que les écarts sont identifiés et analysés.
Les outils de A. Contrôle des comptes
pilotage
Le responsable de la comptabilité dispose-t-il d’indicateurs ou de tableaux de bord permettant de recenser et de quantifier
les suspens sur une liste déterminée de comptes sensibles (NOSTRI, débiteurs et créditeurs divers, etc.…) ? Le responsable
de la comptabilité utilise-t-il ces tableaux de bord ? En particulier, analyse t-il l’ancienneté des suspens ?
Le responsable de la comptabilité s’assure-t-il que ses collaborateurs analysent correctement les écritures anciennes non
régularisées (demandes de justifications complémentaires, relances des services concernés) ?
Le responsable de la comptabilité (en liaison avec le directeur financier) analyse-t-il les variations des différents postes du
bilan, du hors bilan et du compte de résultat ?
43 Les applications périphériques englobent pour les banques qui ne disposent pas d’un système du type global
bancaire les application gérant les opérations à l’agence, la monétique, le SBE, etc.
Page 105

Risques :
Risque opérationnel : fraude interne, risque comptable de non fiabilité des comptes.
=> Examiner quelques tableaux de bord récents élaborés par le responsable de la comptabilité sur le suivi des comptes
sensibles.
=> Vérifier la fréquence de ces tableaux de bord.
=> Vérifier leur exhaustivité (s’assurer de la présence des comptes les plus sensibles).
=> Apprécier la pertinence des informations qui y figurent (ancienneté).
=> Vérifier la matérialisation des contrôles du responsable de la comptable sur ces états.
B. Reporting réglementaire
Est-ce que les travaux de reporting réglementaire sont préparés dans les délais ?
Risques :
Risque opérationnel : risque juridique et comptable
Examiner et apprécier le planning de production des états financiers et des situations comptables.
C. Supervision hiérarchique
Est-ce que les états de contrôle et de suivi (contrôle des comptes et reporting réglementaire) sont communiqués à la
direction générale ? Sous quelle forme (même format de reporting ou information plus synthétique préparée par le
responsable de la comptabilité) ? Sont-elles exploitées par la direction générale ?
Risques :
Risque opérationnel : fraude interne, risque comptable de non fiabilité des comptes
Examiner les tableaux de bord mis à la disposition du directeur général par la direction de la comptabilité.
Les règles de Objectifs et points de contrôles :
déontologie
Les membres de la direction de la comptabilité ont-ils connaissance des règles de déontologie de la banque ? Ont-ils déjà eu
l’occasion d’appliquer ces règles ?
Risques :
Risque opérationnel : risque juridique mise en cause de la banque pour non respect de la réglementation, divulgation
d’informations confidentielles
=>Apprécier le degré de connaissance du code de déontologie de la banque par l’équipe de la comptabilité. Le personnel
comptable doit respecter scrupuleusement les deux points suivants :
- le respect du secret professionnel,
- le devoir de mobilisation.
Les reportings A. Liasse de consolidation
règlementaires
La liasse de consolidation est-elle alimentée correctement ?
Les informations qui y figurent sont-elles rapprochées avec la comptabilité générale ?
Les principes comptables appliqués sont-elles conformes aux normes comptables réglementaires ?
Risques :
Risque opérationnel : risque comptable de non fiabilité de l’information financière servant de base à la production des
comptes consolidés
=> Examiner la procédure de préparation de la liasse de consolidation (alimentation automatique ou saisie manuelle).
=> Vérifier les contrôles exercés au sein de la direction de la comptabilité sur la liasse de consolidation.
=> Vérifier qu’il y a validation de cette liasse par le responsable de la comptabilité.
Page 106

=> A partir de la liasse de consolidation du dernier arrêté comptable vérifier la concordance de celle-ci avec les grands livres,
analyser et contrôler les éventuels retraitements.
B. Opérations intra-groupe
La banque identifie-t-elle ses opérations intra-groupes ?
Y a-t-il une procédure de réconciliation avec les contreparties internes (circularisation et rapprochement) ?
Risques :
Risque opérationnel : risque comptable de non fiabilité de l’information financière servant de base à la production des
comptes consolidés
=> Examiner la procédure de réconciliation des opérations intra-groupes.
=> Examiner les échanges des confirmations avec les contreparties sur les opérations intra-groupes
=> S’assurer de l’exhaustivité des échanges (rapprochement avec l’ensemble des contreparties et des analyses des écarts)
C. Ratio de solvabilité
Le reporting de la Banque Centrale sur les risques encourus pondérés est-il alimenté correctement ?
Les informations qui y figurent sont-elles rapprochées avec la comptabilité générale ?
La réglementation de la Banque Centrale de Tunisie (BCT) en la matière est-elle appliquée ?
Risques :
Risque opérationnel : surveillance et notification financière (non fiabilité des informations financières communiquées à la
Banque Centrale de Tunisie (BCT) et servant de base au calcul du ratio de solvabilité)
=> Identifier le département en charge du calcul des risques encourus pondérés (Direction de la comptabilité ou Direction
des crédits)
=> Vérifier l’existence d’un système dédié à la préparation des risques encourus pondérés. Dans l’affirmative, vérifier s’il est
interfacé avec le logiciel de la comptabilité et le cas échéant s’il y a besoin d’ajustements manuels.
=> Tester par sondage un échantillon de dossiers d’engagements.
D. Ratio de liquidité
Le reporting sur le ratio de liquidité est-il correctement préparé ?
Risques :
Risque opérationnel : surveillance et notification financière (non fiabilité de l’information financière)
=> Examiner le processus de préparation de ce reporting (production, source de l’information et contrôles effectués)
E. Reporting Banque Centrale
Est-ce que la banque respecte les règles prudentielles ?
Remplit-elle les obligations de reporting imposées par les autorités de contrôle (CBCT 93-08) ?
Risques :
Risque opérationnel : risque juridique pour non respect de la réglementation BCT et sanctions
=> Obtenir et contrôler les états de reporting récents envoyés à la Banque Centrale, au Ministère des Finances et au Conseil
du Marché Financier.
=> S’assurer que tous les états de reporting requis sont envoyés dans les délais requis et que les ratios prudentiels
(solvabilité, liquidité,…) sont respectés.
Les risques fiscaux A. Déclarations fiscales
Les déclarations fiscales sont elles établies dans les délais et validées par les personnes habilitées ?
Page 107

La banque a-t-elle effectué les démarches nécessaires pour se documenter et appliquer les règles fiscales en vigueur ?
Risques :
Risque opérationnel : risque juridique et fiscal
=> Consulter les déclarations fiscales des derniers exercices.
=> Passer en revue la documentation fiscale du responsable de la comptabilité.
=> S’assurer que les déclarations sont revues par le responsable de la fiscalité (s’il en existe un) et par la direction générale.
B. Identification des risques fiscaux
Les risques fiscaux ont-ils été identifiés par la banque ? si oui, sont-ils correctement provisionnés ?
Risques :
Risque opérationnel : risque juridique et fiscal
=> S’assurer, si d’éventuelles pertes fiscales sont justifiées, non répétitives et ne correspondent pas à des pratiques
d’évasions fiscales.
=> Vérifier s’il y a eu des redressements fiscaux ou s’il y a des contrôles fiscaux en cours. Dans l’affirmative, vérifier la prise
en compte de provisions suffisantes en couverture des risques.
=> Vérifier que les impôts différés sont fiscalement justifiés (plus-values à long terme...).
b)- Domaine gestion des ressources humaines :

La fonction Ressources Humaines couvre cinq domaines : l’administration, la gestion des carrières, le
recrutement, la formation et les relations sociales.
Elle a, au sein de toute banque commerciale comme ailleurs, quatre missions essentielles à assurer :
 Administrer (les classifications, l’administration du personnel, la paie) ;
 Répondre au besoin, en fournissant les ressources humaines adaptées (le recrutement, l’orientation,
la formation, la motivation) ;
 Garantir la continuité du fonctionnement de la banque (le dialogue social, l’environnement du
travail) ;
 Optimiser les coûts des ressources humaines (les rémunérations, le contrôle de gestion).
La fonction RH est une fonction support, la mission d’audit aura pour objet d’apprécier la parfaite couverture
des risques liés à cette fonction.
Les investigations auront donc pour objet de répondre à deux types de préoccupations :
 Celles relatives à l’audit de conformité : conformité avec les accords sociaux, avec les aspects
juridiques et fiscaux, avec les budgets et avec l’organisation interne de la banque ;
 Celles relatives aux audits de gestion : quelles sont les pratiques de rétribution, les freins à la
mobilité interne, la politique de gestion des compétences, l’efficacité de la formation, l’appréciation
de la qualité du climat social.
Parmi les familles de risques recensées, citons principalement les risques de management, juridiques, de
déontologie et de conformité, opérationnels et fiscaux. L’audit des ressources humaines devra mesurer le
niveau des risques, leur évolution et l’anticipation de plans d’action correcteurs.
Page 108
Domaine : Risque opérationnel / Sous catégorie : Gestion des Ressources Humaines

Organisation A. Structure
générale de la DRH
Existe-t-il un organigramme détaillé de la direction des RH ?
L’organisation est-elle adéquate ?
La répartition des responsabilités au sein de la ligne métier RH est-elle claire et efficace ?
Risques :
Risque opérationnel : risque ressources humaines (non suivi ou suivi imparfait de certaines fonctions RH)
=> Demander l’organigramme RH et les définitions des fonctions du personnel.
=> Délimiter le nombre de personnes dédiées à chaque fonction par rapport à la taille de la banque en particulier pour
l’administration du personnel : Formation du personnel RH (passée et prévue).
B. Stratégie
Des objectifs sont-ils fixés annuellement par ligne-métier ? Sont-ils accompagnés de plans d’actions ?
La synergie avec le management est-elle suffisante ?
La direction des RH est-elle associée à la détermination des objectifs ? La procédure budgétaire intègre-t-elle les objectifs en
matière de RH ? Les objectifs annuels généraux de la banque sont-ils communiqués aux différents responsables de la
banque ?
Risques :
Risque lié au management.
Risque opérationnel : risque lié aux ressources humaines (non prise en compte des impératifs de la banque, non respect du
budget, non application des décisions prises)
=> Obtenir les plans d’actions, les instructions en matière de recrutement, les plans de formation de gestion individuelle et
d’acquisition de moyens.
=> Demander les communications avec le management (courriers, mails…).
=> Vérifier l’existence d’une communication institutionnelle, de règles écrites, de visites régulières.
=> Vérifier si le Directeur des RH participe à la fixation des objectifs (notes, mails…).
=> Vérifier si la direction des RH participe à la procédure budgétaire dans le cadre de l’élaboration du budget général de la
banque.
C. Qualité
Y a-t-il une démarche qualité au sein de la direction des RH
Risques :
Risque opérationnel : risque lié au RH (efficacité non mesurée)
=> Vérifier les études statistiques sur les délais de traitement des demandes (de congé, de formation, etc.), sur les
couvertures de postes, sur le suivi de la formation, la satisfaction des stagiaires.
D. Déontologie
La réglementation interne et le code de déontologie de la banque sont-ils respectés ?
Les règles de confidentialité sont-elles respectées au sein de la direction des RH ?
Risques :
Risque lié au management,
Risque de déontologie et de Conformité (divulgation d’informations sensibles)
=> Vérifier par sondage que le règlement intérieur et le code de déontologie ont été remis et lus par chaque collaborateur.
Vérifier la sécurité et la confidentialité du système de gestion de la paie et le calcul du bonus, la distribution des fiches de
Page 109

paie sous pli fermé, la conservation des dossiers personnels dans un local fermant à clé.
E. Procédures
La banque a-t-elle défini des procédures pour le fonctionnement de la direction des RH ?
Risques :
Risque opérationnel : fraude interne, activité non autorisée (fonctionnement non homogène selon les personnes en charge
de la direction)
=> Vérifier par sondage le respect des procédures en place.
F. Ressources
Les ressources humaines, matérielles, budgétaires (formation, systèmes d’information, etc.…) sont-elles adaptées ?
Risques :
Risque opérationnel : risque lié au RH
Risque lié au management (Inadéquation des moyens)
=> Obtenir le budget de la direction des RH, et faire des comparaisons entre le budget proposé et le budget adopté, entre
besoins exprimés et ressources obtenues
G. Système d’information
Y a-t-il un pilotage centralisé de la fonction RH ?
Risques :
Risque opérationnel : risque lié au RH (disparité entre le personnel de la même banque)
=> Apprécier le mode d’enregistrement et de suivi des absences, embauches, départs, formation, …
Administration de A. Gestion des dossiers du personnel
la DRH
Les dossiers sont-ils complets ? A jour ? Correctement classés ? Confidentiels ?
Qui assure le secrétariat de la direction des RH et la gestion des dossiers ?
Existe-t-il un système d’habilitation pour les personnes qui ont accès aux dossiers ?
Qui signe les augmentations de salaire, les embauches, les contrats de travail, les lettres d’observations ou de sanctions ?
Risques :
Risque opérationnel : risque lié au RH (faible niveau d’instruction et de formation, appréciations désuètes,…)
=> Vérifier par sondage des dossiers individuels dans plusieurs directions ou départements et s’assurer du respect des
règles de confidentialité
B. Suivi quotidien
Dans les points de vente recevant du public, les règles de présence minimum sont elles respectées ?
Risques :
Risque opérationnel : risque lié au RH (absences injustifiées, retards, heures supplémentaires systématiques)
=> Demander la liste quotidienne des absences, la liste des heures supplémentaires, la liste du personnel temporaire et des
Page 110

stagiaires.
=> Vérifier par sondage l’exactitude de la liste des absences par service, sur quelques jours. Idem pour les heures
supplémentaires.
=> Contrôler le respect de la règle des présences minimum dans les points de vente recevant du public
C. Traitement de la paie
Comment la paie est-elle traitée (en interne ou sous-traitée en externe) ? Par qui (en interne ou par un sous-traitant externe)
Y a-t-il des contrôles ? Un backup ? Une séparation des tâches ?
Le processus d’établissement de la paie permet-il de s’assurer que les opérations et les données traitées sont complètes,
exactes, autorisées et effectuées dans les délais
Risques :
Risque lié au management
=> Vérifier par sondage les états édités par le système traitant la paie et s’assurer de leur exhaustivité, fiabilité et des délais
de traitement.
D. Réglementation
La direction des RH a-t-elle une bonne connaissance de la réglementation ? (droit du travail)
Risques :
Risque opérationnel : risque juridique (non respect des règles et lois en vigueur)
=> Vérifier que le responsable des RH est en possession et utilise un code du travail à jour.
=> Vérifier si le responsable des RH a souscrit à des abonnements aux sources de mise à jour de la réglementation
E. Statistiques
Existe-t-il des statistiques à jour sur les effectifs (répartition, classes d’âge, ancienneté, qualification, rémunération, taux de
rotation) et le marché du travail dans le secteur bancaire ?
Risques :
Risque opérationnel : risque lié au RH (non adaptation au marché, connaissance insuffisante des données de base pour
gestion à moyen terme des effectifs)
=> Apprécier les documents statistiques établis par la direction des RH (faire des sondages sur leur fiabilité).
=> Collecter les informations générales sur le marché du travail en Tunisie et les rapprocher au bilan social s'il existe.
F. Comptabilisation des écritures
La saisie des écritures est-elle faite par les personnes en charge d’établir la paie ?
Y a-t-il des contrôles établis par la Comptabilité ou un autre service (autre que DRH) ?
Y a-t-il des rapprochements entre les écritures comptables et les états de gestion ?
Risques :
=> Comparaison des listings comptables et des écritures de la paie avec le listing du personnel.
=> Comparaison des listings comptables et des écritures de la paie avec les listings de gestion des éléments et
rémunérations variables (heures supplémentaires et de rémunérations variables).
Gestion des G. Appréciation
Page 111

carrières Objectifs et points de contrôles :
Comment fonctionne le système d’évaluation des performances ? Les différents délais (évaluation annuelle, temps de
réponse par l’intéressé) sont-ils respectés ? Le personnel a-t-il un droit de réponse ?
Le système d’appréciation est-il pris en compte pour la détermination des rémunérations et pour les besoins de formation ?
Risques :
Risque opérationnel : risque lié au RH (démotivation du personnel)
=> Pour chaque département, consulter les notations des années (N) et (N-1) de quelques collaborateurs. Vérifier leur
cohérence d’une année sur l’autre.
=> Vérifier, par sondage dans différents départements, la cohérence entre la période prévue et effective de notation d’une
part et la date des mesures individuelles d’autre part.
=> Vérifier la prise en compte des points faibles éventuels dans le plan de formation individuel.
H. Mutation
Comment sont décidés les changements de poste ? quel est le rôle de la hiérarchie, de la DRH et de la direction générale ?
Y a-t-il des entretiens de gestion réguliers ? Comment les collaborateurs font-ils remonter leurs desiderata ?
Quels sont les délais pour les mouvements du personnel entre la prise de décision et sa mise en œuvre ?
Risques :
Risque opérationnel : risque lié au RH (gestion non optimale et mécontentement du personnel, mauvaise adéquation
possible entre le personnel et les fonctions exercées, conflit entre intérêts individuels des hiérarchiques et intérêts du groupe)
=> Faire des entretiens (toutes fonctions au sein de la banque) et vérifier l’existence de procédures formalisées sur les
changements de postes.
=> Obtenir des copies des demandes d’embauches communiquées par le bureau de l’emploi.
I. Gestion des carrières
Existe-t-il un recensement et un suivi spécifique des cadres à fort potentiel ?
Risques :
Risque lié au management (mécontentement de cadres à potentiel)
=>Entretien avec le responsable de la banque. Si le recensement existe : vérifier les critères et les conséquences
J. Rémunérations
Quel est le système de rémunération appliqué par la banque ? Mesures collectives et individuelles, rémunération fixe et
variable. La détermination de la partie variable est-elle objective ?
Ces critères sont-ils prédéfinis et acceptés formellement par les intéressés ?
Les objectifs individuels sont-ils fixés a priori ?
Quelles sont les modalités de rémunération des cadres supérieurs ?
Existe-t-il des systèmes d’intéressement aux résultats ? Comment fonctionnent-ils ?
Le personnel de la direction RH est-il sensibilisé aux risques de fraude interne et externe en matière de rémunérations ?
Des dispositions sont-elles prises pour prévenir la fraude ?
Risques :
Risque opérationnel : risque lié au RH (absence de maîtrise de la masse salariale, non respect du budget, de la politique de
rémunération, démissions de cadres dirigeants, démotivation du personnel)
Risques opérationnel : fraude interne (salaires fictifs, avantages indus)
=> Obtenir des copies des procédures budgétaires, comptes-rendus de réunions sur l’application de mesures individuelles,
des règles de rémunération variable communiquées au personnel.
Page 112

=> Effectuer par sondage, calcul de rémunérations variables à partir des critères prédéfinis.
=> Vérifier la date de fixation des objectifs individuels.
=> Voir avec le responsable de la banque et la DRH les modalités écrites et pratiques de rémunération.
=> Vérifier que les décisions DRH sont appliquées sans modifications dans la banque.
=> Vérifier l’existence de règles relatives à l’intéressement. Accord d’entreprise le cas échéant. Existence d’un contrôle
interne sur l’application des accords (modalités de calcul)
Recrutement : A. Politique de recrutement
risque
Comment sont définis les besoins ?
Comment sont délivrées les autorisations ? Qui a le pouvoir de recruter ?
Risques :
Risque lié au management
=> Demander le budget des recrutements et vérifier les autorisations spécifiques écrites pour les nouvelles recrues
B. Formulation des besoins
Existe-t-il une fiche de besoin précise pour chaque poste ?
Risques :
Risque opérationnel.
Inadaptation des postes
=> Vérifier par sondage quelques fiches de besoins en personnel
C. Politique de sélection
Comment sont sélectionnés les candidats ? Les modes de sélection sont-ils différents selon les niveaux ?
Les rôles respectifs du département demandeur, de la direction des RH et du directeur général sont-ils clairement définis ?
Risques :
Risque opérationnel : fraude interne (non utilisation du meilleur mode de recrutement)
Risque opérationnel : risque lié au RH (perte de temps, demandes de ressources en personnel mal formulées)
=> Vérifier si la banque a conclu des contrats avec des prestataires extérieurs. Dans l’affirmative demander les documents
relatifs aux appels d’offres, copies des annonces d’offre d’emploi, etc.…
=> Vérifier l’existence d’un document contractuel général fixant le profil de poste, la grille de salaire proposée, élaboré par
chaque département demandeur
D. Gestions des embauches
Existe-t-il un contrat de travail ? Est-il standard, systématique, revu par le service juridique ?
A l’embauche, la DRH distribue-t-elle un document sur l’obligation du respect du secret professionnel, sur les règles
comportementales et déontologiques, sur l’utilisation de la micro-informatique ?
Risques :
Risque de déontologie et de compliance.
Risque opérationnel : risque juridique.
Méconnaissance des règles de base de la banque.
=> Vérifier les documents remis aux nouvelles recrues. Vérifier le cas échéant s’ils comportent des règles spécifiques pour
les métiers sensibles
E. Suivi des nouvelles recrues
Page 113

Y a-t-il un suivi formalisé et systématique des jeunes embauchés ?
Y a-t-il des statistiques sur les démissions ? Des entretiens avec les démissionnaires sont t ils prévus ?
Risques :
Risque opérationnel : risque lié au RH (démotivation du personnel)
=> Apprécier par entretien les modalités de suivi des jeunes embauchés.
=> Obtenir copies des comptes-rendus d’entretiens avec les démissionnaires
F. Qualité des recrutements
Le recrutement répond-il de manière satisfaisante et dans les délais acceptables aux besoins (profil et niveau de
compétence) ?
Risques :
Mauvaise adéquation entre besoins et ressources
=> Mesurer les délais entre expression des besoins, propositions de dossiers et embauche des candidats,
=> Comparer les profils demandés et les profils des candidats présentés et recrutés.
Formation A. Plan de formation
Existe-t-il un plan de formation ? Est-il respecté ?
Est-il cohérent avec les moyens, les besoins, le budget, les obligations légales ?
les besoins en formation sont-ils exprimés ? Sont-ils pris en compte ?
Risques :
Risque opérationnel : risque lié au RH (formation insuffisante ou coûteuse, inadaptée ou non coordonnée)
=> Vérifier le plan de formation, le suivi qui en est fait par la direction des RH, son mode d’élaboration (les entretiens de
formation, remontée formalisée des besoins).
=> S’enquérir sur le mode de détermination des besoins en formation.
=> Recenser les inscriptions aux actions de formation
B. Cout de la formation
Le coût de la formation en pourcentage de la masse salariale est-il acceptable ?
Risques :
Risque opérationnel : risque lié au RH (formation inutile ou insuffisante)
Apprécier le pourcentage de la masse salariale consacré à la formation (budget et réalisation)
Relations et A. Engagements sociaux
activités sociales
Y a-t-il un système de retraite complémentaire propre à la banque ? Est-il conforme à la législation (code du travail) ?
Les engagements pris à l’égard du personnel en matière d’indemnités et de gratifications (départs, retraites, prévoyance,
médaille du travail etc.…) sont-ils couverts par une provision adéquate ?
Risques :
Risque opérationnel : risque juridique et fiscal.
Risque opérationnel : risque lié au RH (retraites insuffisamment provisionnées)
=> Prendre connaissance du régime de retraite complémentaire de la banque.
=> Vérifier l’adéquation des ressources et des provisions du régime de retraite par rapport aux engagements vis-à-vis des
Page 114

ayants-droits.
B. Syndicat
Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids respectifs ?
Risques :
Risque opérationnel : risque lié au RH (sous ou sur représentation du personnel, troubles sociaux)
=> Collecter les tracts, faire des entretiens avec les représentants du syndicat.
=> S’assurer de l’existence de relations sociales institutionnelles (réunions formelles).
=> Collecter le tableau de résultats des élections.
C. Mouvements sociaux
La banque a-t-elle connu des mouvements sociaux ? Ont-ils été suivis ?
Des activités ou des équipements pourraient-ils être bloqués suite à des mouvements sociaux ?
Risques :
Risque opérationnel : risque lié au RH (mauvais climat social, rumeurs fondées ou infondées)
=> Décompter le taux d’absentéisme pour grève.
=> Vérifier l’existence de plans de secours en cas de grève prolongée et d’Instruments d’évaluation du climat social
D. Communication interne
Existe-t-il un ou des journaux d’entreprise ? Qui les rédige ?
Risques :
Risque opérationnel : risque lié au RH (mauvais climat social)
=> Collecter les journaux internes et entretiens avec les rédacteurs
E. Prêts au personnel
Y a-t-il des prêts au personnel à la consommation et immobiliers ?
Existe-t-il des règles écrites ? Les taux sont-ils attractifs ? Y a-t-il des impayés ?
Les prêts sont-ils remboursables en cas de démission ?
Risques :
Risque de crédit,
Risque opérationnel : risque lié au RH (coût additionnel supporté par la banque si les taux sont trop bas, mauvais climat
social s’ils sont trop élevés)
=> Vérifier l’existence de règles écrites pour l’octroi de prêts au personnel.
=> Donner une appréciation sur le mode de décision.
=> S’enquérir sur les contrôles de la direction des RH sur les prêts à taux bonifiés (limitations, impayés) et la répartition des
prêts consentis en fonction des niveaux hiérarchiques
F. Sécurité du travail
Existe-t-il un suivi des accidents du travail ?
Risques :
Risque opérationnel : risque lié au RH
Page 115

Faire un suivi à travers le bilan social ou de tout autre indicateur
c)- Domaine système d’information

L'audit de la fonction système d’information (SI) dans son ensemble peut couvrir quatre domaines
correspondant à un découpage logique des axes suivants d’analyse de ladite fonction :
 l'organisation et le management,
 la sécurité,
 les études et développements,
 l'exploitation informatique.
La maîtrise de la fonction système d'information, au sein de toute banque commerciale comme ailleurs,
passe notamment par la maîtrise des quatre domaines suivant :
 Une organisation claire et un management adéquat avec des procédures générales visant à
maîtriser la fonction SI dans son ensemble ;
 La maîtrise de la sécurité par une analyse régulière des risques pesant sur le système d'information
de l'entité (sécurité logique, sécurité physique, et la continuité d’activité) ;
 L'efficacité, l'efficience et l'intégrité des applications développées (en interne ou en externe), des
progiciels ou des systèmes existants ayant subi des modifications ;
 L'exhaustivité des procédures d’exploitation du SI : indicateurs de qualité, performance, planification
et contrôle des travaux.
Dans le cadre de l’audit du SI, l’analyse portera sur le domaine de la sécurité informatique dans la mesure
où il est à cheval sur deux catégories d’événements à risques opérationnels à savoir :
i. Fraude externe (niveau 1) sécurité des systèmes (niveau 2)
ii. Dysfonctionnement des systèmes (niveau 1)et des systèmes (niveau 2)
Domaine : Risque opérationnel / Sous catégorie : Systèmes Information

Cadre de la Objectifs et points de contrôles
sécurité
La sécurité du système d'information est-elle une préoccupation effective au sein de la banque ?
Cette préoccupation s'est-elle traduite par la mise en place d'une organisation, de procédures et d'outils adaptés, permettant
la maîtrise effective des risques auxquels se trouve exposée la banque en matière d'organisation informatique et de
systèmes d'information ?
Les aspects de sécurité informatique sont-ils intégrés dans les politiques et les procédures de la banque ?
Risques :
Risque opérationnel : risque systèmes d’information
=> Recueillir les commentaires de tout le personnel de la banque à tout échelon hiérarchique sur le sujet de la sécurité
informatique.
=> Rechercher dans les politiques et procédures de sécurité informatique de la banque des éléments accréditant le caractère
effectif de cette préoccupation.
=> Vérifier l’existence d'une charte de sécurité définissant les rôles et les responsabilités, ainsi que les droits et devoirs, de
chaque type d’intervenants de la banque vis à vis de la sécurité.
=> Procéder par interview et/ou par examen les procédures existantes se rapportant aux exigences légales et réglementaires
Page 116

en matière de sécurité des systèmes d'information.
Analyse des Objectifs et points de contrôles
risques
Une cartographie des risques de la banque liés à la sécurité des systèmes d’information a-t-elle été réalisée et/ou mise à jour
depuis au moins une année ?
La banque a-t-elle déterminé le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de ses
métiers ?44
La banque a-t-elle effectué une classification – selon les critères de la sensibilité / criticité des processus et des informations
en fonction de l’impact qu’un sinistre45 touchant ces processus et ces informations aurait sur la banque ?
Des missions périodiques de contrôle46 visant spécifiquement la mise en œuvre de la sécurité des systèmes d’information
sont-elles effectuées ?
Existe-t-il au sein de la banque des tableaux de bord ou des indicateurs périodiques de mesure et de pilotage des risques
liés à la sécurité des systèmes d’information ?
Risques :
=> S’assurer que la banque a réalisé une étude qui doit comprendre un périmètre, une méthodologie, une évaluation des
différents types de risques liés à la sécurité informatique, et un plan d’actions pour traiter ces risques.
=> Prendre connaissance de la manière dont ce niveau a été défini (par exemple, par une étude de vulnérabilité et/ou
l’utilisation d’une classification déterminée par les propriétaires des processus / des informations).
=> S’assurer de la couverture de l’ensemble des processus et des informations de la banque, notamment dans les domaines
transverses (gestion des clients, flux…).
=> Vérifier que ce travail a été effectué par les propriétaires ou par des responsables utilisateurs représentatifs et ayant une
bonne connaissance de leur activité et se procurer les rapports de ces missions.
=> Analyser l’exhaustivité et la périodicité de ces missions sur le périmètre de la sécurité de la banque et leur degré de
profondeur et de pertinence.
=> Vérifier que leurs conclusions servent à mettre à jour la cartographie des risques tenant compte des appréciations du
contrôle interne.
=> Se procurer, quand ils existent les tableaux de bord / indicateurs existants, et vérifier le niveau de couverture des
différents types de risques à travers ces outils.
Plan de sécurité Objectifs et points de contrôles
Y a-t-il un plan sécurité des systèmes d'information remis à jour périodiquement et dont la mise en œuvre est suivie
régulièrement ?
Ce plan a-t-il été établi à partir d'éléments objectifs ?
Ce plan couvre-t-il l'ensemble des systèmes informatiques de la banque ?
Risques :
=> Analyser le contenu du plan de sécurité47.

=> Etudier les modalités de mise à jour du plan : évolution des configurations matérielles et logicielles / applicatifs,
recommandations faites sur la sécurité (audit interne ou externe, responsable sécurité, ...).
=> S'assurer de la correcte mise en œuvre des actions du plan en termes de contenu et de délais (consulter notamment les
comptes rendus des instances de pilotage et de suivi de la sécurité).
=> Vérifier que l'élaboration du plan s'est effectuée à partir d'une évaluation des risques ou d'audits sécurité.
=> Vérifier le niveau de couverture des systèmes d’information à partir de l’inventaire disponible.
=> S’assurer notamment que les micro-ordinateurs (autonomes ou connectés au réseau) et l'Intranet 48 sont couvert par le
plan.
44 Les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux
exigences de leurs métiers
45 Incidents, erreurs, indiscrétion, fraude, sabotage
46 Audit externe, contrôles du responsable sécurité
47 Il doit comprendre une évaluation quantitative des risques, une définition des risques intolérables (en liaison avec
les utilisateurs), les moyens de sécurité existants, ceux à mettre en place, le planning et les priorités, un budget annuel
de la sécurité, les principes et règles de sécurité à mettre en place, ainsi que les responsabilités et dates prévues de
mise en œuvre
Page 117

Organisation, Objectifs et points de contrôles
responsabilité et
Y a-t-il un comité chargé d'étudier tous les problèmes liés à la sécurité, se réunissant périodiquement et dont les travaux sont
instances
formalisés ?
La sécurité informatique dispose-t-elle au sein de la banque d'un poste spécifique (responsable de la sécurité des systèmes
d'information) sur l'organigramme, avec un rattachement hiérarchique élevé assorti d'une définition de fonction et d'un budget
spécifique ?
Existe-t-il des administrateurs de sécurité, distincts du responsable sécurité49, chargés de la gestion quotidienne de la
sécurité et des accès ?
Existe-t-il des propriétaires nommément désignés des processus / traitements et des informations / données, responsables
des règles, procédures et autorisations d'utilisation des processus et des informations dont ils ont la charge ?
Existe-t-il au sein de la banque une sensibilisation et une information régulière de l'ensemble des utilisateurs concernant les
problèmes de sécurité informatique ?
Les règles de sécurité informatique à respecter sont-elles intégrées dans les contrats / conventions de services signés par
les prestataires externes ?
L'utilisation des postes de travail (autonomes ou connectés à un réseau local) fait-elle l'objet de procédures de sécurité
particulières dont la mise en œuvre est contrôlée ?
Risques :
=> Se procurer le document décrivant les objectifs et le fonctionnement du comité de sécurité informatique.
=> Analyser sa composition, récupérer les derniers comptes-rendus et évaluer la réalité de son rôle dans le domaine de la
sécurité.
=> Prendre connaissance de la définition des fonctions du responsable sécurité informatique.
=> Vérifier que le rattachement du poste se fait au moins au niveau du responsable informatique et de préférence
directement à la direction générale de la banque (pour garantir son indépendance).
=> S'assurer qu'il dispose de véritables moyens pour assumer sa fonction (temps, budget, compétences, ...).
=> Prendre connaissance de leur définition de fonctions.
=> S'assurer que leurs travaux sont correctement tracés et contrôlés périodiquement par le responsable sécurité.
=> S'assurer de la couverture de l'ensemble des activités de l'entité notamment dans les domaines transverses (gestion des
fichiers clients, flux...) par ces propriétaires.
=> Prendre connaissance des rôles et des responsabilités des propriétaires et de la réalité de leurs actions.
=> Interroger des membres du personnel de la banque à tous les échelons hiérarchiques et évaluer leur degré de
sensibilisation et d'information.
=> S'assurer de l'existence de supports pour la sensibilisation / l'information50.
=> Examiner quelques contrats / conventions. vérifier notamment qu'ils précisent que toutes les règles51 et procédures de la
banque relatives à la sécurité sont respectées et qu'elles ont été portées au préalable à la connaissance des prestataires.
Sécurité logique Objectifs et points de contrôles
L’intégrité des informations enregistrées dans (et restituées par) les systèmes informatiques est-elle préservée par les
dispositifs de sécurité logique mis en place ?
De même, la confidentialité des informations sensibles est-elle préservée ?
Risques :
Risque opérationnel : fraude interne, fraude externe
=>S’assurer que les contrôles mis en place a priori (identification / authentification, habilitations, …) et a posteriori (revue
périodique des habilitations, analyse des logs, …) sont complémentaires et permettent de préserver l’intégrité et la
confidentialité des informations.
Dispositifs / outils Objectifs et points de contrôles
48 Internet, Intranet
49 Pour les entités de taille importante, il est recommandé que le responsable sécurité n’administre pas lui-même la
sécurité
50 Par exemple : charte de sécurité, formation / action de sensibilisation (journal interne)
51 Clause de confidentialité, règles d’accès aux matériels, logiciels, données et documentations en plus des procédures
applicables à l’ensemble du personnel
Page 118

de sécurité logique La gestion des droits d'accès est-elle prise en charge par un logiciel spécifique et/ou un composant du système de base ?
L'accès aux fonctions de gestion / d'administration des habilitations et des paramètres de sécurité est-il strictement limité ?
Risques :
=> Analyser l'architecture de la sécurité d'accès et les systèmes de sécurité en place52 pour accéder aux traitements et aux
données informatiques.
=> S'assurer qu'elle couvre tous les systèmes : serveurs centraux (mainframe), serveurs décentralisés, micro-ordinateurs
connectés ou connectables, réseaux,...
=> Lister les utilisateurs ayant accès à ces fonctions. S'assurer que cette liste est limitée aux personnes en charge de
l'administration de la sécurité.
Identification et Objectifs et points de contrôles
authentification
Y a-t-il pour chaque utilisateur une identification et une authentification (mot de passe, clé ou carte personnelle, …)
effectivement utilisées et conditionnant l’accès aux systèmes d’information et à leurs données ?
Risques :
=> S’assurer, pour quelques systèmes / données sensibles sélectionnés, que chaque utilisateur dispose de son propre
identifiant (le partage à travers d’identifiants génériques étant à proscrire) pour y accéder.
=> Vérifier que les mécanismes d’identification et d’authentification couvrent tous les points d’accès53 aux systèmes
informatiques.
=> S’assurer que des procédures sont en place afin de préserver l’efficacité des mécanismes d’authentification par mot de
passe.
Procédure de Objectifs et points de contrôles
gestion des
Existe-t-il une procédure de gestion des profils et des habilitations des utilisateurs, incluant une approbation formelle pour
habilitations
l'octroi des droits d'accès ?
Est-ce que l’utilisateur n'a accès qu'aux systèmes et aux données qui lui sont nécessaires à la réalisation des tâches
spécifiques à sa fonction ?
Des précautions sont-elles prises pour la protection de l'accès aux données confidentielles conservées sur ordinateur
personnel, réseau local ou messagerie ?
Risques :
=> Vérifier si la procédure traite l'ensemble des événements de la gestion des habilitations (création, modification,
suppression) incluant une demande écrite et sa validation formelle.
=> Pour quelques utilisateurs, et sur quelques systèmes sensibles, vérifier l'existence des demandes et leur validation
formelle.
=> S'assurer également que les ajouts d'accès font l'objet d'une demande et que la suppression / modification des profils /
habilitations est rapide après le départ / la mutation d’un collaborateur. Pour cela, prendre la liste les derniers départs et
mutations au sein de l'entité.
=> Sur quelques systèmes sensibles, faire un sondage principalement pour quelques utilisateurs ayant des accès privilégiés
(très étendus). S'assurer que chaque utilisateur n'a que les accès (en consultation, ajout, modification ou suppression) qui lui
sont nécessaires.
Interconnexions Objectifs et points de contrôles
avec l’extérieur
Est-ce que tous les systèmes informatiques / serveurs de la banque ont des accès depuis l’extérieur correctement
sécurisés ?
Dans le cadre d’échanges ou de transactions électroniques entre la banque et l’extérieur, les procédures en place
52 Pour les utilisateurs et les informaticiens (internes et externes)

53 Connexion par le réseau commuté et les autres voies d’entrée sur le système (réseau local principalement)
Page 119

permettent-elles de vérifier l’authenticité de la contrepartie extérieure, de garantir l’authenticité et la non-répudiation ainsi que
les échanges ou les transactions ?
L’intégrité des échanges ou des transactions électroniques entre la banque et l’extérieur est-elle garantie par des dispositifs
adaptés ?
Les procédures permettent-elles de garantir la protection des clés de chiffrement (clés SWIFT notamment) ?
Face aux virus, des mesures adéquates ont-elles été mises en œuvre pour la prévention, la détection et la correction ?
L’utilisation des services Internet par le personnel de la banque est-elle effectuée dans des conditions sécurisées ?
Si la banque a mis en œuvre des sites Internet, Intranet ou Extranet, des études de sécurisation de ces sites ont-elles été
menées ?
Ces sites, comme les connexions des utilisateurs à ceux-ci, ont-ils été correctement sécurisés –par le biais de l’utilisation de
pare-feu (Firewall54) et de DMZ55, et de protocoles tels que SSL56 pour les connexions ?
A-t-on recours à des sociétés de services informatiques pour simuler des attaques externes (tests d’intrusions) afin d’évaluer
et d’améliorer le cas échéant le niveau de sécurité en place ?
Avant de rendre opérationnel un site, une étude est-elle soumise au service juridique compétent afin de s’assurer du correct
traitement des aspects juridiques, fiscaux, réglementaires et prudentiels ?
Risques :
Risque opérationnel : fraude externe (sécurité des systèmes)
=> Demander l’inventaire des points d’accès à distance aux systèmes informatiques de la banque.
=> S’assurer qu’ils sont sécurisés par des procédures de « call-back » ou d’accès dûment sécurisés.
=> Vérifier que les accès / tentatives provenant de l’extérieur sont enregistrés dans des logs analysés régulièrement (les
tentatives d’accès infructueuses doivent en principe être analysées au jour le jour).
=> Recenser les échanges ou transactions électroniques effectués par la banque avec l’extérieur.
=> Pour chacun d’entre eux, vérifier l’existence d’un mécanisme d’authentification fiable (mot de passe, clé de
chiffrement,...), de non-répudiation (signatures électroniques, horodatage, certificats émis par des tiers de confiance,...).
=> S’assurer que des mécanismes de contrôle d’intégrité adaptés (hash coding / scellement57 par exemple) sont utilisés.
=> Apprécier les dispositifs de protection (sécurité physique et logique, séparation des fonctions,...) en place. Recenser les
sites déployés par la banque, et les études de sécurisation existantes.
=> Vérifier que des règles de sécurisation ont été suivies.
=> S’assurer que le paramétrage des firewalls a été effectué par des spécialistes de la sécurité Internet et qu’une DMZ est
utilisé.
=> Se procurer les rapports de ces prestations et vérifier que les faiblesses relevées ont été corrigées rapidement et/ou
qu’un plan d’actions a été établi.
=> Vérifier auprès du service juridique de la banque la nature du travail effectué sur ce point pour les sites mis en œuvre, et
que d’éventuelles consultations auprès de spécialistes extérieurs à la banque ont eu lieu si en interne les compétences ne
sont pas suffisantes.
Contrôle à Objectifs et points de contrôles
posteriori des
Une revue périodique des profils utilisateurs est-elle effectuée par un responsable afin de vérifier le respect des procédures
accès (1er et 2ème
et de confirmer les droits d’accès existants ?
niveau)58
A-t-on instauré des règles de journalisation59 d'évènements liés à la sécurité informatique ?
Existe-t-il un contrôle systématique, périodique et centralisé des événements journalisés ?
Certains types de violation d'accès sont-ils remontés en temps réel au responsable sécurité pour contrôle ?
Les opérations effectuées par les administrateurs de la sécurité sur les systèmes de sécurité sont-elles journalisées sans
possibilité d'altération ?
Ces traces sont-elles revues périodiquement par un responsable sécurité distinct des administrateurs de sécurité ?
54 Pare-feu : Mécanisme employé pour protéger le réseau interne d’une entreprise des accès ou usages non autorisés
tout en permettant aux utilisateurs locaux d’accéder à l’Internet
55 DeMilitarised Zone : Il s'agit d'une zone "tampon" entre les systèmes informatiques (réseau interne) de l'entité et le
réseau externe (Internet)
56 Secure Socket Layer (SSL) : protocole de sécurisation des transactions assurant la confidentialité, l'intégrité et en
principe l'authentification des parties et la non-répudiation
57 Technique de représentation d’un texte en clair en un équivalent symbolique (« hash code » / sceau) indécodable,
qui permet de détecter toute altération du texte en claire
58 Les contrôles de niveau 1 sont contenus dans le traitement des opérations (contrôle informatiques, contrôles
manuels) et ceux du niveau 2 sont effectués par la hiérarchie qui supervise le traitement des opérations
59 Trace d’enregistrement
Page 120

Risques :
=> S'assurer de l'existence d'une telle revue par un responsable sécurité et/ou un responsable hiérarchique, et consulter les
éléments qui la supportent. En l'absence de formalisation de la revue, la refaire sur un échantillon représentatif et confronter
les résultats avec ceux (oraux) obtenus par le responsable.
=> S'assurer que les principaux événements liés à la sécurité sont enregistrés et conservés sur une période suffisante.
=> S'assurer la formalisation de ces contrôles et des actions qui en sont issues.
=> Vérifier que les logs mis en place sur les firewalls sont analysés fréquemment par une personne compétente.
=> S'assurer que les violations remontées sont les plus pertinentes et risquées, et qu’elles sont effectivement contrôlées.
=> Se faire communiquer les types d’opérations concernées et demander la justification d'éventuelles modifications
abaissant le niveau de sécurité.
=> Interroger les administrateurs ou le responsable sécurité pour savoir si ces opérations sont journalisées et revues de
manière indépendante. Examiner par sondage les supports de ces revues afin d’évaluer le caractère effectif et la pertinence
des contrôles effectués.
Sécurité physique Objectifs et points de contrôles
Les moyens et procédures mis en œuvre permettent-ils d'assurer la sécurité physique du système d'information (contrôle
d'accès physique, protection environnementale, incendie, dégâts des eaux, humidité, chaleur, coupures électriques,...) ?
Les différents équipements de sécurisation des locaux informatiques60 et de son environnement sont-ils sous contrat de
maintenance et vérifiés / testés périodiquement ?
Existe-t-il des consignes de sécurité générale affichées, connues et testées ?
Risques :
Risque opérationnel : dommages aux actifs corporels
=> Sur ce point de contrôle, une visite des différents locaux hébergeant les équipements informatiques est indispensable
pour constater par observation les dispositifs en place (visite à effectuer avec le responsable du centre de production
informatique et/ou celui des services généraux / logistiques).
=> Se procurer les contrats de maintenance des matériels, les comptes-rendus d'intervention de maintenance préventive /
curative, les comptes-rendus de tests.
=> S'assurer que l'ensemble des équipements sont couverts par des contrats de maintenance et que des interventions
préventives périodiques (une à deux fois par an) ont eu lieu.
=> S'assurer que les consignes sont affichées, ont fait l'objet d'une information / formation et sont testées périodiquement.
Interroger sur ce sujet les membres du personnel et se faire communiquer les consignes et les comptes-rendus de tests.
Sécurité de Objectifs et points de contrôles
l’environnement
Des études ont-elles été réalisées sur les dangers présentés par des facteurs externes sur les locaux informatiques
renfermant des équipements informatiques sensibles et les recommandations prescrites ont-elles été suivies d'effet ?
Le bâtiment a-t-il été spécialement construit pour l'informatique et/ou est-il à l'usage exclusif de l'informatique ?
Le site informatique est-il peu connu et peu repérable ?
Le transformateur alimentant les locaux informatiques est-il correctement sécurisé ?
Existe-t-il une régulation électrique (contre les pannes électriques et les variations d’extension) comportant au moins un
onduleur complété de batteries garantissant une autonomie suffisante ?
Ses caractéristiques répondent-elles aux prescriptions des constructeurs de matériels informatiques ?
La régulation électrique est-elle testée régulièrement et dispose-t-elle d'un dispositif de secours ?
Existe-t-il un groupe électrogène pouvant être rapidement opérationnel en cas de coupure de l'alimentation électrique ?
Pour les salles d’ordinateurs, dispose-t-on de disjoncteurs séparés par matériel informatique important, d'un tableau
électrique d'accès facile et d'une coupure générale « coup de poing »61 ?
La conformité des installations électriques a-t-elle été vérifiée par un organisme agréé ?
Un système de climatisation (température, hygrométrie, poussière) est-il installé et opérationnel ?
Les caractéristiques de ce système répondent-elles aux prescriptions des constructeurs des matériels informatiques
utilisés ? Est-il testé régulièrement et dispose-on d'un matériel de secours ?
Risques :
60 Equipement de contrôle d’accès, détection et extinction incendie, détection humidité, climatisation, onduleurs,
batteries, groupes électrogènes,…
61 Il s'agit d'un disjoncteur permettant d'arrêter l'alimentation de l'ensemble des équipements en une seule opération
d'un "coup de poing" d'où le nom de la commande
Page 121

=> S'assurer que ces études ont bien pris en compte les principales menaces liées à l'environnement extérieur62.
En l'absence d'étude particulière, vérifier que le responsable informatique a conscience de ces risques.
=> S'assurer que des dispositifs spécialisés sont installés pour surveiller et contrôler l'environnement.
=> Vérifier si le bâtiment renferme uniquement les locaux et installations informatiques. Si le bâtiment n'est pas à l'usage
exclusif de l'informatique, examiner la liste et la nature d'activité des autres services et départements s'y trouvant.
=> Déterminer si ce voisinage se traduit par des facteurs de risque spécifiques63.
=> S'assurer qu'aucun panneau n'indique la présence du site informatique et qu'aucun matériel du site n'est visible et
facilement accessible de l'extérieur.
=> S'assurer que le transformateur est protégé contre les risques d'incendie, de dégâts des eaux et d'accès non autorisés.
=> S'assurer que les équipements/matériels nécessaires64 au fonctionnement de la salle informatique sont branchés sur
l'onduleur et sur le groupe électrogène.
=> Vérifier que la capacité de l'onduleur est suffisante pour les matériels branchés.
=> S'assurer que la capacité réelle (testée) des batteries (généralement 20 minutes) permet, soit l'arrêt des systèmes
informatiques, soit de tenir jusqu'à la fin de la montée en puissance du groupe électrogène.
=> Vérifier que la capacité du groupe électrogène est suffisante pour les matériels branchés.
=> S'assurer que le groupe est testé au moins une fois par mois.
=> Vérifier qu'il est prévu une sécurité de démarrage du groupe par redondance ou mode de secours (air comprimé,
essence, batterie, ...).
=> S'assurer que la commande « coup de poing » ne puisse pas être actionnée malencontreusement, mais reste cependant
aisément accessible.
=> S'assurer que, lors de la mise en place des installations électriques et lors de changements importants, leur conformité
est vérifiée.
=> Prendre connaissance des procès verbaux d'inspection technique et s'assurer de la mise en conformité de l'installation
avec les recommandations formulées, le cas échéant.
=> S'assurer que l'installation de climatisation est systématiquement réétudiée à l'occasion d'aménagement des locaux, ou
de mise en place de nouveaux matériels (serveurs, périphériques, ...).
=> Vérifier la présence de thermomètres, hygromètres et leur emplacement.
=> Relever les indications portées par les instruments de mesure et vérifier qu'elles sont conformes aux plages préconisées
par les constructeurs des matériels informatiques.
Sécurité incendie et Objectifs et points de contrôles
dégâts des eaux
L'ensemble des bâtiments renfermant les locaux informatiques et les locaux attenants sont-ils protégés par une installation
de détection et d'extinction automatique ?
Des extincteurs mobiles sont-ils conservés dans les locaux informatiques et les locaux voisins ?
Ces extincteurs sont-ils périodiquement vérifiés ?
Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle respectée ?
Les salles informatiques sont-elles vidées de tout stock de papier ou matériaux inflammables ?
A-t-on fait des études sur les dangers présentés par l'eau dans les locaux informatiques et les locaux voisins ?
A-t-on vérifié qu'il n'existe pas de canalisations apparentes ou traversant les faux- planchers ?
Les blocs de climatisation sont-ils à l'extérieur de salles d’ordinateurs ?
Les faux-planchers sont-ils dotés d'un système de détection d'eau ou d'humidité, et en cas de besoin existe-t-il un dispositif
garantissant l'évacuation de l'eau ?
Risques :
=> Demander une description des systèmes de détection et d'extinction (sprinklers -eau-, halon / CO2 - gaz dangereux-,
FM200 -poudre-,...).
=>S'assurer que les faux planchers sont protégés contre le risque incendie par l'existence d'un détecteur et d'une bonbonne
de gaz d'extinction sous le faux plancher.
62 Menaces liées à l'environnement extérieur: phénomènes météo, inondation (cours d'eau, sources et nappes
phréatiques), coulée de boue, orages/foudre (paratonnerre), qualité/stabilité du terrain, zone sismique, etc. mais
également le voisinage à risques pollution, menaces chimiques, voisinage ou stockage de matières inflammables
63 Allers et venues de personnes extérieures, stockage de matières inflammables, ...
64 Il ne s’agit pas d’avoir les serveurs sur onduleurs mais également les équipements de communication et les consoles
de pilotage des systèmes informatiques
Page 122

=> S'assurer du nombre suffisant d'extincteurs dans les locaux et de leur accès facile.
=> Vérifier que les types d'extincteurs (eau, gaz, poudre) correspondent aux types de matériel à protéger.
=> Vérifier que les consignes d'utilisation des appareils sont correctement lisibles.
=> Contrôler la date de dernière vérification des extincteurs.
=> Vérifier la présence de panneaux d’interdiction de fumer.
=> S'assurer que les impressions sont effectuées dans un local annexe.
=> Etudier l'implantation géographique des locaux informatiques au sein du bâtiment (risque moindre si la salle est située
dans les étages supérieurs).
=> S'assurer qu'il n'existe pas de points d'accumulation d'eau situés à proximité ou au dessus de la salle informatique (toit-
terrasse, ballons d'eau, sanitaires, ...).
=> S'il existe des canalisations apparentes, vérifier qu'elles concernent exclusivement le système de climatisation. Vérifier
leur implantation.
=> S'assurer que le système de détection d'eau (ou d'un taux d'hygrométrie anormalement élevé) est suffisamment sensible,
de manière à se déclencher suffisamment tôt.
=> S'assurer de l'éventuelle existence d'un système d'évacuation d'eau dans les locaux (plancher incliné ou pompes).
Contrôle d’accès Objectifs et points de contrôles
physique
Existe-t-il un système de contrôle d'accès aux salles contenant des équipements sensibles tels qu'unités centrales et
périphériques, serveurs, équipements de communication, terminaux dédiés aux transactions sensibles (SWIFT, télex, salles
des marchés...) ?
Les visiteurs internes ou externes à la banque sont-ils accompagnés par une personne habilitée à accéder aux salles
informatiques, et un registre des visiteurs est-il tenu et revu périodiquement ?
Risques :
Risque opérationnel : fraude interne (activité et accès non autorisés)
=> Vérifier que l'accès aux salles contenant des équipements sensibles est limité par un dispositif de type digicode, lecteur
de badges ou commande d'ouverture à distance.
=> S'assurer de la correcte gestion de ces systèmes d'accès. Contrôler la liste des personnes auxquelles a été remis ou
communiqué le code ou un badge. Dans le cas d'un digicode, s'assurer que les codes sont périodiquement changés.
Interroger les personnes habilitées à accéder aux salles informatiques sur la procédure en place pour les visiteurs.
=> Vérifier que ces derniers sont systématiquement accompagnés pendant leur séjour dans les locaux, et qu’ils ne disposent
pas d’un accès permanent aux salles d’ordinateurs.
=> Consulter le registre des visiteurs, s'assurer qu'il est complet et revu périodiquement et formellement par un responsable
informatique et/ou logistique.
Continuité Objectifs et points de contrôles
d’activité
La banque s'est-elle dotée des moyens et de l'organisation lui permettant de maintenir son activité même après un incident
majeur ou un sinistre générant une indisponibilité prolongée (partielle ou totale) du système d'information ?
Risques :
Risque opérationnel : risque système d’information
=> Se procurer les plans de continuité / reprise d'activité et les plans de backup (secours informatique).
=> Examiner les contrats éventuels avec les fournisseurs de services de secours.
=> Examiner les comptes-rendus de tests éventuels.
=> Prendre connaissance des éventuels incidents majeurs ou sinistres déjà survenus et des dispositions prises à ces
occasions pour y remédier.
Sauvegarde Objectifs et points de contrôles
La banque s’est-elle dotée des moyens lui permettant de disposer de copies de ses données aisément utilisables en cas de
perte des données d’exploitation d’origine ?
A-t-on pris en compte la nécessité d’élaborer des sauvegardes de type production65 d’une part et de type recours66 d’autre
part ? Les cycles de sauvegarde et les durées de rétention sont-ils compatibles avec les caractéristiques des informations
sauvegardées ?
Existe-t-il une sauvegarde systématique de l’ensemble des informations des serveurs décentralisés et Bureautiques ?
La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des données résidant sur les postes de travail
65 Après incident d’exploitation

66 Après sinistre majeur
Page 123

connectés ?
Contrôle-t-on régulièrement qu’une reprise ou un redémarrage sont effectivement possibles à partir des sauvegardes ? Sait-
on relire les supports ? Est-on assuré de l’exhaustivité des données relues (restaurées) ?
Risques :
=> Prendre connaissance des procédures de sauvegarde.
=> Vérifier que les procédures sont correctement appliquées.
=> S’assurer que ces deux types de sauvegardes existent et que leur exhaustivité est garantie.
=> Vérifier l’existence d’une procédure permettant d’intégrer les fichiers et programmes des nouveaux développements et
maintenances.
=> S’assurer que les sauvegardes de recours sont stockées dans un lieu distinct de la salle informatique.
=> Recenser les serveurs et vérifier que des sauvegardes périodiques sont réalisées en fonction de leur criticité / de la
criticité des données qu’ils contiennent.
=> Interroger les utilisateurs et les informaticiens sur les possibilités de sauvegardes offertes sur un espace serveur dédié et
personnel de leurs fichiers résidant sur micro- ordinateurs.
=> Seuls des tests de restauration peuvent permettre une assurance quant à la qualité des sauvegardes. S’assurer que dans
le cas de plantages ou d’incidents informatiques, les sauvegardes utilisées ont pu permettre la reprise des traitements. Pour
les sauvegardes de secours, seul un test du backup peut prouver leur qualité.
PCA (Plan de Objectifs et points de contrôles :
Continuité
Y a-t-il un plan de continuité des activités (PCA) de la banque remis à jour au moins chaque année ?
d’Activité)67 Le PCA est-il remis à jour en cas d’évolution de l’activité ?
Y a-t-il un PCA de secours informatique pour les utilisateurs ?
Y a-t-il une coordination entre les deux plans (informatique et utilisateurs) ?
Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs « autonomes » (fixes et portables) et les
micro-ordinateurs « en réseau » (serveurs, stations de travail, …) ?
Une étude sur la vulnérabilité de la banque face à différents types de risques physiques ou non (pas nécessairement
informatiques) a-t-elle été réalisée et a-t-elle entraîné la mise en place d’un Plan de Continuité des Activités de la banque ?
A-t-on réalisé une étude préliminaire, qui permette de classer les processus et / ou les applications dans l’ordre décroissant
des pertes ou préjudices qui surviendraient après un sinistre physique (total ou partiel), une panne grave ou une grève ?
Existe-t-il des locaux et / ou des coffres de sécurité permettant de stocker dans des conditions de sécurité acceptables les
supports informatiques contenant des informations dont la perte serait préjudiciable à la banque ?
Est-ce que le PCA contient les procédures alternatives de traitement à mettre en place par les utilisateurs jusqu’à ce que la
fonction informatique soit en mesure de restaurer entièrement ses services après un sinistre ?
Un plan de communication a-t-il été défini pour permettre la mise en œuvre des actions de communication adaptées tant en
interne qu’en externe en cas de survenance d’un sinistre ?
Une cellule de crise a-t-elle été constituée pour gérer un sinistre éventuel ?
Le PCA est-il testé périodiquement dans des conditions les plus proches possibles de la réalité de la production ?
Risques :
=> S’assurer de la mise à jour périodique du PCA en fonction des évolutions de l’organisation de la banque et de son
système d’information.
=> S’assurer que des procédures ont été élaborées par les départements utilisateurs, en collaboration avec le service
informatique, pour organiser la reprise et la continuité des activités à partir du déclenchement du sinistre et jusqu’au retour à
la normale.
=> S’assurer que les sauvegardes sont stockées sans délai dans un lieu sécurisé une fois leur création effectuée.
=> Vérifier la cohérence des deux plans en termes de déroulement, de priorités de reprise,…
=> S’assurer que des plans sur les évolutions de systèmes et procédures à la fois côté informatique et côté utilisateurs sont
mises à jour.
=> Recenser les nouvelles applications ou activités sensibles de la banque (ou des modifications significatives récentes), et
vérifier que les plans les prennent bien en compte.
67 Le plan de continuité est l'outil de contrôle interne qui assure la gestion des ressources et des données informatiques
sensibles, en cas d'interruption de traitement. Le plan de continuité des activités comprend les éléments suivants: le plan
de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de backup et le plan
de reprise d'activités qui intègre les schémas fonctionnels et organisationnels complétant les moyens matériels.
Page 124

=> S’assurer que cette étude est assez récente pour être pertinente.
=> Vérifier que l’étude a été formalisée et validée par les principaux responsables de la banque. Analyser ce document et
vérifier son exhaustivité.
=> S’assurer que les processus / applications couvrent bien l’ensemble des activités de la banque.
=> Vérifier que l’étude est mise à jour en cas de nouveau processus / application ou de modification importante.
=> S’assurer que l’on a pris en considération dans cette étude les interdépendances entre processus / applications.
=> Analyser ce document. S’assurer qu’il a été élaboré avec des professionnels de la communication et les parties prenantes
dans le PCA.
=> Vérifier que les procédures de reprise couvrent les différentes étapes du déroulement du plan de secours informatique.
=> Vérifier que les cibles des actions de communication ont été identifiées et les « messages » adaptés.
=> Analyser la composition de la cellule de crise. Vérifier qu’elle regroupe les parties prenantes du PCA (informatique,
utilisateurs, communication), y compris les principaux responsables de la banque.
=> S’assurer que les modalités de la réunion rapide de la cellule de crise sont formalisées et communiquées aux participants
(coordonnées, y compris personnelles, lieu de regroupement, …).
=> Prendre connaissance des conditions de tests. Se procurer les comptes-rendus de tests et vérifier que les problèmes
rencontrés ont fait l’objet d’adaptations dans le PCA.
Plan de backup / de Objectifs et points de contrôles
secours
Existe-t-il un plan de secours de l’exploitation informatique (éventuellement en mode dégradé68 et / ou éclaté sur plusieurs
sites) ainsi que des documents permettant la mise en œuvre rapide des procédures de secours en cas de sinistre ?
Le plan de secours prend-il en compte les évolutions prévues dans le plan informatique / schéma directeur ?
Une étude a-t-elle été menée pour déterminer le choix des moyens de secours / de backup pour le système d’information de
la banque ?
Les ressources informatiques critiques pour la continuité des activités ont-elles été identifiées et effectivement secourues ?
A-t-on effectué une étude de sécurité pour le choix des liaisons de télécommunications entre le site de secours et l’ensemble
des sites connectés (internes / externes) ?
L’exhaustivité des sauvegardes de recours garantit-elle la reprise de l’activité dans les conditions définies par la banque ?
Le plan de secours est-il testé périodiquement dans des conditions les plus proches possible de la réalité de l’exploitation ?
Le plan de secours est-il remis à jour (évolutions matérielles et logicielles, configurations réseau, …) de manière régulière ?
Les activités nécessitant une haute disponibilité des systèmes informatiques (par exemple les activités de salles de marchés,
les systèmes d’échanges interbancaires (SWIFT, …) bénéficient-elles de solutions de secours en temps réel ?
Risques :
Risque opérationnel : disponibilité, efficacité, efficience
=> Analyser le plan de secours de l’exploitation et s’assurer que les procédures sont complètes, claires et détaillées.
=> Vérifier que toutes les parties prenantes disposent d’un exemplaire à jour du plan.
=> S’assurer que les impacts sur le plan de secours des évolutions contenues dans le plan informatique ont été pris en
compte.
=> S’assurer que les trois possibilités offertes ont été étudiées (mutualisation de moyens chez un prestataire, secours
externe dédié à la banque, secours interne) et que les moyens mis à disposition sont conformes aux choix stratégiques de la
banque.
=> S’assurer que ces ressources comprennent les traitements et données d’applications critiques, les systèmes
d’exploitation et les logiciels de base, les équipements de télécommunications, et les fournitures.
=> Vérifier que préalablement à cette étude, un recensement des liaisons au (x) sites d’exploitation a été effectué.
=> S’assurer que les lignes principales sont doublées.
=> S’assurer qu’une procédure garantit l’exhaustivité des sauvegardes de secours.
=> Vérifier que les hypothèses de reprise sont cohérentes avec les données des sauvegardes.
=> Prendre connaissance des conditions et des résultats de tests. Se procurer les comptes- rendus de tests et vérifier que
les problèmes rencontrés lors des tests ont donné lieu à des mises à jour du plan de secours.
=> S’assurer que le plan est mis à jour notamment lors des modifications des configurations matérielles, logicielles (nouveau
développement, maintenance, …) et réseau.
=> Vérifier que pour les systèmes sensibles concernés, des solutions de haute disponibilité (de type mirroring / clustering69)
sont mises en œuvre pour permettre de basculer de manière quasi-transparente « à chaud » d’un système informatique
défaillant à un autre en état de fonctionnement.
68 En mode dégradé, l'exploitation n'assure que partiellement les services habituels. En général, seules les fonctions
indispensables à la continuité des traitements sont assurées. Des procédures manuelles, ou des procédures
automatisées de contournement, peuvent se substituer à des procédures automatisées utilisées en mode normal
d’exploitation
Page 125
d)- Domaine agences et succursales

L’audit des agences et succursales est semblable à celui d’un établissement central, puisque elles en sont la
reproduction en miniature avec néanmoins, un nombre limité de fonctions et d’activités.
Des risques spécifiques à l’agence existent et tiennent à la décentralisation, donc à l’éloignement des
centres de décision et de la taille de l’entité, du nombre d’employés et du système d’information et de
gestion.
Ces risques sont illustrés notamment par :
 une application incorrecte de la politique pronée par la direction générale au niveau stratégique,
commercial et normes de contrôle ;
 un non respect des procédures opérationnelles internes en matière de crédit et de garanties,
ressources financières, titres/investissements détenus, sécurité des locaux et démarche
commerciale ;
 un dépassement des limites de l’agence en matière de ressources disponibles pour le financement
du portefeuille de crédit, la concentration sectorielle et les limites individuelles associées à un
emprunteur ou un groupe d’emprunteurs ;
 Une insuffisance de performance et de pénétration du marché, avec des conséquences au niveau
de la rentabilité ;
 Une mauvaise application des procédures internes : crédits, ressources, titres, sécurité, etc.…
 Une information incomplète ou peu fiable fournie par l’agence sur les risques et le portefeuille à
risques par âge, le volume d’activité par catégories de produits, les charges de l’agence et les
résultats, le nombre de clients actifs, etc.…
 Les mauvaises relations internes, avec les amplifications inévitables à l’échelle d’une petite unité, et
pouvant avoir des répercussions en termes de risques opérationnels (taux d’absentéisme, taux
d’erreurs, manipulations) efficacité et fiabilité des services fournis par l’agence et réputation à l’égard
de la clientèle.
Dans le cadre de ce travail, il sera procédé à l’audit du domaine des opérations à l’agence dans la mesure
où il est à cheval sur quatre catégories d’événements à risques opérationnels :
i. Fraude interne (niveau 1) activités et transactions non autorisées (niveau 2) vol et fraude (niveau 3)
ii. Fraude externe (niveau 1) vol et fraude (niveau 2)
iii. Négligences des règles clients (niveau 1) conformité, diffusion d’informations et devoir fiduciaire
(niveau 2)
iv. Exécution, livraison et gestion des processus (niveau 1) admission et documentation clientèle
(niveau 2) gestion des comptes clients (niveau 3)
69 Mirroring / Clustering : redondance d’une ressource informatique (disques / CPU) fonctionnement en parallèle. La
panne d’une ressource étant transparente pour le déroulement des traitements par le passage à la ressource en miroir
/ cluster
Page 126
Domaine : Risque opérationnel / Sous catégorie : Agences et Succursales

Organisation A. Organigramme, effectif et description des fonctions
générale de
Objectifs et points de contrôles
l’agence
L’organisation générale est elle rationnelle ?
Les postes correspondent t ils aux fonctions effectivement assumées ?
L’organigramme et les descriptions des fonctions ont t il fait l’objet d’une revue ?
Risques :
Risque opérationnel : effectif insuffisant, conflits potentiel entre collègues, transposition de l’organigramme standard,
fonctions réelles différentes des profils de postes prévus, des commerciaux affectés à des tâches administratives
B. Recueil des procédures
Est-ce que les procédures écrites sont disponibles au niveau de l’agence ?
Est-ce que les procédures à l’agence sont à jour et conformes avec celles au niveau du siège ?
Risques :
Risque opérationnel : non disponibilité des procédures, méconnaissance des procédures par les collaborateurs, non
application des points de contrôle requis, non tenue du comité de crédit agence, abus de pouvoir d’un employé (chef
d’agence ou directeur régional)
Approche et étendue des travaux d’audit (A + B) :
=> Vérifier l’existence de procédures écrites à l’agence
=> Détecter les situations d’abus de pouvoir ou de tentative de fraude.
=> Tester les différents niveaux de délégation de pouvoirs.
=> S’assurer de la séparation des fonctions entre initiation et validation des opérations.
=> Vérifier l’existence d’un contrôle effectif (signature, visa, cachet, clé électronique…)
=> Apprécier la cohérence d’ensemble du système (gestion des absences)
C. Importance de l’agence dans le réseau
Qu’elle est l’importance de l’agence par rapport à l’ensemble du réseau de la banque ?
Risques :
Risque stratégique : risque d’abus, de réputation
=> Calculer les volumes de distribution des crédits et de collecte des dépôts
=> Estimer le taux de pénétration des marchés limitrophes de l’agence
=> Estimer la productivité du personnel et la performance des crédits
Exemple d’indicateurs :
- Ratios de productivité entre agences
- Nombre de crédits actifs / agent de crédit
- Montant du principal de crédit / agent de crédit
- Ratio de qualité du portefeuille de crédit
D. Mode de reporting au siège et coordination régionale
Est-ce que l’agence est liée par une coordination avec une instance régionale ?
Quelle est la fréquence de préparation des reporting ?
Y a-t-il une analyse des reporting et des tableaux de bord ?
Risques :
Risque opérationnel : surveillance et notification financière
=> Identifier le collaborateur chargé du reporting à l’attention de la direction régionale
=> Vérifier la régularité et la fréquence du reporting à la direction régionale
=> Apprécier la qualité des informations transmises
=> Rapprocher les informations transmises aux comptes comptables de l’agence
Fonction A. Les performances commerciales
Page 127

commerciale Objectifs et points de contrôles
Est-ce que l’équipe commerciale dispose d’un effectif suffisant et dynamique ?
Est-ce que les réalisations de l’équipe commerciale font l’objet d’un contrôle par rapport au budget ?
Est-ce que les objectifs commerciaux sont traduits de façon quantitative et qualitative ?
Est-ce que les actions commerciales sont étayées par des visites clients et des actions marketing ?
Risques :
Risque opérationnel : négligence des règles clients
=> Faire des entretiens avec le directeur d’agence et l’équipe des commerciaux.
=> Tester la connaissance active des procédures, évaluer le degré de succès de l’approche commerciale.
=> Apprécier la qualité du contrôle interne notamment pour les opérations de lancement de nouveaux produits
=> Examiner l’organisation (relations agence / siège)
=> Faire une revue quantitative et qualitative des effectifs
=> Apprécier les outils marketing utilisés par les commerciaux
B. Les parts de marché et la concurrence
Y a-t-il une analyse des parts de marché par type de produit ?
Ya t il des analyses sur les évolutions dans le temps ?
Y a-t-il des analyses sur les crédits et les dépôts par catégories
Y a-t-il des analyses sur la performance des nouveaux produits dans le temps ?
Y a-t-il des benchmarks par rapport à la concurrence sur des produits spécifiques ?
Risques :
Risque stratégique, risque de réputation
=> Faire un examen sur les évolutions dans le temps des indicateurs significatifs (volume des crédits / employé, volume des
dépôts / employé)
=> Examiner l’évolution des parts de marché par produits
=> Examiner les documents commerciaux et budgétaires
=> Rapprocher les réalisations par rapport aux objectifs
=> Faire un benchmark sur le positionnement de la concurrence dans les zones couvertes par l’agence
=> Faire un benchmark sur le positionnement du leader par produit
=> Faire une interview d’un panel de clients (collecte des réclamations éventuelles, estimation de la satisfaction / qualité des
services)
C. Les locaux
Est-ce que le local de l’agence est adapté et géographiquement aisé à trouver ?
Est-ce que l’accès physique à l’agence est aisé ?
Est-ce que le positionnement de l’agence est à proximité de la clientèle cible ?
Aux alentours de l’agence y a-t-il des gares routières/ferroviaires, des axes routiers, des marchés, des centres commerciaux,
des zones industrielles ou rurales, etc.… ?
Risques :
Risque opérationnel, dommage aux actifs corporels
Risque de réputation, risque stratégique
D. L’accueil de la clientèle
Est-ce l’agence adopte l’identité visuelle de la banque ?
Est-ce que le logo de la banque est visible ?
Est-ce que l’agence a adopté l’architecture intérieure type de la banque ?
Est-ce que les locaux sont propres et bien aménagés ?
Les guichets et les bureaux sont ils parfaitement disposés ?
Est-ce que l’agence dispose d’un espace suffisant pour le potentiel des clients ?
Est-ce que l’accueil des clients au niveau de l’agence est bienveillant (orientations et conseils selon les besoins) ?
Est-ce que les prospectus, les fiches produits, les conditions générales et les documents commerciaux sont accessibles et
présentés de manière visible ?
Page 128

Est-ce que l’accès à l’information souhaitée est aisé pour les clients ?
Y a-t-il un sas sécurisé à l’agence ?
Le coffre fort de l’agence est il sécurisé ?
Y a-t-il des caméras de vidéo surveillance à l’agence ?
Y a-t-il des agents de sécurité durant les heures d’ouverture ?
Le bâtiment est il protégé par une alarme reliée au poste de police le plus proche ?
Est-ce que l’alimentation électrique de l’agence est protégée (groupe électrogène) ?
Risques :
Risque de réputation : mauvaise qualité des services, manque de persuasion des commerciaux
Approche et étendue des travaux d’audit (C + D) :
=> Procéder à un examen visuel des locaux de l’agence et inspecter les alentours
=> Faire un inventaire des agences limitrophes des banques concurrentes
=> Faire un inventaire des gares routières, des marchés, des centres commerciaux, des zones industrielles et/ou rurales
limitrophes
=> Faire un tour dans et en dehors de l’agence et faire un constat sur l’état général (trace d’humidité ou dégâts des eaux,
peinture en mauvais état, odeurs nauséabondes, etc.)
=> Vérifier l’accès restreint au coffre fort de l’agence.
=> Demander la liste des personnes autorisées à accéder au coffre fort, Identifier les employés détenant les clés et/ou codes
de sécurité
=> Vérifier que les deux clés sont détenues par deux employés distincts
=> Vérifier le registre et les bordereaux de transferts des fonds
=> Vérifier les autres valeurs conservées dans le coffre comme les effets de commerce les carnets de chèques et les cartes
monétiques.
E. Le personnel
Est-ce que le responsable de l’agence a une perception claire de la politique générale de la banque ?
Est-ce que l’agence est animée d’un dynamisme et d’un esprit d’équipe ?
Est-ce que les objectifs commerciaux et de rentabilité sont clairs et connus par chaque membre de l’équipe commerciale ?
Les commerciaux de l’agence ont-ils les connaissances nécessaires du marché local ?
Est-ce que l’équipe commerciale participe à la vie sociale et économique de la zone ?
Y a-t-il une présence des commerciaux dans les manifestations diverses ou festives ?
L’équipe commerciale a-t-elle noué des contacts avec les associations et les organismes professionnels, etc.…
Les collaborateurs de l’agence ont-ils conscience de leurs rôles dans le système de contrôle interne ?
Est-ce que chaque collaborateur connait ses tâches de contrôle interne et les a intégrées dans ses activités quotidiennes ?
Est-ce que la taille de l’agence conditionne la séparation des tâches ?
Est-ce que les délégations de pouvoirs sont connues par tout un chacun au niveau de l’agence ?
Les postes de chef d’agence et de caissier sont ils reléguables ?
Risques :
Risque opérationnel : client, produits et pratiques commerciales
=> Apprécier le potentiel commercial de l’agence
=> Apprécier la capacité des commerciaux à pénétrer de nouveaux segments de marché
=> Vérifier l’existence d’un cahier des charges sur les estimations de ventes nouvelles
=> Apprécier l’intérêt manifesté vers les nouveaux produits et la complémentarité avec les produits existants
=> Vérifier les méthodes utilisées par les commerciaux de l’agence pour stimuler la créativité (recensement de l’offre par
d’autres concurrents, participation à des colloques avec des clients potentiels, enquêtes sur les besoins exprimés)
=> Vérifier si l’équipe commerciale procède à des mises au point sur des plans de lancement de nouveaux produits par des
tests sur des zones pilotes et évaluation des résultats
=> Vérifier si l’équipe commerciale procède à des anticipations sur la réaction des concurrents et à des adaptations des
produits offerts à ceux de la concurrence
Gestion des A. La gestion des comptes et des opérations
activités et des
procédures
opérationnelles Y a-t-il une procédure en matière de sélection de la clientèle ? application stricte des conditions d’ouverture ? respect de
diligences associées à l’ouverture de compte ? prévention du risque de blanchiment ? surveillance des comptes et des
transactions ?
Risques :
Page 129

Risque opérationnel : conformité, diffusion d’information et devoir fiduciaire
=> Selon la taille de l’agence, et sur la période auditée procéder à une revue analytique du volume de transactions
=> Sélectionner des échantillons représentatifs pour les principales transactions (dépôts par catégories), combiner
l’approche statistique (échantillons représentatifs) avec l’approche « bon sens » (augmentation des volumes)
B. La gestion des moyens de paiement
Y a-t-il un classement des moyens de paiement selon le risque associé ?
L’agence respecte elle les délais règlementaires pour la transmission des virements et des prélèvements pour
décaissement ?
Est-ce que l’agence exerce une surveillance particulière sur les chèques et les valeurs tirés sur les clients de l’agence ?
Est-ce que l’agence surveille les enregistrements qui peuvent engendrer un découvert non autorisé ?
Est-ce que l’agence exerce une surveillance particulière sur les moyens de paiement informatisés (virements, prélèvements,
images-chèques, transactions par carte de crédit) ?
Risques :
Risque opérationnel : fraude interne sur activités et transactions non autorisées
Risque opérationnel : admission et documentation clientèle
=> S’assurer de l’exhaustivité de la transmission des opérations sur les moyens de paiement à l’agence
=> S’assurer que l’agence respecte les délais et les horaires relatifs à la compensation des différents moyens de paiement
avec la SIBTEL
=> Vérifier pour les ordres de virements permanents, qu’ils sont préalablement autorisés par les clients
=> Vérifier pour les ordres de virements permanents que le système d’information permet de bloquer les virements qui
auraient pour conséquence de rendre les comptes irrégulièrement débiteurs.
=> Vérifier les autorisations clients adossées aux opérations de prélèvements
=> Vérifier les autorisations sur cartes monétiques délivrées aux clients
=> S’assurer que les commerciaux de l’agence n’ont pas accès aux codes confidentiels des cartes monétiques à délivrer aux
clients
C. Les opérations avec l’étranger
L’agence procède t elle à des contrôles périodiques sur les opérations avec l’étranger dont elle assure le rôle de Front
Office ?
Risques :
Risque opérationnel : admission et documentation clientèle
=> Vérifier avec le service bancaire étranger les dossiers constitués au niveau de l’agence et notamment :
- les dossiers AVA
- les dossiers de frais de scolarité
- les dossiers de crédits documentaires
- les dossiers de transferts
D. Les opérations de caisse
Les contrôles sur les caisses à l’agence sont ils matérialisés ?
Y a-t-il des inventaires de caisse réguliers ?
Y a-t-il des rapprochements réguliers entre la caisse et la comptabilité ?
Y a-t-il des contrôles sur les décaissements et les encaissements d’espèces en devises ?
Est-ce que le responsable de l’agence procède à des contrôles inopinés de la caisse ?
Est-ce que les écarts de caisse sont transcrits sur un registre de suivi et notifiés à la direction de la comptabilité ?
Risques :
Risque opérationnel : risque de perte financière due aux tentatives de vol, aux erreurs comptables et au traitement incorrect
des transactions
Page 130

=> Arriver avant l’ouverture de l’agence et assister à l’ouverture du coffre.
=> Vérifier l’existence des valeurs dans le coffre.
=> Faire un inventaire des coupures les plus importantes et signature du PV
=> Rapprocher les valeurs inventoriées avec le solde comptable de la veille.
=> S’assurer du respect du montant d’encaisse minimum et/ou maximum (encaisse minimumréduit le risque de liquidité,
encaisse maximumaugmente le risque de vol)
=> Vérifier la présence de 2 signatures autorisées sur les arrêtés quotidiens de la caisse
=> Procéder de la même manière pour faire l’inventaire de la caisse DAB
=> Demander les PV des contrôles inopinés réalisés par le responsable de l’agence
=> Vérifier le registre des écarts de caisse et le rapprocher avec le compte comptable au niveau de l’agence. S’assurer que
les écarts figurant sur le registre sont pris en compte comptablement
E. Les opérations de crédit
L’agence respecte t elle la politique de crédit définie par la direction générale en matière de sélection des crédits,
segmentation de la clientèle, qualité de la clientèle et rentabilité ?
Y a-t-il des limites autorisées par secteur d’activité, par zone géographique, par catégorie de clientèle, par type de crédit par
échéance de règlement et par maturité ?
L’agence prend elle en considération sa connaissance du client lors des demandes de crédits ?
Est-ce que les dossiers de financements sont cohérents avec l’activité économique des clients ?
L’agence respecte t elle le seuil du taux d’endettement maximum lors des montages des dossiers de financements ?
L’agence procède t elle à des évaluations sur la qualité des garanties ?
Est-ce que l’agence respecte le niveau de délégation qui lui est fixé ?
L’agence procède t elle à une analyse préalable de la demande de crédit ?
Y a-t-il une analyse de l’historique des incidents lors des montages des dossiers de crédits ?
Y a-t-il un suivi régulier de l’exposition au risque crédit de l’agence par produit / contrepartie ?
L’agence recourt elle à la technique du « SCORING » ?
Est-ce que les dossiers de crédit au niveau de l’agence sont complets ?
Risques :
Risque de crédit : risque lié à la capacité de remboursement futur du client
Risque opérationnel : risque de fraude interne
=> Faire une revue analytique des crédits par catégories
=> Détecter toute évolution anormale par une stratification des crédits par catégories (crédit par caisse, crédit à la
consommation CT, crédits d’équipement à MT, crédits hypothécaires LT, etc.…)
=> Vérifier la gestion et l’autorisation des limites de crédits
=> Vérifier si l’agence recourt à la diversification du portefeuille de crédits
=> Vérifier si l’agence compose son approche de crédits avec les segments de marché
=> Vérifier si le personnel de la banque est bien formé sur la typologie des crédits offerts par la banque
=> Vérifier l’inexistence de « prêts fictifs » par l’organisation de visites aux clients
=> Apprécier les risques associés aux « pots de vin » par l’examen des dossiers de crédit
=> Sur le base d’un échantillon, vérifier l’existence dans le dossier de crédit de :
- information sur la capacité d’endettement du client
- demande matérialisé de crédit
- formulaire de demande de crédit complétée et signée
- critères d’éligibilités respectés
- procédure d’autorisation respectée
- tableau d’amortissement du crédit
=> Sur la base d’un échantillon, vérifier que l’étape préalable à la présentation du dossier au comité de crédit a été
effectuée :
- analyse du profil du client
- analyse du capital et de la situation économique
- analyse de la capacité juridique et financière
- appréciation sur la garantie proposée
=> Pour le comité de crédit agence tester l’application effective des procédures de crédits
=> Vérifier les différents niveaux d’attribution du comité (délégation au chef d’agence)
=> Apprécier l’analyse des risques préalablement assurée par le chargé de crédits
=> Evaluer le processus de décision et sa matérialisation (PV signés)
=> Contrôler l’enregistrement des décisions (limites enregistrées, garanties…)
F. La vente de produits d’épargne ou d’assurance
Page 131

Y a-t-il une analyse sur l’évolution dans le temps par catégorie de compte d’épargne, de compte à terme et de bons de
caisse ?
Y a-t-il une revue des échelles d’intérêts pratiqués ?
L’agence procède t elle à la surveillance des comptes d’épargne nantis dans le cadre de contrats de financement ?
Y a-t-il une traçabilité sur les opérations de dépôts et de retraits sur les CAT et BC ?
Y a-t-il une traçabilité sur les opérations de souscriptions et de ventes des SICAV ?
Y a-t-il une traçabilité sur les opérations d’achats ou de ventes des actions et des titres négociés en bourse ?
Y a-t-il une traçabilité sur les opérations de souscription ou de vente des contrats de banque assurance ?
Y a-t-il une revue de la valorisation des contrats d’assurances ?
Risques :
Risque opérationnel : activités et transactions non autorisées, vol et fraude, conformité diffusion d’information et devoir
fiduciaire
=> Faire une revue analytique des dépôts par type
=> Détecter toute évolution anormale sur la base d’une stratification des dépôts par catégorie (comptes courants, comptes
d’épargne, comptes à terme, etc.…)
=> Vérifier l’inexistence de risque lié au détournement des fonds des clients par l’examen des transactions des clients
(visites, circularisation)
=> Vérifier que les dossiers d’épargne des clients sont complets et comportent notamment :
- copie de la demande d’ouverture de compte
- copie de la carte d’identité
- carton signature avec spécimen de signature du client
=> Vérifier par sondage la conformité des bordereaux de mouvements avec les opérations sur le compte (signature client sur
les pièces identique aux spécimens)
G. Location de coffre-fort
Est-ce que l’agence offre le service de location de coffres forts ?
L’accès à la salle des coffres est il protégé ?
Y a-t-il un sas d’entrée ? des caméras de vidéo surveillance ? signature d’un registre par les clients ?
L’agence prend elle les mesures nécessaires pour vérifier le non usage des coffres à des fins de blanchiment ?
Y a-t-il des conditions générales pour la location des coffres ?
L’agence prend t elle en compte sa connaissance du client et de ses activités génératrices de revenus lors de la mise à sa
disposition des coffres en location ?
Y a-t-il une revue analytique des commissions payées pour le service location de coffres forts ?
Y a-t-il des procédures spécifiques de contrôle interne au niveau de l’agence pour la prévention des risques associés à la
location des coffres forts ? adaptées à l’activité de l’agence, sa localisation sa taille et son effectif ?
Est-ce que l’agence à installé une alarme reliée au poste de police le plus proche ou le cas échéant à une société de
gardiennage ?
Risques :
Risque opérationnel : risque de cambriolage
Risque de blanchiment
=> Identifier la personne en charge de la gestion des coffres forts à l’agence
=> Vérifier l’application des procédures de contrôle interne
=> Demander la liste des clients locataires des coffres forts et la rapprocher avec la black liste des clients
=> Vérifier l’existence d’une clé de sécurité pour chaque coffre fort en location à l’agence
=> S’assurer de la perception des commissions sur la location des coffres forts
Pour les coffres forts loués depuis plusieurs années, s’assurer que les clients locataires sont encore en vie
H. La gestion administrative
Y a-t-il une gestion administrative des absences au niveau de l’agence ?
Y a-t-il un traitement spécifique pour le décompte des heures supplémentaires ?
Y a-t-il une gestion spécifique pour les congés et les remplacements ?
Y a-t-il une gestion spécifique pour le recrutement et le suivi des nouvelles recrues ?
Y a-t-il une gestion spécifique pour les départs volontaires et les licenciements éventuels ?
Y a-t-il une revue analytique des principaux postes de frais (loyer, assurance, électricité, achat de fournitures, frais
d’entretien, dépenses de surveillance et de gardiennage…)
Page 132

Y a-t-il des procédures spécifiques en matière d’accès physique aux locaux (badge, pointage digital…) ?
Y a-t-il une procédure d’archivage au niveau de l’agence ?
Les documents d’ouverture des comptes et les contrats et documents juridiques sont ils bien conservés ?
Est-ce l’agence procède à une sauvegarde quotidienne des données du système d’information ?
Est-ce que les supports de sauvegarde sont conservés à l’extérieur de l’agence ?
Est-ce que les archives de l’agence sont protégées contre les incendies, le vol et le dégât des eaux ?
Y a-t-il des procédures de contrôles réguliers sur les immobilisations de l’agence ?
Risques :
Risque administratif et de traitement
=> Vérifier la conservation physique des dossiers d’ouverture de compte
=> Vérifier la conservation physique des dossiers de crédit
=> Vérifier l’existence des principales immobilisations à l’agence (véhicules, mobiliers, ordinateurs, unités de climatisation)
I. Les contrôles comptables
Y a-t-il une procédure de rapprochement régulier et de pointage des transactions à l’agence ?
Y a-t-il un contrôle sur les comptes d’attente (comptes à caractère provisoire destinés à regrouper des opérations) ?
Les comptes d’attente sont ils documentés (justification de chaque entrée et autorisation associée) ?
Est-ce que les enregistrements temporaires sont ramenés à zéro régulièrement ?
Y a-t-il un contrôle sur les comptes de transit et de suspens (compte à caractère provisoire destiné à regrouper certaines
opérations avant affectation définitive) ?
Les comptes de transit sont ils documentés (justification de chaque entrée et autorisation associée) ?
Est-ce que les enregistrements temporaires sont soldés régulièrement ?
Est-ce que l’affectation définitive de la transaction est vérifiée ?
Est-ce que les comptes de régularisation font l’objet d’une constatation avec défalcation entre les comptes de bilan et ceux
de produits et charges ?
Y a-t-il une balance des comptes comptables propre à l’agence ?
Les contrôles comptables à l’agence sont ils matérialisés ?
La piste d’audit est elle respectée ?
Y a-t-il une personne chargée des contrôles et de la journée comptable à l’agence ?
Y a-t-il une procédure fixant les délais de préparation et de communication de la journée comptable ?
Risques :
Risque administratif et de traitement
Risque opérationnel : surveillance et notification financière
=> Obtenir la liste de l’ensemble des comptes d’affectation spéciale (comptes transitoires, comptes suspens, comptes
d’attentes et comptes de passage)
=> Détecter toute évolution anormale sur la période de référence
=> Pour les comptes d’attentes et les comptes transitoires, vérifier les apurements des soldes en fin de période, et la
justification documentaire de tous les suspens.
=> Vérifier également les autorisations formalisées sur ses transactions
=> Recenser les schémas d’enregistrement comptables par catégories
=> Apprécier la cohérence des écritures comptables
=> Identifier les points de contrôle comptables
J. Le manuel des procédures
Est-ce que l’agence dispose d’un manuel comptable sous une forme adaptée (manuel papier, électronique, intranet) ?
Est-ce que le manuel des procédures décrit de manière claire l’organisation ? les responsabilités des différents
collaborateurs ? le traitement des opérations (produits d’épargne, crédits, moyens de paiement) ? les contrôles réguliers en
place ? un recueil illustré des documents clés (principaux schémas comptables et spécimen des bordereaux utilisés)
Est-ce que le manuel des procédures est en permanence à la disposition du personnel de l’agence ?
Est-ce que les procédures du manuel sont connues par le personnel de l’agence ?
Est-ce que la hiérarchie s’assure de la connaissance des procédures par les collaborateurs de l’agence ?
Y a-t-il des formations des collaborateurs sur les mises à jour au niveau des procédures ?
Risques :
Risque opérationnel : fraude interne, exécution, livraison et gestion des processus
Page 133

=> Vérifier l’existence de procédures formalisées à jour pour l’ensemble des activités / départements de l’agence
=> Apprécier la clarté des documents
=> Tester le degré de connaissance de ces procédures par : interviews des collaborateurs, élaboration de questionnaires de
contrôle interne adaptés et des tests sur le respect des procédures concernées
Contrôle interne et Objectifs et points de contrôles
supervision du
Y a-t-il désignation d’un responsable du contrôle interne dans chaque agence ?
siège (Direction
Les tâches de contrôle interne sont-elles décrites dans les fiches de poste ?
régionale)
Est-ce que le chef d’agence est expressément désigné comme étant le premier responsable du contrôle interne au niveau de
son agence ?
Est-ce que le mode d’organisation du réseau et la taille de l’agence conditionnent la répartition du contrôle interne ?
Si l’agence est d’une certaine taille, y a-t-il désignation d’un adjoint au responsable de l’agence, d’un responsable
opérationnel et d’un contrôleur interne ?
Si le réseau est organisé en directions régionales, y a-t-il désignation d’un contrôleur à la direction régionale, d’un
responsable opérationnel régional et d’une équipe régionale d’audit ?
Risques :
Risque opérationnel : fraude interne, exécution, livraison et gestion des processus, surveillance et notifications financières
=> Vérifier et confirmer l’existence de descriptions de fonctions pour chaque poste clé
=> Identifier les points de contrôle interne prévus
=> Tester la qualité du contrôle interne
=> Faire un entretien avec la personne en charge du contrôle interne à l’agence et apprécier sa compréhension de ses
responsabilités
=> Tester la perception du contrôle interne et de la gestion des risques
=> Tester l’application des mesures de contrôle interne et de gestion des risques
Système A. Le système d’information de gestion
d’information et
contrôle de gestion
Est-ce que le SIG permet d’apprécier fidèlement les expositions aux risques ?
Est-ce que le SIG permet de mesurer les performances de l’agence ?
Est-ce que le SIG permet de comparer les résultats réels avec le budget ?
Est-ce que le SIG permet de détecter rapidement les anomalies et de corriger les écarts constatés ?
Est-ce que le SIG permet d’assurer l’intégrité des données clients et crédits ?
Est-ce que le SIG permet de mesurer l’exposition risque crédit de l’agence ?
Est-ce que le SIG prend en compte l’impact des dates de valeur ?
Est-ce que le SIG prend en compte l’enregistrement des instruments de paiement ?
Y a-t-il des tableaux de bord périodiques (mensuels, trimestriels, annuels) retraçant l’évolution des indicateurs de
progression des volumes d’activité (crédits/dépôts, les ventes de produits bancaires tels que les SICAV, les cartes de crédit,
les produits de bancassurance, assurance vie) ?
Y a-t-il des tableaux de bord réguliers couvrant les marges générées sur le PNB, commissions sur crédit et commissions sur
change ?
Y a-t-il des reportings réguliers couvrant l’évolution des charges ?
Y a-t-il des reportings réguliers couvrant les facteurs de risques ?
Y a-t-il production de listes d’exceptions (situations anormales, découverts non autorisés, taux de change erroné, taux de
crédit inférieur au coût des ressources, taux de rémunération de dépôt supérieur au taux maximum, consommation de fonds
propres supérieure à la limite définie par le siège, risques résiduels supérieurs au montant de l’engagement, valorisation de
la garantie inferieure au montant de l’engagement ) ?
Risques :
Risque opérationnel : exécution, livraison et gestion des processus, surveillance et notifications financières, risque système
d’information
=> Apprécier dans le cadre de la prise de connaissance du SIG les fonctionnalités proposées et celles possibles en se
référant au manuel d’utilisateur et le cas échéant au cahier des charges si le SIG a été développé par les propres moyens de
la banque
B. Le système de contrôle de gestion
Page 134

Y a-t-il un reporting sur les performances commerciales et les coûts associés des agences ?
Y a-t-il un reporting sur le résultat net de l’agence ?
Y a-t-il un reporting sur les performances de l’agence en matière de parts de marché sur les dépôts, sur les crédits et sur le
taux de pénétration des segments cibles de clientèle ?
Risques :
Risque opérationnel : exécution, livraison et gestion des processus, surveillance et notifications financières, risque système
d’information
=> Demander les états de reporting et les tableaux de bord mis à la disposition des agences et s’assurer qu’ils contiennent
au moins :
- les réalisations mensuelles
- les réalisations du mois précédent (comparaison)
- les réalisations fin d’année précédente (comparaison)
- le pourcentage de réalisation par rapport aux objectifs
- le classement de l’agence
Section 3 : Un périmètre d’action étendu et enrichi de nouvelles

prérogatives
Les interventions de l’auditeur interne s’insèrent dans un périmètre restreint caractérisé par un travail de
détail. Actuellement, le champ d'intervention s’est beaucoup élargi : l’auditeur est chargé d’effectuer le
diagnostic des systèmes de reportings, des dispositifs de pilotage très sophistiqués, et des systèmes utilisés
par la direction générale. Ainsi, les auditeurs sont en contact permanant avec l'état-major de la banque, dans
une approche similaire à celle d’un consultant.
Pour maximiser l’efficacité et l’efficience de l’audit interne, il faut faire intervenir des auditeurs spécialistes en
leur apportant si nécessaire, le soutien et l’appui d'experts métier très pointus sur les aspects les plus
techniques.
Ce sont des horizons nouveaux qui s’ouvrent pour le métier de l'audit bancaire qui doit se doter d’équipes
compétentes formées et de spécialistes assimilant dans le détail l’ensemble des risques appréhendés et
parlant d'égal à égal avec les audités. Ces équipes sont généralement recrutées parmi les ingénieurs
financiers ayant des connaissances mathématiques extrêmement poussées, parfois complétées par une
expérience de ou de contrôle des risques dans une banque.
Pour l'audit interne bancaire, il s'agit donc de mettre en place une approche structurée intégrant les
composantes stratégiques, organisationnelles et humaines en même temps que les facteurs risques, coûts
et efficacité.
§ 1 - Les limites globales et opérationnelles de l’audit interne
Contrairement à ce qu’on pense, l’audit interne n’est pas la solution miraculeuse à tous les maux et
problèmes de gestion, ni la garantie absolue contre tous les risques.
Page 135
En général, les limites de l’’audit se situent à trois niveaux :
i. Au niveau de la méthodologie :
Les techniques et les outils qui demeurent, en dépit de leur rigueur, entachés d’un niveau minimal
d’inexactitude, tel est le cas des sondages et du concept de seuil de signification couramment utilisés dans
la démarche d’audit externe et de commissariat aux comptes. Les résultats de l’évaluation des risques et
des vérifications ne sont pas certains.
A cela, il y a lieu d’ajouter les limites inhérentes au système de contrôle interne sur lequel repose la
méthodologie d’audit.
ii. Au niveau des auditeurs (internes) :

Ce sont avant tout des êtres humains empreints naturellement de subjectivité, d’aspirations personnelles,
etc.… l’objectivité des rapports d’audit peut en être affectée.
iii. Au niveau des audités :

Les hauts responsables peuvent user de leur influence et de leurs relations pour saboter ou semer le doute
quant aux travaux des auditeurs dans le dessein de se soustraire à tout contrôle pouvant les mettre en péril.
§ 2 - Un partenariat privilégié avec les auditeurs légaux et les consultants

externes
L'audit interne est une fonction d'évaluation à la disposition de la banque pour examiner et apprécier le bon
fonctionnement, la cohérence et l'efficience de son contrôle interne.
Le responsable de l'audit interne, qui fait partie du management de l’organisation, agit dans le cadre d'une
charte d'audit affirmant son indépendance. La variété de ses interventions le conduit à entretenir des
relations étroites avec différents partenaires externes, et notamment les commissaires aux comptes.
1. Les relations entre les auditeurs internes et les commissaires aux comptes :
Aujourd'hui, l'importance des relations entre auditeurs internes et auditeurs externes varie avec l'implication
de toutes les parties prenante et l'orientation des travaux des auditeurs internes. Elle dépend aussi de
l'existence d'une structure dédiée au contrôle des procédures et logiciels comptables et de la bonne volonté
de la direction générale. Ces relations sont parfois intenses, souvent occasionnelles, voire totalement
inexistantes.
Des différences de fond existent entre audit interne et commissariat aux comptes.
Page 136
Sur le plan du statut : le statut de l'audit interne est défini dans le cadre d'une charte d'audit approuvée par
la direction générale et/ou le conseil d'administration de l'organisation, celui du commissariat aux comptes
est défini dans un cadre légal et réglementaire70.
Au plan de l'indépendance : garantie par un rattachement au plus haut niveau de l’organisation et une
relation étroite avec le comité permanent d'audit pour l'audit interne, légalement et juridiquement protégée
pour le commissariat aux comptes.
Au plan de l'objectif : l'audit interne s'assure que les différentes activités sont sous contrôle et que
l'organisation est efficiente. Dans ce contexte, il est amené à examiner l'ensemble du dispositif de contrôle
interne et à se prononcer sur la qualité de la gestion. L'audit externe certifie les comptes en s'assurant de la
régularité, de la sincérité et de l'image fidèle des états financiers. A ce titre, il s'intéresse essentiellement au
dispositif de contrôle interne comptable.
Au plan du champ d'investigation : pour l'audit interne, aucune activité ne peut échapper à ses contrôles,
pour le commissariat aux comptes, le champ d'intervention englobe tout ce qui concourt à la détermination
des résultats et à l'élaboration des états financiers.
Au plan de la périodicité des interventions : l'audit interne intervient de manière permanente au sein de
son organisation, dans le cadre de missions le plus souvent planifiées en avance mais pouvant être, selon
les circonstances, non programmées ou décidées en urgence. Par contre, la présence des commissaires
aux comptes est rythmée sur l'exercice comptable.
Auditeur interne Auditeur externe

Est employé de l’institution auditée Est un contractant indépendant
Sert les besoins de l’institution Sert les besoins des tiers en informations financières fiables
Concentre son action sur les événements futurs en effectuant Vérifié si les états financiers reflètent sincèrement et d’une
des interventions garantissant la réalisation des objectifs de façon fiable les événements passés
l’organisation
Est directement concerné par la prévention de la fraude N’est directement concerné par la détection de la fraude que
lorsque celle si est susceptible d’avoir des répercussions
négatives sur les états financiers
L’évaluation du contrôle interne, est un point de convergence de l’audit interne et du commissariat aux
comptes, même si l'appréhension du contrôle interne est différente entre les deux professions, elle n'en est
pas moins une préoccupation majeure pour l'une et l'autre. Il est donc souhaitable, dans un souci d'efficacité,
qu'elles coordonnent au mieux leurs activités et s'appuient sur leurs compétences et ressources respectives.
Une coopération entre l’audit interne et le commissariat aux comptes s’impose. En fait cette coopération est
formellement prévue par les normes édictées par les deux professions.
70 Code des sociétés commerciales, lois organiques régissant les corporations professionnelles OECT et CCT
Page 137
La norme MPA 550 d’IIA71 précise que le directeur de l'audit interne doit coordonner les efforts de l'audit
interne et de l'audit externe. De son côté, la norme 2106 de la Compagnie Nationale des Commissaires aux
Comptes en France définit les conditions d'utilisation des travaux des auditeurs internes.
Les conditions et les modalités d'une collaboration entre audit interne et commissariat aux comptes
s’articulent autour des points suivants :
 Existence d'un service d’audit interne compétent, indépendant, disposant de moyens adaptés à sa
mission, respectueux des normes pour la pratique professionnelle de l'audit interne et à même
d'appréhender les techniques, les méthodes et la terminologie des commissaires aux comptes ;
 A l'initiative du responsable de l'audit interne et en concertation avec les commissaires aux comptes,
identification des missions d'intérêt commun et coordination des travaux pour s'assurer de leur
déroulement efficace ;
 Transmission des rapports de missions d'intérim à l'audit interne, et libre accès des commissaires
aux comptes aux rapports des auditeurs internes dont le contenu est en relation avec l'exécution de
leur mandat ;
 Communication aux commissaires aux comptes du rapport annuel de l'audit interne sur les
conditions dans lesquelles le contrôle interne est assuré dans l'organisation, et transmission, à
l'audit interne, de la lettre de direction sur les contrôles effectués par les commissaires aux
comptes ;
 Réunions de travail périodiques, une à deux fois par an, au cours desquelles chacun rend compte
de ses investigations et de ses conclusions sur les sujets d'intérêt commun ;
 Information annuelle du conseil d'administration ou du comité d'audit lorsqu'il existe, sur les résultats
de la collaboration entre l'audit interne et le commissariat aux comptes en mettant notamment en
évidence les convergences ou divergences d'appréciation concernant l'efficacité du dispositif de
contrôle interne.
 Information de l'audit interne par les commissaires aux comptes, de toute mission spécifique qui leur
est confiée et qui n'entre pas dans le cadre légal de la certification des comptes.
2. Les relations entre les auditeurs internes et les consultants externes :

Le spectre d'intervention de l'audit interne est particulièrement large puisqu'il concerne toutes les fonctions,
toutes les techniques, toutes les disciplines de la banque. Le service d'audit interne doit donc posséder ou
acquérir des connaissances, des aptitudes et les compétences techniques nécessaires à l'exercice de ses
responsabilités. Mais, il va de soi que peu de services disposent du personnel possédant collectivement
toutes les connaissances et expériences indispensables pour mener correctement l'ensemble des travaux
d'audit. Le recours à des prestations externes, au partenariat ou à la sous-traitance de certaines missions
peut, dès lors, s'avérer indispensable.
L'audit interne peut recourir en cas de besoin à l'assistance ponctuelle de cabinets externes spécialistes de
la discipline auditée au plan de la formation, de la méthodologie ou du conseil :
71 Institute of Internal Auditors
Page 138
 La formation auprès d'un cabinet externe permettra à l'auditeur interne d'acquérir les fondements de
la technique et le langage de son futur interlocuteur ;
 L'utilisation d'une méthodologie développée par un cabinet de conseil externe spécialiste du
domaine considéré fera gagner beaucoup de temps, permettra de connaître les « best practices »
de la fonction auditée et évitera les faux pas et les erreurs d'appréciation à l'auditeur interne
néophyte dans ce domaine ;
 L'appui à titre de conseil d'un spécialiste chevronné dans la discipline considérée permettra d'aller
rapidement à l'essentiel, d'enrichir les travaux déjà effectués ou de conforter les conclusions émises.
De la même façon, le service d'audit interne peut avoir recours, s'il l'estime utile, à du personnel en
provenance de cabinets externes pour lui apporter un renfort ponctuel d'auditeurs généralistes en raison
d'une surcharge momentanée de travail ou de personnel spécialisé dans un domaine particulièrement pointu
pour lequel le service ne dispose pas des ressources appropriées.
La Co-traitance : consiste à constituer avec un consultant externe et pour une mission ponctuelle, une
équipe commune placée sous la responsabilité de l'audit interne.
Cette coopération entre auditeurs internes et consultants externes ne peut être que bénéfique car elle
associe, à l'étude d'un problème spécifique, des professionnels de haut niveau parlant le même langage,
utilisant des méthodes similaires et agissant de manière complémentaire : les uns, imprégnés de la culture
d'entreprise, apportent leur connaissance de l'organisation et leurs expériences internes, les autres, en
contact avec le monde extérieur, apportent leur technicité et leurs expériences. Travaillant de concert, ils
pourront atteindre ensemble l'efficacité maximale.
La sous-traitance : consiste à confier d'une manière permanente ou ponctuelle à un cabinet externe, l'audit
d'un ou plusieurs établissements (par exemple à l'étranger) ou d'une ou plusieurs fonctions ou activités
spécifiques (par exemple la sécurité informatique).
Dans tous les cas de figure, le cabinet externe agit sous l'autorité du responsable de l'audit interne qui lui
définit le programme d'intervention et rapporte à la direction générale et, le cas échéant, au comité d'audit,
les principales conclusions des missions sous-traitées.
Parmi les arguments qui militent en faveur de la sous-traitance, on peut essentiellement mettre en avant des
motifs d'ordre matériel ou technique : nécessité de mettre en œuvre des compétences hautement qualifiées,
manque de disponibilité des équipes internes, absence de maîtrise de certaines langues étrangères.
Derrière ces motifs, se profile bien souvent un souci d'économie visant à ne pas accroître les moyens
permanents de l'audit interne.
§ 3 - Le contrôle réglementaire : le contrôle de conformité
Le contrôle règlementaire correspond à la démarche élémentaire de l’auditeur qui consiste à vérifier la

bonne application des règles, procédures, descriptions de poste, organigrammes, systèmes
Page 139
d’information,.etc... En bref, il va comparer la règle et la réalité, ce qui devrait être et ce qui est. Autrement
dit, il va travailler par rapport à un référentiel et c’est en cela que son travail est relativement simple.
L’auditeur, s’étant informé sur tout ce qui devrait être, signale les distorsions, les non applications (évitables
ou inévitables) les mauvaises interprétations des dispositions établies, il en analyse les causes et les
conséquences et recommande ce qu’il convient de faire pour qu’à l’avenir les règles soient appliquées.
Avec les manquements graves et répétés aux différentes législations et réglementations, constatés
récemment, l’audit de conformité semble bien prendre une importance accrue et émerge de plus en plus sur
l’actualité, et ce, d’autant plus que les dispositions réglementaires sont de plus en plus strictes et
contraignantes (LSF en France, Sarbanes-Oxley Act aux États-Unis, circulaires BCT). Les évolutions dans le
domaine bancaire insistent sur l’importance de cette notion de conformité (« compliance » dans la
terminologie Anglo-Saxonne). La MPA 2100-572 confirment cette importante observation.
L’audit de conformité peut être également qualifié « d’audit de régularité » avec une distinction entre la
conformité avec les dispositions légales et réglementaires et la régularité par rapport aux règles internes de
la banque. Mais dans les deux cas, la démarche est la même : comparer la réalité à un référentiel retenu.
En France, le principe du respect de la conformité a été inscrit, dès 1997, dans le règlement n°97-02 du
Comité de la Réglementation Bancaire et Financière (CRBF) relatif au contrôle interne.
En Tunisie le contrôle de la conformité a été introduit par la circulaire BCT n°2006-06 parue à la même
époque que la circulaire BCT n°2006-19 relative au contrôle interne bancaire.
1. Le risque de non-conformité :
Le risque de non-conformité « Compliance Risk » se définit comme étant le risque de non respect des
dispositions réglementaires applicables aux activités bancaires et financières, y compris celles relatives à la
prévention du blanchiment d’argent et du financement du terrorisme, des normes et usages professionnels
et déontologiques et de protection des intérêts des investisseurs et des clients.
Par ce risque, on entend également le risque de préjudices qu'une banque peut subir suite à l’exercice non
conforme des activités aux normes en vigueur. Il peut comporter plusieurs variétés de risques tels le risque
de réputation, le risque légal, le risque de contentieux, le risque de sanctions ainsi que certains aspects du
risque opérationnel.
Par normes en vigueur, il faut entendre dans ce contexte, toutes les exigences et règles auxquelles la
banque est soumise dans l'exercice de ses différentes activités, notamment :
 les lois, règlements et circulaires régissant l'accès au secteur financier et l'exercice des activités
bancaires ;
72 Mise Pratique d’Application : interprétation des normes internationales d’audit interne de l’IIA
Page 140
 les lois et circulaires traitant des obligations professionnelles, c'est-à-dire les règles de lutte contre le
blanchiment des capitaux et le financement du terrorisme ainsi que les règles de conduite du secteur
financier et de protection des déposants et des investisseurs.
Les banques peuvent opter, pour leurs fonctions de conformité, à une couverture qui va au-delà des activités
classiques pour toucher des thèmes relevant du droit du travail, du droit social, du droit des sociétés ou de la
protection de l’environnement.
Du fait de l’importance et des spécificités du risque de non-conformité, celui-ci paraît devoir être pris en
charge par une fonction dédiée, permanente et autonome, à l’instar des autres risques encourus par les
banques, et être pleinement intégrée dans l’environnement de contrôle de la banque. Ses objectifs seront
donc remodelés et réaménagés pour :
 organiser, coordonner et structurer les contrôles en matière des diverses réglementations à
différents niveaux de l'organisation bancaire ;
 protéger la banque de tout préjudice qui pourrait résulter du non-respect des normes en vigueur ;
 assister la direction générale dans la gestion efficace des risques de non-conformité.
La conformité n’est pas du ressort exclusif de la fonction qui lui est dédiée. Elle concerne également le
conseil d’administration, la direction générale ainsi que tout le personnel de la banque. Elle est dès lors à
considérer comme un élément important de la culture véhiculée d’une banque laquelle, doit être promue à
tous les niveaux de la banque.
Dans ce contexte, une réflexion a été engagée au niveau international, notamment au sein du comité de
Bâle73, afin, d’une part, mieux appréhender, dans le calcul des exigences de fonds propres, les risques
autres que les risques de crédit et de marché et, d’autre part, de formuler des propositions spécifiques quant
aux modalités de contrôle du risque de non-conformité.
2. La gestion du risque de non-conformité :

Les banques, ont amélioré depuis quelques années leurs dispositifs de veille réglementaire afin
d’approfondir la connaissance de la réglementation par leurs salariés et de formaliser davantage les
procédures de contrôle de la conformité de leurs décisions à la réglementation ou aux lois.
Comme le relève le comité de Bâle, le risque de non-conformité fait désormais l’objet d’une gestion
formalisée74.
73 Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques -
Consultative Document on the Compliance Function in Banks
74 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les
banques « Consultative Document on the Compliance Function in Banks ». « Sound Practices for the Management and
Supervision of Operational Risk » – « Saines pratiques de gestion et de contrôle du risque opérationnel » (février
2003) point 2.
Page 141
En effet, les banques ont engagé, à des degrés divers, une réflexion quant aux modalités d’organisation d’un
dispositif permettant de s’assurer de la conformité de leurs activités à la réglementation, à la loi, aux normes
ou aux usages professionnels. La quasi-totalité des grandes banques se sont déjà dotées d’un responsable
de la conformité (le titre varie selon les établissements : responsable de la conformité, « Compliance
Officer », contrôleur de conformité, déontologue, …) avec néanmoins des définitions hétérogènes de ses
fonctions (limitation de son champ d’intervention à la supervision du dispositif de prévention du blanchiment
d’argent et au suivi du respect de la déontologie).
Enfin, quelques banques, plus avancées encore, ont d’ores et déjà construit des états spécifiques pour le
suivi du risque de non-conformité. Ceci permet d’informer régulièrement le conseil d’administration et la
direction générale de la banque du niveau de maîtrise de ce risque ainsi que de tout événement significatif
relevant de ce problème.
3. Un contexte international et réglementaire en évolution :

Si l’on reprend la définition du risque opérationnel « risque de pertes résultant de carences ou de
défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements
extérieurs, y compris le risque juridique mais à l’exclusion des risques stratégiques et d’atteinte à la
réputation75 », on peut considérer que le risque de non-conformité en relève totalement ou en partie.
Le Comité de Bâle a entrepris des travaux spécifiques sur la conformité. En effet, un groupe de travail
consacré à la fonction de conformité dans les banques a été constitué et a publié en octobre 2003 un
document consultatif. Ce texte, qui a pour objet d’identifier les meilleures pratiques dans ce domaine et d’en
favoriser la diffusion, a énoncé onze principes concernant la conformité.
L’objectif du comité de Bâle, en publiant pour consultation un tel document, vise à favoriser la diffusion, au
sein des banques, d’une «culture de conformité» afin qu’elle se traduise, formellement (charte de
conformité), par une attention accrue à ce risque. L’intention du comité de Bâle est de veiller à ce que cette
fonction soit bien assurée. L’attention des banques est attirée sur le fait qu’il s’agit - par nature - d’une
fonction indépendante des activités opérationnelles, dont le rattachement hiérarchique doit être très élevé,
mais dont le fonctionnement est inclus dans le champ de l’audit interne.
4. Pistes possibles pour limiter le risque de non-conformité :

À partir des travaux engagés par le comité de Bâle et de la pratique de nombreuses banques en la matière,
il est possible de définir des pistes de réflexion sur les caractéristiques que pourrait présenter une fonction
en charge de la mesure, de la maîtrise et du contrôle du risque de non-conformité.
 La supervision bancaire contribue fortement à la mise en œuvre d’une fonction interne de contrôle
de la conformité dans le cadre du dispositif général du contrôle interne permanent des opérations ;
75 Formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003
Page 142
 Un champ exhaustif d’exercice de la fonction couvrant tous les secteurs, toutes les zones
géographiques et tous les contextes réglementaires du groupe ;
 Une contribution générale au renforcement d’une culture de la conformité ;
 Une activité de conseil et de contrôle ;
 La mise en œuvre d’une information interne fiable et synthétique afin de hiérarchiser les risques et
de s’assurer que la politique de conformité mise en œuvre permet de détecter les éventuelles
anomalies et surtout de les prévenir ;
 Une indépendance à assurer ;
 Une fonction qui devra être adaptée à la nature de chaque banque ;
 Une implication des plus hautes instances de la banque ;
 La fonction de conformité disposant de moyens suffisants ;
 Une fonction auditable.
Page 143
Conclusion générale
L’audit est une discipline qui prend ces dernières années, de plus en plus d’importance et d’ampleur dans le
secteur bancaire en raison de son apport indéniable en matière de valeur ajoutée tant au sein de la banque
qu’en matière de gouvernement d’entreprise en général.
Il a été tenté, tout au long de ce mémoire, de mettre en exergue ce concept de valeur ajoutée propre à la
fonction audit interne et de démontrer ses applications concrètes dans les domaines en relation avec les
métiers de la banque.
Pour que l'audit interne soit un véritable outil d'efficacité et de création de la valeur ajoutée, il est primordial
de mettre en œuvre un cadre réglementaire et juridique (SOX Act, LSF, CBCT, etc.…) :
 délimitant les obligations et les contraintes de fonctionnement d’une banque au sein de son
environnement ;
 appréhendant les risques et respectueux des moyens de les maîtriser ;
 définissant clairement les fonctions de contrôle réparties sur plusieurs niveaux tels que définis par la
réglementation ;
 créant une synergie et une complémentarité entre les fonctions de contrôles permanents (le système
de contrôle interne) et les fonctions de contrôles périodiques (l’audit interne)
 Et assurant enfin un rattachement hiérarchique et fonctionnel garantissant une célérité dans la
remontée des anomalies et une efficacité dans la prise de décision.
Ceci étant, l'audit bancaire présente quelques spécificités de par ses propres particularités et de celles de
l’environnement analysé. En fait, son application au système de management et de contrôle des risques
bancaires, entraîne une pluridisciplinarité au niveau des champs observés : ressources humaines, système
d'information, comptabilité, activités de marché, etc.… Ce phénomène est accentué par la complexité des
risques bancaires nécessitant des diligences supplémentaires pour l’auditeur en matière d’observation,
d’interprétation des résultats et d’élaboration d’un système de référence.
A l'évidence, quelle que soit la nature des missions confiées à l'audit interne, le niveau d'efficacité sera
fonction d'un certain nombre de paramètres tels : la pertinence de l'approche empruntée, l'exhaustivité du
périmètre audité, le savoir-faire technique et les qualités intrinsèques des auditeurs.
Ainsi, face a l’évolution des métiers bancaires, ayant généré de nouvelles variantes de risques et modifié les
facteurs de fragilité financière, il devient impératif de développer des outils d'audit spécifiques dans le but de
détecter et de couvrir tous les risques inhérents à l'activité bancaire.
Page 144
Ce faisant, l’audit interne n’a pas stagné et continuera d’évoluer pour apporter aux banques toujours plus de
valeur ajoutée par une prospection sur les contours de l’audit interne de demain et une définition des défis et
des enjeux futurs de la profession à savoir :
 affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la faveur d’un
rattachement hiérarchique à la direction générale et de liens fonctionnels avec le comité d’audit,
lorsqu’il existe ;
 se positionner, plus encore que par le passé, comme un outil majeur de détection, de prévention et
de maîtrise des risques, en coordination avec toute autre fonction concernée (Risk management,
Compliance,..) ;
 maintenir son indépendance, son objectivité et son impartialité ;
 accroître son professionnalisme à travers :
 une formation permanente ;
 une méthodologie et des outils adaptés et performants basés t sur les risques ;
En relevant ces défis, l’audit interne sera un acteur incontournable de la bonne gouvernance de
l’organisation bancaire et apportera aux banques encore plus de valeur ajoutée par :
 la révélation des problèmes potentiels et les risques qui en découlent afin de prendre rapidement les
actions correctrices ;
 l’apport au top mangement d’une vue objective des opérations au sein de la banque ;
 l’assurance sur l’accomplissement des objectifs tout en respectant les lois et les règlements en
vigueur ;
 la prévention de la fraude ;
 la détection des opérations inefficaces en vue de leurs améliorations ;
Il reflète ainsi l’image d’un audit interne au service tant de la direction générale que du comité d’audit, à
même de prévenir la destruction de valeur au sein de l’organisation bancaire et d’apporter une contribution
déterminante à une bonne gouvernance.
Page 145
Bibliographie
Ouvrages de base :
 ANTOINE SARDI, « Audit interne des banques », presse universitaire de France, 1990, 128 p
 ANTOINE SARDI, « Audit et inspection bancaire », AFGES, 1988

ème
 JACQUES RENARD, « Théorie et pratique de l’audit interne », éditions d’organisation, 6 édition
2006
 DANIELE BATUDE, « l’Audit comptable et financier », NATHAN UNIVERSITE, 1997, 128 p
 MARC THORIN, « l’Audit informatique », HERMES, 2000, 184 p
 L.COLLINS & G.VALIN, « Audit et contrôle interne », DALLOZ
 L.HERVE, « la pratique de l’Audit », ECONOMICA
 G.BENEDICT & R.KERVAL, « évaluation du contrôle interne dans la mission d’audit », FOUCHER,
1990, 95 p
 MOHAMED FESSI, « la pratique de l’audit interne », CLE, 1999, 283 p
Textes législatifs :
Lois, décret et arrêtés :

 Loi n°96-112 du 30 décembre 1996 relative au système comptable des entreprises
 Arrêté du ministère des finances du 25 mars 1999 portant approbation de la norme comptable NCT
22 relative au contrôle interne et à l’organisation comptable dans les établissements bancaires
 Règlement n°99-03 du 29 avril 1999 du comité de régulation comptable portant approbation du plan
comptable général français
 Normes IFRS pour la publication financière
 Loi n°2001-65 du 10 juillet 2001 relative aux établissements de crédits telle que modifiée et
complétée par la loi n°2006-19 du 2 mai 2006
 Loi n°2005-96 du 18 octobre 2005 relative au renforcement de la sécurité des relations financières
sur la sécurité financière
 Loi Sarbanes Oxley Act
er
 Loi n°2003-706 du 1 août 2003 sur la sécurité financière en France
 Le règlement français n°97-02 du 21 février 1997 relatif au contrôle interne dans les établissements
de crédit et les sociétés d’investissements tel que modifié par le règlement n°2001-01 du 26 juin
2001 et le règlement n°2004-02 du 15 janvier 2004 et par les arrêtés du 31 mars 2005, du 17 juin
2005 et du 20 février 2007
Circulaires et notes de banques :

 La circulaire aux banques n°91-24 du 17 décembre 1991 telle que modifiée par la circulaire aux
banques n°2001-04 du 16 février 2001 et la circulaire aux banques n°2001-12 du 4 mai 2001.
Page 146
 La circulaire aux établissements de crédit n°2006-06 du 24 juillet 2006 relative à la mise en place
d’un système de contrôle de la conformité dans les établissements de crédit
 La circulaire aux établissements de crédit n°2006-07 du 24 juillet 2006 relative au comité exécutif de
crédit
 La circulaire aux établissements de crédit n°2006-19 du 28 novembre 2006 relative à la mise en
place d’un système de contrôle interne et des comités d’audit au sein des banques
 La note aux banques et établissements financiers n°93-23 du 30 juillet 1993 relative aux termes de
référence pour l’audit des comptes
 La circulaire aux établissements de crédit de France n°97-10
 La circulaire n°99-02 du 16 avril 1999 aux établissements de crédits et aux réviseurs agréés de la
commission des banques et finance de Belgique
Normes professionnelles :
 Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA
 Code d’éthique de l’IIA
Articles de presse :
 IFACI, « prise de position : commentaires de l’IFACI sur le document consultatif du comité de BALE
relatif à l’audit interne dans les banques et aux relations entre les superviseurs bancaires et les
auditeurs internes et externes » ; décembre 2001
 CLAUDE MAUVAIS, « Le modèle COBIT », la lettre d’ADELI n°43, avril 2001
 OLIVIER REMOND & BRUNO RENHAS, « l’enjeu de Bâle 2 pour le système d’information de la
banque de détail », Banque magazine, n°650, septembre 2003
 BARBARA LAMBERT & ANTONIO MIRA, « l’approche risque au centre de l’audit bancaire »,
AGEFI, novembre 2003
 GROUPE DE TRAVAIL DE L’AFAI, « contrôle interne et systèmes d’information », novembre 2003
 INSTITUT DES VERIFICATEURS INTERNES DE MONTREAL, « l’Auditeur libre », octobre 2004
 IFACI, « prise de position : audit interne - qualité », mai 2004
 JULIEN DIDIERJEAN & LUCA TAGLIABUE & BERTRAND JABOULAY, « audit interne : un
intervenant incontournable au sein de la gouvernance d’entreprise », octobre 2007
Articles Internet :
 « Les dossiers thématiques – loi Sarbanes Oxley » (http://www.lexposia.com)

 « Bale 2 évolutions enjeux et perspectives_finances_exposé_2007 » (http://adserver.aol.fr/adlink)
 « Bale 2 et ses conséquences sur les règlements prudentiels des établissements financiers »
(http://adserver.aol.fr/adlink)
 « Banque centrale de Tunisie, réglementation bancaire » (http://bct.gov.tn/bct/siteprod/documents)
 « Comment utiliser la loi Sarbanes Oxley à votre avantage » (http://www.hyperion.fr)
 « Gouvernance d’entreprise » (http://fr.wikipédia.org/wiki/gouvernance-d’entreprise)
 « La loi Sarbanes Oxley est vécue comme une contrainte par 42% des dirigeants statistiques »
(http://www.atelier.fr/statestiques)
 « Le ratio cooke_économie fiche 2001 » (http://adserver.aol.fr/adlink)
Page 147
 « Les implications de la loi Sarbanes Oxley transformer des obligations légales en avantage
concurrentiel » (http://www.decisio.info)
 « L’implication des nouvelles lois de sécurité financières sur les démarches d’audit suite aux
scandales financiers à la ENRON » (http://adserver.aol.fr)
 « Loi Sarbanes Oxley » (http://fr.wikipiédia.org/wiki)
 « Media _press articles » (http://www.ey.com/global:content.nsf/luxembourg_E/home)
 « Mise en place de la loi Sarbanes Oxley en 10 points » (http://www.xmcopartner.com/actu-
secu/actu-secu-mars2006)
 « Utilité de la loi Sarbanes Oxley » (http://adserver.aol.fr/adlink)
 « le risque opérationnel » (http://fmarkets.com/php/engine/go.php)
 « la loi Sarbanes Oxley : faits et conséquences » (http://www.ey.com/ch/corporate-governance)
 « Risk management et audit interne : des fonctions clés pour l’efficacité du dispositif de contrôle
interne » (http://www.deloitte.fr)
 « do you speak COSO » (http://www.keyword.fr)
 « SocGen : sept questions sur une affaire mystérieuse » (http://www.LeFigaro.fr)
 « la société générale et le paradoxe de Bâle » (http://www.lesechos.fr)
 « PV d’audition de Jérôme KERVIEL par la brigade financière » (http://www.lexinter.net)
 « présentation du COBIT V4.1 : COBIT socle de la gouvernance SI » (http://www.afai.fr)
Mémoires d’expertise comptables :
 HENDA ZAKHMA, « la mise en place des comités d’audit dans les établissements bancaires en
Tunisie », 1999
 SAMIA BELHADJ, « La gestion du risque de crédit : vers une nouvelle approche quantitative et
perspective pour les établissements bancaires », 2000
 MOHAMED ABID, « gestion du risque de taux d’intérêt : appréciation couverture et rôle de l’expert
comptable », 2000
 MOHAMED FEHRI KOUTI, « Le contrôle interne de l’activité monétique dans les banques en
Tunisie », 2001
 HOUSSEMEDDINE TAABOURI, « Les opérations de change dans les banques : gestion, risques,
contrôle interne et approche de révision », 2002
 MOUNIR GRAJA, « Nouveau dispositif d’adéquation des fonds propres BALE II : mise en œuvre
dans le système bancaire Tunisien », 2003
 HAMIDE ATIDE, « Gestion des risques bancaires : enjeux règlementaires et opérationnels », 2004
Mémoire de mastère finance :
 KAMAL ABOU EL JAOUAD, AFEF EDDELALI et FLAVIO ADAM POUZONI « les enjeux du
contrôle interne », Université d'Auvergne Clermont 1 Faculté des sciences économiques et de
gestion, 2007
Mémoire de mastère spécialisé auditing management accounting et

information system :
Page 148
 HICHEM ZMARROU; « le dispositif de maîtrise des risques et le contrôle interne au sein des
établissements de crédits », Ecole supérieure de commerce Lille, 2006
Rapports, études et publications diverses :
 IFACI, « résultat de l’enquête sur les rapports 2003 des présidents de conseils relatifs aux
procédures de contrôle interne », septembre 2003
 IFACI, « résultat de l’enquête sur la pratique de l’audit interne en France 2005 », 2005
 IFACI, « groupe professionnel banque :troisième rencontre commission bancaire / IFACI »,
novembre 2005
 AMF, « Le dispositif de contrôle interne cadre de référence », 2005
 AMF, « Rapport 2007 de l’AMF sur le gouvernement d’entreprise et le contrôle interne », janvier
2008
 COMITE DE BALE SUR LE CONTROLE INTERNE, « gestion du risque opérationnel », octobre
1998
 COMITE DE BALE SUR LE CONTROLE INTERNE, « principes fondamentaux pour un contrôle
bancaire efficace », octobre 2006
 COMITE DE BALE SUR LE CONTROLE INTERNE, « deuxième pilier la surveillance prudentielle »,
juin 2004
 COMITE DE BALE SUR LE CONTROLE INTERNE, « internal audit in banking organisation and the
relationship of the supervisory authorities with international and external auditors », juillet 2000
 COMITE DE BALE SUR LE CONTROLE INTERNE, « internal audit in banks and the supervisor’s
relationship with auditors : a survey », août 2002
 COMITE DE BALE SUR LE CONTROLE INTERNE, « renforcement de la gouvernance d’entreprise
dans les établissements bancaires », février 2006
 COMITE DE BALE SUR LE CONTROLE INTERNE, « saines pratiques pour la gestion et la
surveillance du risque opérationnel » février 2003
 COMITE DE BALE SUR LE CONTROLE INTERNE, « cadre d’évaluation des systèmes de contrôle
interne », janvier 1998
 THE INSTITUTE OF INTERNAL AUDITOR (IIA), « les normes d’audit interne : les raisons de leur
importance », 2005
 GLOBAL TECHNOLOGY AUDIT GUIDE (GTAG), « auditing application controls », juillet 2007
 GLOBAL TECHNOLOGY AUDIT GUIDE (GTAG), « identity and acess management », novembre
2007
 PCAOB, « auditing standard n°5 : an audit of internal control over financial reporting that in
integrated with an audit of financial statements and related independence rule and conforming
amendments », mai 2007
 CLUSIF, « la réforme Bâle 2 : une présentation générale », décembre 2004
 CONTROLE FEDERAL DES FINANCES, « mise en place d’un système de contrôle interne »,
décembre 2003
 INTOSAI; « lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur
public » ; 2004
Page 149
 L. HOUDOT, « rapport 2004 de l’AMF sur le gouvernement d’entreprise et le contrôle interne »,
février 2005
 FREDERIC BERNARD, REMI GAYRAUD & LAURENT ROUSSEAU, « le contrôle interne », 2006
 JEAN BEDARD, « la loi Sarbanes Oxley et la vérification interne », cour à l’université Laval,
septembre 2003
 SERGE JEANNEAU, « initiatives récentes des comités siègent à Bâle et du forum sur la stabilité
financière », rapport trimestriel BRI, décembre 2002
 JEAN FRANCOIS NANTERRE, « gestion de la qualité : audits internes et externes » ; 2004
 PRICE WATERHOUSE COOPERS, « comment rééquilibrer les priorités de l’audit interne dans l’ère
Sarbanes-Oxley », mai 2005
 PRICE WATERHOUSE COOPERS, « système de contrôle interne : un outil de gestion en pleine
mutation », juin 2007
 DELOITTE, « risk management et audit interne : des fonctions clés pour l’efficacité du dispositif de
contrôle interne », mars 2005
 ERNEST & YOUNG, « les pratiques de l’audit interne dans les groupes mondiaux et les spécificités
françaises », octobre 2007
 MAZARS, « la mise en œuvre d’IFRS 7 et du pilier 3 de Bâle II dans les établissements de crédit »,
janvier 2008
 MAZARS, « la première application d’IFRS 7 dans la communication financière des établissements
de crédits européens », juillet 2008
 MAZARS, « une analyse de la communication financière des établissements de crédit en arrêté
intermédiaire dans un contexte de crise », novembre 2008
 AON CARTOGRAPHIE & CONTROLE DES RISQUES en association avec NYSE EURONEXT,
« regards croisés sur la communication financière des risques de l’entreprise : pratiques et opinions
des émetteurs et analystes », novembre 2007
 PROTIVITI SAS, « baromètre du risque management 2007 », janvier 2008
 EWART S WILLIAMS, « the internal auditor in our emerging financial environment », septembre
2007
 MAKRAM CHEMANGUI & RIADH MANITA, « évaluation de la qualité de l’audit interne-audit
externe : proposition d’une démarche de conceptualisation », janvier 2008
 GERARD PARIZEAU, « la gestion du risque de crédit et la stabilité du système financier
international » avril 2000
 IFACI, « l’audit interne vers une collaboration renforcée avec ses partenaires externes », septembre
1998
 COMMISSION DU VICE PRESIDENT KINNOCK, « conditions de mise en place d’une structure
d’audit interne dans chaque service de la commission » décembre 2000
 PWC ADVISORY INTERNAL AUDIT, « pricewaterhousecoopers, state of internal audit profession
study : internal audit post Sarbanes Oxley » janvier 2006
Séminaires et formations :
 CRISTIAN DE BOISSIEU, « le contrôle interne des établissements de crédits », 1999
Page 150
 SYLVIE LE DAMANY, ANNIE BRESSAC, THIERRY VAN SANTEN & PIERRE ALEXANDRE
BAPST, « gestion des risques, audit interne et contrôle interne », AMRAE, janvier 2006
 MONDHER BELLALH & SAMI BEN JOUDA, « la mise en application de la nouvelle circulaire
2006-19 de la BCT relative au contrôle interne dans les établissements de crédits », IMAC, février
2007
 CRISTIAN SZYLAR, « contrôle interne et circulaire aux établissements de crédits n°2006-19 »,

APTBEF, juin 2007
 JEAN LOUIS GUARNIERO, « les nouveaux outils de l’audit interne et du contrôle interne », ATAI,
mai 2007
 GERARD VALIN, « initiation à l’audit », CERAN SOPHIA ANTIPOLIS, 2007
 MOUNIR GRAJA & CHIHEB GHANEMI, « nouveau dispositif d’adéquation des fonds propres Bâle
II », APTBEF, février 2008
Sites Web :
 www.jurisitetunisie.com
 www.apbt.org.tn
 www.bis.com
 www.ifaci.com
 www.theiia.org
 www.pwc.com/internalaudit
 www.controle-interne-theses-syntheses.info
Page 151
Annexes
Page 152

A Fonction Audit Interne Dans Les Etablissements de Credits: LE Nouvel Outil DE Creation DE LA Valeur Ajoutee

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

A Fonction Audit Interne Dans Les Etablissements de Credits: LE Nouvel Outil DE Creation DE LA Valeur Ajoutee

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSITE DE LA MANOUBA

Institut Supérieur de Comptabilité et d’Administration des Entreprises

Mémoire de diplôme national d’Expert Comptable

LA FONCTION AUDIT INTERNE DANS LES

Proposé par : Mohamed Amine SELTANA

Année universitaire 2011 - 2012

TABLE DES ABREVIATIONS ......................................................................................................................... 5

INTRODUCTION GENERALE ......................................................................................................................... 6

PREMIERE PARTIE : ...................................................................................................................................... 8

Chapitre I : Historique et objectifs du contrôle interne ..................................................................................................................... 9

DEUXIEME PARTIE : .................................................................................................................................... 34

LES NOUVELLES PREROGATIVES DE L’AUDIT INTERNE COMME OUTIL DE CREATION DE LA

Chapitre I : Les enjeux de l’audit interne .......................................................................................................................................... 35

Chapitre II : L’Audit interne au cœur du dispositif de contrôle bancaire....................................................................................... 53

CONCLUSION GENERALE ........................................................................................................................ 144

BIBLIOGRAPHIE ......................................................................................................................................... 146

ANNEXES .................................................................................................................................................... 152

Le présent mémoire essaie de synthétiser quelques éléments de réponse à certaines interrogations se

Le management des risques dans le

Historique et objectifs du contrôle

Section 1 : Les origines et les sources du contrôle interne

1. Le référentiel COSO 1 (Internal Control – Integrated Framework)

2. Le référentiel COSO 2 (Entreprise Risk Management Framework)

1 Le responsable de management des risques

En France, le contrôle interne est régi par :

En Angleterre, le « Trumbull guidance », dit également : « Trumbull report », a constitué le cadre de

Section 2 : La montée en puissance des obligations réglementaires

§ 1 - La loi Sarbanes-Oxley Act

En effet, de cette loi se dégage les trois principes fondamentaux, suivants :

§ 2 - Le règlement n°97-02 du 21 février 1997 du CRBF et les lois de sécurité

1. Le règlement n°97-02 du CRBF tel que modifié par le règlement n°2001-01

Ce règlement a confirmé les dispositions règlementaires antérieures, relatives :

 Existence de circuits prédéfinis et clairs de l’information ;

2. La loi n°2003-706 du 01 août 2003 sur la sécurité financière (LSF)

La loi sur la sécurité financière a attribué au président du conseil d’administration ou du conseil de

3. La loi n°2005-96 du 18 octobre 2005 sur le renforcement de la sécurité des relations

La deuxième partie de la loi n°2005-96 a été consacrée au renforcement de la politique de communication

§ 3 - La circulaire BCT n°2006-19 du 18 novembre 2006

3 CCT : Compagnie des Comptables de Tunisie

5 Article 3 de la circulaire n°2006-19

Section 3 : Le contrôle interne au service de la pérennité de l’entreprise

§ 1 - La sauvegarde du patrimoine et la fiabilité de l’information

Il contribue aussi à l’amélioration des informations financières, en amenant :

§ 2 - Le respect des orientations de l’organe exécutif et des procédures

§ 3 - Un système de pilotage de l’entreprise

Les spécificités du processus de

Section 1 : L’évolution du risque bancaire

Section 2 : Les risques majeurs de l’activité bancaire

6 Pratique de l’activité bancaire « François DESMICHT » - DOUND 2JJ4, page 239

Pratique en matière d'emploi et sécurité du lieu de travail

Risque de Règlement Réglement / contrepartie

Emplois Ressources Emplois Ressources

Principal de la dette 1000 k$ 1000 k$ 1000 k$ 1000 kDT

Hypo u : var + 0,05 parité $/DT

Pour parier à ce risque le comité de Bâle a prévu :

§ 3 - Le risque global de taux d’intérêt

Gap taux fixe = Actif taux fixe – Passif taux fixe

Le règlement de la Commission de Régulation de la Bourse de France (CRBF) n°97-J214 définit le risque

1. Les composantes du risque opérationnel

 Risque de ressources humaines : c’est le risque d’infraction à la réglementation du travail en

2. L’apport de la réforme Bâle II : les trois piliers du ratio « Mc Donough »

Pilier II : Renforcement de la surveillance prudentielle par les superviseurs nationaux

Pilier III : Utilisation de la communication d'informations financières afin d'améliorer la discipline de