PFE AuditInterne BP

UNIVER SITE CADI AYYAD MARRAKECH
ECOLE NATIONALE DE COMMERCE ET DE G ESTION

MARRAKECH
Rapport de stage
En vue de l’obtention du diplôme des Ecoles Nationales de
Commerce et de Gestion
Option : Audit et contrôle de gestion
Thème :
« La Contribution de l’audit interne dans la gestion des
risques opérationnels »
Cas « BANQUE POPULAIRE »
Elaboré par :
ABBANA BENNNI Zakariae
Etudiant Master 2 à l’ENCG Marrakech
Sous l’encadrement de :
Docteur El Houssain ATTAK Enseignant-Chercheur à l’Ecole
Nationale de Commerce et de
Gestion de Marrakech
Monsieur Houssain EL KERROUMI Auditeur interne à la Banque
Populaire
Année universitaire 2016/2017

La contribution de l’audit interne dans la gestion des risques opérationnels ii
Dédicace
A la mémoire de mon père, à ma très chère mère :

En témoignage de ma reconnaissance pour tous les
sacrifices consentis pour mon éducation et ma
formation, ainsi que pour leur soutien inconditionnel.
Nulle dédicace ne saurait exprimer suffisamment ma
gratitude, mon amour et mon profond respect.
A mes chers frères, à mon unique sœur pour leur

amour, soutien et encouragement. Aucun mot, aucune
dédicace ne pourrait exprimer ma profonde affection
et mon immense gratitude.
A tous mes ami (e) s pour leur aide et leurs précieux

conseils.
Zakariae BENNANI ABBANA
La contribution de l’audit interne dans la gestion des risques opérationnels iii

Remerciements
En tout premier lieu, je remercie le bon Dieu, tout puissant, de m’avoir donné le souffle
et la force pour survivre, ainsi que l’audace pour dépasser toutes les difficultés.
Je tiens avant d’entamer mon mémoire de fin d’études à exprimer ma profonde gratitude
à plusieurs personnes. Sans leur collaboration, leur contribution et leur assistance, la
réalisation de ce mémoire n’aurait été possible.
Ma profonde reconnaissance va, de prime abord, à M. ATTAK El Houssain notre

professeur et encadrant pédagogique pour son orientation et son indulgence. Tout au long de
mon encadrement, il a su faire constamment preuve de disponibilité, de conseil et d’écoute.
Mais aussi tout au long de ma formation, il ne cesse de nous pousser à faire sortir le meilleur
de nous-même.
Il m’est particulièrement agréable d’exprimer ensuite mon respect et mes remerciements

à M. SKOUTA Anas, pour son accueil au sein de la direction audit, à M. EL KERROUMI
Houssain pour son accompagnement professionnel et sa disponibilité, ainsi qu’à toute l’équipe
de la BANQUE POPULAIRE qui a contribué, de près ou de loin, à faire de mon stage de fin
d’études une expérience fructueuse grâce au soutien de gens chevronnés prêts à tout moment
de me fournir l’explication susceptible d’apaiser ma curiosité attisée.
Je marque également ma profonde gratitude à toute la famille ENCGmiste, à leur

tête monsieur le directeur de l’école nationale de commerce et de gestion de Marrakech, à mes
chers professeurs et à tous le personnel qui n’a épargné incontestablement aucun effort pour
assurer notre formation dans les meilleures conditions.
Je tiens surtout à exprimer ma reconnaissance à ma famille pour leur soutien infaillible

et leur amour inconditionnel.
Enfin, dans l’impossibilité de citer tous les noms, je présente à tous ceux qui ont
contribué de près ou de loin à ce travail, ma profonde reconnaissance.
La contribution de l’audit interne dans la gestion des risques opérationnels iv

Préface
Les Hommes de demain sont eux-mêmes les futurs piliers d’une société active, c’est dans cette
logique que s’inscrit le système d’enseignement supérieur, et se voit différencié par rapport aux
autres systèmes dans la mesure où sa production est particulièrement distincte.
C’est dans cette même logique que s’insère la philosophie d’enseignement à l’Ecole Nationale
de Commerce et de Gestion de Marrakech (E.N.C.G.M), qui accorde au développement
des aptitudes professionnelles et managériales chez les étudiants autant d’importance que la
formation académique. Ainsi, la rigueur, la responsabilité, la créativité et le leadership
constituent des qualités dont les étudiants doivent faire preuve.
Le stage professionnel de fin d’études attire donc une importance imminente de la part de tout
étudiant de l’E.N.C.G.M, puisqu’il constitue la dernière ligne droite qui sépare entre son
apprentissage académique et ses aspirations professionnelles, lui permettant d’approfondir ses
connaissances, de mettre en pratique ses acquis académiques et de s’accoutumer avec les
méthodes pratiques de travail ainsi qu’avec les nouveautés affectant le métier. Ce stage
constitue aussi, une occasion permettant à l’étudiant de développer ses capacités
communicationnelles et de créer un réseau relationnel avec les professionnels et les acteurs du
monde de travail.
Du point de vue académique, le stage de fin d’études règne sur le fruit de cinq années de
formation. De ce fait, l’étudiant est appelé par cette expérience professionnelle, précédée sans
aucun doute par d’autres, à conclure sa formation et à rapporter de son stage une valeur ajoutée
complétée par des efforts de réflexion, d’analyse et de synthèse.
Dans ce contexte et étant en préparation de mon diplôme à l’E.N.C.G.M, option « Gestion

Financière et comptable», mon choix de formation du lieu objet du stage s’est posé sur les
établissements bancaires.
Ce choix est essentiellement motivé par l’importance et la richesse en termes d’apprentissage

professionnel des pratiques bancaires et de conseil effectuées par les experts auprès de
différentes personnes ainsi morales que physiques, ce qui présente pour ma formation un
complément fonctionnel et opérationnel efficace, me permettant à la fois de mettre en pratique
mes connaissances théoriques en finance mais aussi d’approcher les entreprises et comprendre
leur fonctionnement.
C’est ainsi que le lieu objet du stage a été la direction d’audit interne de la banque populaire.
La contribution de l’audit interne dans la gestion des risques opérationnels v

Résumé
Dans ce petit village planétaire, l’Homme étant le centre de tous les intérêts depuis le courant
des pensées humaniste et grâce à la vague des changements qui a précédé, s’est intéressé
davantage à l’entreprise comme une entité à part entière, mais aussi à celle-ci en relation avec
son environnement interne et externe ainsi que les synergies créées grâce à la convergence des
intérêts en étudiant toutes les disciplines.
Les risques constituent des enjeux majeurs pour l’entreprise, et méritent une attention
particulière, voire même, elle est le nerf de guerre permettant d’assurer son efficacité impactant
ainsi les décisions stratégiques, d’où la nécessité de leur maîtrise et de la mise en place d’outils
aptes de les cerner.
Les risques au sein d’une entreprise, et les risques opérationnels en particulier sont donc des
pistes d’analyse très sensibles, qui méritent d’être traitée de façon délicate et minutieuse, au
point qu’il faut absolument un suivi quotidien, d’autant que la combinaison des contraintes rend
les choses plus complexes, le niveau de confiance à instaurer est très volatile et toute tentative
de maîtrise de ces risques reste à revoir.
L’audit est en effet une discipline en pleine expansion en vue de la nécessité de fiabiliser les
dispositifs du contrôle interne ainsi que les dispositifs de maîtrise des risques, il se déroule selon
une démarche sélective bien structurée qui permet l’atteinte des objectifs, elle est caractérisée
par ses phases principales : prise de connaissance générale, évaluation du contrôle interne,
examen des comptes et rédaction des rapports.
L’évaluation de la contribution de l’audit interne nous permettra donc de répondre aux

différentes interrogations sur la maîtrise des risques opérationnels auxquels la société peut faire
face dans l’exercice de ses activités à travers l’examen du dispositif de maîtrise des risques
opérationnels ainsi que du rôle que joue l’audit interne dans la démarche de gestion de ces
risques.
La contribution de l’audit interne dans la gestion des risques opérationnels vi

Sommaire
Dédicace ................................................................................................................................................. iii

Remerciements ....................................................................................................................................... iv
Préface ..................................................................................................................................................... v
Résumé ................................................................................................................................................... vi
Liste des tableaux ................................................................................................................................... ix
Liste des figures....................................................................................................................................... x
Liste des annexes .................................................................................................................................... xi
Liste des abréviations ............................................................................................................................ xii
Introduction générale............................................................................................................................... 1
PREMIERE PARTIE : AUDIT INTERNE ET GESTION DES RISQUES OPERATIONNELS ........ 4
Introduction de la première partie ....................................................................................................... 5
CHAPITRE 1: LA GESTION DES RISQUES OPERATIONNELS ..................................................... 6
Section 1: Les risques dans les organisations ...................................................................................... 6
1. Le concept de risque ................................................................................................................ 6
2. Les types des risques ............................................................................................................... 6
Section 2: Les risques opérationnels ................................................................................................... 7
1. Notion du risque opérationnel ................................................................................................. 7
2. Les différents éléments du risque opérationnel ....................................................................... 8
Section 3 : La maîtrise des risques opérationnels ................................................................................ 9
1. Le processus de maîtrise des risques ....................................................................................... 9
Section 4 : L’audit interne et la gestion des risques opérationnels .................................................... 15
1. La présentation de l’audit interne .......................................................................................... 15
2. Le rôle de l’audit interne dans la gestion des risques opérationnels...................................... 16
3. Les mesures de contrôle des risques opérationnels ............................................................... 17
CHAPITRE 2 : L’AUDIT INTERNE ET LA GESTION DES RISQUES OPERATIONNELS ......... 19
Section 1: Les démarches de l’audit interne ...................................................................................... 19
1. L’approche par les systèmes .................................................................................................. 20
2. L’approche par les risques ..................................................................................................... 21
Section 2 : La maîtrise des risques opérationnels .............................................................................. 24
1. Les dispositifs de maîtrise des risques opérationnels ............................................................ 25
2. Le système de contrôle interne .............................................................................................. 27
Section 3 : L’apport de l’audit dans le dispositif de maîtrise des risques opérationnels ................... 29
1. L’appréciation du dispositif du contrôle interne.................................................................... 30
2. L’évaluation de la cartographie des risques opérationnels .................................................... 32
La contribution de l’audit interne dans la gestion des risques opérationnels vii

CHAPITRE 3 : METHODE DE TRAVAIL ......................................................................................... 33
Section 1 : Le modèle d’analyse ........................................................................................................ 33
Section 2 : Les outils de collecte et d’analyse des données............................................................... 33
1. Le questionnaire du contrôle interne ..................................................................................... 35
2. L’analyse documentaire......................................................................................................... 35
3. L’interview ............................................................................................................................ 35
4. L’observation physique ......................................................................................................... 35
5. Le tableau d’identification des risques .................................................................................. 36
6. Le Tableau des Forces et faiblesses Apparentes (TFfA) ....................................................... 36
7. La grille de séparation des tâches ......................................................................................... 36
8. Le test de conformité et de permanence ................................................................................ 36
Conclusion de la première partie ....................................................................................................... 37
DEUXIEME PARTIE : CONTRIBUTION DE L’AUDIT INTERNE DANS LA GESTION DES
RISQUES OPERATIONNELS CAS « BANQUE POPULAIRE » .................................................... 38
Introduction de la deuxième partie .................................................................................................... 39
CHAPITRE 4 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA BANQUE POPULAIRE . 40
Section 1: Le dispositif du contrôle interne de la Banque Populaire................................................. 40
1. La description synthétique du dispositif du contrôle interne ................................................. 40
2. Les objectifs du contrôle interne ........................................................................................... 44
Section 2 : L’état du dispositif du contrôle interne de la Banque Populaire ..................................... 44
Section 3 : L’audit interne ................................................................................................................. 45
CHAPITRE 5 : LA CONTRIBUTION DE L’AUDIT INTERNE DANS LA MAITRISE DES
RISQUES .............................................................................................................................................. 47
Section 1 : L’appréciation du dispositif de maîtrise des risques ....................................................... 47
1. Dispositif de maîtrise des risques opérationnels.................................................................... 48
2. L’analyse du dispositif de maîtrise des risques opérationnels .............................................. 52
3. L’évaluation du dispositif de maîtrise des risques................................................................. 55
Section 2 : Le rôle de l’audit interne dans le dispositif de maîtrise ................................................... 56
1. L’identification des risques ................................................................................................... 57
2. L’évaluation des risques ........................................................................................................ 58
3. L’évaluation du dispositif du contrôle interne....................................................................... 59
Section 3 : Recommandations ........................................................................................................... 60
Conclusion de la deuxième partie...................................................................................................... 62
Conclusion Générale ............................................................................................................................. 63
ANNEXES ............................................................................................................................................ 64
BIBLIOGRAPHIE ................................................................................................................................ 80
Table des matières ................................................................................................................................. 83
La contribution de l’audit interne dans la gestion des risques opérationnels viii

Liste des tableaux
Tableau 1: Tableau d’analyse des risques ......................................................................................... 12

Tableau 2 : Tableau des risques ......................................................................................................... 24
Tableau 3 : Questionnaire relatif à la maitrise des risques ............................................................. 26
Tableau 4 : Critères d’appréciation du dispositif du contrôle interne ........................................... 45
Tableau 5 : Echelle impact ................................................................................................................. 50
Tableau 6 : Echelle impact ................................................................................................................. 50
Tableau 7 : Plan d’action issu de la revue de la cartographie des risques ..................................... 54
Tableau 8 : Questionnaire sur le dispositif de gestion des risques opérationnels .......................... 55
Tableau 9 : Identification des risques liés au sous-processus réalisation du crédit ....................... 58
La contribution de l’audit interne dans la gestion des risques opérationnels ix

Liste des figures
Figure 1: La logique de la démarche globale de gestion des risques ............ Error! Bookmark not
defined.
Figure 2 : Modèle d’analyse................................................................................................................ 34
Figure 3 : Le rôle de l’audit interne dans le dispositif de maîtrise ................................................. 57
La contribution de l’audit interne dans la gestion des risques opérationnels x

Liste des annexes
ANNEXE N° 1 : PRESENTATION GENERALE DE LA BANQUE POPULAIRE .................... 65

ANNEXE N° 2 : ARCHITECTURE DU CONTROLE INTERNE AU CPM .............................. 72
ANNEXE N° 3 : SURVEILLANCE DES RISQUES PAR LES FOCNTIONS BCP .................... 73
ANNEXE N° 4 : ORGANIRAMME TYPE DE LA BPR ................................................................ 76
ANNEXE N° 5 : CARTOGRAPHIE DES RISQUES - PROCESSUS DE MISE EN PLACE DE
CREDIT ENTREPRISES ................................................................................................................... 77
La contribution de l’audit interne dans la gestion des risques opérationnels xi

Liste des abréviations
ADM: Autoroutes Du Maroc
AFSCO: Association Familiale et Sociale les Couteux
ALM: Asset and liabilities management
AMIFA: Atlantic MicroFinance
ATFP: Arab Trade Financing Program
BAM: Bank Al Maghrib
BCP: Banque Centrale Populaire
BNDE: Banque Nationale de Développement Economique
BPR: Banque Populaire Régionale
CIH: Crédit Immobilier Hôtelier
CPM: Crédit Populaire du Maroc
CRO: Correspondant Risque Opérationnel
CTN: Centre de Traitement National
DGI: Direction Générale des Impôts
DGR: Direction de la Gestion des Risques
DMR: Dispositif de Maîtrise des Risques
E: Evènement
ENCG: Ecole Nationale de Commerce et de Gestion
ETP: Etape
GBP: Groupe Banque Populaire
IFACI: Institut Français de l'Audit et du Contrôle Internes
IFC: International Finance Corporation
IIA: Institute of Internal Auditors
MDM: Marocains Du Monde
MITC: Moroccan Information Technopark Company
OEC: Ordre des Experts Comptables
OPCVM: L’Office de Placement Collectifs en Valeurs Mobilières
OPS: Organisme Préstataire de Services
PDG: Président Directeur Général
La contribution de l’audit interne dans la gestion des risques opérationnels xii

QCI: Questionnaire du Contrôle Interne
SI: Système d’Information
SOMED: Société Maroc Emirates Unis de Développement
CMKD: Le consortium Maroco-Koweïtien de développement
SP: Sous-Processus
SWIFT: Society for Worldwide Interbank Financial Telecommunication
TFfA: Tableau des Forces et faiblesses Apparente
La contribution de l’audit interne dans la gestion des risques opérationnels xiii

Introduction générale
Le secteur bancaire est en mutation : déréglementation, désintermédiation, risques accrus, pour

n’en citer que les éléments les plus courants.
Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle des risques,
de protection des investisseurs et de transparence des marchés et d'autre part, des exigences
toujours plus élevées à la gestion des risques et à l’organisation des établissements bancaires. De
même, elles accroissent le risque de contrôles inadaptés voir défaillants.
Actuellement, au-delà des causes des mutations que connaît le paysage bancaire marocain (les
mouvements de fusion absorption, la disparition des petites banques, la rude course
concurrentielle, la recrudescence des fraudes ….), ce sont leurs conséquences – notamment la
fragilité financière accrue – qui attirent l’attention.
Le cadre réglementaire du secteur bancaire a connu récemment de nouvelles évolutions et a
ainsi subi plusieurs aménagements notamment à travers la refonte de deux textes fondateurs à
savoir : les nouveaux statuts de Bank Al-Maghrib, adoptés par le Parlement le 13 janvier 2005,
conférant à cette institution l’autonomie en matière d’élaboration et de conduite de la politique
monétaire et la nouvelle loi bancaire du 14 février 2006 ayant renforcé les prérogatives de Bank
Al-Maghrib dans le domaine de la supervision bancaire.
Ainsi, avec les évolutions qui marquent le secteur bancaire et qui se caractérisent notamment par
la rapidité de renouvellement des processus, l'automatisation accélérée des traitements ainsi que
par la technicité et la diversité croissante des produits, les risques auxquels les banques sont
confrontées sont devenus plus nombreux, plus significatifs et plus complexes.
De par ses nombreuses activités, la banque doit faire face à de nombreux risques, surtout
opérationnels qui peuvent s’avérer tel un handicap à la réalisation efficace de ses activités et de
ce fait atteindre ses objectifs. La maîtrise des risques opérationnels par le Groupe Banque
Populaire nécessite la mise en place et l’optimisation d’un service audit interne et de gestion des
risques opérationnels.
Ainsi, le problème qui se dégage de notre étude concerne l’efficacité du dispositif mis en place
pour assurer la maîtrise des risques opérationnels.
Les conséquences du problème peuvent être de diverses natures dont :
 Les erreurs ;
 Le retard dans l’exécution des opérations ;
La contribution de l’audit interne dans la gestion des risques opérationnels 1

 La fraude interne ou externe ;
 La violation du secret professionnel.
Pour y remédier, plusieurs solutions s’avèrent envisageables notamment :
 L’évaluation du dispositif de maîtrise des risques opérationnels ;
 L’évaluation et la mise à jour de la cartographie des risques opérationnels ;
 La mise en place d’un dispositif de gestion des risques opérationnels.
La mise en place d’une politique de maîtrise des risques par le Groupe Banque Populaire doit
permettre l’identification et la gestion des risques opérationnels auxquels le groupe peut faire
face. Cette analyse nous mène à nous interroger sur un certain nombre de questions qui seront
d’une aide capitale pour mener à bien cette étude.
En ce qui concerne la question principale, elle s’énonce comme suit : Comment l’audit interne
contribue-t-il à la maîtrise des risques opérationnels ?
Les questions spécifiques qui en résultent sont :
 Quel est l’état actuel du dispositif de maîtrise des risques opérationnels ?

 Quel est l’état des risques opérationnels au sein du Groupe Banque Populaire ?
 Quels sont les outils mis en œuvre pour y faire face ?
Telles sont les questions auxquelles nous essayeront de répondre à travers l’étude du thème :
« La contribution de l’audit interne dans la gestion des risques opérationnels ».
Dans ce mémoire nous analyserons donc l’apport de l’audit interne à la Banque Populaire dans
la maîtrise de ses risques opérationnels.
Pour mener à bien notre étude, il est primordial de se fixer certains objectifs d’ordre général et
spécifique.
L’objectif général est de faire face aux contraintes qui peuvent affecter le bon fonctionnement
de la Banque Populaire ainsi que l’atteinte de ses objectifs à travers les dispositifs qu’elle met
en place pour les maîtriser. Pour ce faire nous nous intéresserons à la contribution de l’audit
interne dans la maîtrise des risques opérationnels.
Ce qu’en est des objectifs spécifiques qui en résultent, nous avons fixé les suivants :
 L’identification des dispositifs de maîtrise des risques opérationnels ;

 L’évaluation du dispositif de contrôle interne mis en place pour assurer leur maîtrise ;

 L’efficacité du dispositif de maîtrise des risques opérationnels.
Ce mémoire sera focalisé sur la contribution de l’audit interne dans la gestion des risques
opérationnels. Cela sera fait en deux grandes parties ; la première partie est consacrée d’une
part à une revue de littérature dans laquelle nous allons aborder les aspects théoriques de la
gestion des risques et de l’audit ainsi que sa démarche et d’autre part à la méthodologie de
l’étude. La deuxième partie, consacrée au cadre pratique, consistera à présenter la structure et
à analyser son dispositif de maîtrise des risques opérationnels afin d’y situer la contribution de
l’audit interne.
Cette étude permettra à la Banque Populaire d’une part de mieux cerner ses risques
opérationnels et d’autre part d’assurer l’efficacité de leur gestion. En outre, elle permettra
d’éveiller la conscience des dirigeants sur l’existence des risques opérationnels, de leur
importance et sur l’apport de l’audit interne à l’organisation.
Pour nous-mêmes, elle sera une occasion pour mettre nos acquis intellectuels et théoriques
appris à l’ENCG en examen, et de les adapter aux réalités du monde professionnel et par
conséquent de développer les connaissances acquises et d’expérimenter le fonctionnement
quotidien d’une entreprise.

PREMIERE PARTIE :
AUDIT INTERNE ET GESTION DES RISQUES
OPERATIONNELS

Introduction de la première partie
Le risque est au cœur de l’entreprise vu la complexité, la dynamique et l’hostilité de
l’environnement dans laquelle elle évolue. L’efficacité de l’entreprise à gérer les risques n’est
pas de les nier ou de les transférer, mais de cerner ses risques en les identifiant en mettant en
place une démarche stratégique ainsi qu’une organisation adéquate à leur existence. Lors de
l’exécution de leurs tâches, les opérationnels font face à nombreuses opérations, d’où la
possibilité de rencontrer les risques opérationnels, ceux-ci peuvent comporter des enjeux pour
les entreprises notamment dans la mise en œuvre du dispositif de leur maîtrise.
La gestion des risques opérationnels a été longtemps traitée de façon marginale voire même
ignorée par la plupart des dirigeants. Le risque étant lié à l’activité humaine, l’essentiel reste de
savoir comment l’identifier, l’appréhender, l’anticiper, le quantifier et prendre des décisions
correspondantes afin, non pas les éradiquer mais d’en assurer leur maîtrise.
Les dirigeants, doivent être en mesure d’apporter des réponses afin de proposer des manières et
procédures pour gérer les risques. Il est donc essentiels pour eux, de bien connaître les différents
concepts, outils et méthodes disponibles pour les identifier, analyser et traiter.
Dans cette première partie, consacrée principalement à la revue de littérature, nous allons
présenter la gestion des risques et l’audit interne, ensuite les dispositifs de maîtrise des risques
opérationnels seront présentés pour y montrer le rôle de l’audit interne et après construire le
modèle d’analyse qui montrera comment nous allons procéder pour apprécier le rôle de l’audit
interne dans la gestion des risques opérationnels à la Banque Populaire.

CHAPITRE 1: LA GESTION DES RISQUES OPERATIONNELS
Section 1: Les risques dans les organisations

Avant d’aborder les risques et notamment ceux opérationnels dans les entreprises, il paraît
nécessaire de définir la notion du risque ainsi que les différents types de risque qui puissent
exister dans toute organisation
1. Le concept de risque
Toutes les entités, quel que soit leur taille, leur nature d’activités ou le secteur économique dans
lequel elles agissent sont confrontées à des risques, et ceci à tous les niveaux.
Selon Moreau (2002), le risque de l’entreprise peut être vu en tant que la menace qu’un
événement, une action ou son omission affecte l’entreprise à réaliser ses objectifs et par la suite
la création de valeur. En 2005, Desroches & Al viennent compléter cette définition pour donner
au risque une grandeur à double dimension. Une probabilité qui donne donc une mesure de
l’incertitude que l’on a sur une gravité des conséquences, en termes de quantité de dommages,
consécutifs à l’occurrence d’un événement redouté.
Par conséquent, nous pouvons déduire que le risque est la probabilité d’événements futurs
pouvant entrainer des situations délicates et agir ainsi sur la performance de toute entreprise.
Ces définitions ont aussi pu dévoiler les composantes du risque à savoir la probabilité qu’un ou
plusieurs événements se réalisent et leurs conséquences.
On peut alors, définir le risque comme un concept permettant à l’entreprise de tenir compte des
événements possibles qui pourraient se réaliser dans un avenir incertain et pouvant impacter
significativement l’entité et ses objectifs. Plusieurs types de risques peuvent se manifester.
2. Les types des risques

Toute organisation est susceptible de rencontrer différents types de risques.
Pour Renard (2009 :157), une liste de risques peut faire face à l’entreprise. On énumère :
 les risques sociaux ;

 les risques financiers ;
 les risques informatiques ;
 les risques technologiques ;

 les risques de transport ;
 les risques commerciaux ;
 les risques juridiques ;
 les risques politiques ;
 etc.
Quant à NGUYEN (1999 :156), il vient compléter cette séparation en identifiant trois types de
risques à savoir :
 ceux liés à l’activité ;

 ceux qui sont internes ou externes ;
 ceux qui sont anciens ou nouveaux ;
DESROCHES & Al (2005 :44), quant à eux, classifient les risques selon deux critères :
 en fonction de leur évolution : les risques convergents dont la gravité diminue avec le
temps ou à effets divergents dont la gravité augmente avec le temps ;
 en fonction de leur impact : les risques à effets directs et indirects ou en cascades
induisant un enchainement de différentes natures.
Par ailleurs, AHOUAGANSI (2010 :37-38) classe les risques en deux catégories :
 les risques spéculatifs : des risques pris par l’entreprise dans l’exercice de son activité
afin de réaliser ses objectifs
 les risques aléatoires et accidentels : la protection contre ces risques se fait à plusieurs
niveaux dont la prévention préalable adaptée (équipements spécifiques, organisation du
contrôle interne ...)
Section 2: Les risques opérationnels

Les risques opérationnels sont présents dans toutes les organisations vu la masse et la diversité
des opérations traitées quotidiennement par les agents, donc des événements inattendus peuvent
se produire et toucher divers secteurs des organisations.
1. Notion du risque opérationnel

Toutes les sociétés sont confrontées aux risques opérationnels, ils peuvent généralement émaner
de l’exécution des objectifs de l’organisation. Ils recouvrent un certain nombre de risques parmi
lesquels on peut trouver les erreurs, la fraude, le risque juridique ou autres et qui engagent non

seulement la responsabilité pécuniaire de l’entreprise mais qui contribuent aussi à la
détérioration de son image de marque.
La circulaire de Bank AL Maghrib (BAM) N°6 donne un sens plutôt restrictif au risque
opérationnel, dans son article 8, elle le définie comme « tous les risques qui pourraient être
engendrés par des procédures inefficientes, des contrôles inadéquats, des erreurs humaines ou
techniques, des fraudes ou par toutes autres défaillances ».
Bâle II le défini comme « Le risque de pertes résultant d’une adéquation ou d’une défaillance
imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y
compris ceux de faible probabilité d’occurrence, mais à risque de perte élevée. Le risque
opérationnel, ainsi défini, inclut le risque juridique mais exclut les risques stratégiques et de
réputation ».
2. Les différents éléments du risque opérationnel

La définition donnée précédemment au risque opérationnel recouvre notamment les erreurs
humaines, les fraudes et malveillances, les défaillances des systèmes d’information, les
problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies,
inondations etc.
Le comité de Bâle a retenu une classification plus détaillée qui a permis une répartition du
risque opérationnel en sept catégories :
 La fraude interne : elle concerne les pertes liées à des actes commis à l’intérieur de
l’entreprise visant à commettre une fraude ou un détournement d’actif ou à enfreindre
une disposition législative ou réglementaire, ou des règles internes de l’entreprise ;
 La fraude externe : c'est-à-dire des pertes liées à des actes externes visant à commettre
une fraude ou un détournement d’actif ou à enfreindre une disposition législative ou
réglementaire ;
 Pratiques en matière d’emploi et sécurité sur le lieu de travail : il s’agit de pertes liées à
des actes contraires aux dispositions législatives ou réglementaires, ou aux conventions
en matière d’emploi, de santé ou de sécurité ;
 Clients, produits et pratiques commerciales : pertes dues à un manquement à une
obligation professionnelle envers un client, à la nature ou aux caractéristiques du
produit ;

 Dommages aux actifs corporels : pertes engendrées par une catastrophe naturelle ou
d’autres événements ;
 Dysfonctionnement des systèmes : sont des pertes liées aux dysfonctionnements des
systèmes (pannes, coupure d’électricité etc.)
 Exécution, livraison et gestion des processus : pertes liées aux problèmes de traitement
des transactions ou de la gestion des processus et aux relations avec les contreparties
commerciales et fournisseurs.
Selon Bâle II, il faut entendre par risques opérationnels les risques que l’organisation, ses
acteurs et l’environnement externe font courir à l’entreprise. Et donc, ils peuvent se décomposer
en quatre sous ensemble :
 Le risque lié au système d’information : Défaillance matérielle, obsolescence des

technologies (matériel, programmes…) ;
 Le risque lié aux processus (saisies erronées, non-respect des procédures …) ;
 Le risque lié aux personnes (absentéisme, fraudes, assurer la relève des postes
importants…) ;
 Le risque lié aux événements extérieurs (terrorisme, catastrophe naturelle,
réglementation…) ;
La diversité des risques auxquels l’entreprise est confrontée revêt une importance capitale d’une
analyse centrale afin de garantir une vue globale, avec une implication de tous les services pour
le but de mieux appréhender l’exposition aux risques.
Section 3 : La maîtrise des risques opérationnels

La maîtrise des risques dans le but de les réduire est une pièce essentielle du management de
l’entreprise.
1. Le processus de maîtrise des risques

Selon SARDI (2002 :183), le processus de gestion des risques doit passer par plusieurs étapes
à savoir l’identification, l’évaluation des risques, l’analyse et la planification, la gestion
opérationnelle des risques ainsi que la surveillance des risques et leur reporting.
1.1. L’identification
Le dispositif de gestion des risques opérationnels consiste à agir sur les différents éléments
identifiés, c’est pour cela que l’identification est la première étape de ce processus.

1.1.1. Définition du périmètre d’analyse
D’après JIMENEZ & Al (2008 :55), le périmètre d’analyse concerne l’établissement dans sa
globalité. Ceci nécessite alors d’assimiler et de modéliser les activités afin d’identifier les
différents risques opérationnels associés. Le découpage des activités de l’entreprise en métiers
et processus devient alors primordial afin d’identifier les événements à risque.
De cette manière, les risques seront analysés de manière détaillée et rattachés à un processus,
s’y ajoute un certain nombre d’informations spécifiques et pertinentes pour l’identification des
risques (déroulement particulier d’activité, risque lié à un contexte …).
1.1.2. Les événements à risques

Pour JIMENEZ & Al (2008 : 61-62), à tout processus identifié dans la nomenclature de
processus est associé des événements à risques. Dans cette étape, on cherche alors à identifier
tous les événements à risques pouvant se produire lors d’un processus et qui pourraient entraver
le bon déroulement de ce dernier.
Certains événements types sont récurrents, et peuvent se retrouver, par ailleurs, comme un
événement à risque dans la quasi-totalité des processus, notamment les erreurs humaines ou
l’interruption du système d’information.
Bâle II préconise la démarche d’identification des événements à risques comme suite :
 l’établissement d’une liste type d’événements à risques : consiste à énumérer les divers
risques (interruption des systèmes d’information, erreurs humaines, fraudes…). Ceci va
permettre d’éviter de refaire un travail acharné d’analyse des risques avec les
opérationnels métiers pour se focaliser sur les risques spécifiques à leur activité ;
 l’établissement de la liste des risques spécifiques : effectuer une liste de risques
spécifiques à l’activité (absence de contrôle, évaluation erronée, …) et des métiers quel
que soit l’activité. Cette étape se fait à la base de réunions et des entretiens avec les
opérationnels métiers afin de définir à quels risques sont-ils sensibles ;
 la validation interne de la nomenclature des risques : cette validation doit s’assurer
qu’un même risque dans deux entités ou activités différents aura la même
compréhension et le même sens afin de conserver un dispositif cohérent ;
 la validation de la cohérence : le dispositif mis en place doit correspondre aux besoins
réglementaires.

Après avoir identifié les risques opérationnels propres à l’organisation, il est nécessaire de les
analyser et de les évaluer, vient donc l’étape de l’analyse et l’évaluation des risques
opérationnels.
1.1.3. L’analyse et l’évaluation des risques opérationnels

Parvenir à analyser et évaluer les risques identifiés permettra le maintien de ces derniers à un
niveau acceptable.
L’analyse des risques et leur gestion sont intrinsèquement liés. Selon l’IFACI, l’analyse
comprend les éléments suivants :
 la définition du contexte et la mise en perspective ;

 l’identification et la documentation des risques ;
 l’évaluation, la quantification et la classification des risques ;
 l’évaluation de la modélisation des risques ;
 la mise au point de stratégies de réduction du risque et de contrôle ;
 l’obtention des ressources et l’attribution des responsabilités ;
 la réduction, le transfert ou l’élimination (si possible) du risque ;
 le pilotage et le suivi du risque.
Par ailleurs, pour Cooper & Lybrand (2000 : 61-62) estiment qu’après l’identification des
risques, il est nécessaire de procéder à une analyse de ces derniers, et ce au niveau de l’entreprise
et de chaque activité. Il existe différentes manières de procéder à cette analyse, dans la mesure
où ils sont difficilement quantifiables. Le processus plus ou moins formel peut se décomposer
généralement comme suit :
 L’évaluation de l’importance des risques ;

 L’évaluation de la probabilité (fréquence, récurrence) de survenance ;
 La prise en compte de la manière de laquelle le risque doit être géré, en d’autres termes
l’évaluation des mesures qu’il convient d’adopter.
Généralement un risque qui n’a pas d’impact significatif et dont la probabilité de survenance
est faible, ne nécessite pas une analyse détaillée. En revanche, un risque majeur avec une forte
probabilité de survenance doit attirer une attention particulière lors de l’analyse. Entre ces deux
cas extrêmes, l’analyse des risques s’avère difficile et doit être faite avec rationalité et minutie.

Une fois évaluées l’importance et la probabilité de survenance du risque, le manager doit étudier
la façon dont il doit être géré et mettre en place des dispositifs de surveillance des risques.
N°/ Facteur Conséquences Gravité Criticité Actions de Criticité Gestion

Date de initiale initiale maitrise des résiduelle du
risque risques et risque
ou d’identification résiduel
situation de l’autorité de
à risque décision et leur
application
Tableau 1: Tableau d’analyse des risques

Source : DESROCHES & Al (2005 : 158)
1.1.4. Le suivi des risques opérationnels

Pour SARDI (2002 : 186), de l’analyse des risques résulte certaines mesures qui doivent être
appliquées notamment le renforcement du contrôle interne, la mise en œuvre de nouvelles
procédures de contrôle.
« La surveillance des risques est une fonction permanente qui s’imbrique dans les procédures
formalisées mises en place par l’établissement. Elle implique l’ensemble des acteurs du contrôle
interne : comité d’audit, auditeurs internes, comités des risques et cellules de management des
risques, contrôleurs de premier et deuxième niveau » (SARDI, 2002 : 63)
SARDI (2002 : 187) ajoute que le suivi des risques est une pierre angulaire du management des
risques. Cette surveillance est mise en place grâce aux contrôles dits « de premier et deuxième
niveau » et du troisième niveau qui concerne l’audit interne qui doit éviter d’être impliqué dans
la surveillance permanente car son rôle est de s’assurer de l’efficacité du dispositif.
1.2. Le dispositif de gestion des risques opérationnels

Il est possible d’identifier dans chaque organisation les zones à risques afin de déterminer les
priorités des programmes de contrôle mis en place. Une évaluation périodique de ce dispositif
de contrôle s’avère nécessaire afin de de s’assurer que celui-ci est adapté au profil de risques.

1.2.1. Les objectifs du dispositif de gestion des risques opérationnels
Les systèmes de contrôle interne ont pour principal but la protection des actifs contre la perte,
le vol et la fraude. Ils visent à réduire voire éliminer la probabilité et la gravité des événements
défavorables ou non désirés. Ces systèmes, bien que nécessaires à la bonne marche des
opérations, sont incomplets dans la mesure où ils se concentrent sur l’atténuation des risques
sans permettre aux gestionnaires de profiter des actions positives pour mieux réaliser la mission
et les objectifs de l’organisation.
D’après JIMENEZ & Al (2008 :91), plusieurs acteurs de l’entreprise interviennent dans la mise
en place et le suivi du dispositif de gestion des risques, car les risques se retrouvent à tous les
niveaux et dans toutes les fonctions de l’entreprise. On citera alors :
 la direction générale : elle a un rôle majeur car elle assure l’efficacité du dispositif par
son implication et l’allocation des moyens ;
 le comité d’audit : toute modification du profil de risques et les décisions prises à leur
égard doivent lui être présentés ;
 les opérationnels : ils gèrent les processus et assurent la mise en place des mesures
correctives et leur application ;
 l’audit interne : il a pour mission d’auditer les dispositifs de gestion des risques
opérationnels et l’élaboration des plans annuels d’audit.
Afin de procurer une meilleure gestion des risques opérationnels, il est nécessaire d’élaborer
une cartographie des risques qui aura pour objectif d’identifier, d’évaluer, de classer, de
comparer et de hiérarchiser les risques susceptibles d’impacter une ligne de métier.
1.2.2. La cartographie des risques opérationnels

Selon JIMENEZ & Al (2008 :63), la cartographie des risques sert à associer les événements de
risques aux processus modélisés, en donnant une vision des impacts possibles et le degré de
maîtrise estimé. Par conséquent, elle permet à l’entreprise d’avoir une bonne vision des risques
auxquels elle doit faire face.
En outre, AHOUAGANSI (2008 :40-41), c’est un inventaire des risques de l’organisation. Elle
est là pour trois principaux objectifs :
 inventorier, évaluer et classer les risques de l’organisation ;

 informer les responsables afin d’adapter le management de leur activités ;

 permettre à la Direction Générale, et au Risk Manager, d’élaborer une politique de
risque qui a s’imposer à tous.
1.1.1.1. Définition
La cartographie des risques est une démarche qui sert d’élaborer un document permettant de
recenser les principaux risques d’une organisation et de les présenter synthétiquement sous une
forme hiérarchisée pour assurer une démarche globale d’évaluation des risques. Elle n’est
toutefois qu’une photographie des risques à un instant donné.
En ce qui concerne les risques « rares », une identification et une évaluation qualitative des
risques va servir de base pour la cartographie, et ceci par les opérationnels de l’entreprise à
travers des questionnaires ou des ateliers de travail.
Identifier
Hiérarchiser
Risques résiduels inacceptables Risques résiduels acceptables

Agir
Gestion des risques Démarche qualité
Evaluer
Figure 1: La logique de la démarche globale de gestion des risques
Source : POULAIN & Al (2002 :41)
1.1.1.2.Les étapes de la cartographie des risques

Selon JIMENEZ & Al (2008 :64), les différentes étapes de la cartographie des risques sont :
 définir les couples processus/risque à évaluer ;

 identifier et évaluer les risques nets (prise en compte de l’existant) ;
 apprécier le dispositif de maîtrise des risques ;
 assurer un contrôle de cohérence avec les risques bruts ;
 classifier et hiérarchiser les risques selon les différents angles d’analyse possibles
(risque net, risque brut, impact, image…).
Cette démarche de réduction de risque est de la responsabilité des acteurs opérationnels chargés
de ces activités. L’audit interne intervient alors pour fournir une assistance technique dans la
réduction des risques, tout en veillant au bon fonctionnement du contrôle interne et le respect
de ces principes.
Section 4 : L’audit interne et la gestion des risques opérationnels

L’audit interne est une fonction permanente dans toute entreprise, mais c’est une fonction
périodique pour les audités car ceux-ci peuvent la rencontrer selon une fréquence qui dépend
de l’importance du risque dans l’activité auditée.
1. La présentation de l’audit interne

Le champ d’application de l’audit interne est très vaste compte tenu du nombre de fonctions sur
lesquels il peut agir. De ce fait, définir l’audit interne est devenu de plus en plus complexe et
un signe de cette complexité est la pluralité des définitions proposées par les auteurs.
1.1. Le concept d’audit interne

« L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour
renforcer leur efficacité. » (SCHICK, 2007 :5).
Ses objectifs s’articulent autour de quatre points :
 s’assurer de l’existence d’un bon système de contrôle interne qui permet de maîtriser
les risques ;
 veiller de manière permanente à l’efficacité de son fonctionnement ;
 apporter des recommandations pour en améliorer l’efficacité ;

 informer régulièrement, de manière indépendante, la direction générale, l’organe
délibérant et le comité d’audit de l’état du contrôle interne.
Ces objectifs sont atteints à travers l’effectuation de différentes missions.
1.2. Les missions de l’audit interne

L’essentiel d’une mission d’audit consiste à examiner les composants de l’organisation et les
conditions dans lesquelles fonctionnent les activités, et ce afin d’identifier les risques et
opportunités qu’ils recèlent.
Selon RENARD (2009 :193), la signification d’une mission d’audit c’est qu’elle se découpe en
périodes précises et identifiables, et qui sont pratiquement les mêmes.
Le mot mission vient du latin « Mittere » qui signifie envoyer, donc la mission est une fonction
temporaire et déterminée dont un gouvernement charge un agent spécial.
2. Le rôle de l’audit interne dans la gestion des risques opérationnels

Selon BERTIN (2007 :113), la gestion des risques, ainsi que l’audit interne et le contrôle
interne, doivent être appréhendés comme un processus continu dont l’application doit être
garanti en permanence. Le rôle de l’auditeur est de fournir une « évaluation indépendante » de
la pertinence, de l’application et de l’efficacité des dispositifs de contrôle interne mis en place
par le management. Améliorer les opérations de l’entreprise en facilitant l’identification et
l’évaluation des risques à tous les niveaux est donc la valeur ajoutée de l’audit interne. Il devrait
y arriver en examinant l’efficacité des processus de gestion des risques mis en place dans
l’entreprise et s’assurant de l’existence de procédures et de normes claires en ce qui concerne
les risques.
Entre autres, le rôle de l’audit interne est donc de conseiller et d’aider la direction à assurer
l’efficacité du contrôle en mettant un programme de travail reposant sur les risques recouvrant
le principal des activités et les principaux systèmes de l’entreprise.
L’audit interne est une fonction d’évaluation dont la tâche essentielle est la validation du
contrôle interne. En outre le terrain d’entente entre l’audit interne et le contrôle interne est la
vérification du respect des procédures.

3. Les mesures de contrôle des risques opérationnels
Les indicateurs de risques sont produits et suivis par les opérationnels afin de maintenir un
niveau relativement bas des risques, de compléter le dispositif d’alerte et d’anticiper les pertes
éventuelles. Pour ce faire, ils doivent permettre de suivre le profil ainsi que l’environnement
des risques de l’entreprise.
3.1. Les indicateurs de risques

Selon JIMENEZ & Al (2008 :110), trois types d’indicateurs peuvent être utilisés :
 les indicateurs à valeur qui visent à évaluer l’évolution du risque lui-même ;

 les indicateurs à niveaux qui visent à suivre le dispositif de maîtrise du risque en tant
que tel et sa chronologie par étape de mise en œuvre (création d’une échelle temporelle,
suivi de plan de continuité) ;
 les indicateurs à score, quant à eux servent à suivre la complétude du dispositif de
maîtrise des risques.
Ayant pour objectif des alertes préventives, les indicateurs seront produits à une fréquence qui
correspond à la mesure « normale » du risque ou du dispositif. Ces indicateurs doivent être
reliés à la nomenclature des risques afin de permettre si besoin de mettre en place des plans
d’actions et une modification de la cartographie des risques.
Une « fiche d’identité » de chaque indicateur retenu devra être créée afin de permettre la
diffusion de l’intérêt de celui-ci et de l’objectif de la mesure. Cette fiche d’identité comprend :
 le nom de l’indicateur ;
 les objectifs :
 son mode de calcul ;
 les sources utilisées ;
 la périodicité d’utilisation ;
 le seuil critique ;
 les conséquences d’une dégradation de l’indicateur.
La création d’un tableau de bord des risques opérationnels donc doit être le reflet de la qualité
de la politique des risques mises en œuvre à différents niveaux de l’entreprise.

3.2. Le tableau de bord des risques opérationnels
Le tableau de bord devra permettre de :
 d’appréhender la nature et l’ampleur des risques encourus ;

 de s’assurer de l’adéquation des dispositifs de gestion des risques opérationnels avec le
profil de risques et le plan d’activité ;
 d’effectuer les arbitrages nécessaires pour limiter et couvrir les risques ;
 de piloter les actions préventives et correctives ainsi que leur état d’avancement.
L’audit, activité indépendante et objective par essence, dépasse la simple vérification de

conformité pour proposer des recommandations et évaluer le processus de management, s’est
installé dans la gestion des risques. Ajuster les dispositifs de contrôle interne pour atteindre ses
objectifs, assurer la bonne circulation de l’information et respecter les directives de l’entreprise
sont du champ d’application de l’audit, comme il vient pour renforcer le contrôle interne dans
la mesure où il doit soutenir les centres de responsabilités à maîtriser davantage leur activité et
non pas à alourdir les procédures de vérification.

CHAPITRE 2 : L’AUDIT INTERNE ET LA GESTION DES RISQUES
OPERATIONNELS
La maîtrise des risques occupe une place de plus en plus grandissante au sein de toute entreprise
au point qu’elle s’est ancrée dans les préoccupations des dirigeants. Les risques qui font face à
l’entreprise doivent, par ailleurs, être identifiés, classifiés et réduits à des proportions
acceptables. En conséquence, un système efficace doit être mis en place sous certaines
conditions pointues telles que l’existence d’un audit interne performant, un processus
d’identification et de mesure de risque simple.
L’audit interne apporte sa contribution à l’ensemble des activités de l’entreprise, et le principal

apport d’un auditeur performant est d’inciter l’entreprise à réfléchir sur la définition des risques
et leurs conséquences sur son fonctionnement avant toute prise de décision. Et pour y parvenir,
il adopte différentes démarches.
Section 1: Les démarches de l’audit interne

Pour jouer pleinement son rôle dans la gestion des risques de l’organisation dans laquelle il
opère, l’audit adopte différentes démarches pour mener ses missions. Plusieurs approches
existent, BECOURT & Al (2008 :25) en distinguent six, à savoir :
 l’approche par les systèmes : c’est la démarche la plus traditionnelle, elle s’intéresse à
des opérations, systèmes de sorte qu’il est limité dans le temps à une partie de
l’entreprise ;
 l’approche « audit total » : elle est illimitée et couvre la totalité des fonctions de
l’entreprise et la totalité de ses activités ;
 l’approche audit transversal : recouvre au sein d’une organisation complexe, l’audit
d’une fonction ou d’une procédure en entier ;
 l’approche « qualité totale », prolongée par l’approche juste à temps : est un moyen pour
identifier le risque d’audit afin de rendre le système plus performant ;
 l’approche par les compétences des auditeurs : les compétences de l’auditeur ont un
impact direct sur le déroulement de la mission ;
 l’approche moderne : dans sa recherche d’efficacité, l’auditeur interne adopte une
approche par les risques, cette approche part du principe qu’il est peu utile d’investir sur
une partie significative où le risque est fortement susceptible d’apparaître.

Nous retiendrons les deux principales approches de l’audit que sont l’approche par les systèmes
et l’approche par les risques.
1. L’approche par les systèmes

Selon COLLINS (1992 :24), le principe de l’approche par les systèmes est basé sur la
conception de l’entreprise, qui est conçue comme un ensemble de systèmes et de procédures
géré par un personnel spécialisé dans le but d’assurer la réalisation des objectifs fixés par les
dirigeants.
1.1. La présentation de la démarche
L’approche par les systèmes consiste de considérer l’entreprise comme un ensemble de

systèmes. Selon BECOURT & Al (2008 :26), dans cette démarche l’audit passe « au peigne
fin » la fonction, système et les processus. Il analyse la structure, l’organisation et le
fonctionnement du système de façon détaillée et apprécie les qualités de contrôle.
COLLINS (1992 :28) ajoute que l’auditeur, dans cette démarche, se base parfois sur les comptes
de résultats pour son étude à travers les systèmes, ces étude est appelée « Top down », car elle
part des documents de synthèse. Dans cette approche, l’entreprise est considérée comme un
ensemble de risques.
Elle consiste en :
 une prise de connaissance de l’entreprise ;

 l’évaluation du contrôle interne ;
 l’identification des cycles significatifs ;
 une revue analytique ;
 l’élaboration du rapport.
1.2.Les limites de la démarche

Pour COLLINS, l’approche par les systèmes peut s’avérer en quelque sorte risquée, car si
l’auditeur n’a pas les connaissances nécessaires pour accomplir une mission en respectant les
exigences de qualité des organisations, il pourra se voir inculper un manque de diligence
professionnelle.
Cette approche comporte certaines limites notamment en ce qui concerne les insuffisances dans
la planification et l’évaluation du contrôle interne :

 planification : difficulté de vérification du non enregistrement d’une opération, alors
que l’auditeur se focalise sur la justification des informations financières par des
éléments probants sur la base de ces opérations ;
 l’évaluation du contrôle interne.
Jusqu’en 2008, les missions de l’audit interne étaient focalisées sur les contrôles financiers,
mais en Avril 2011, CHAMBERS a publié un article dans la Revue de l’audit et contrôle
internes (2011 :40) affirmant que l’audit interne a su se réorienter et retrouver une vision plus
large des risques menaçant les organisations. D’où l’apparition d’une nouvelle démarche,
approche par les risques.
2. L’approche par les risques

La légitimité des pratiques de gestion dépend de leur auditabilité. Rendre les entreprises
auditables, c’est faire en sorte que les processus de gestion puissent être évalués, par l’entreprise
et par des tiers indépendants. Pour rapport à cela, il est convenu de se poser la question sur
l’adaptabilité de l’audit interne aux pratiques de gestion déjà existantes ou au contraire la
manière dont le processus d’audit peut modifier les pratiques de gestion.
2.1.La definition de la démarche

L’approche par les risques consiste pour l’auditeur de focaliser son travail sur les zones ou les
risques peuvent se réaliser. L’analyse aura pour objectif donc d’identifier, pour chacune des
parties de l’entreprise, des facteurs internes qu’ils soient ou externes, facilitant l’occurrence des
risques.
L’auditeur, dans l’étape de la prise de connaissance de l’entreprise, s’informe suffisamment sur

tous les aspects significatifs de l’entreprise ainsi que de l’évolution de son environnement. Etant
donné que l’audit n’est pas exhaustif, il est du travail de l’auditeur de déterminer où se trouvent
les domaines à risques. SARDI (2002 :176) ajoute que l’approche par les risques vise à
identifier les risques majeurs et à analyser les dispositifs mis en œuvre pour les maîtriser.
Selon les normes d’audit, la démarche peut prendre la forme suivante :
 la planification des travaux ;

 le contrôle interne ;
 l’obtention des éléments probants ;
 l’utilisation des travaux d’autres professionnels ;

 la conclusion et rapports d’audit. (Voir annexe 1, l’entreprise comme un ensemble de
risques)
2.2.Les différentes phases de la démarche

Plusieurs facteurs et éléments nécessaires sont pris en considération dans cette démarche de
l’approche par les risques. Une mission d’audit interne est menée pratiquement par une équipe
d’auteurs, dirigée par un chef de mission qui sera responsable du succès de la mission. Celle-ci
se découpe en quatre phases essentielles :
2.2.1. La phase de la préparation

Pour RENARD (2008 :217), cette phase se déclenche par l’ordre de mission qui est le document
qui sert de formalité du mandat donné par la direction générale à l’audit interne. Elle consistera
ensuite à prendre connaissance du domaine à auditer, et identifier les risques et les objectifs de
la mission.
Selon RENARD (2008 :233), cette étape n’est que la mise en place de la norme
2210 :A1 stipulant : « En planifiant sa mission, l’auditeur interne doit relever et évaluer les
risques liés à l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en
fonction du résultat de cette détermination. ». Il s’agit donc d’identifier les endroits où les
risques sont susceptibles de se produire, que d’analyser les risques eux-mêmes.
Dans cette même norme, on lit : « Le but de l’évaluation des risques pendant la phase de
planification e l’audit est d’identifier les secteurs importants de l’activité à auditer. », donc cette
évaluation va permettre à l’auditeur de construire son référentiel et de concevoir son
programme.
2.2.2. La phase de la réalisation

Selon RENARD (2008 :245), la mission commence par une réunion nommée « réunion
d’ouverture », elle consiste à présenter l’équipe, à faire un rappel sur l’audit interne et à réaliser
le rapport d’orientation.
L’auditeur poursuit deux objectifs lors de cette phase :
 mettre en évidence les forces et les faiblesses apparentes du contrôle interne ;

 proposer des solutions d’amélioration.

L’exécution de la mission sur le terrain fait appel à diverses techniques (interview, observation
physique, narration examen analytique, sondages…) et à des moyens (questionnaire de contrôle
interne, feuille de révélation et d’analyse des problèmes…).
L’auditeur devra par la suite valider les constats identifiés lors de l’intervention en les portants,
dans son rapport, à la connaissance du responsable.
2.2.3. La conclusion du rapport

Toute mission d’audit s’achève par la rédaction d’un rapport. Les auditeurs présentent les
conclusions générales de la mission en recueillant les objections et les précisions des audités.
L’auditeur doit remettre un rapport aux destinataires concernés une fois l’audit réalisé.
2.2.4. Le suivi des recommandations

« Le suivi des recommandations, qui plus est une collaboration entre auditeurs et audités,
commence avec la formulation des recommandations. Il se dessine avec la détermination du
(ou des) responsable(s) de chaque recommandation, lors de la validation du projet de rapport.
Il se formalise par l’engagement des responsables désignés dans le rapport sur des plans
d’action. Il se concrétise par la mise en place des actions de progrès agrées entre auditeurs et
audités lors de la revue des réponses. Il se manifeste par la diffusion périodique de l’état
d’avancement des actions de progrès. Il se termine avec une évaluation des résultats obtenus. »
(LEMANT, 1998 :128).
2.2.5. Le tableau des risques

Le tableau des risques consiste à découper l’activité à auditer en tâches élémentaires. Le tableau
de risque aura pour principaux objectifs :
 découper l’activité en opérations élémentaires ;

 indiquer en face de chaque opération élémentaire son objectif et à quoi elle sert.
Ce découpage est d’autant plus important qu’il nécessaire :
 elle constitue le premier stade du tableau des risques ;

 elle représente la première étape de l’élaboration du questionnaire du contrôle interne
(QCI) ;
 elle est la base de la grille d’analyse des tâches ;
 elle est la première étape de l’élaboration d’un contrôle interne rationnel pour le
manager.

RENARD (2008 :235), pour lui, le tableau des risques doit nécessairement prendre en compte
les trois facteurs susceptibles de générer des risques :
 l’exposition : ce sont les risques qui portent sur les biens et sont multiples (malversions,
incendies, dommage de toute sorte) ;
 l’environnement : ce n’est pas le bien lui-même, mais ce qui est autour qui devient
facteur de risque. sous cette rubrique prennent place tous les risques liés aux opérations ;
 la menace : le plus souvent imprévisible, voire invisible. Elle risque de conduire à la
multiplication des procédures qui seront des freins et de contraintes excessifs, si on n’a
pas pris les mesures nécessaires du danger et de la riposte appropriée.
Le tableau des risques permet de cerner les objectifs d’audit retenus, qu’il sera nécessaire de
vérifier sur le terrain lors de la réalisation des travaux d’audit.
Entité / Objectifs de Risques Bonnes Forces et Evaluation

Domaine / contrôle pratiques faiblesses préliminaire
Opération apparentes des risques
F/f
Risque 1 F (faiblesse) Elevé
Risque 2 f Moyen
Risque 3 F Faible
Tableau 2 : Tableau des risques
Source : BERTIN (2007 :41)
L’approche par les risques dénote certaines faiblesses notamment au niveau de la taille de
l’entreprise. En effet, cette démarche n’est efficace que si l’entreprise est de taille importante
mais devient inutile et coûteuse pour les petites entreprises.
Section 2 : La maîtrise des risques opérationnels

La maîtrise des risques d’une entreprise est l’ensemble des initiatives qu’elle devrait adopter
pour faire face aux principaux risques inhérents à ses activités. Toutefois, maîtriser les risques
ne consiste pas seulement à prendre des initiatives pour évincer les risques mais aussi à prendre
des initiatives pour ne pas rater les opportunités.

L’organisation d’un dispositif de maîtrise des risques opérationnels fait intervenir de nombreux
acteurs de l’entreprise car ceux-ci se trouvent à tous les niveaux et dans toutes les fonctions de
l’entreprise
1. Les dispositifs de maîtrise des risques opérationnels

Maîtriser selon Larousse de poche (2003 :488), c’est se rendre maître des éléments difficilement
contrôlables. De ce fait, le dispositif de maîtrise des risques opérationnels est l’ensemble des
mesures qui doivent permettre à l’entreprise d’éviter de faire face à un tel incident. Et donc
c’est l’ensemble des moyens concrets mis en place par les responsables opérationnels pour faire
face aux risques inhérents à leurs activités.
Selin JIMENEZ & Al (2008 :91-92), plusieurs éléments doivent être comportés par le dispositif
qui va servir de base d’une bonne maîtrise des risques opérationnels à savoir :
 une politique bien définie et documentée ;

 un réseau de responsables en charge de l’animation du dispositif et de leur propre réseau
de correspondants au sein de l’entreprise ;
 un dispositif d’identification et de gestion des risques au quotidien ;
 la mise en place d’indicateurs avancés et pertinents assurant des alertes sur toute
perturbation d’un processus donné ;
 des reporting adaptés au profil de risques de l’entité ;
 des évaluations régulières du dispositif par les personnes en charge de son animation et
par des intervenants externes.

Questions Réponses
Oui Non
Identification des principaux risques :
 Existe-t-il un processus d’identification des risques ?
 Une organisation a-t-elle été mise en place à cet effet ?
Analyse des principaux risques :
 L’analyse des risques tient-elle compte des évolutions internes
et externes de la société ?
 Ces analyses donnent-elles lieu à des actions spécifiques ?
Procédures de gestion des principaux risques :
 Une politique et des procédures de gestion des principaux
risques ont-elles été définies, validées par la direction et mises
en place dans la société ?
 Des moyens spécifiques sont-ils consacrés à la mise en œuvre
et à la surveillance des procédures de gestion des risques ?
Surveillance des risques et des procédures de gestion : L’entreprise
communique-t-elle en interne avec des personnes intéressées ?
 Sur des facteurs de risques ?
 Sur les dispositifs de gestion des risques ?
 Sur les actions en cours ?
 Existe-t-il un dispositif permettant d’identifier les principales
faiblesses du dispositif de gestion des risques mis en place ?
Tableau 3 : Questionnaire relatif à la maitrise des risques
Source : RENARD (2006 :224)
Le référant de maîtrise des risques : Selon FAUTRAT (in Revue française de l’audit interne,
Février 2000 :25), il s’agit du document référentiel validé par la direction, qui au niveau global
de l’entreprise visualise les grands processus d’activité, les risques essentiels qui leur sont liés,
et des règles du contrôle interne y correspondant.

2. Le système de contrôle interne
Les notions du contrôle interne sont présentes dans tous les domaines, non seulement dans le
secteur privé mais également dans le secteur public.
Tout le monde est d’accord que l’auditeur doit obligatoirement tenir compte de l’efficacité du
contrôle interne lorsqu’il entreprend la planification de la mission. Ainsi sont nombreuses les
définitions du contrôle interne qui existent.
2.1. Le contrôle interne

Selon l’OEC (ordre des experts comptables) français « Le contrôle interne est l’ensemble des
sécurités contribuant à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la
protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre, l’application
des instructions de direction et de favoriser l’amélioration des performances. Il se manifeste par
l’organisation, les méthodes et procédures de chacune des activités de l’entreprise pour
maintenir la pérennité de celle-ci »
2.2. Les objectifs du contrôle interne

Quatre objectifs du contrôle interne peuvent être identifiés :
 la sauvegarde des actifs : Protéger les actifs de la société en permanence ;

 la qualité de l’information : Elle ne peut être assurée que par l’entremise de contrôles
réguliers qui font partie intégrante des systèmes d’information ;
 assurer l’application des instructions de la direction : il est relativement facile d’émettre
une instruction ; cette facilité et la nécessité de la faire continuellement dans une
entreprise à tous les niveaux de responsabilité posent un problème de contrôle ;
 favoriser l’amélioration des performances : les définitions du contrôle interne visent le
respect d’une efficacité certaine et, à un moindre gré, une certaine efficience dans la
gestion de l’entreprise.
2.3. Les éléments du dispositif interne

Le contrôle interne comporte cinq composantes qui sont :
 L’environnement du contrôle : L’environnement du contrôle est un élément très

important de la culture d’une entreprise, dans la mesure où il détermine le niveau de
sensibilisation du personnel au besoin de contrôles. Il constitue le fondement de tous les
autres éléments du contrôle interne en imposant discipline et organisation. Les facteurs

ayant un impact sur l’environnement de contrôle comprennent, notamment, l’intégrité,
l’éthique et la compétence du personnel, la philosophie et le style de management des
dirigeants, la politique de délégation des responsabilités, d’organisation et de formation
du personnel et enfin, l’intérêt manifesté par le Conseil d’Administration (ou autre
organe d’administration) et sa capacité à définir les objectifs.
 L’évaluation des risques : Toute entreprise est confrontée à un ensemble de risques
externes et internes qui doivent être évalués. Avant de procéder à cette évaluation, il est
nécessaire de définir des objectifs compatibles et cohérents. L’évaluation et la maîtrise
des risques consistent en l’identification et l’analyse des facteurs susceptibles d’affecter
la réalisation de ces objectifs : il s’agit d’un processus qui permet de déterminer
comment ces risques devraient être gérés. Compte tenu de l’évolution permanente de
l’environnement micro et macroéconomique, du contexte réglementaire et des
conditions d’exploitation, il est nécessaire de disposer des méthodes permettant
d’identifier et de maîtriser les risques spécifiques liés au changement.
 Les activités de contrôle : Les activités de contrôle peuvent se définir comme étant
l’application des normes et procédures qui contribuent à garantir la mise en œuvre des
orientations émanant du management. Ces opérations permettent de s’assurer que les
mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la
réalisation des objectifs de l’entreprise. Les activités de contrôle sont menées à tous les
niveaux hiérarchiques et fonctionnels de la structure et comprennent des actions aussi
variées qu’approuver et autoriser, vérifier et rapprocher, apprécier les performances
opérationnelles, la protection des actifs ou la séparation des fonctions.
 L’information et la communication : L’information pertinente doit être identifiée,
recueillie et diffusée sous une forme et dans des délais qui permettent à chacun
d’assumer ses responsabilités. Les systèmes d’information produisent, entre autres, des
données opérationnelles, financières ou encore liées au respect des obligations légales
et réglementaires, qui permettent de gérer et de contrôler l’activité.
Ces systèmes traitent, non seulement, des données produites par l’entreprise, mais
également celles émanant de l’extérieur (événement, marche de l’activité, contexte
général….) et qui sont nécessaires à la prise de décisions en matière de conduite des
affaires et de communication externe.
Il existe également un besoin plus large de communication efficace, communication à
la fois ascendante, descendante et horizontale. Le management doit transmettre un

message clair à l’ensemble du personnel sur l’importance des responsabilités en matière
de contrôle.
Les employés doivent comprendre le rôle qu’ils sont appelés à jouer dans le système de
contrôle interne ainsi que la relation existante entre leurs propres activités et celles des
autres membres du personnel. Ils doivent être en mesure de faire remonter les
informations importantes. Par ailleurs, une communication efficace avec les tiers, tels
que clients, fournisseurs, autorités de tutelle ou actionnaires, est également nécessaire.
 Le pilotage : Les systèmes de contrôle interne doivent, eux-mêmes, être contrôlés afin
qu’en soient évaluées, dans le temps, les performances qualitatives. Pour cela, il
convient de mettre en place un système de suivi permanent ou de procéder à des
évaluations périodiques, ou encore de combiner les deux méthodes. Le suivi permanent
s’inscrit dans le cadre des activités courantes et comprend des contrôles des contrôles
réguliers effectués par le management et le personnel d’encadrement, ainsi que d’autres
techniques appliquées par le personnel à l’occasion de ses travaux. L’étendue et la
fréquence des évaluations périodiques dépendront essentiellement de l’évaluation des
risques et de l’efficacité du processus de surveillance permanente.
Section 3 : L’apport de l’audit dans le dispositif de maîtrise des risques opérationnels

Dans le cadre de leur mission, les auditeurs internes doivent déterminer si :
 l’environnement de l’entreprise favorise la sensibilisation au risque et au contrôle ;

 des objectifs d’entreprise réalistes ont été fixés ;
 des procédures écrites existent, décrivant les activités prohibées et les mesures à prendre
en cas d’infraction ;
 des politiques, pratiques, procédures, rapports et autres mécanismes sont mis au point
pour piloter les activités et protéger les actifs, en particulier dans les domaines à haut
risque ;
 des canaux de communication donnent à la direction des informations fiables et
pertinentes.
Ces missions doivent permettre d’assurer :
 l’appréciation et la maîtrise des risques opérationnels ;

 la bonne appréciation de la politique des risques définie ;

 la capacité de l’établissement à détecter, prévenir et gérer ses risques dans les limites
qu’il s’est fixées et de manière conforme à la réglementation en vigueur.
Le contrôle interne est l’outil de maîtrise par l’entreprise de ses procédures et de son
exploitation. Toutefois, aucun système de contrôle interne n’est parfait, il s’avère donc, une
nécessité de procéder à son évaluation. C’est la responsabilité d’évaluer le fonctionnement du
dispositif de contrôle interne et de faire des recommandations pour l’améliorer.
1. L’appréciation du dispositif du contrôle interne

L’auditeur interne, dans l’exercice de son activité, doit faire preuve de diligence professionnelle
ce qui lui permettra de contribuer à la réduction des risques. Il aura pour mission de vérifier la
pertinence et l’efficacité du contrôle interne compte tenu du risque spécifique à chaque fonction
ou métier de l’entreprise.
Pour BARRY (2009 :16), la définition du contrôle interne montre les objectifs préalables que
l’audit devrait chercher à réaliser. Pour ce faire, évaluer le contrôle interne de l’entreprise vise
à s’assurer, à tous les niveaux de l’entreprise, les objectifs de contrôle sont atteints par la mise
en place de procédures définies dans le cadre d’un manuel et appliqués effectivement par le
personnel. Il ajoute que l’évaluation du contrôle interne permet la détection :
 des points forts du système de contrôle mis en place par l’entreprise ;

 des zones de faiblesses dans l’entreprise et avoir des impacts négatifs sur la fiabilité des
informations.
« L’appréciation du contrôle interne passe par le découpage de l’entreprise en cycles d’activités

et par l’évaluation des procédures mises en place pour atteindre les objectifs de contrôle pour
chacun des cycles. » (BARRY, 2009 :17).
1.1.Le découpage en cycles d’activités

Les cycles que l’on trouve traditionnellement dans l’entreprise, selon BARRY (2009, 17-18),
sont les suivants :
 cycle des dépenses-achats : concernent toutes les fonctions relatives aux achats, depuis
la budgétisation jusqu'au règlement des fournisseurs ;
 cycle dépenses-immobilisations : regroupe les différentes fonctions relatives aux achats
et à la conservation des biens d’équipement, de leur budgétisation à leur dépréciation
ou cession ;

 cycle stocks : fonctions relatives aux stocks et à la production, depuis la réception
jusqu’à l’inventaire ;
 cycle des revenus : concerne les fonctions de ventes et créances, de la budgétisation à
l’encaissement des créances ;
 cycle du personnel : regroupe les fonctions relatives au personnel et à la paie, depuis la
budgétisation des dépenses de personnel à l’embauche jusqu’au règlement des salaires
et des charges sociales ;
 etc.
1.2. L’évaluation du contrôle interne

La démarche utilisée par l’auditeur dans son appréciation du contrôle interne relatif aux
principaux cycles d’opérations et d’éléments d’actifs ou de passifs qui en résultent comporte
deux phases essentielles :
 L’appréciation de l’existant : l’audit est amené à comprendre les procédures de

traitement des données et les contrôles internes manuels et informatisés mis en place
dans l’entreprise. Elle se déroule comme suit :
 prise de connaissance ;
 vérification par des tests que les procédures et les contrôles sont appliqués ;
 évaluation des risques d’erreurs ;
 identification des contrôles internes ;
 évaluation des contrôles internes ;
 L’appréciation de la permanence du contrôle interne : vérifier les fonctionnements des
contrôles internes sur lesquels l’auditeur doit s’appuyer pour effectuer sa mission. Elle
s’effectue ainsi :
 vérification par des tests de l’application permanente des procédures (tests de
permanence) ;
 formulation définitive du jugement à partir de l’évaluation des conclusions des
précédentes phases.
Trois techniques sont utilisées pour l’évaluation du contrôle interne à savoir : les examens de
l’évidence du contrôle à travers l’inspection des documents ou les tests d’existence, les tests de
cheminement et l’observation de l’existence du contrôle de premier niveau.

2. L’évaluation de la cartographie des risques opérationnels
Selon JIMENEZ & Al (2008 :103), la cartographie des risques doit servir de repère dans la
gestion des risques. Son utilisation et sa mise à jour deviennent un processus continu
d’amélioration à travers le suivi des plans d’actions et une revue régulière des évolutions
constatées. Dans la pratique, on constate une revue au moins annuelle des cartographies avec
des mises à jour ponctuelles en cas de changement majeure dans l’organisation. On examine
généralement :
 la hiérarchie des événements courants par impacts ;

 la hiérarchie des événements courants par fréquence ;
 la hiérarchie des événements rares par impacts.
Il est convenu généralement d’associer le dispositif de l’évaluation qu’est la cartographie ave

les statistiques de la base d’incidents qui vont permettre d’objectiver le risque net sur les
événements fréquents.
A travers ce chapitre, nous avons pu cerner le cadre théorique de la gestion des risques et leur
maîtrise à travers la mise en œuvre de dispositifs adéquats ainsi que leur évaluation. En outre
l’apport de l’audit interne a été mis en œuvre à travers les évaluations des dispositifs du contrôle
interne et de la cartographie des risques opérationnels. La fonction d’audit indépendante par
nature, ne doit avoir aucune implication dans la définition et la mise en œuvre des politiques et
outils de maîtrise des risques opérationnels. Son rôle sera alors de valider in fine la pertinence
et la qualité des systèmes mis en place pour cerner le risque et proposer des mesures
d’amélioration.

CHAPITRE 3 : METHODE DE TRAVAIL
Les chapitres précédents nous ont permis d’avoir une vue d’ensemble sur la maîtrise des
risques opérationnels ainsi que le rôle d’audit interne dans ce dispositif. Ce chapitre consistera
à présenter la méthodologie que nous utiliserons et les outils de collecte de données
nécessaires pour la réalisation de l’étude.
Section 1 : Le modèle d’analyse

Notre modèle définira les différentes étapes de la recherche dont la connaissance de l’entreprise
et des dispositifs de maîtrise des risques opérationnels.
Section 2 : Les outils de collecte et d’analyse des données

Certains outils s’avèrent indispensables pour la réalisation du travail, non seulement pour leur
collecte mais également pour leur analyse. A travers ce modèle, une description des différentes
phases et étapes liées à la gestion des risques opérationnels sera faite, tout en mettant l’accent
sur les différents outils utilisés.
La figure ci-après résume notre modèle d’analyse.

Phase Etapes Outils
Organisation et
Connaissance de la
fonctionnement
structure -Analyse documentaire
organisationnelle de la
Banque Populaire -Observation
Mécanismes internes de -Entretiens

gestion des risques
opérationnels
-Entretiens
Dispositif de gestion des

Connaissance risques opérationnels
fonctionnelle du -Observation
contrôle interne
-Entretiens
Rôle de l’audit interne dans
-Tableau d’identification
le contrôle interne
des risques
Contribution de l’audit Evaluation des dispositifs

interne dans la gestion de maîtrise des risques
des risques opérationnels
opérationnels -Grille de séparation des
tâches
Forces et faiblesses du
dispositif de maîtrise des -QCI
risques opérationnels -Test de conformité et de
permanence
Recommandations :
Figure 2 : Modèle d’analyse Bonnes pratiques
Source : Nous-même
1. Le questionnaire du contrôle interne
Le questionnaire aura pour objectif d’analyser les risques et d’évaluer le dispositif du contrôle
interne pour déceler les forces et les faiblesses de celui-ci.
2. L’analyse documentaire
L’analyse documentaire consiste à l’exploitation des documents internes de l’organisation dans
le but d’en tirer des informations utiles pour la prise de décision.
Une revue de documentation de la Banque Populaire concernera les éléments suivants :
 L’organigramme ;
 Le manuel des procédures des risques opérationnels ;
 Les rapports annuels d’activité ;
 Les dispositifs de maîtrise des risques opérationnels.
L’analyse de ces documents permettra d’avoir un aperçu sur le fonctionnement de La Banque

Populaire, des risques opérationnels auxquels elle fait face ainsi que les dispositifs mis en place
pour les gérer.
3. L’interview
L’interview consistera à effectuer es entretiens avec les personnes ressources pour recueillir
leur opinion et assurer ainsi la qualité des informations recueillies. Une meilleure description
du processus de gestion des risques et une appréhension des dispositifs du contrôle interne mis
en œuvre sont parmi les objectifs de cet outil. Il concernera les personnes suivantes :
 La direction des risques ;

 Les auditeurs internes ;
 Les opérationnels.
4. L’observation physique
L’observation physique se fera de deux manières, celle directe nous permettra de comprendre
et de valider les informations recueillies sur le processus de gestion des risques opérationnels ;
et celle indirecte se focalisera sur le dispositif de maîtrise des risques opérationnels dans le but
d’avoir une idée sur la contribution de l’audit interne dans la maîtrise de ceux-ci.

5. Le tableau d’identification des risques
Découper l’activité en différentes tâches élémentaires permettra d’identifier les risques
opérationnels rattachés à chacune d’entre elles et de déterminer les forces de dispositifs de
maîtrise des risques.
6. Le Tableau des Forces et faiblesses Apparentes (TFfA)

Le TFfA permettra d’identifier les risques opérationnels liés à chaque tâche et d’avoir une vue
sur les dispositifs mis en place pour les réduire. Devant chaque tâche il y a l’objectif fixé, le
risque encouru et les pratiques communément admises.
7. La grille de séparation des tâches

Afin de vérifier le principe de séparation des tâches, la grille relie l’organigramme fonctionnel
à l’organigramme opérationnel. La grille de séparation des tâches est une technique qui permet
de détecter d’éventuels dysfonctionnements grâce à l’exploitation, entre autres, de
l’organigramme fonctionnel et hiérarchique. Ainsi, elle permettra de détecter les tâches
incompatibles, les cumuls de fonctions et le mode de répartition des tâches.
8. Le test de conformité et de permanence

Ces tests sont utiles pour s’assurer de l’application des dispositifs du contrôle interne et d’autre
part de s’assurer que les opérations sont toujours traitées conformément aux procédures.
Ce chapitre concernant la méthodologie de l’étude nous a permis de mieux définir le cadre de

conduite de notre étude, d’identifier les outils adéquats et de déterminer à quel moment ils
devront être utilisés.

Conclusion de la première partie
Dans un environnement changeant, toute entreprise est confrontée à un ensemble de risques
internes et externes qui doivent être évalués. Avant de procéder à cette évaluation, il est
nécessaire de définir des objectifs compatibles et cohérents. Compte tenu de cet environnement
changeant (évolution permanente, contexte réglementaire, conditions d’exploitation etc.), il est
inévitable de disposer de méthodes permettant d’identifier et de maîtriser les risques. De ce fait,
les entreprises doivent mettre en place des méthodes pour identifier, analyser et gérer les risques
auxquels elles peuvent faire face.
Dans un environnement changeant, l'auditeur interne peut jouer un rôle dépassant largement
celui de "contrôleur" pour devenir un "catalyseur" encourageant les dirigeants d'entreprise à
agir.
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein de l’entreprise traduit la
volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter
les risques, de rendre l'organisation existante plus performante et plus efficace.
L’audit interne peut jouer un rôle non négligeable en matière d’efficacité de l’entreprise.
Ainsi, dans le cadre de l’exercice de sa mission, l’auditeur est bien placé pour identifier, outre
les problèmes de contrôle, les domaines dans lesquels les contrôles sont inutiles, inefficaces et
coûteux.
Selon CHAMBERS (Revue de l’audit et du contrôle internes, Avril 2011 : 40), pour jouer
efficacement son rôle dans le processus de management des risques, l’audit interne doit être
capable de comprendre comment les risques affectent l’entreprise ? Quel rôle joue-t-il dans la
gestion des risques ? Et comment utiliser l’évaluation des risques ? Ceci doit être fait de manière
permanente car les entreprises deviennent de plus en plus sophistiquées dans le domaine de la
gestion des risques.
Une fois l’importance et la probabilité de survenance des risques évalués, le top management
doit définir la manière avec laquelle ces risques doivent être gérés. Aussi avant d’instaurer des
procédures supplémentaires, le management doit s’assurer si celles déjà existantes sont
adéquates aux risques identifiés ou bien faudrait-il les modifier voire les abroger pour mettre
en des procédures plus adéquates.

DEUXIEME PARTIE :
CONTRIBUTION DE L’AUDIT INTERNE DANS LA GESTION
DES RISQUES OPERATIONNELS CAS « BANQUE
POPULAIRE »

Introduction de la deuxième partie
Le contexte actuel de globalisation et de concurrence acharnée rend nécessaire une adaptation
permanente de l’entreprise à son environnement. Dans ce cadre, la prise de risque est inévitable,
mais aussi un enjeu majeur de développement. C’est dans cette logique qu’un nombre
d’organisations adoptent des dispositifs de contrôle interne et de maîtrise des risques, des
processus aptes d’assurer l’atteinte d’objectifs et d’améliorer leur performance.
La détermination du profil des risques opérationnels correspond à l’identification des processus

supportant des risques opérationnels, à la formulation des risques ainsi qu’à leur notation
(probabilité d’occurrence et de perte). La maîtrise et l’atténuation des risques opérationnels
forment donc un sous-processus très complexe, car ils définissent la capacité de l’entreprise à
se doter de moyens afin de prévenir les risques et de faire face à leur survenance.
L’audit est à l’intérieur de l’entreprise, une activité indépendante d’appréciation du contrôle des
opérations. Son objectif est d’assister les dirigeants, de fournir des recommandations et des avis
des informations concernant les activités examinées, et donc l’aide à la maîtrise des processus.
Dans cette deuxième partie, nous allons présenter l’organisme d’accueil à savoir le Groupe
Banque Populaire, son dispositif de maîtrise des risques, la contribution de l’audit interne dans
la maîtrise des risques opérationnels, pour enfin, ressortir avec des recommandations.

CHAPITRE 4 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA BANQUE
POPULAIRE
Ce chapitre portera sur les différents contrôles de prévention, de détection ou de correction
pour couvrir les risques liés aux activités. En outre, un risque peut être couvert par plusieurs
mesures de contrôle et de même qu’un contrôle interne peut servir à couvrir plusieurs risques
opérationnels.
Section 1: Le dispositif du contrôle interne de la Banque Populaire

La circulaire n°6 de Bank Al Maghrib stipule dans son article 2 que « le système de contrôle
interne consiste en un ensemble de dispositifs conçus et mis en œuvre, par les instances
compétentes, en vue d’assurer en permanence, notamment :
 La vérification des opérations et des procédures internes ;

 La mesure, la maîtrise et la surveillance des risques ;
 La fiabilité des conditions de collecte, de traitement, de diffusion et de conservation des
données comptables et financières ;
 L’efficacité des canaux de la circulation interne de la documentation et de l’information
ainsi que de leur diffusion auprès des tiers ».
De ce fait, le contrôle interne n’est pas une fonction, mais un processus composé de moyens et
de méthodes (organisation, procédures, gestion des risques…) applicables à toutes les activités
et à l’ensemble des organismes du CPM et de leurs filiales (Annexe n°1), visant à donner aux
gestionnaires une assurance raisonnable quant à la réalisation des objectifs et à la maîtrise des
risques.
1. La description synthétique du dispositif du contrôle interne

Au sein du CPM, le dispositif du contrôle interne est structuré autour des axes suivants :
1.1. Un dispositif de contrôle caractérisé

Le dispositif est caractérisé par :
 Des règles de gestion dont la maîtrise incombe aux opérationnels ;

 Trois niveaux de contrôle : Auto-contrôle (opérationnels et hiérarchiques) ; audits
internes et Inspection Générale.

a. L’auto-contrôle : Il s’agit des contrôles permanents ou de premier niveau qui
comportent un ensemble de mesures de sécurité intégrées au traitement des opérations
et concernent :
 Les auto-contrôles effectués par les opérationnels en application des dispositions
de l’article 23 de la circulaire n°6 de BAM qui stipule que « les modalités
d’exécution des opérations quotidiennement effectués par les entités
opérationnelles doivent comporter, comme partie intégrante, les procédures de
contrôle appropriées pour s’assurer de la régularité, de la fiabilité et de la sécurité
de ces opérations » ;
 Les contrôles hiérarchiques (dit à 4 yeux) ayant pour objectifs :
o La détection des erreurs non décelées par les opérationnels (au niveau
des auto-contrôles),
o L’appréciation de l’efficacité des mesures de sécurité intégrées au
traitement des opérations.
Ces contrôles sont de la responsabilité des différents niveaux hiérarchiques.
Au sein de la BCP, les directeurs de divisions peuvent se doter de cellules d’Auto-contrôle

auxquels ils confient, sous leur responsabilité, les contrôles hiérarchiques (si le volume des
opérations traitées l’exige).
Ces cellules constituent un filet de sécurité permettant la détection des erreurs, des insuffisances
de conception, d’organisation et/ou de mise en œuvre des procédures d’auto-contrôle.
Pour leur permettre d’exercer leurs responsabilités, ces cellules doivent consigner par écrit leurs
règles de fonctionnement et leurs modes d’organisation en respectant les règles minimales
suivantes :
 Elles ne doivent en aucun cas décharger les opérationnels des tâches d’auto-contrôle
dont ils assument la responsabilité.
 Les agents faisant partie de ces cellules doivent posséder les connaissances, le savoir-
faire et les autres compétences nécessaires à l’exercice de leurs responsabilités ;
 Un système de reporting quasi-permanent doit être défini pour permettre au Directeur
de division d’être au fait de toute anomalie ou dysfonctionnement relevé. Ce dernier
doit informer régulièrement, l’Inspection Générale ainsi que l’audit interne BCP des

anomalies ou dysfonctionnements majeurs constatés ainsi que toute proposition
d’amélioration du dispositif du contrôle interne existant.
b. Les audits internes (BCP, BPR et Filiales) qui ont pour principale mission d’intervenir
dans les entités relevant de leur champ d’intervention dans le but d’aider les organismes
du CPM et leurs filiales à atteindre leurs objectifs en évaluant le processus de
management des risques, de contrôle et de gouvernance et en faisant des
recommandations pour renforcer leur efficacité ;
c. L’Inspection Générale du CPM qui a vocation à intervenir dans tous les organismes du
CPM et leurs filiales. Elle anime des différents niveaux de contrôle et assure la
surveillance globale des risques, à travers ses missions et l’exploitation des reportings
des audits internes (BCP, BPR et Filiales) et des fonctions centrales chargées de la
surveillance des risques spécifiques.
L’architecture du contrôle interne au CPM est schématisée en annexe n°2.
1.2. Un dispositif de surveillance des risques

Les risques surveillés sont définis par la circulaire n°6 de BAM comme suit :
 Risque de crédit : le risque qu’un client ne soit pas en mesure d’honorer ses
engagements à l’égard de l’établissement de crédit.
 Risques de marché :les risques de perte qui peuvent résulter des fluctuations des prix
des instruments financiers qui composent le portefeuille e négociation ou des positions
susceptibles d’engendrer un risque de change, notamment les opérations de change à
terme et au comptant.
 Risque global de taux d’intérêt : l’impact négatif que pourrait avoir une évolution
défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit.
 Risque de règlement : le risque de survenance, au cours du délai nécessaire pour le
dénouement de l’opération de règlement, d’une défaillance ou de difficultés qui
empêchent la contrepartie d’un établissement de crédit de lui livrer les instruments
financiers ou les fonds convenus, alors que ledit établissement a déjà honoré ses
engagements à l’égard de ladite contrepartie.
 Risque informatique : le risque de survenance de dysfonctionnements ou de rupture
dans le fonctionnement du système de traitement de l’information, imputables à des

défaillances dans le matériel ou à des erreurs, des manipulations ou autre motifs (virus)
affectant les programmes d’exécution.
 Risque juridique : le risque de survenance de litiges susceptibles d’engager la
responsabilité de l’établissement de crédit du fait d’imprécisions, de lacunes ou
d’insuffisances dans les contrats et autres actes de nature juridique le liant à des tiers.
 Autres risques : tous les risques qui pourraient être engendrés par des procédures
inefficientes, des contrôles inadéquats, des erreurs humaines ou techniques, des fraudes
ou par toutes autres défaillances.
Ces risques sont gérés par des fonctions centrales de la BCP, conformément à leurs définitions
de fonctions (Annexe n°3).
Ces fonctions sont tenues d’adresser à l’Inspection Générale des reportings périodiques sur
leurs travaux de surveillance des risques.
L’action de toutes les fonctions en matière de surveillance des risques opérationnels trouve son
relais dans les travaux engagés par les opérationnels pour doter l’Institution d’un outil (évolutif
et permanent) d’identification et de mesure de ces risques (cartographie des risques). Cet outil
va permettre :
Aux fonctions opérationnelles de proposer les actions à mettre en place pour la gestion et la
couverture de ces risques ;
A l’Inspection Générale d’orienter les actions des fonctions chargées du Contrôle pour assurer
la surveillance globale des risques opérationnels.
1.3. Des comités internes

Les comités internes au niveau de la BCP interviennent en amont, et assurent le suivi de l’action
des fonctions dédiées à la surveillance des risques spécifiques (Comité de crédit, Comité
stratégique, Comité d’organisation et Système d’Information, etc.)
1.4.Des comités d’Audit

Ces comités sont notamment chargés d’évaluer la cohérence et l’adéquation des dispositifs de
contrôle mis en place au sein des organismes du CPM et de leurs filiales.
Il s’agit des comités ci-après :
 Le Comité directeur ;

 Les Comités d’Audit de la BCP ;
 Les comités d’Audit Régionaux ;
 Les comités d’Audit des Filiales (établissements de crédit).
2. Les objectifs du contrôle interne

Les objectifs du contrôle interne, adoptés par le CPM, sont ceux définis par l’Institut des
Auditeurs Internes (IIA), pour s’assurer de :
 La fiabilité et l’intégrité des informations opérationnelles et financières ;

 L’efficacité et l’efficience des opérations ;
 La protection du patrimoine (sécurité des opérations, des valeurs et des personnes) ;
 L’application correcte des procédures, instructions, règlements et lois.
Section 2 : L’état du dispositif du contrôle interne de la Banque Populaire

Les mécanismes de contrôle interne mis en place par la société visent à assurer l’amélioration
des prises de décisions et de lutter contre les risques. Pour ce faire une analyse de dispositif est
nécessaire dans le but de déterminer les forces et faiblesses. De ce fait, une mise en évidence
de ses objectifs est capitale pour mieux appréhender.
Le dispositif de contrôle interne à la Banque Populaire ne prévoit pas une définition très claire
des responsabilités des opérationnels, de ce fait, elle ne s’appuie pas sur des procédures
formelles matérialisées par un manuel de procédures. Néanmoins, cette situation n’est pas
estimée en tant qu’un handicap réel dans la réalisation des opérations car les contrôles inopinés
réalisés permettent de mettre les choses au point et d’exercer les responsabilités à travers la
diffusion en interne des informations. En outre, la société devant faire face à certaines exigences
suite à sa forme juridique, à son secteur d’activité et à son environnement dans lequel elle
évolue, a su se doter des outils et des pratiques appropriés à son organisation.
La surveillance du dispositif du contrôle interne est basée sur l’audit interne qui conduit son
adaptation car sa défaillance peut peser lourd sur la réalisation des objectifs assignés aux
opérationnels et entrainer ainsi une baisse de rentabilité.
Cette analyse met en évidence les dysfonctionnements et les risques qui pourraient en résulter.
Cela est dû à l’absence de formalisation du manuel des procédures et à une politique de gestion
des risques insuffisante.

Les critères d’appréciation du dispositif de contrôle interne tiennent compte d’une part des tests
d’audit dont la synthèse des résultats et d’autre part prennent en compte la grille de séparation
des tâches. Les critères d’appréciation du dispositif du contrôle interne dans le tableau ci-après.
Niveau de maîtrise Cote Critères

Inexistant 1 Aucun dispositif de contrôle n’existe.
Insuffisant 2 Le dispositif de contrôle existe mais appliqué
avec beaucoup de lacunes.
Moyen 3 Le dispositif est appliqué avec peu de lacunes.
Maîtrisé 4 Le dispositif est appliqué avec des mesures de
contrôle.
Très maîtrisé 5 Le dispositif et les mesures de contrôle sont
correctement appliqués.
Tableau 4 : Critères d’appréciation du dispositif du contrôle interne
Source : Nous-même
Avec les mutations économiques, tout ne peut être considéré qu’un risque. Cependant, les
risques inhérents aux activités doivent être mesurés et ceci n’est possible qu’à travers une
analyse des mesures prises afin d’assurer leur maîtrise.
Section 3 : L’audit interne

Il est du travail de l’audit interne d’analyser les points forts et les points faibles du contrôle
interne, en tenant compte de sa gouvernance, de sa culture organisationnelle ainsi que des
risques liés et des opportunités d’amélioration qui peuvent avoir un impact sur la capacité
d’organisation à atteindre ou non ses objectifs.
La direction d’audit interne à la Banque Populaire est directement rattachée à la direction

générale qui lui donne un aspect d’indépendance dans la conduite de ses missions (annexe n°4).
Il joue un rôle colossal dans l’évaluation de la cohérence et de l’adéquation du dispositif de
maîtrise des risques opérationnels de la société ainsi qu’il s’assure de la pertinence des mesures
correctives prises ou proposées pour combler les lacunes ou les insuffisances décelées dans le
système de contrôle interne. Il a pour mission d’auditer les dispositifs de gestion des risques
opérationnels dans le cadre des plans annuels d’audit. Ces missions doivent permettre
d’assurer :

 Le respect des règles de fonctionnement communes au CPM ;
 La sécurité des opérations, des valeurs et des personnes ;
 L’efficacité et la qualité des services ;
 La fiabilité et l’exhaustivité des informations.
Ce chapitre nous a permis de mettre en évidence le dispositif de maîtrise des risques

opérationnels à la Banque Populaire et liens qui puissent exister entre l’audit interne et le
contrôle interne. L’audit interne, peut contribuer à la réalisation des buts et objectifs, au
renforcement du contrôle et à l’amélioration de l’efficience et l’efficacité du fonctionnement
ainsi que le respect des autorités.

CHAPITRE 5 : LA CONTRIBUTION DE L’AUDIT INTERNE DANS LA MAITRISE
DES RISQUES
Toute activité d’audit d’entreprise dans l’organisation vise à la réduction des risques de perte
et donc à leur maîtrise. L’objectif de ces contrôles en aval des opérations, réalisés
périodiquement, est d’évaluer l’opportunité des opérations et de suivre les risques qui s’y
attachent.
Une révision du contrôle interne s’avère indispensable pour traiter de manière appropriée tout
risque nouveau ou précédemment incontrôlé. C’est pour cette raison qu’il est nécessaire pour
toute entreprise, quel que soit le domaine d’activité dans lequel elle opère, d’avoir des systèmes
de contrôle interne efficaces. L’efficacité des systèmes de contrôle interne devient donc un
facteur majeur dans l’amélioration de la performance d’entreprise. L’audit doit reconnaître et
évaluer de manière permanente les risques importants qui pourraient aider la Banque Populaire
à réaliser des objectifs. Ce chapitre nous permettra de connaître l’état du dispositif de maîtrise
des risques opérationnels de la société, leur efficacité et d’y cerner l’apport de l’audit interne.
Section 1 : L’appréciation du dispositif de maîtrise des risques

La gestion des risques est l’affaire de tous les acteurs de la société et vise à être globale afin de
couvrir l’ensemble des activités, processus et actifs de la société. Il s’agit ici de mettre en
évidence comment la Banque Populaire maîtrise ses risques car il est à son avantage de mettre
en place un dispositif de gestion des risques adapté à ses réalités. La société a mis en place une
politique de gestion des risques opérationnels dont les principaux fondements sont les suivants :
 Etre en mesure de détecter le plus tôt possible les risques ou les incidents opérationnels
pouvant avoir des conséquences financières et/ou sur l’image du groupe ;
 Analyser les risques potentiels et/ou les incidents, apprécier et/ou quantifier leurs
impacts ;
 Alerter les principaux responsables concernés par lesdits incidents ;
 Disposer d’outils et d’indicateurs de pilotage à destination de la Direction Générale, du
Management dirigeant, des métiers et des différents acteurs du dispositif afin que tous
puissent apprécier leurs expositions aux risques opérationnels et les réduire (coût du
risque) ;
 Faire engager les actions préventives et correctives qui s’imposent pour réduire les
impacts et la probabilité de survenance des incidents et éventuellement adapter les
organisations et les SI.

Le dispositif de maîtrises de risques opérationnels est l’ensemble des moyens mis en place pour
faire face aux risques relatifs aux activités. L’audit doit évaluer le fonctionnement du dispositif,
collecter et diffuser les meilleures pratiques et suggérer des améliorations.
Connaître l’état du dispositif de maîtrise des risques opérationnels est primordial pour effectuer
son analyse.
1. Dispositif de maîtrise des risques opérationnels

1.1.Organisation de la filière risque opérationnels
L’organisation de la filière Risques Opérationnels au sein du Groupe s’articule autour de :
 La fonction centrale au niveau de la BCP qui est chargée de la conception et du pilotage

des outils méthodologiques et informatiques ;
 Des gestionnaires de risques régionaux assurant les relais de la fonction centrale au
niveau des BPR ;
 Des correspondants désignés par métier dans le cadre du protocole de collecte des
pertes, ces correspondants ont pour mission de recenser les pertes opérationnelles et de
les répertorier dans l’outil de gestion des risques mis à leur disposition ;
 Des homologues au niveau des filiales qui veillent à la mise en place de la méthodologie
et des outils risques opérationnels en synergie avec le dispositif adopté au sein du
Groupe.
1.2.Principaux outils de gestion du risque opérationnel

Afin de permettre à la filière Risques Opérationnels d’avoir une gestion efficace, le groupe s’est
doté, depuis plus de 7 ans, d’un outil informatique dédié. Cet outil « FRONT RISK » est suivi
au niveau central pour assurer un développement sécurisé et la possibilité d’en faire bénéficier
un maximum de filiales, mais aussi afin d’obtenir une vue consolidée des risques opérationnels
à l’échelle du Groupe.
De plus, les efforts de renforcement de cet outil se sont poursuivis courant 2016. En effet,
l’intégration des plans d’actions dans l’outil permet aux BRP et aux filiales d’avoir, d’une part
une visibilité et flexibilité dans la gestion courante de leur cartographie des risques et d’autre
part, de piloter les risques critiques.

En outre, l’industrialisation des reportings avec la mise en place du module « Front Report »
facilite la remontée d’informations telles que les incidents par BPR, les risques critiques par
macro-processus ou par processus majeurs…
1.2.1. Cartographie des risques opérationnels

La première étape de la démarche de suivi du risque opérationnel consiste à établir une
cartographie des risques.
Elaborer une cartographie des risques opérationnels consiste, par une approche qualitative, à
apprécier le niveau d’exposition d’une entité à ces risques dans l’ensemble des métiers et
fonctions (opérationnels et support) qui la concernent.
La cartographie des risques ainsi produite permet au management de l’entité de connaître ses
principales zones de vulnérabilité et les risques de pertes encourus correspondants ; ce faisant,
elle est mesure de décider des actions à mener pour gérer ces risques (Assumer, éviter, réduire,
atténuer).
L’année 2015 a connu la poursuite de la revue des cartographies des risques opérationnels des
macro-processus majeurs de la Banque et qui a permis d’atteindre des objectifs en lien avec :
 La mise en place d’une démarche d’évaluation des risques plus qualitative permettant
de se concentrer sur les plans d’actions couvrant les risques les plus critiques ;
 L’harmonisation de l’évaluation des risques entre les Banques Populaires permettant
une meilleure visibilité sur l’exposition au risque pour le Groupe ;
 La concentration des efforts des Banques Régionales dans l’identification des risques
spécifiques et les propositions de plans d’action pouvant servir tout le groupe ;
 La mise à jour de la cartographie des risques moins fastidieuse pour se concentrer sur
les vrais enjeux relevés par les experts métiers.
Pour chaque événement de risque, une appréciation du dispositif de maîtrise des risques (DMR)
est établie selon trois niveaux : Satisfaisant, A renforcer ou Insatisfaisant.
A travers des ateliers avec les experts métiers, des événements de risque opérationnel sont
identifiés et décrits, puis évalués selon deux paramètres à savoir la fréquence et l’impact
financier.

Impact Score Valeurs
Faible 1 < 5 KDH
Modéré 2 Entre 5 et 50 KDH
Moyen 3 Entre 50 et 500 KDH
Fort 4 Entre 500 KDH et 5 MDH
Majeur 5 Entre 5 MDH et 50 MDH
Critique 6 Supérieur A 50 MDH
Tableau 5 : Echelle impact
Source : Rapport des travaux de revue de la cartographie des risques opérationnels
Fréquence Score Valeurs

Extrêmement rare 1 Moins d’une fois dans plusieurs années
Rare 2 Jusqu’à une fois par an
Peu fréquent 3 Quelques fois par an (Entre 2 et 15 fois par an)
Fréquent 4 Quelques fois par mois (Entre 16 et 50 fois par an)
Très fréquent 5 Quelques fois par semaine (Entre 51 et 350 fois par an)
Permanent 6 Permanent : quelque fois par jour (Plus de 351 par an)
Tableau 6 : Echelle impact
Le Groupe a pu élaborer un ensemble de cartographies par domaine et par processus, nous

allons mettre en annexe n°5, une parmi ces plusieurs cartographies existantes à savoir celle
relative au domaine des engagements plus précisément le processus de mise en place de crédit
Entreprises.
1.2.2. Processus de collecte des incidents opérationnels

Avant d’aborder le processus de collecte des incidents, il est primordial de définir ce qu’est un
incident opérationnel, la Banque le définit comme « Un évènement matérialisant un risque
opérationnel susceptible de générer des conséquences financières ou non financières (Coûts
supplémentaires, nuisance à l’image du groupe etc.) ».

Il existe un système de collecte des incidents risques opérationnels basé sur un mécanisme
déclaratif accessible aux différents acteurs des processus opérationnels majeurs de la banque.
Des correspondants risques opérationnels (CRO) ont été désignés au sein des BPR et de la BCP,
avec pour mission de déclarer tout incident répondant aux critères définis par la procédure de
collecte indépendamment de l’entité de survenance.
La base d’incidents permet entre autres :
 D’évaluer les pertes réellement subies suite aux risques opérationnels (coût réel du
risque) ;
 D’apprécier les risques et leur évolution dans le temps (mise à jour de la cartographie
des risques).
Etant basé sur un principe déclaratif, l’exercice connait des insuffisances en matière
d’exhaustivité et de régularité. Afin de remédier à cette situation, plusieurs actions sont
engagées, notamment :
 le focus sur la déclaration des incidents ayant un impact financier important ;

 la formalisation d’un guide méthodologique détaillé sur la qualification et l’évaluation
des incidents ;
 des rapprochements entre les incidents déclarés et les pertes comptables enregistrées ;
 des recoupements effectués également avec les fonctions en charge du suivi des affaires
juridiques ;
 l’utilisation d’autres outils internes comme celui de la résolution des incidents
informatiques afin de collecter les incidents risques opérationnels associés aux
dommages aux actifs.
L’animation permanente des acteurs du processus de collecte des incidents permet d’améliorer
la qualité des déclarations et d’avoir une meilleure visibilité sur le profil de risque de la Banque.
1.2.3. Sensibilisation aux risques opérationnels

Une campagne de sensibilisation aux risques opérationnels est réalisée pour toutes les
fonctions de la Banque depuis l’agence au top management en adaptant le contenu des
supports à la population visée. Par ailleurs, le domaine risques opérationnels est introduit dans
les cycles de formation réalisés pour différentes filières dont celles dédiées aux agents

commerciaux, aux directeurs d’agence, aux chargés de clientèle des particuliers et aux
auditeurs.
La liste des outils de maîtrise des risques cités là-dessus n’est pas exhaustive vu l’effort colossal
que fait le Groupe afin de les réduire, à cette liste peuvent s’ajouter le Suivi des activités
externalisées ; le reporting interne et externe.
2. L’analyse du dispositif de maîtrise des risques opérationnels

Le dispositif de maîtrise des risques opérationnels consiste en l’identification des vulnérabilités
pouvant affecter la réalisation des opérations, d’analyser les risques par une échelle de
fréquence et de gravité (impact) et de déterminer les dispositifs opérationnels permettant de les
réduire à travers des actions préventives ou correctives. Ainsi, la question qu’on se pose est de
savoir ce que la société fait pour améliorer des dispositifs de maîtrise des risques opérationnels.
La mise en place d’une politique de gestion des risques traduit la volonté de la direction générale
de connaître les risques importants de l’entreprise, de les mettre sous contrôle et d’être informé
de la qualité de leur maîtrise. C’est dans cette même logique que la revue de la cartographie des
risques a eu lieu et a pu proposer, pour les risques dont le niveau de contrôle a été jugé
insuffisant ou à renforcer, le plan d’action suivant :
Impact Impact
Processus Evènement de risque Fréquence Score Plan d'action
unitaire maxi
*Assainir le
compte avance
Erreur dans le traitement
sur marché nanti
d'un virement sur e 3 3 Critique 9
*Identifier la
marché nanti
date d'imputation
le même jour
Traitement d'un ordre de
Virement virement unitaire sans Prévoir l'édition
justificatif ou avec défaut 4 2 Critique 8 d'un avis à
de formalisme de l'ordre donner au client
de virement
Prévoir un contrôle
Double traitement d'un en amont sur la
1 5 Critique 5
virement base d'un N° de
bordereau

Impact Impact
unitaire maxi
Instaurer dans le
Détournement d'un système l'état de
Virement 1 4 Critique 4
virement contrôle et de
validation
Prévoir la
possibilité de
récupérer
automatiquement
des comptes
Non traitement d'une confrères le
contestation client dans le 4 2 Critique 8 prélèvement en
délai légal des 7 jours cas de
contestation de
client < 7 jours
comme cela est
convenu au
niveau place
Erreur dans la décision de
Gestion de l'état
validation des écartés :
Prélèvement 3 2 Critique 6 d'accès au
débit du compte sans
forçage à revoir
provision (forçage à tort)
Prévoir un
Non prélèvement du
contrôle sur la
fichier d'OPS domicilié
1 6 Critique 6 prise en charge
chez le confrère (via
des OPS
SIMT)
confrères
*Mettre en place
un listing des
prélèvements
Oubli de traiter le fichier automatiques
6 1 Critique 6
de prélèvement DGI *Formalisation
du délai de
traitement avec
la DGI
Vérifier la
possibilité de
Forçage à tort d'un
Effet 3 3 Critique 9 suivre les
escompte effet émis
dépassements
par Carthago

Impact Impact
unitaire maxi
Suivi de la prise
en charge de la
Retard dans les commande des
traitements des remises bordereaux selon
des chèques 4 2 Critique 8 la taille de
(Scénarisation à l'agence chaque agence et
et saisi au CTN) suivi des rejets
de remise selon
les motifs
étoffer le
Détournements
dispositif de
frauduleux sur comptes
1 6 Critique 6 contrôle
fortement mouvementés
permanent sur
ou sans mouvements
les comptes
Revoir la
Forçage à tort d'un chèque procédure en
3 2 Critique 6
Chèque / reçu verrouillant les
Effet systèmes
statuer sur les
modalités de
Traitement hors délais des
3 2 Critique 6 recevabilité par
oppositions clients
téléphone dans
un délai de 48h
Mettre en place
un état rejet
Non déclaration d'un
3 2 Critique 6 chèque traité par
incident chèque à BAM
les agences et le
Chèque CTN
Définir le
périmètre
d'intervention de
Opération chaque acteur.
Erreur de cours de change 1 3 Critique 3
de caisse Automatiser la
mise à jour des
cours
directement.
Tableau 7 : Plan d’action issu de la revue de la cartographie des risques
Les évènements de risque dont le contrôle a été estimé suffisant mais pour lesquels l’impact
maximal est critique doivent rester sous surveillance.

3. L’évaluation du dispositif de maîtrise des risques
La maîtrise des risques opérationnels traduit la volonté des dirigeants d’améliorer le processus
décisionnel dans un contexte d’incertitude en vue d’une part d’en tirer le maximum d’avantages
et d’autre part de minimiser les coûts.
A la Banque Populaire, l’existence d’une direction des risques assure l’identification,

l’évaluation et le traitement des risques, et alors leur maîtrise.
Pour savoir le degré d’implication de la direction dans la gestion des risques opérationnels, un
questionnaire a été élaboré comme nous indique le tableau suivant.
Eléments Oui NON ou N/A

La société a-t-elle défini des objectifs en matière de Oui
gestion des risques ?
Existe-t-il un responsable pour la gestion des risques Oui
opérationnels ?
La société dispose-t-elle d’un langage commun en matière N/A
des risques ?
Existe-t-il une communication sur les dispositifs de Oui
contrôle interne avec les opérationnels ?
Existe-t-il un processus d’identification des risques Oui
menaçant les objectifs de la société ?
La société a-t-elle mis en place un plan de gestion de crise ? Oui
Les responsabilités sur la maîtrise des risques sont-elles Oui
déterminées ?
Tableau 8 : Questionnaire sur le dispositif de gestion des risques opérationnels
Source : Nous-mêmes (Inspiré du cadre de référence de l’AMF autorité des marchés financiers)
La mesure de l’efficacité du dispositif de maîtrise se fait à travers l’évaluation du contrôle par

la société. En contribuant à prévenir et à maîtriser les risques afin d’atteindre les objectifs que
s’est fixés la société, le dispositif du contrôle interne joue un rôle majeur dans la conduite et le
pilotage des différentes activités. Toutefois, le contrôle interne ne peut pas garantir que les
objectifs de la société seront atteints.

Section 2 : Le rôle de l’audit interne dans le dispositif de maîtrise
L’évaluation des dispositifs du contrôle interne par l’auditeur est une étape inévitable de
maîtrise des risques opérationnels, cela permet de tisser un lien entre le risque identifié et le
contrôle mis en place pour le couvrir en vue de proposer les plans d’actions aptes de sécuriser
le processus.
Cette étape correspond à « la définition et à la consolidation des actions résultantes et à

l’acceptation du risque résiduel » (DESROCHES & Al, 2003 :99). A la suite de toute mission
d’évaluation de la maîtrise des risques opérationnels par l’auditeur interne, un rapport de
recommandations est transmis au management de l’organisation auditée. Ainsi, l’évaluation des
dispositifs du contrôle interne est effectuée de trois techniques à savoir : les examens de
l’évidence du contrôle à travers l’inspection des documents ; les tests d’existence et de
cheminement et l’observation de l’existence du contrôle de premier niveau (Auto-contrôle).
L’audit interne, à travers sa mission, cherche l’évaluation des dispositifs de maîtrise des risques
opérationnels en passant au peigne fin la réalisation des opérations tout en se référant aux
manuel des procédures, les normes et la réglementation pour apprécier le contrôle interne
existant. En outre, il doit apprécier la maîtrise globale des processus de l’entreprise par les
opérationnels.
L’évaluation des risques est donc le processus qui consiste en une inspection approfondie de
l’entreprise afin d’identifier entre autres les éléments, situations et procédés qui peuvent causer
un préjudice. C’est l’étape fondamentale de la gestion des risques par la société, car elle se fait
à travers un tableau synthétique énumérant les différents risques. Cela permet à l’audit donc,
d’apprécier leur probabilité et leur gravité et permet également d’analyser les facteurs
susceptibles d’entraver la réalisation des objectifs du groupe.
L’objectif du processus d’évaluation des risques consiste à réduire le niveau de risque en

mettant en place des mesures de maîtrise ou en adoptant des précautions appropriées.
La figure suivante illustre le rôle de l’audit interne dans le dispositif de maîtrise.

Audit interne Contrôle interne
Direction Générale Parties prenantes Direction générale
Audit interne Directions opérationnelles
Validation de l’efficacité du Principaux acteurs Maîtrise des opérations
contrôle interne
Principal objectif
Figure 3 : Le rôle de l’audit interne dans le dispositif de maîtrise
Source : Nous-mêmes
1. L’identification des risques

L’identification des risques est une étape indispensable pour l’audit interne afin de déceler les
différents risques associés à une activité. Le tableau suivant nous indique l’identification de
quelques risques liés au processus de mise en place de crédits Entreprises, et plus précisément
le sous-processus de réalisation du crédit.
Sous Étapes clefs Événements de Catégorie Sous- Entité/Fonction

Processus risque Bâle catégorie
Bâle
Réalisation Confirmation du Altération des Exécution, Saisie, BPR
du crédit crédit, édition et données juridiques livraison et exécution et
signature des ou financières du gestion des suivi des
contrats contrat envoyé au processus transactions
client pour
signature (pouvant
être à l'origine de
litiges susceptibles
d'engager la
responsabilité de la
banque)
Erreur dans Exécution, Saisie, BPR
l'élaboration des livraison et exécution et
billets à ordre gestion des suivi des
(Erreur sur le processus transactions
montant)

Erreur dans Exécution, Admission et BPR
l'élaboration du livraison et documentation
contrat gestion des clientèle
processus
Contrat non-signé Exécution, Saisie, BPR
par le client livraison et exécution et
gestion des suivi des
processus transactions
Validation et Non-respect des Exécution, Saisie, BPR
déblocage du conditions prévues livraison et exécution et
crédit pour le déblocage gestion des suivi des
(Prise des processus transactions
garanties, mise en
place de
l'assurance,
signature des
billets à ordre,
blocage de compte
courant, …)
Crédit mis en place Fraude Activité non BPR
malgré un refus de interne autorisée
la délégation
compétente
Tableau 9 : Identification des risques liés au sous-processus réalisation du crédit
Source : Cartographie des risques opérationnels de la Banque Populaire
Une fois les risques identifiés, vient l’étape de leur évaluation.
2. L’évaluation des risques

L’audit interne évalue les risques en fonction des opérations et des activités essentiellement
exposées au risque opérationnel. Ce processus, mené entièrement en interne, repose sur des
contrôles destinés à identifier les forces et les faiblesses de l’environnement opérationnel. Il
recense les risques propres à chaque activité donnée et d’autres regroupant plusieurs activités.
Elle ne prend pas en compte que les risques, mais aussi les moyens de les réaliser.
La construction d’une structure rationnelle et globale de gestion des risques dans le but
d’élaborer un contrôle interne efficace commence toujours par l’identification des risques. En
effet, c’est le point de départ pour l’évaluation des risques identifiés puisqu’elle requiert une
connaissance approfondie des activités de l’entreprise ainsi que des risques qui leur sont
rattachés. L’audit interne, permet ainsi la révision exhaustive de l’ensemble des opérations à
travers une check-list de domaines à auditer, énumérant les risques relatifs aux différentes
activités.

Aussi, l’audit interne, détecte, à travers ses missions périodiques, un ensemble de faiblesses ou
d’anomalies affectant l’organisation, ces déficiences du contrôle interne sont communiquées et
validées en réunion de validation avec les responsables de l’entité audité (Agence, succursale,
filiale etc.), ayant pour but l’élaboration du rapport définitif auquel sont joints le procès-verbal
de validation (Plan d’actions) et la note de synthèse, dans lesquels sont énumérées les
différentes anomalies recensées, ainsi que le timing de réalisation ou de correction de ces
anomalies.
Ces comptes rendus sont ensuite discutés lors des commissions d’audit ainsi qu’au niveau de la
Direction Générale afin d’avoir une idée détaillée du niveau des risques auquel le groupe doit
faire face, et de mettre à jour les mesures de contrôle déjà existantes voire mettre en place des
mesures supplémentaires en cas de récurrence de risque estimés significatifs (Couple
Fréquence/Impact, Tableaux 5 et 6).
La gestion des risques ne doit pas se limiter uniquement à un simple recensement des risques
potentiels et pertinents, mais doit s’appuyer également sur une analyse pour mieux appréhender
leurs probabilités de survenance et la gravité de leurs impacts sur l’organisation, de cette
manière cette identification et analyse approfondies des risques, permettra une prise de décision
par le top management, auxquels remontent tous les reportings.
3. L’évaluation du dispositif du contrôle interne

L’audit interne a pour mission d’assurer la validité et l’efficacité du contrôle interne. La
recherche de l’efficacité des contrôles internes fait partie des opérations quotidiennes de la
Banque Populaire, ceci nécessite des évaluations périodiques spécifiques de l’ensemble du
processus de contrôle interne surtout au niveau de la DGR (Direction de la Gestion des
Risques), et la gestion des risques opérationnels de manière plus approfondie. Les contrôles
inopinés réalisés de façon périodiques et donnant lieu à des rapports sont respectés et ont permis
de ressortir un certain nombre d’anomalies notamment des fraudes réalisés par des
opérationnels pour leur propre compte.
La banque populaire offre différents services à savoir, entre autres, les comptes à vue, les
comptes d’épargne les mises à dispositions etc. et est soumise à un volume de transactions
énorme. Comme mesure de contrôle contre la fraude, les virements qui dépassent un certain
montant par exemple, nécessitent une double confirmation, l’opérationnel crée l’opération de

virement sur l’application en premier lieu, puis vient le directeur administratif la valider par la
suite, ceci dans le but d’éviter tout risque de perte ou de fraude.
L’efficacité du contrôle interne et de maîtrise des risques sont des enjeux réels pour le Groupe,
et cette démarche permet de l’apprécier et d’optimiser les différents contrôles.
Section 3 : Recommandations
Le Groupe Banque Populaire est une entreprise qui offre diverses prestations dans le domaine
bancaire. Afin de mettre à bien cette mission dans un environnement en pleins évolution et
complexité, elle doit renforcer sa politique de gestion de risques opérationnels auxquels elle
peut être confrontée. Nous avons donc jugé utile de faire quelques recommandations sur les
bonnes pratiques allant dans le sens de maîtrise des risques opérationnels.
Recommandation 1 : La diffusion de manuel des procédures de la Banque Populaire mis à

jour afin d’éviter les dysfonctionnements dans la réalisation des opérations à travers la
formalisation des tâches.
Recommandation 2 : La diffusion globale de la cartographie des risques opérationnels afin de

permettre aux opérationnels d’avoir une idée générale des risques auxquels ils peuvent faire
face.
Recommandation 3 : Le respect du formalisme d’une mission d’audit, et ceci à travers l’envoi

préalable d’un avis de mission, avant l’exécution de cette dernière. Certes, un ensemble de
centres de contrôle nécessitent le caractère inopiné de la mission mais cela reste la tâche du
contrôle interne et non pas de l’audit interne.
Recommandation 4 : La généralisation d’un langage commun en matière des risques à travers

l’élaboration de documents formalisant ce langage afin de lui donner un aspect général, et
intégrer l’ensemble des opérationnels. Ces documents vont permettre d’aller de l’ensemble des
actions de formations vers l’avant ainsi que de responsabiliser l’ensemble du personnel.
Recommandation 5 : Le renforcement de la cellule contrôle permanent afin d’assurer

l’efficacité du contrôle de premier et du deuxième niveau. Cela permettra de réduire le risque
de complicité par exemple, dans le cas de la double confirmation, l’agent opérationnel peut
entrer en complicité avec le directeur administratif de l’agence, créer et valider un virement
frauduleux et de cette manière, détourner le dispositif de maîtrise des risques.

Ce chapitre portant sur la contribution de l’audit interne dans la gestion des risques
opérationnels de la Banque Populaire, de façon à mettre à jour l’état du dispositif de maîtrise
des risques opérationnels à travers son analyse et l’évaluation du contrôle interne. Tout cela
nous a permis de formuler des recommandations afin d’améliorer le dispositif de maîtrise des
risques opérationnels afin de réduire des derniers pour une meilleure gestion.

Conclusion de la deuxième partie
La deuxième partie de notre étude a porté sur une présentation du Groupe Banque Populaire à
travers une vue globale du groupe, sa structure hiérarchique ainsi que ses valeurs. En outre, une
description du dispositif du contrôle interne a été effectuée à travers la consultation des
documents dont l’accès nous a été accordé. Cette prise de connaissance nous a permis de mieux
appréhender la maîtrise des risques opérationnels et la contribution de l’audit interne.
Les différents dysfonctionnements que nous avons pu ressortir ont fait l’objet des
recommandations ayant pour but de renforcer le contrôle interne et donc, assurer la bonne
maîtrise des risques opérationnels que rencontre la société.
La mise en place des recommandations doit impliquer les différents acteurs du Groupe Banque
Populaire, surtout le top management.

Conclusion Générale
Le contrôle et l’audit internes jouent un rôle essentiel dans le processus de gestion des risques,
dans lequel les informations générées par le dispositif de contrôle interne remontent au conseil
d’administration et à la direction générale. Le contrôle interne participe donc à améliorer la
prise de décision car il fait en sorte que l’information soit précise, exhaustive et disponible en
temps voulu.
L’existence des dispositifs de gestion des risques et de contrôle interne, aussi bien parfaits qu’ils
soient, ne peut fournir une garantie absolue quant à la réalisation des objectifs de l’entreprise.
Des limites existent à tout processus en effet, ces limites peuvent résulter de nombreux facteurs
notamment l’incertitude du monde extérieur, de l’exercice de la faculté de jugement ou de
dysfonctionnements pouvant survenir en cas de défaillances techniques ou humaines ou des
erreurs les plus simples.
Le choix de traitement d’un risque se fait sur la base d’un arbitrage entre les opportunités à
saisir et les coûts de mise en place des outils et des processus utiles pour le traiter. Tout en
prenant compte de l’occurrence et/ou les conséquences du risque, afin de ne pas mettre en place
des actions inutilement coûteuses.
Notre démarche, nous a permis d’atteindre les objectifs fixés au préalable, en outre, elle a
montré les forces et faiblesses des dispositifs du contrôle interne et de maîtrise des risques
opérationnels et comment est-ce que l’audit contribue à son amélioration. Par cette analyse, il
est donc évident que l’audit a une importance capitale dans la maîtrise de ces dispositifs à
travers leur évaluation et l’émission de recommandations.
D’autant plus, les constats effectués et les recommandations émises par les auditeurs suite à
leurs missions visent généralement à corriger les dysfonctionnements et les manquements
auxquels fait face l’entreprise. Leur prise en comptes est donc un levier essentiel vers la
réduction des risques potentiels susceptibles d’influencer la rentabilité de l’entreprise et donc
de l’orienter vers la réalisation de ses objectifs.

ANNEXES

ANNEXE N° 1 : PRESENTATION GENERALE DE LA BANQUE POPULAIRE
1. Présentation du groupe
Le crédit populaire du Maroc est un groupement de banques constitué par la banque centrale
populaire BCP et les banques populaires régionales, il est placé sous la tutelle d'un comité
directeur du crédit populaire du Maroc.
Œuvre du Dahir du 2Février 1961, le crédit populaire du Maroc est le leader du secteur bancaire
national, c'est une institution par sa mission d'intérêt général, changé de favoriser l'activité et le
développement de toute entreprise qu'elle soit petite ou moyenne, par la distribution de crédit à
court, moyen et long termes.
L'organisation de l'institution fait apparaître une structure hiérarchisée à trois niveaux:
 Comité Directeur ;
 Banque Centrale Populaire BCP ;
 Banques Populaires Régionales BPR.
Et c'est l'existence de cet ensemble fortement soudé où réside la force du groupe, il parvient
ainsi à cumuler les avantages de la banque centrale (BCP) à compétence nationale en terme de
conception, de direction et de coordination, et des banques coopératives régionales (BPR) dont
la diversité caractéristique implique les besoins variés et des moyens adoptés.
Pour assurer la couverture de l'espace géographique national, le groupe des banques populaires
(GBP) dispose de 16 banques régionales regroupant 400 agences représentant le réseau bancaire
le plus grand et le plus étendu du pays, et emploie plus de 6000 personnes.
2. Le comité directeur
Il englobe des représentants de différents ministères (finance, commerce et industrie, artisanat

national ...), Bank Al Maghreb, la Caisse de Dépôt et de Gestion, la BNDE, et d'autres
organismes économiques.
Il est chargé de définir les orientations et les politiques générales du groupe, et d'exercer un
contrôle administratif, technique et financier sur la gestion et l’organisation de la BCP et de
chaque BPR et en particulier de veiller au respect par ces organismes des dispositions de la loi
relative à l'activité des établissements de crédit et de leur contrôle.

Il est tenu aussi de prendre toutes les mesures essentielles au bon fonctionnement des
organismes de la banque populaire du Maroc et au redressement éventuel et à la sauvegarde de
leur équilibre financier des banques concernées.
Ce Comité est composé de :
 Cinq présidents des conseils des BPR ;
 Cinq représentants du conseil de la BCP.
Ses principales attributions sont :
 La définition des orientations générales du CPM
 Le contrôle administratif, technique et financier sur les organismes du groupe ;
 Toutes les mesures nécessaires au bon fonctionnement et à l’équilibre financier du CPM
3. La banque centrale populaire (BCP)
La BCP est une banque à capital variable souscrit par l'Etat avec la participation de certains
organismes semi-publics et publics et semi-publics (BAM : Bank Al Maghreb, Banque
Nationale de Développement Economique (BNDE), Crédit Immobilier Hôtelier (CIH),...), les
BPR ainsi que les personnes physiques ou morales du secteur privé.
Mais la réforme actuelle du CPM en fait de la BCP une société anonyme à capital fixe, dont
l’Etat et les BPR détiennent 51%; alors que 20% du capital sera introduit dans la bourse, lors
de l'ouverture du capital de la BCP.
La BCP est donc, l'organisme central bancaire des banques populaires régionales. À ce titre,
elle est chargée:
 D'effectuer toute mission qui lui est confiée par le Comité Directeur, et de l'exécution
des décisions de ce dernier à l'égard des BPR en assumant la coordination de leur activité
et de leur contrôle.
 D'exécuter la compensation des créances et des dettes réciproques des organismes du
crédit populaire du Maroc, et du refinancement des BPR.
 De gérer les services d'intérêt commun aux organismes du crédit populaire du Maroc
ainsi que
 De distribuer aussi les crédits par l'intermédiaire de son siège, ses agences et
succursales.
LA Banque Centrale Populaire est un organisme de crédit Populaire du Maroc(CPM) ; ce

dernier est créé en vertu du dahir N°12-96 portant réforme du crédit Populaire du Maroc.

La BCP joue un rôle primordial dans la gestion du groupe :
 le refinancement des banques populaires régionales (BPR) ;

 la gestion des excédents de trésorerie des BPR ;
 la coordination entre les organismes du CPM en termes d’intérêt commun.
La BCP effectue une ou plusieurs des activités suivantes :
 La réception des fonds émanant du public ;

 La distribution des crédits ;
 La mise à la disposition de la clientèle tout moyen de paiement ou sa gestion ; etc.….
La BCP a adopté une nouvelle structure axée autour de quatre pôles :
 Pôle Développement et système d’information

 Pôle BCP Banque
 Pôle Risque
 Pôle Ressources et Production
En plus d’une division des ressources humaines qui est rattachée au directeur général chargé de
la coordination des pôles ;
Et enfin une division chargée par la supervision de l’inspection générale, le cabinet de la

présidence et même l’audit interne sous la direction du PDG.
4. Banques populaires régionales (BPR)
Actuellement, le groupe banque populaire en possède16 banques populaires régionales. Ces

banques sont des sociétés régionales coopératives de crédit à capital variable qui réservent
essentiellement leurs concours aux sociétaires participants: personnes morales ou physiques
appartenant à des professions libérales ou à différents secteurs d'activités.
Contrairement aux autres établissements bancaires du royaume, le groupe populaire se

distingue par la décentralisation des pouvoirs. Ainsi, les BPR sont des organismes autonomes,
et sont appelées à s'investir de plus en plus dans la stratégie régionale de développement
économique et sociale du pays.
L'importance de leur implication dans ce développement a ainsi amené le GBP à intensifier ses
efforts, en vue de faire des BPR des outils opérationnels efficaces au service du tissu
économique local et régional.

Dans ce contexte, la banque populaire de Marrakech a réalisé de nombreux projets dans divers
secteurs d'activité dont notamment le renforcement de son réseau d'agences qui s'est élargi pour
atteindre 18 agences groupées en 4 secteurs: Guéliz, Médina, Tensift, Extérieur.
La BPR est un ensemble de banques sous forme coopérative à capital variable qui constituent
le levier du CPM en ce qui concerne : la collecte de l’épargne au niveau régional, sa
mobilisation et son emploi dans la région.
Le capital de la BPR est détenu par les sociétaires qui sont en même temps des clients, il est
constitué de parts sociales ordinaires et privilégiées qui sont rémunérées sans pour autant
dépasser le taux maximum fixé par le comité directeur.
15 banques de forme coopérative à capital variable détenu dans sa quasi-totalité des clients
sociétaires, ce sont les BPR de :
Nador, Al Hoceima, Fès, Taza, Oujda, Casablanca, Laayoune, Rabat- Kenitra, Centre Sud,
Marrakech, Beni Mellal, Tanger- Tétouan, El Jadida, Safi, Meknès.
Au 1er Juillet 2003, une nouvelle série des BPR est devenue effective avec la création de la
Banque Populaire de FES- TAZA, la Banque Populaire de MARRAKECH- BENI MELLAL
et celle d’EL JADIDA- SAFI (ce qui réduit le nombre des BPR à 12).
Cette politique de regroupement des BPR s’inscrit dans la stratégie de développement du

Groupe et répond également aux impératifs de la mise en œuvre de la réforme institutionnelle.
Le processus de regroupement vise la création de BPR fortes, disposant d’une large autonomie
et de pouvoirs de décision décentralisés. Ces BPR regroupées sont considérées comme des
établissements de crédit à part entière, dotées de Directoires et de Conseils de Surveillance et
soumises aux règles prudentielles de la profession bancaire.
Cette nouvelle génération des BPR constitue des instruments financiers performants ; en mesure
de relever le défi du renouveau régional, qui consacre la région comme espace économique,
social et culturel, porteur de son propre développement.
Le regroupement des forces régionales du Groupe Banques Populaires est de nature à confronter
son leadership sur la scène nationale et régionale. Il répond également à l’impératif de
croissance naturelle du Groupe ; dans un environnement économique et financier en profonde
mutation, qui a généré une forte concurrence professionnelle et une configuration positionnelle.

5. Les filiales stratégiques
Le groupe banque populaire dispose de plusieurs filiales où il détient des participations de plus
en plus importante.
Cette politique des filiales a été entreprise par le groupe pour diversifier ses sources de revenu
et constituer un holding assez puissant pour faire face à la concurrence acharnée sur le marché
de la banque.
Les filiales du groupe se présentent comme suit :
 Banques : Média Finance, Bank al Amal, CIH, BNDE

 Banque Chaabi du Maroc (France & Belgique)
 Banque Populaire Maroco-Centrafricaine
 Banque Populaire Marocco-Guinéenne
 Banque de Développement du Mali
 Services :
 Maroc assistance internationale ;
 Magasins généraux.
 SWIFT, MITC, AFSCO (Arab Financial Trade Company), ASSARF Chaabi
 Société de financement :
 Chaabi Leasing, Assalaf Chaabi, Dar Addamane, Société Marocaine des
Magasins Généraux Eurochèque
 ATFP (Arab Trade Financing Program)
 OPCVM : Etablissement gestionnaire al istitmare achaabi ;
 Société de portefeuille : Société de promotion et de prise de participation « Moussa
Hama », SOMED- CMKD
 Société de bourse : IFC al Wassit ;
 Trading : Maghrib Arab trading company ;
 Immobilier: Essoukna, Espace porte d’Anfa, SONADAC, SIBA
 Assurances : Maroc Assistance Internationale, SMAEX, ACMAR
 Fondations:
 Fondation banque populaire pour l’éducation et la culture ;
 Fondation banque populaire pour la création des entreprises.

 Fondation Banque Populaire pour le micro crédit
 Autres services : Maroc Télécommerce, Centre Monétique Interbancaire, Recours
Maroc Lear, ADM.
6. Valeurs du groupe
Solidarité, Proximité, Citoyenneté et Performance sont les valeurs qui caractérisent la marque
Banque Populaire. Ces valeurs trouvent leur source dans le modèle coopératif et mutualiste du
groupe, proclament ses atouts identitaires, reflètent sa culture, portent sa vision, renforcent la
cohésion entre ses différentes entités et traduisent ses engagements pour le développement
économique et social de l’ensemble du continent africain.
 Solidarité : Elle est ancrée dans l’histoire du groupe Banque Centrale populaire et
constitue l’une de ses valeurs fondamentales. Elle lui permet d’assurer sa mission
d’intérêt général de bancarisation et de développement socioéconomique, à travers des
actions à fortes retombées sociales et économiques en faveur des régions et des
différents secteurs d’activité.
 Proximité : La structure régionale du groupe Banque Centrale Populaire, la densité de
son réseau et sa forte présence lui permet d’être en contact permanent avec les réalités
et les spécificités locales.
Cette proximité lui permet de contribuer efficacement à la mobilisation de l’épargne, à
son utilisation au profit du développement des régions où elle est collectée et à la
promotion des activités bancaires à l’échelle régionale et nationale.
 Citoyenneté : Le groupe Banque Centrale Populaire veille à mettre en œuvre des actions
qui s’inscrivent dans une démarche globale de développement durable. L’engagement
citoyen du groupe est essentiellement porté par ses trois fondations. La Fondation
Banque Populaire promeut la culture et la scolarisation, notamment celle des filles dans
le monde rural. La Fondation Création d’Entreprises encourage l’esprit entrepreneurial
aussi bien pour la clientèle locale que pour les MDM. Attawfiq Micro-Finance, quant à
elle, contribue à l’inclusion bancaire et financière en accompagnant les micro-
entrepreneurs.
Tirant parti de l’expérience réussie de sa filiale marocaine Attawfiq Micro-Finance, le
groupe a créé la holding Atlantic Microfinance For Africa (Amifa) pour piloter son
ambitieux programme de microfinance en Afrique. Sa création est consécutive aux
conventions conclues entre le groupe et les Etats, notamment, le Mali, la Côte d’Ivoire,

le Gabon, la République de Guinée, le Madagascar, le Sénégal et le Rwanda portant sur
le développement des activités de microfinance dans ces pays.
 Performance : Le groupe veille à la promotion de la culture de l’efficacité, du
professionnalisme, de la satisfaction du client et de l’innovation tout en améliorant ses
modes de fonctionnement. C’est ainsi que le Capital humain et le Système d’information
ont été érigés en piliers de l’organisation du groupe.

ANNEXE N° 2 : ARCHITECTURE DU CONTROLE INTERNE AU CPM
Comité directeur
Comités d’audit
BCP, BPR, Filiales
Comités internes
Comités de crédits, du contentieux,
comité stratégique ALM, comité IG
d’évaluation des performances….
Sécurité du système d’information Audits

internes
Planification et Contrôle de Gestion BCP,
Niveau 3
BPR,
Engagements Filiales
Auto-
Intermédiation Bancaire Contrôle
Niveau 2 Hiérarchique
Marchés des capitaux Cellules
d'auto-contrôle
BCP
Valeurs mobilières
Auto-contrôle
Juridique
Niveau 1 Par les
Comptabilité opérationnels
Sécurité des biens et des personnes
Risques opérationnels : toutes les fonctions

ANNEXE N° 3 : SURVEILLANCE DES RISQUES PAR LES FOCNTIONS BCP
Fonctions chargées de la Catégorie des risques Domaines de responsabilité en

surveillance des risques relation avec les risques
Division des engagements  Risque de crédit  Surveillance et suivi des
Direction gestion des crédits agrégats des
engagements du groupe,
notamment par nature de
crédits, par segments de
clientèle, par maturité,
etc.
 Normalisation de la
gestion du suivi des
risques au niveau du
groupe par l’élaboration
de circulaires, de
procédures et de normes ;
 Déclarations
réglementaires des
engagements.
Division de  Risque de crédit  Analyse des risques
l’intermédiation Bancaire  Risque de pays ;
Département risques et règlement  Analyse du risque
financements internationaux banques étrangères ;
Division Planification et  Risque global de  Gestion prévisionnelle
Contrôle de Gestion taux d’intérêt des risques financiers
Département ALM  Risque de (risques de taux, de
liquidité liquidité, de change et de
 Risque de Marché contrepartie) ;
 Gestion des équilibres
bilanciels ;
 Gestion de la position
réglementaire (ratios
prudentiels)
 Elaboration et mise en
place du tableau de bord
« ALM » ;
 Préparation et prise en
charge des travaux du
comité « ALM ».

Fonctions chargées de Catégorie des risques Domaines de responsabilité en
la surveillance des relation avec les risques
risques
Division des Marchés  Risque de marché Contrôle du respect du système de
des Capitaux  Risque global du délégation de pouvoirs mis en
Cellule Contrôle Interne taux d’intérêt place :
 Risque de liquidité  Etablissement d’un
reporting sécuritaire à
destination de la
hiérarchie ;
 Suivi des limites et
informations sur tout
dépassement non autorisé.
Division de la  Risque de règlement  Traitement dans les
Production Bancaire meilleures conditions des
Valeurs mobilières opérations sur valeurs
mobilières ;
 Mise en place des outils et
adaptations nécessaires.
Division des systèmes  Risque informatique  Evaluation en permanence
d’information des risques encourus ;
Cellule sécurité  Identification des risques ;
 Contrôle régulier du
niveau de sécurité du
système d’information ;
 Contrôle du suivi de la
politique de sécurité ;
 Sensibilisation des
utilisateurs de la sécurité.
Division Juridique et  Risque juridique  Elaboration et révision des
Contentieux circulaires en rapport avec
Direction Juridique le domaine juridique ;
 Conception et
modélisation des contrats
d’ouverture de crédit et
leur mise à jour ;
 Elaboration de tous
contrats d’ouverture de
crédit et leur mise à jour ;
 Contrôle de la régularité
juridique des actes
proposés au groupe.
Division de la  Gestion du portefeuille
Production Bancaire « assurance » de
l’institution (clients,
patrimoine et personnel).

Fonctions chargées de Catégorie des risques Domaines de responsabilité en
la surveillance des relation avec les risques
risques
Division logistique  Autres risques Assurer la sécurité des biens et des
(risques personnes :
opérationnels)  Contribution à la mise en
Division des œuvre du schéma directeur
Ressources Humaines sécurité pour l’institution ;
 Normalisation, assistance
Division de la et suivi du réseau en
comptabilité matière de sécurité.
 Gestion des assurances
Contrôle des « Accidents de travail ».
engagements de  Garantir le bon
dépenses fonctionnement du
système comptable du
Toutes les fonctions CPM et veiller à sa
faisabilité.
 Veiller sur la disponibilité
des lignes budgétaires et
sur le respect des
conditions de passation et
d’attribution des marchés.
 Surveillance des risques
opérationnels liés à leurs
activités.

ANNEXE N° 4 : ORGANIRAMME TYPE DE LA BPR
Présient du Comité
Directeur
Président du
directoire
Audit interne BPR
Direction Ressources
Humaines BPR Direction Gestion
des Risques
Contrôle de Gestion & Pilotage Risques

de la Performance Crédits BPR
Contrôle des
Engagements
Recouvrement des Créances

Contentieuses
Risk Management
Risk ManagementAffaires
Juridiques et Conformité
Direction
Maché de Direction
l'Entreprise & Direction Traitements &
de Marchés des Supports
l'international MDM,
Particuliers et
Personnes

ANNEXE N° 5 : CARTOGRAPHIE DES RISQUES - PROCESSUS DE MISE EN
PLACE DE CREDIT ENTREPRISES
Domaine Processus SP : Sous-Processus

Mise en place crédits
Engagements ETP : Etape
Entreprises
E : Evènement
Sous-
Sous Événements Catégorie
Étapes clefs catégorie Entité/Fonction
Processus de risque Bâle
Bâle
ETP1 -
Réception
des E1 - Retard Exécution,
SP1 - Saisie,
notifications dans le livraison
Traitement exécution
par le réseau traitement de et gestion BPR
de la et suivi des
(Appui la des
notification transactions
technique) notification processus
pour
traitement

Sous-
Sous Événements de Catégorie
Processus risque Bâle
Bâle
ETP1 - Clients,
E1 - Défaut de
Elaboration et produits et Défauts de
suivi de BPR/BCP
mise en place de pratiques production
l'assurance
l'assurance commerciales
E1 -
Dépassement du Exécution, Saisie,
délai livraison et exécution et
BPR
réglementaire gestion des suivi des
d'enregistrement processus transactions
des garanties
Exécution,
E2 - Garanties Admission et
livraison et
SP2 - ETP2 - falsifiées ou documentation BPR
gestion des
Constitution Constitution, non-conformes clientèle
processus
des comptabilisation
éléments et archivage des E3 - Erreur dans Exécution,
nécessaires garanties la constitution Admission et
livraison et
au des garanties documentation BPR
gestion des
déblocage entraînant leur clientèle
processus
nullité
E4 - Perte des
Exécution,
documents de Admission et
livraison et
garanties documentation BPR
gestion des
(défaut clientèle
processus
d'archivage)
E1 - Erreur de
saisie des
Exécution, Saisie,
ETP3 - Saisie conditions
livraison et exécution et
des conditions préférentielles BCP
préférentielles relatives aux
taux et aux
commissions

Sous-
Sous Événements de Catégorie
Processus risque Bâle
Bâle
E1 - Altération
des données
juridiques ou
financières du
contrat envoyé au
Exécution, Saisie,
client pour
signature BPR
(pouvant être à
l'origine de litiges
susceptibles
ETP1 - d'engager la
Confirmation responsabilité de
du crédit, la banque)
édition et E2 - Erreur dans
Exécution, Saisie,
signature des l'élaboration des
contrats billets à ordre BPR
(Erreur sur le
montant)
Exécution,
E3 - Erreur dans Admission et
livraison et
l'élaboration du documentation BPR
SP3 - gestion des
contrat clientèle
Réalisation processus
du crédit Exécution, Saisie,
E4 - Contrat non- livraison et exécution et
BPR
signé par le client gestion des suivi des
E1 - Non-respect
des conditions
prévues pour le
déblocage (Prise
des garanties, Exécution, Saisie,
mise en place de livraison et exécution et
BPR
l'assurance, gestion des suivi des
ETP2 -
signature des processus transactions
Validation et
billets à ordre,
déblocage du
blocage de
crédit
compte courant,
…)
E2 - Crédit mis en
place malgré un
Fraude Activité non
refus de la BPR
interne autorisée
délégation
compétente

BIBLIOGRAPHIE

Ouvrages
1. AHOUAGANSI Evariste (2010), Audit et révision des comptes : aspects

internationaux et espace OHADA, Editions Mondexperts, 2ème édition, 921 pages
2. BARRY Mamadou (2009), Audit et contrôle interne, Editions achevé d’imprimer sous
les presses de la Sénégalaise de l’imprimerie, 361
3. BECOURT Jean-Charles ; BOUQUIN Henri (2008), « Audit opérationnel :
entreprenariat, gouvernance et performance », Edition Economica, 3ème édition, 425
pages
4. BERTIN Elisabeth (2007), « Audit interne : enjeux et pratiques à l’international. »,
Edition d’organisation Eyrolles, 2007, 305 pages
5. COLLINS Lionel ; VALIN Gérard (1992), « Audit et contrôle interne : aspects
financiers, opérationnels et stratégiques », Edition Dalloz, 4ème édition, 353 pages
6. DESROCHES Alain ; LEROY Alain ; VALLEE Frédérique (2003), « La gestion
des risques ; principes et pratiques », Edition Lavoisier, 275 pages
7. FAUTRAT Michel (2000), de l’audit interne au management de la maîtrise des risques,
La revue française de l’audit interne n°148, 37 pages
8. JIMENEZ Christian ; MERLIER Patrick ; CHELLY Dan (2008), « Risques
opérationnels : de la mise en place du dispositif à son audit ». Revue banque Edition,
205 pages
9. LEMANT Olivier (1998), la conduite d’une mission d’audit interne, Edition DUNOD,
2ème édition, 215 pages
10. MOREAU Franck (2002), Comprendre et gérer les risques, Editions d’organisation,
219 Pages
11. NGUYEN HONG THAI (1999), « Le contrôle interne : mettre hors risques
l’entreprise », Edition l’Harmattan, 325 pages
12. POULAIN Isabelle ; LESPY Frédéric (2002), « gestion des risques et de la qualité :
guide pratique à l’usage des cadres de santé », Edition Lamarre, 137 pages
13. RENARD Jacques (2009), Théorie et pratique de l’audit interne, Editions
d’organisation Eyrolles, 7ème édition, 455 pages
14. SARDI Antoine (2002), Audit et contrôle interne bancaire, Edition AFGES, Paris, 1065
pages
15. SCHICK Pierre (2007), Mémento d’audit interne, Edition DUNOD, 141 pages

Autres documents consultés
16. Rapport annuel d’activité, Banque Populaire (2016)

17. Charte du contrôle et d’audit internes (2017)
18. Rapport de la revue de la cartographie des risques (2015)
19. Document de formation : les risques opérationnels au sein de la banque populaire (2015)

Table des matières
Dédicace
Remerciements
Préface
Résumé
Liste des tableaux
Liste des figures
Liste des annexes
Liste des abréviations
Introduction générale
Première partie : Audit interne et gestion des risques opérationnels

Introduction de la première partie
CHAPITRE 1 : LA GESTION DES RISQUES OPERATIONNELS
1.1. Les risques dans les organisations

1.1.1 Le concept de risque
1.1.2 Les types des risques
1.2. Les risques opérationnels
1.2.1. Notion du risque opérationnel
1.2.2. Les différents éléments du risque opérationnel
1.3. La maîtrise des risques opérationnels
1.3.1. Le processus de gestion des risques
1.3.1.1. L’identification
1.3.1.2. L’analyse et l’évaluation des risques opérationnels
1.3.1.3. Le suivi des risques opérationnels
1.3.2. Le dispositif de gestion des risques opérationnels
1.3.2.1. Les objectifs du dispositif de gestion des risques opérationnels
1.3.2.2. La cartographie des risques
1.4. L’audit et sa contribution dans la gestion des risques opérationnels
1.4.1. La présentation de l’audit interne
1.4.1.1. Le concept d’audit interne
1.4.1.2. Les missions de l’audit interne
1.4.2. Le rôle de l’audit interne dans la gestion des risques
1.4.3. Les mesures de contrôle des risques opérationnels
1.4.3.1. Les indicateurs de risque
1.4.3.2. Le tableau de bord des risques opérationnels
CHAPITRE 2 : L’AUDIT ET LA GESTION DES RISQUES OPERATIONNELS

2.1. Les démarches de l’audit interne
2.1.1. L’approche par les systèmes
2.1.1.1. La présentation de la démarche
2.1.1.2. Les limites de la démarche
2.1.2. L’approche par les risques
2.1.2.1. La présentation de la démarche
2.1.2.2. Les différentes phases de la démarche
2.2. La maîtrise des risques opérationnels
2.2.1. Les dispositifs de maîtrise des risques opérationnels
2.2.2. Le système de contrôle interne
2.2.2.1. Le contrôle interne
2.2.2.2. Les objectifs du contrôle interne
2.2.2.3. Les éléments du dispositif du contrôle interne
2.3. L’apport de l’audit interne dans le dispositif de maîtrise des risques opérationnels
2.3.1. L’appréciation du dispositif du contrôle interne
2.3.1.1. Le découpage en cycle d’activités
2.3.1.2. L’évaluation du contrôle interne
2.3.2. L’évaluation de la cartographie des risques opérationnels
CHAPITRE 3 : METHODE DE TRAVAIL
3.1. Le modèle d’analyse

3.2. Les outils de collecte de données
3.2.1. Le questionnaire du contrôle interne
3.2.2. L’analyse documentaire
3.2.3. Les interviews
3.2.4. L’observation physique
3.2.5. Le tableau d’identification des risques
3.2.6. Le tableau des Forces et faiblesses apparentes (TFfA)
3.2.7. La grille de séparation des tâches
3.2.8. Le test de conformité et de permanence
Conclusion de la première partie
Deuxième partie : Contribution de l’audit interne dans la gestion des

risques opérationnels cas « BANQUE POPULAIRE »
Introduction de la deuxième partie
CHAPITRE 4 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA BANQUE

POPULAIRE
4.1. Le dispositif du contrôle interne de la Banque Populaire

4.1.1. La description synthétique du dispositif du contrôle interne
4.1.2. Les objectifs du contrôle interne
4.2. L’état du dispositif du contrôle interne de la Banque Populaire
4.3. L’audit interne

CHAPITRE 5 : LA CONTRIBUTION DE L’AUDIT INTERNE DANS LA MAITRISE DES
RISQUES
5.1. L’appréciation du dispositif de maîtrise des risques

5.1.1. L’appréciation du dispositif de maîtrise des risques opérationnels
5.1.2. L’analyse du dispositif de maîtrise des risques
5.1.3. L’évaluation du dispositif de maîtrise des risques
5.2. Le rôle de l’audit dans le dispositif de maîtrise des risques
5.2.1. L’identification des risques
5.2.2. L’évaluation des risques
5.2.3. L’évaluation du dispositif de contrôle interne
5.3. Recommandations
Conclusion de la deuxième partie
Conclusion générale
Annexes
Bibliographie


PFE AuditInterne BP

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PFE AuditInterne BP

Transféré par

Droits d'auteur :

Formats disponibles

UNIVER SITE CADI AYYAD MARRAKECH

ECOLE NATIONALE DE COMMERCE ET DE G ESTION

Année universitaire 2016/2017

A la mémoire de mon père, à ma très chère mère :

A mes chers frères, à mon unique sœur pour leur

A tous mes ami (e) s pour leur aide et leurs précieux

Zakariae BENNANI ABBANA

La contribution de l’audit interne dans la gestion des risques opérationnels iii

Ma profonde reconnaissance va, de prime abord, à M. ATTAK El Houssain notre

Il m’est particulièrement agréable d’exprimer ensuite mon respect et mes remerciements

Je marque également ma profonde gratitude à toute la famille ENCGmiste, à leur

Je tiens surtout à exprimer ma reconnaissance à ma famille pour leur soutien infaillible

La contribution de l’audit interne dans la gestion des risques opérationnels iv

Dans ce contexte et étant en préparation de mon diplôme à l’E.N.C.G.M, option « Gestion

Ce choix est essentiellement motivé par l’importance et la richesse en termes d’apprentissage

La contribution de l’audit interne dans la gestion des risques opérationnels v

L’évaluation de la contribution de l’audit interne nous permettra donc de répondre aux

La contribution de l’audit interne dans la gestion des risques opérationnels vi

Dédicace ................................................................................................................................................. iii

La contribution de l’audit interne dans la gestion des risques opérationnels vii

La contribution de l’audit interne dans la gestion des risques opérationnels viii

Tableau 1: Tableau d’analyse des risques ......................................................................................... 12

La contribution de l’audit interne dans la gestion des risques opérationnels ix

La contribution de l’audit interne dans la gestion des risques opérationnels x

ANNEXE N° 1 : PRESENTATION GENERALE DE LA BANQUE POPULAIRE .................... 65

La contribution de l’audit interne dans la gestion des risques opérationnels xi

La contribution de l’audit interne dans la gestion des risques opérationnels xii

La contribution de l’audit interne dans la gestion des risques opérationnels xiii

Le secteur bancaire est en mutation : déréglementation, désintermédiation, risques accrus, pour

La contribution de l’audit interne dans la gestion des risques opérationnels 1

Les questions spécifiques qui en résultent sont :

 Quel est l’état actuel du dispositif de maîtrise des risques opérationnels ?

« La contribution de l’audit interne dans la gestion des risques opérationnels ».

 L’identification des dispositifs de maîtrise des risques opérationnels ;

La contribution de l’audit interne dans la gestion des risques opérationnels 2

La contribution de l’audit interne dans la gestion des risques opérationnels 3

La contribution de l’audit interne dans la gestion des risques opérationnels 4

La contribution de l’audit interne dans la gestion des risques opérationnels 5

Section 1: Les risques dans les organisations

2. Les types des risques

 les risques sociaux ;

La contribution de l’audit interne dans la gestion des risques opérationnels 6

 ceux liés à l’activité ;

Section 2: Les risques opérationnels

1. Notion du risque opérationnel

La contribution de l’audit interne dans la gestion des risques opérationnels 7

2. Les différents éléments du risque opérationnel

La contribution de l’audit interne dans la gestion des risques opérationnels 8

 Le risque lié au système d’information : Défaillance matérielle, obsolescence des

Section 3 : La maîtrise des risques opérationnels

1. Le processus de maîtrise des risques

La contribution de l’audit interne dans la gestion des risques opérationnels 9

1.1.2. Les événements à risques

Bâle II préconise la démarche d’identification des événements à risques comme suite :

La contribution de l’audit interne dans la gestion des risques opérationnels 10

1.1.3. L’analyse et l’évaluation des risques opérationnels

 la définition du contexte et la mise en perspective ;

 L’évaluation de l’importance des risques ;

La contribution de l’audit interne dans la gestion des risques opérationnels 11

N°/ Facteur Conséquences Gravité Criticité Actions de Criticité Gestion

Tableau 1: Tableau d’analyse des risques

1.1.4. Le suivi des risques opérationnels

1.2. Le dispositif de gestion des risques opérationnels

La contribution de l’audit interne dans la gestion des risques opérationnels 12