Académique Documents
Professionnel Documents
Culture Documents
Rapport de stage
En vue de l’obtention du diplôme des Ecoles Nationales de
Commerce et de Gestion
Option : Audit et contrôle de gestion
Thème :
« La Contribution de l’audit interne dans la gestion des
risques opérationnels »
Cas « BANQUE POPULAIRE »
Elaboré par :
ABBANA BENNNI Zakariae
Etudiant Master 2 à l’ENCG Marrakech
Sous l’encadrement de :
Docteur El Houssain ATTAK Enseignant-Chercheur à l’Ecole
Nationale de Commerce et de
Gestion de Marrakech
Monsieur Houssain EL KERROUMI Auditeur interne à la Banque
Populaire
Je tiens avant d’entamer mon mémoire de fin d’études à exprimer ma profonde gratitude
à plusieurs personnes. Sans leur collaboration, leur contribution et leur assistance, la
réalisation de ce mémoire n’aurait été possible.
Enfin, dans l’impossibilité de citer tous les noms, je présente à tous ceux qui ont
contribué de près ou de loin à ce travail, ma profonde reconnaissance.
C’est dans cette même logique que s’insère la philosophie d’enseignement à l’Ecole Nationale
de Commerce et de Gestion de Marrakech (E.N.C.G.M), qui accorde au développement
des aptitudes professionnelles et managériales chez les étudiants autant d’importance que la
formation académique. Ainsi, la rigueur, la responsabilité, la créativité et le leadership
constituent des qualités dont les étudiants doivent faire preuve.
Le stage professionnel de fin d’études attire donc une importance imminente de la part de tout
étudiant de l’E.N.C.G.M, puisqu’il constitue la dernière ligne droite qui sépare entre son
apprentissage académique et ses aspirations professionnelles, lui permettant d’approfondir ses
connaissances, de mettre en pratique ses acquis académiques et de s’accoutumer avec les
méthodes pratiques de travail ainsi qu’avec les nouveautés affectant le métier. Ce stage
constitue aussi, une occasion permettant à l’étudiant de développer ses capacités
communicationnelles et de créer un réseau relationnel avec les professionnels et les acteurs du
monde de travail.
Du point de vue académique, le stage de fin d’études règne sur le fruit de cinq années de
formation. De ce fait, l’étudiant est appelé par cette expérience professionnelle, précédée sans
aucun doute par d’autres, à conclure sa formation et à rapporter de son stage une valeur ajoutée
complétée par des efforts de réflexion, d’analyse et de synthèse.
C’est ainsi que le lieu objet du stage a été la direction d’audit interne de la banque populaire.
Les risques constituent des enjeux majeurs pour l’entreprise, et méritent une attention
particulière, voire même, elle est le nerf de guerre permettant d’assurer son efficacité impactant
ainsi les décisions stratégiques, d’où la nécessité de leur maîtrise et de la mise en place d’outils
aptes de les cerner.
Les risques au sein d’une entreprise, et les risques opérationnels en particulier sont donc des
pistes d’analyse très sensibles, qui méritent d’être traitée de façon délicate et minutieuse, au
point qu’il faut absolument un suivi quotidien, d’autant que la combinaison des contraintes rend
les choses plus complexes, le niveau de confiance à instaurer est très volatile et toute tentative
de maîtrise de ces risques reste à revoir.
L’audit est en effet une discipline en pleine expansion en vue de la nécessité de fiabiliser les
dispositifs du contrôle interne ainsi que les dispositifs de maîtrise des risques, il se déroule selon
une démarche sélective bien structurée qui permet l’atteinte des objectifs, elle est caractérisée
par ses phases principales : prise de connaissance générale, évaluation du contrôle interne,
examen des comptes et rédaction des rapports.
Figure 1: La logique de la démarche globale de gestion des risques ............ Error! Bookmark not
defined.
Figure 2 : Modèle d’analyse................................................................................................................ 34
Figure 3 : Le rôle de l’audit interne dans le dispositif de maîtrise ................................................. 57
En ce qui concerne la question principale, elle s’énonce comme suit : Comment l’audit interne
contribue-t-il à la maîtrise des risques opérationnels ?
Telles sont les questions auxquelles nous essayeront de répondre à travers l’étude du thème :
Dans ce mémoire nous analyserons donc l’apport de l’audit interne à la Banque Populaire dans
la maîtrise de ses risques opérationnels.
Pour mener à bien notre étude, il est primordial de se fixer certains objectifs d’ordre général et
spécifique.
L’objectif général est de faire face aux contraintes qui peuvent affecter le bon fonctionnement
de la Banque Populaire ainsi que l’atteinte de ses objectifs à travers les dispositifs qu’elle met
en place pour les maîtriser. Pour ce faire nous nous intéresserons à la contribution de l’audit
interne dans la maîtrise des risques opérationnels.
Ce qu’en est des objectifs spécifiques qui en résultent, nous avons fixé les suivants :
Ce mémoire sera focalisé sur la contribution de l’audit interne dans la gestion des risques
opérationnels. Cela sera fait en deux grandes parties ; la première partie est consacrée d’une
part à une revue de littérature dans laquelle nous allons aborder les aspects théoriques de la
gestion des risques et de l’audit ainsi que sa démarche et d’autre part à la méthodologie de
l’étude. La deuxième partie, consacrée au cadre pratique, consistera à présenter la structure et
à analyser son dispositif de maîtrise des risques opérationnels afin d’y situer la contribution de
l’audit interne.
Cette étude permettra à la Banque Populaire d’une part de mieux cerner ses risques
opérationnels et d’autre part d’assurer l’efficacité de leur gestion. En outre, elle permettra
d’éveiller la conscience des dirigeants sur l’existence des risques opérationnels, de leur
importance et sur l’apport de l’audit interne à l’organisation.
Pour nous-mêmes, elle sera une occasion pour mettre nos acquis intellectuels et théoriques
appris à l’ENCG en examen, et de les adapter aux réalités du monde professionnel et par
conséquent de développer les connaissances acquises et d’expérimenter le fonctionnement
quotidien d’une entreprise.
La gestion des risques opérationnels a été longtemps traitée de façon marginale voire même
ignorée par la plupart des dirigeants. Le risque étant lié à l’activité humaine, l’essentiel reste de
savoir comment l’identifier, l’appréhender, l’anticiper, le quantifier et prendre des décisions
correspondantes afin, non pas les éradiquer mais d’en assurer leur maîtrise.
Les dirigeants, doivent être en mesure d’apporter des réponses afin de proposer des manières et
procédures pour gérer les risques. Il est donc essentiels pour eux, de bien connaître les différents
concepts, outils et méthodes disponibles pour les identifier, analyser et traiter.
Dans cette première partie, consacrée principalement à la revue de littérature, nous allons
présenter la gestion des risques et l’audit interne, ensuite les dispositifs de maîtrise des risques
opérationnels seront présentés pour y montrer le rôle de l’audit interne et après construire le
modèle d’analyse qui montrera comment nous allons procéder pour apprécier le rôle de l’audit
interne dans la gestion des risques opérationnels à la Banque Populaire.
1. Le concept de risque
Toutes les entités, quel que soit leur taille, leur nature d’activités ou le secteur économique dans
lequel elles agissent sont confrontées à des risques, et ceci à tous les niveaux.
Selon Moreau (2002), le risque de l’entreprise peut être vu en tant que la menace qu’un
événement, une action ou son omission affecte l’entreprise à réaliser ses objectifs et par la suite
la création de valeur. En 2005, Desroches & Al viennent compléter cette définition pour donner
au risque une grandeur à double dimension. Une probabilité qui donne donc une mesure de
l’incertitude que l’on a sur une gravité des conséquences, en termes de quantité de dommages,
consécutifs à l’occurrence d’un événement redouté.
Par conséquent, nous pouvons déduire que le risque est la probabilité d’événements futurs
pouvant entrainer des situations délicates et agir ainsi sur la performance de toute entreprise.
Ces définitions ont aussi pu dévoiler les composantes du risque à savoir la probabilité qu’un ou
plusieurs événements se réalisent et leurs conséquences.
On peut alors, définir le risque comme un concept permettant à l’entreprise de tenir compte des
événements possibles qui pourraient se réaliser dans un avenir incertain et pouvant impacter
significativement l’entité et ses objectifs. Plusieurs types de risques peuvent se manifester.
Pour Renard (2009 :157), une liste de risques peut faire face à l’entreprise. On énumère :
Quant à NGUYEN (1999 :156), il vient compléter cette séparation en identifiant trois types de
risques à savoir :
DESROCHES & Al (2005 :44), quant à eux, classifient les risques selon deux critères :
en fonction de leur évolution : les risques convergents dont la gravité diminue avec le
temps ou à effets divergents dont la gravité augmente avec le temps ;
en fonction de leur impact : les risques à effets directs et indirects ou en cascades
induisant un enchainement de différentes natures.
Par ailleurs, AHOUAGANSI (2010 :37-38) classe les risques en deux catégories :
les risques spéculatifs : des risques pris par l’entreprise dans l’exercice de son activité
afin de réaliser ses objectifs
les risques aléatoires et accidentels : la protection contre ces risques se fait à plusieurs
niveaux dont la prévention préalable adaptée (équipements spécifiques, organisation du
contrôle interne ...)
La circulaire de Bank AL Maghrib (BAM) N°6 donne un sens plutôt restrictif au risque
opérationnel, dans son article 8, elle le définie comme « tous les risques qui pourraient être
engendrés par des procédures inefficientes, des contrôles inadéquats, des erreurs humaines ou
techniques, des fraudes ou par toutes autres défaillances ».
Bâle II le défini comme « Le risque de pertes résultant d’une adéquation ou d’une défaillance
imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y
compris ceux de faible probabilité d’occurrence, mais à risque de perte élevée. Le risque
opérationnel, ainsi défini, inclut le risque juridique mais exclut les risques stratégiques et de
réputation ».
Le comité de Bâle a retenu une classification plus détaillée qui a permis une répartition du
risque opérationnel en sept catégories :
La fraude interne : elle concerne les pertes liées à des actes commis à l’intérieur de
l’entreprise visant à commettre une fraude ou un détournement d’actif ou à enfreindre
une disposition législative ou réglementaire, ou des règles internes de l’entreprise ;
La fraude externe : c'est-à-dire des pertes liées à des actes externes visant à commettre
une fraude ou un détournement d’actif ou à enfreindre une disposition législative ou
réglementaire ;
Pratiques en matière d’emploi et sécurité sur le lieu de travail : il s’agit de pertes liées à
des actes contraires aux dispositions législatives ou réglementaires, ou aux conventions
en matière d’emploi, de santé ou de sécurité ;
Clients, produits et pratiques commerciales : pertes dues à un manquement à une
obligation professionnelle envers un client, à la nature ou aux caractéristiques du
produit ;
Selon Bâle II, il faut entendre par risques opérationnels les risques que l’organisation, ses
acteurs et l’environnement externe font courir à l’entreprise. Et donc, ils peuvent se décomposer
en quatre sous ensemble :
La diversité des risques auxquels l’entreprise est confrontée revêt une importance capitale d’une
analyse centrale afin de garantir une vue globale, avec une implication de tous les services pour
le but de mieux appréhender l’exposition aux risques.
1.1. L’identification
Le dispositif de gestion des risques opérationnels consiste à agir sur les différents éléments
identifiés, c’est pour cela que l’identification est la première étape de ce processus.
De cette manière, les risques seront analysés de manière détaillée et rattachés à un processus,
s’y ajoute un certain nombre d’informations spécifiques et pertinentes pour l’identification des
risques (déroulement particulier d’activité, risque lié à un contexte …).
Certains événements types sont récurrents, et peuvent se retrouver, par ailleurs, comme un
événement à risque dans la quasi-totalité des processus, notamment les erreurs humaines ou
l’interruption du système d’information.
l’établissement d’une liste type d’événements à risques : consiste à énumérer les divers
risques (interruption des systèmes d’information, erreurs humaines, fraudes…). Ceci va
permettre d’éviter de refaire un travail acharné d’analyse des risques avec les
opérationnels métiers pour se focaliser sur les risques spécifiques à leur activité ;
l’établissement de la liste des risques spécifiques : effectuer une liste de risques
spécifiques à l’activité (absence de contrôle, évaluation erronée, …) et des métiers quel
que soit l’activité. Cette étape se fait à la base de réunions et des entretiens avec les
opérationnels métiers afin de définir à quels risques sont-ils sensibles ;
la validation interne de la nomenclature des risques : cette validation doit s’assurer
qu’un même risque dans deux entités ou activités différents aura la même
compréhension et le même sens afin de conserver un dispositif cohérent ;
la validation de la cohérence : le dispositif mis en place doit correspondre aux besoins
réglementaires.
L’analyse des risques et leur gestion sont intrinsèquement liés. Selon l’IFACI, l’analyse
comprend les éléments suivants :
Par ailleurs, pour Cooper & Lybrand (2000 : 61-62) estiment qu’après l’identification des
risques, il est nécessaire de procéder à une analyse de ces derniers, et ce au niveau de l’entreprise
et de chaque activité. Il existe différentes manières de procéder à cette analyse, dans la mesure
où ils sont difficilement quantifiables. Le processus plus ou moins formel peut se décomposer
généralement comme suit :
Généralement un risque qui n’a pas d’impact significatif et dont la probabilité de survenance
est faible, ne nécessite pas une analyse détaillée. En revanche, un risque majeur avec une forte
probabilité de survenance doit attirer une attention particulière lors de l’analyse. Entre ces deux
cas extrêmes, l’analyse des risques s’avère difficile et doit être faite avec rationalité et minutie.
« La surveillance des risques est une fonction permanente qui s’imbrique dans les procédures
formalisées mises en place par l’établissement. Elle implique l’ensemble des acteurs du contrôle
interne : comité d’audit, auditeurs internes, comités des risques et cellules de management des
risques, contrôleurs de premier et deuxième niveau » (SARDI, 2002 : 63)
SARDI (2002 : 187) ajoute que le suivi des risques est une pierre angulaire du management des
risques. Cette surveillance est mise en place grâce aux contrôles dits « de premier et deuxième
niveau » et du troisième niveau qui concerne l’audit interne qui doit éviter d’être impliqué dans
la surveillance permanente car son rôle est de s’assurer de l’efficacité du dispositif.
D’après JIMENEZ & Al (2008 :91), plusieurs acteurs de l’entreprise interviennent dans la mise
en place et le suivi du dispositif de gestion des risques, car les risques se retrouvent à tous les
niveaux et dans toutes les fonctions de l’entreprise. On citera alors :
la direction générale : elle a un rôle majeur car elle assure l’efficacité du dispositif par
son implication et l’allocation des moyens ;
le comité d’audit : toute modification du profil de risques et les décisions prises à leur
égard doivent lui être présentés ;
les opérationnels : ils gèrent les processus et assurent la mise en place des mesures
correctives et leur application ;
l’audit interne : il a pour mission d’auditer les dispositifs de gestion des risques
opérationnels et l’élaboration des plans annuels d’audit.
Afin de procurer une meilleure gestion des risques opérationnels, il est nécessaire d’élaborer
une cartographie des risques qui aura pour objectif d’identifier, d’évaluer, de classer, de
comparer et de hiérarchiser les risques susceptibles d’impacter une ligne de métier.
En outre, AHOUAGANSI (2008 :40-41), c’est un inventaire des risques de l’organisation. Elle
est là pour trois principaux objectifs :
1.1.1.1. Définition
La cartographie des risques est une démarche qui sert d’élaborer un document permettant de
recenser les principaux risques d’une organisation et de les présenter synthétiquement sous une
forme hiérarchisée pour assurer une démarche globale d’évaluation des risques. Elle n’est
toutefois qu’une photographie des risques à un instant donné.
En ce qui concerne les risques « rares », une identification et une évaluation qualitative des
risques va servir de base pour la cartographie, et ceci par les opérationnels de l’entreprise à
travers des questionnaires ou des ateliers de travail.
Identifier
Hiérarchiser
Evaluer
Cette démarche de réduction de risque est de la responsabilité des acteurs opérationnels chargés
de ces activités. L’audit interne intervient alors pour fournir une assistance technique dans la
réduction des risques, tout en veillant au bon fonctionnement du contrôle interne et le respect
de ces principes.
s’assurer de l’existence d’un bon système de contrôle interne qui permet de maîtriser
les risques ;
veiller de manière permanente à l’efficacité de son fonctionnement ;
apporter des recommandations pour en améliorer l’efficacité ;
Selon RENARD (2009 :193), la signification d’une mission d’audit c’est qu’elle se découpe en
périodes précises et identifiables, et qui sont pratiquement les mêmes.
Le mot mission vient du latin « Mittere » qui signifie envoyer, donc la mission est une fonction
temporaire et déterminée dont un gouvernement charge un agent spécial.
Entre autres, le rôle de l’audit interne est donc de conseiller et d’aider la direction à assurer
l’efficacité du contrôle en mettant un programme de travail reposant sur les risques recouvrant
le principal des activités et les principaux systèmes de l’entreprise.
L’audit interne est une fonction d’évaluation dont la tâche essentielle est la validation du
contrôle interne. En outre le terrain d’entente entre l’audit interne et le contrôle interne est la
vérification du respect des procédures.
Ayant pour objectif des alertes préventives, les indicateurs seront produits à une fréquence qui
correspond à la mesure « normale » du risque ou du dispositif. Ces indicateurs doivent être
reliés à la nomenclature des risques afin de permettre si besoin de mettre en place des plans
d’actions et une modification de la cartographie des risques.
Une « fiche d’identité » de chaque indicateur retenu devra être créée afin de permettre la
diffusion de l’intérêt de celui-ci et de l’objectif de la mesure. Cette fiche d’identité comprend :
le nom de l’indicateur ;
les objectifs :
son mode de calcul ;
les sources utilisées ;
la périodicité d’utilisation ;
le seuil critique ;
les conséquences d’une dégradation de l’indicateur.
La création d’un tableau de bord des risques opérationnels donc doit être le reflet de la qualité
de la politique des risques mises en œuvre à différents niveaux de l’entreprise.
La maîtrise des risques occupe une place de plus en plus grandissante au sein de toute entreprise
au point qu’elle s’est ancrée dans les préoccupations des dirigeants. Les risques qui font face à
l’entreprise doivent, par ailleurs, être identifiés, classifiés et réduits à des proportions
acceptables. En conséquence, un système efficace doit être mis en place sous certaines
conditions pointues telles que l’existence d’un audit interne performant, un processus
d’identification et de mesure de risque simple.
l’approche par les systèmes : c’est la démarche la plus traditionnelle, elle s’intéresse à
des opérations, systèmes de sorte qu’il est limité dans le temps à une partie de
l’entreprise ;
l’approche « audit total » : elle est illimitée et couvre la totalité des fonctions de
l’entreprise et la totalité de ses activités ;
l’approche audit transversal : recouvre au sein d’une organisation complexe, l’audit
d’une fonction ou d’une procédure en entier ;
l’approche « qualité totale », prolongée par l’approche juste à temps : est un moyen pour
identifier le risque d’audit afin de rendre le système plus performant ;
l’approche par les compétences des auditeurs : les compétences de l’auditeur ont un
impact direct sur le déroulement de la mission ;
l’approche moderne : dans sa recherche d’efficacité, l’auditeur interne adopte une
approche par les risques, cette approche part du principe qu’il est peu utile d’investir sur
une partie significative où le risque est fortement susceptible d’apparaître.
COLLINS (1992 :28) ajoute que l’auditeur, dans cette démarche, se base parfois sur les comptes
de résultats pour son étude à travers les systèmes, ces étude est appelée « Top down », car elle
part des documents de synthèse. Dans cette approche, l’entreprise est considérée comme un
ensemble de risques.
Elle consiste en :
Cette approche comporte certaines limites notamment en ce qui concerne les insuffisances dans
la planification et l’évaluation du contrôle interne :
Jusqu’en 2008, les missions de l’audit interne étaient focalisées sur les contrôles financiers,
mais en Avril 2011, CHAMBERS a publié un article dans la Revue de l’audit et contrôle
internes (2011 :40) affirmant que l’audit interne a su se réorienter et retrouver une vision plus
large des risques menaçant les organisations. D’où l’apparition d’une nouvelle démarche,
approche par les risques.
Selon RENARD (2008 :233), cette étape n’est que la mise en place de la norme
2210 :A1 stipulant : « En planifiant sa mission, l’auditeur interne doit relever et évaluer les
risques liés à l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en
fonction du résultat de cette détermination. ». Il s’agit donc d’identifier les endroits où les
risques sont susceptibles de se produire, que d’analyser les risques eux-mêmes.
Dans cette même norme, on lit : « Le but de l’évaluation des risques pendant la phase de
planification e l’audit est d’identifier les secteurs importants de l’activité à auditer. », donc cette
évaluation va permettre à l’auditeur de construire son référentiel et de concevoir son
programme.
L’auditeur devra par la suite valider les constats identifiés lors de l’intervention en les portants,
dans son rapport, à la connaissance du responsable.
l’exposition : ce sont les risques qui portent sur les biens et sont multiples (malversions,
incendies, dommage de toute sorte) ;
l’environnement : ce n’est pas le bien lui-même, mais ce qui est autour qui devient
facteur de risque. sous cette rubrique prennent place tous les risques liés aux opérations ;
la menace : le plus souvent imprévisible, voire invisible. Elle risque de conduire à la
multiplication des procédures qui seront des freins et de contraintes excessifs, si on n’a
pas pris les mesures nécessaires du danger et de la riposte appropriée.
Le tableau des risques permet de cerner les objectifs d’audit retenus, qu’il sera nécessaire de
vérifier sur le terrain lors de la réalisation des travaux d’audit.
L’approche par les risques dénote certaines faiblesses notamment au niveau de la taille de
l’entreprise. En effet, cette démarche n’est efficace que si l’entreprise est de taille importante
mais devient inutile et coûteuse pour les petites entreprises.
Selin JIMENEZ & Al (2008 :91-92), plusieurs éléments doivent être comportés par le dispositif
qui va servir de base d’une bonne maîtrise des risques opérationnels à savoir :
Le référant de maîtrise des risques : Selon FAUTRAT (in Revue française de l’audit interne,
Février 2000 :25), il s’agit du document référentiel validé par la direction, qui au niveau global
de l’entreprise visualise les grands processus d’activité, les risques essentiels qui leur sont liés,
et des règles du contrôle interne y correspondant.
Tout le monde est d’accord que l’auditeur doit obligatoirement tenir compte de l’efficacité du
contrôle interne lorsqu’il entreprend la planification de la mission. Ainsi sont nombreuses les
définitions du contrôle interne qui existent.
Le contrôle interne est l’outil de maîtrise par l’entreprise de ses procédures et de son
exploitation. Toutefois, aucun système de contrôle interne n’est parfait, il s’avère donc, une
nécessité de procéder à son évaluation. C’est la responsabilité d’évaluer le fonctionnement du
dispositif de contrôle interne et de faire des recommandations pour l’améliorer.
Pour BARRY (2009 :16), la définition du contrôle interne montre les objectifs préalables que
l’audit devrait chercher à réaliser. Pour ce faire, évaluer le contrôle interne de l’entreprise vise
à s’assurer, à tous les niveaux de l’entreprise, les objectifs de contrôle sont atteints par la mise
en place de procédures définies dans le cadre d’un manuel et appliqués effectivement par le
personnel. Il ajoute que l’évaluation du contrôle interne permet la détection :
cycle des dépenses-achats : concernent toutes les fonctions relatives aux achats, depuis
la budgétisation jusqu'au règlement des fournisseurs ;
cycle dépenses-immobilisations : regroupe les différentes fonctions relatives aux achats
et à la conservation des biens d’équipement, de leur budgétisation à leur dépréciation
ou cession ;
Trois techniques sont utilisées pour l’évaluation du contrôle interne à savoir : les examens de
l’évidence du contrôle à travers l’inspection des documents ou les tests d’existence, les tests de
cheminement et l’observation de l’existence du contrôle de premier niveau.
A travers ce chapitre, nous avons pu cerner le cadre théorique de la gestion des risques et leur
maîtrise à travers la mise en œuvre de dispositifs adéquats ainsi que leur évaluation. En outre
l’apport de l’audit interne a été mis en œuvre à travers les évaluations des dispositifs du contrôle
interne et de la cartographie des risques opérationnels. La fonction d’audit indépendante par
nature, ne doit avoir aucune implication dans la définition et la mise en œuvre des politiques et
outils de maîtrise des risques opérationnels. Son rôle sera alors de valider in fine la pertinence
et la qualité des systèmes mis en place pour cerner le risque et proposer des mesures
d’amélioration.
Organisation et
Connaissance de la
fonctionnement
structure -Analyse documentaire
organisationnelle de la
Banque Populaire -Observation
-Entretiens
Recommandations :
Figure 2 : Modèle d’analyse Bonnes pratiques
Source : Nous-même
La contribution de l’audit interne dans la gestion des risques opérationnels 34
Cas « BANQUE POPULAIRE »
1. Le questionnaire du contrôle interne
Le questionnaire aura pour objectif d’analyser les risques et d’évaluer le dispositif du contrôle
interne pour déceler les forces et les faiblesses de celui-ci.
2. L’analyse documentaire
L’analyse documentaire consiste à l’exploitation des documents internes de l’organisation dans
le but d’en tirer des informations utiles pour la prise de décision.
L’organigramme ;
Le manuel des procédures des risques opérationnels ;
Les rapports annuels d’activité ;
Les dispositifs de maîtrise des risques opérationnels.
3. L’interview
L’interview consistera à effectuer es entretiens avec les personnes ressources pour recueillir
leur opinion et assurer ainsi la qualité des informations recueillies. Une meilleure description
du processus de gestion des risques et une appréhension des dispositifs du contrôle interne mis
en œuvre sont parmi les objectifs de cet outil. Il concernera les personnes suivantes :
4. L’observation physique
L’observation physique se fera de deux manières, celle directe nous permettra de comprendre
et de valider les informations recueillies sur le processus de gestion des risques opérationnels ;
et celle indirecte se focalisera sur le dispositif de maîtrise des risques opérationnels dans le but
d’avoir une idée sur la contribution de l’audit interne dans la maîtrise de ceux-ci.
Dans un environnement changeant, l'auditeur interne peut jouer un rôle dépassant largement
celui de "contrôleur" pour devenir un "catalyseur" encourageant les dirigeants d'entreprise à
agir.
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein de l’entreprise traduit la
volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter
les risques, de rendre l'organisation existante plus performante et plus efficace.
L’audit interne peut jouer un rôle non négligeable en matière d’efficacité de l’entreprise.
Ainsi, dans le cadre de l’exercice de sa mission, l’auditeur est bien placé pour identifier, outre
les problèmes de contrôle, les domaines dans lesquels les contrôles sont inutiles, inefficaces et
coûteux.
Selon CHAMBERS (Revue de l’audit et du contrôle internes, Avril 2011 : 40), pour jouer
efficacement son rôle dans le processus de management des risques, l’audit interne doit être
capable de comprendre comment les risques affectent l’entreprise ? Quel rôle joue-t-il dans la
gestion des risques ? Et comment utiliser l’évaluation des risques ? Ceci doit être fait de manière
permanente car les entreprises deviennent de plus en plus sophistiquées dans le domaine de la
gestion des risques.
Une fois l’importance et la probabilité de survenance des risques évalués, le top management
doit définir la manière avec laquelle ces risques doivent être gérés. Aussi avant d’instaurer des
procédures supplémentaires, le management doit s’assurer si celles déjà existantes sont
adéquates aux risques identifiés ou bien faudrait-il les modifier voire les abroger pour mettre
en des procédures plus adéquates.
L’audit est à l’intérieur de l’entreprise, une activité indépendante d’appréciation du contrôle des
opérations. Son objectif est d’assister les dirigeants, de fournir des recommandations et des avis
des informations concernant les activités examinées, et donc l’aide à la maîtrise des processus.
Dans cette deuxième partie, nous allons présenter l’organisme d’accueil à savoir le Groupe
Banque Populaire, son dispositif de maîtrise des risques, la contribution de l’audit interne dans
la maîtrise des risques opérationnels, pour enfin, ressortir avec des recommandations.
De ce fait, le contrôle interne n’est pas une fonction, mais un processus composé de moyens et
de méthodes (organisation, procédures, gestion des risques…) applicables à toutes les activités
et à l’ensemble des organismes du CPM et de leurs filiales (Annexe n°1), visant à donner aux
gestionnaires une assurance raisonnable quant à la réalisation des objectifs et à la maîtrise des
risques.
Ces cellules constituent un filet de sécurité permettant la détection des erreurs, des insuffisances
de conception, d’organisation et/ou de mise en œuvre des procédures d’auto-contrôle.
Pour leur permettre d’exercer leurs responsabilités, ces cellules doivent consigner par écrit leurs
règles de fonctionnement et leurs modes d’organisation en respectant les règles minimales
suivantes :
Elles ne doivent en aucun cas décharger les opérationnels des tâches d’auto-contrôle
dont ils assument la responsabilité.
Les agents faisant partie de ces cellules doivent posséder les connaissances, le savoir-
faire et les autres compétences nécessaires à l’exercice de leurs responsabilités ;
Un système de reporting quasi-permanent doit être défini pour permettre au Directeur
de division d’être au fait de toute anomalie ou dysfonctionnement relevé. Ce dernier
doit informer régulièrement, l’Inspection Générale ainsi que l’audit interne BCP des
b. Les audits internes (BCP, BPR et Filiales) qui ont pour principale mission d’intervenir
dans les entités relevant de leur champ d’intervention dans le but d’aider les organismes
du CPM et leurs filiales à atteindre leurs objectifs en évaluant le processus de
management des risques, de contrôle et de gouvernance et en faisant des
recommandations pour renforcer leur efficacité ;
c. L’Inspection Générale du CPM qui a vocation à intervenir dans tous les organismes du
CPM et leurs filiales. Elle anime des différents niveaux de contrôle et assure la
surveillance globale des risques, à travers ses missions et l’exploitation des reportings
des audits internes (BCP, BPR et Filiales) et des fonctions centrales chargées de la
surveillance des risques spécifiques.
Risque de crédit : le risque qu’un client ne soit pas en mesure d’honorer ses
engagements à l’égard de l’établissement de crédit.
Risques de marché :les risques de perte qui peuvent résulter des fluctuations des prix
des instruments financiers qui composent le portefeuille e négociation ou des positions
susceptibles d’engendrer un risque de change, notamment les opérations de change à
terme et au comptant.
Risque global de taux d’intérêt : l’impact négatif que pourrait avoir une évolution
défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit.
Risque de règlement : le risque de survenance, au cours du délai nécessaire pour le
dénouement de l’opération de règlement, d’une défaillance ou de difficultés qui
empêchent la contrepartie d’un établissement de crédit de lui livrer les instruments
financiers ou les fonds convenus, alors que ledit établissement a déjà honoré ses
engagements à l’égard de ladite contrepartie.
Risque informatique : le risque de survenance de dysfonctionnements ou de rupture
dans le fonctionnement du système de traitement de l’information, imputables à des
Ces risques sont gérés par des fonctions centrales de la BCP, conformément à leurs définitions
de fonctions (Annexe n°3).
Ces fonctions sont tenues d’adresser à l’Inspection Générale des reportings périodiques sur
leurs travaux de surveillance des risques.
L’action de toutes les fonctions en matière de surveillance des risques opérationnels trouve son
relais dans les travaux engagés par les opérationnels pour doter l’Institution d’un outil (évolutif
et permanent) d’identification et de mesure de ces risques (cartographie des risques). Cet outil
va permettre :
Aux fonctions opérationnelles de proposer les actions à mettre en place pour la gestion et la
couverture de ces risques ;
A l’Inspection Générale d’orienter les actions des fonctions chargées du Contrôle pour assurer
la surveillance globale des risques opérationnels.
Le Comité directeur ;
Le dispositif de contrôle interne à la Banque Populaire ne prévoit pas une définition très claire
des responsabilités des opérationnels, de ce fait, elle ne s’appuie pas sur des procédures
formelles matérialisées par un manuel de procédures. Néanmoins, cette situation n’est pas
estimée en tant qu’un handicap réel dans la réalisation des opérations car les contrôles inopinés
réalisés permettent de mettre les choses au point et d’exercer les responsabilités à travers la
diffusion en interne des informations. En outre, la société devant faire face à certaines exigences
suite à sa forme juridique, à son secteur d’activité et à son environnement dans lequel elle
évolue, a su se doter des outils et des pratiques appropriés à son organisation.
La surveillance du dispositif du contrôle interne est basée sur l’audit interne qui conduit son
adaptation car sa défaillance peut peser lourd sur la réalisation des objectifs assignés aux
opérationnels et entrainer ainsi une baisse de rentabilité.
Cette analyse met en évidence les dysfonctionnements et les risques qui pourraient en résulter.
Cela est dû à l’absence de formalisation du manuel des procédures et à une politique de gestion
des risques insuffisante.
Source : Nous-même
Avec les mutations économiques, tout ne peut être considéré qu’un risque. Cependant, les
risques inhérents aux activités doivent être mesurés et ceci n’est possible qu’à travers une
analyse des mesures prises afin d’assurer leur maîtrise.
Une révision du contrôle interne s’avère indispensable pour traiter de manière appropriée tout
risque nouveau ou précédemment incontrôlé. C’est pour cette raison qu’il est nécessaire pour
toute entreprise, quel que soit le domaine d’activité dans lequel elle opère, d’avoir des systèmes
de contrôle interne efficaces. L’efficacité des systèmes de contrôle interne devient donc un
facteur majeur dans l’amélioration de la performance d’entreprise. L’audit doit reconnaître et
évaluer de manière permanente les risques importants qui pourraient aider la Banque Populaire
à réaliser des objectifs. Ce chapitre nous permettra de connaître l’état du dispositif de maîtrise
des risques opérationnels de la société, leur efficacité et d’y cerner l’apport de l’audit interne.
Etre en mesure de détecter le plus tôt possible les risques ou les incidents opérationnels
pouvant avoir des conséquences financières et/ou sur l’image du groupe ;
Analyser les risques potentiels et/ou les incidents, apprécier et/ou quantifier leurs
impacts ;
Alerter les principaux responsables concernés par lesdits incidents ;
Disposer d’outils et d’indicateurs de pilotage à destination de la Direction Générale, du
Management dirigeant, des métiers et des différents acteurs du dispositif afin que tous
puissent apprécier leurs expositions aux risques opérationnels et les réduire (coût du
risque) ;
Faire engager les actions préventives et correctives qui s’imposent pour réduire les
impacts et la probabilité de survenance des incidents et éventuellement adapter les
organisations et les SI.
Connaître l’état du dispositif de maîtrise des risques opérationnels est primordial pour effectuer
son analyse.
De plus, les efforts de renforcement de cet outil se sont poursuivis courant 2016. En effet,
l’intégration des plans d’actions dans l’outil permet aux BRP et aux filiales d’avoir, d’une part
une visibilité et flexibilité dans la gestion courante de leur cartographie des risques et d’autre
part, de piloter les risques critiques.
Elaborer une cartographie des risques opérationnels consiste, par une approche qualitative, à
apprécier le niveau d’exposition d’une entité à ces risques dans l’ensemble des métiers et
fonctions (opérationnels et support) qui la concernent.
La cartographie des risques ainsi produite permet au management de l’entité de connaître ses
principales zones de vulnérabilité et les risques de pertes encourus correspondants ; ce faisant,
elle est mesure de décider des actions à mener pour gérer ces risques (Assumer, éviter, réduire,
atténuer).
L’année 2015 a connu la poursuite de la revue des cartographies des risques opérationnels des
macro-processus majeurs de la Banque et qui a permis d’atteindre des objectifs en lien avec :
La mise en place d’une démarche d’évaluation des risques plus qualitative permettant
de se concentrer sur les plans d’actions couvrant les risques les plus critiques ;
L’harmonisation de l’évaluation des risques entre les Banques Populaires permettant
une meilleure visibilité sur l’exposition au risque pour le Groupe ;
La concentration des efforts des Banques Régionales dans l’identification des risques
spécifiques et les propositions de plans d’action pouvant servir tout le groupe ;
La mise à jour de la cartographie des risques moins fastidieuse pour se concentrer sur
les vrais enjeux relevés par les experts métiers.
Pour chaque événement de risque, une appréciation du dispositif de maîtrise des risques (DMR)
est établie selon trois niveaux : Satisfaisant, A renforcer ou Insatisfaisant.
A travers des ateliers avec les experts métiers, des événements de risque opérationnel sont
identifiés et décrits, puis évalués selon deux paramètres à savoir la fréquence et l’impact
financier.
Des correspondants risques opérationnels (CRO) ont été désignés au sein des BPR et de la BCP,
avec pour mission de déclarer tout incident répondant aux critères définis par la procédure de
collecte indépendamment de l’entité de survenance.
D’évaluer les pertes réellement subies suite aux risques opérationnels (coût réel du
risque) ;
D’apprécier les risques et leur évolution dans le temps (mise à jour de la cartographie
des risques).
Etant basé sur un principe déclaratif, l’exercice connait des insuffisances en matière
d’exhaustivité et de régularité. Afin de remédier à cette situation, plusieurs actions sont
engagées, notamment :
L’animation permanente des acteurs du processus de collecte des incidents permet d’améliorer
la qualité des déclarations et d’avoir une meilleure visibilité sur le profil de risque de la Banque.
La liste des outils de maîtrise des risques cités là-dessus n’est pas exhaustive vu l’effort colossal
que fait le Groupe afin de les réduire, à cette liste peuvent s’ajouter le Suivi des activités
externalisées ; le reporting interne et externe.
La mise en place d’une politique de gestion des risques traduit la volonté de la direction générale
de connaître les risques importants de l’entreprise, de les mettre sous contrôle et d’être informé
de la qualité de leur maîtrise. C’est dans cette même logique que la revue de la cartographie des
risques a eu lieu et a pu proposer, pour les risques dont le niveau de contrôle a été jugé
insuffisant ou à renforcer, le plan d’action suivant :
Impact Impact
Processus Evènement de risque Fréquence Score Plan d'action
unitaire maxi
*Assainir le
compte avance
Erreur dans le traitement
sur marché nanti
d'un virement sur e 3 3 Critique 9
*Identifier la
marché nanti
date d'imputation
le même jour
Traitement d'un ordre de
Virement virement unitaire sans Prévoir l'édition
justificatif ou avec défaut 4 2 Critique 8 d'un avis à
de formalisme de l'ordre donner au client
de virement
Prévoir un contrôle
Double traitement d'un en amont sur la
1 5 Critique 5
virement base d'un N° de
bordereau
Les évènements de risque dont le contrôle a été estimé suffisant mais pour lesquels l’impact
maximal est critique doivent rester sous surveillance.
Pour savoir le degré d’implication de la direction dans la gestion des risques opérationnels, un
questionnaire a été élaboré comme nous indique le tableau suivant.
Source : Nous-mêmes (Inspiré du cadre de référence de l’AMF autorité des marchés financiers)
L’audit interne, à travers sa mission, cherche l’évaluation des dispositifs de maîtrise des risques
opérationnels en passant au peigne fin la réalisation des opérations tout en se référant aux
manuel des procédures, les normes et la réglementation pour apprécier le contrôle interne
existant. En outre, il doit apprécier la maîtrise globale des processus de l’entreprise par les
opérationnels.
L’évaluation des risques est donc le processus qui consiste en une inspection approfondie de
l’entreprise afin d’identifier entre autres les éléments, situations et procédés qui peuvent causer
un préjudice. C’est l’étape fondamentale de la gestion des risques par la société, car elle se fait
à travers un tableau synthétique énumérant les différents risques. Cela permet à l’audit donc,
d’apprécier leur probabilité et leur gravité et permet également d’analyser les facteurs
susceptibles d’entraver la réalisation des objectifs du groupe.
Principal objectif
Source : Nous-mêmes
La construction d’une structure rationnelle et globale de gestion des risques dans le but
d’élaborer un contrôle interne efficace commence toujours par l’identification des risques. En
effet, c’est le point de départ pour l’évaluation des risques identifiés puisqu’elle requiert une
connaissance approfondie des activités de l’entreprise ainsi que des risques qui leur sont
rattachés. L’audit interne, permet ainsi la révision exhaustive de l’ensemble des opérations à
travers une check-list de domaines à auditer, énumérant les risques relatifs aux différentes
activités.
Ces comptes rendus sont ensuite discutés lors des commissions d’audit ainsi qu’au niveau de la
Direction Générale afin d’avoir une idée détaillée du niveau des risques auquel le groupe doit
faire face, et de mettre à jour les mesures de contrôle déjà existantes voire mettre en place des
mesures supplémentaires en cas de récurrence de risque estimés significatifs (Couple
Fréquence/Impact, Tableaux 5 et 6).
La gestion des risques ne doit pas se limiter uniquement à un simple recensement des risques
potentiels et pertinents, mais doit s’appuyer également sur une analyse pour mieux appréhender
leurs probabilités de survenance et la gravité de leurs impacts sur l’organisation, de cette
manière cette identification et analyse approfondies des risques, permettra une prise de décision
par le top management, auxquels remontent tous les reportings.
La banque populaire offre différents services à savoir, entre autres, les comptes à vue, les
comptes d’épargne les mises à dispositions etc. et est soumise à un volume de transactions
énorme. Comme mesure de contrôle contre la fraude, les virements qui dépassent un certain
montant par exemple, nécessitent une double confirmation, l’opérationnel crée l’opération de
L’efficacité du contrôle interne et de maîtrise des risques sont des enjeux réels pour le Groupe,
et cette démarche permet de l’apprécier et d’optimiser les différents contrôles.
Section 3 : Recommandations
Le Groupe Banque Populaire est une entreprise qui offre diverses prestations dans le domaine
bancaire. Afin de mettre à bien cette mission dans un environnement en pleins évolution et
complexité, elle doit renforcer sa politique de gestion de risques opérationnels auxquels elle
peut être confrontée. Nous avons donc jugé utile de faire quelques recommandations sur les
bonnes pratiques allant dans le sens de maîtrise des risques opérationnels.
Les différents dysfonctionnements que nous avons pu ressortir ont fait l’objet des
recommandations ayant pour but de renforcer le contrôle interne et donc, assurer la bonne
maîtrise des risques opérationnels que rencontre la société.
La mise en place des recommandations doit impliquer les différents acteurs du Groupe Banque
Populaire, surtout le top management.
L’existence des dispositifs de gestion des risques et de contrôle interne, aussi bien parfaits qu’ils
soient, ne peut fournir une garantie absolue quant à la réalisation des objectifs de l’entreprise.
Des limites existent à tout processus en effet, ces limites peuvent résulter de nombreux facteurs
notamment l’incertitude du monde extérieur, de l’exercice de la faculté de jugement ou de
dysfonctionnements pouvant survenir en cas de défaillances techniques ou humaines ou des
erreurs les plus simples.
Le choix de traitement d’un risque se fait sur la base d’un arbitrage entre les opportunités à
saisir et les coûts de mise en place des outils et des processus utiles pour le traiter. Tout en
prenant compte de l’occurrence et/ou les conséquences du risque, afin de ne pas mettre en place
des actions inutilement coûteuses.
Notre démarche, nous a permis d’atteindre les objectifs fixés au préalable, en outre, elle a
montré les forces et faiblesses des dispositifs du contrôle interne et de maîtrise des risques
opérationnels et comment est-ce que l’audit contribue à son amélioration. Par cette analyse, il
est donc évident que l’audit a une importance capitale dans la maîtrise de ces dispositifs à
travers leur évaluation et l’émission de recommandations.
D’autant plus, les constats effectués et les recommandations émises par les auditeurs suite à
leurs missions visent généralement à corriger les dysfonctionnements et les manquements
auxquels fait face l’entreprise. Leur prise en comptes est donc un levier essentiel vers la
réduction des risques potentiels susceptibles d’influencer la rentabilité de l’entreprise et donc
de l’orienter vers la réalisation de ses objectifs.
Le crédit populaire du Maroc est un groupement de banques constitué par la banque centrale
populaire BCP et les banques populaires régionales, il est placé sous la tutelle d'un comité
directeur du crédit populaire du Maroc.
Œuvre du Dahir du 2Février 1961, le crédit populaire du Maroc est le leader du secteur bancaire
national, c'est une institution par sa mission d'intérêt général, changé de favoriser l'activité et le
développement de toute entreprise qu'elle soit petite ou moyenne, par la distribution de crédit à
court, moyen et long termes.
Comité Directeur ;
Banque Centrale Populaire BCP ;
Banques Populaires Régionales BPR.
Et c'est l'existence de cet ensemble fortement soudé où réside la force du groupe, il parvient
ainsi à cumuler les avantages de la banque centrale (BCP) à compétence nationale en terme de
conception, de direction et de coordination, et des banques coopératives régionales (BPR) dont
la diversité caractéristique implique les besoins variés et des moyens adoptés.
Pour assurer la couverture de l'espace géographique national, le groupe des banques populaires
(GBP) dispose de 16 banques régionales regroupant 400 agences représentant le réseau bancaire
le plus grand et le plus étendu du pays, et emploie plus de 6000 personnes.
2. Le comité directeur
Il est chargé de définir les orientations et les politiques générales du groupe, et d'exercer un
contrôle administratif, technique et financier sur la gestion et l’organisation de la BCP et de
chaque BPR et en particulier de veiller au respect par ces organismes des dispositions de la loi
relative à l'activité des établissements de crédit et de leur contrôle.
La BCP est une banque à capital variable souscrit par l'Etat avec la participation de certains
organismes semi-publics et publics et semi-publics (BAM : Bank Al Maghreb, Banque
Nationale de Développement Economique (BNDE), Crédit Immobilier Hôtelier (CIH),...), les
BPR ainsi que les personnes physiques ou morales du secteur privé.
Mais la réforme actuelle du CPM en fait de la BCP une société anonyme à capital fixe, dont
l’Etat et les BPR détiennent 51%; alors que 20% du capital sera introduit dans la bourse, lors
de l'ouverture du capital de la BCP.
La BCP est donc, l'organisme central bancaire des banques populaires régionales. À ce titre,
elle est chargée:
D'effectuer toute mission qui lui est confiée par le Comité Directeur, et de l'exécution
des décisions de ce dernier à l'égard des BPR en assumant la coordination de leur activité
et de leur contrôle.
D'exécuter la compensation des créances et des dettes réciproques des organismes du
crédit populaire du Maroc, et du refinancement des BPR.
De gérer les services d'intérêt commun aux organismes du crédit populaire du Maroc
ainsi que
De distribuer aussi les crédits par l'intermédiaire de son siège, ses agences et
succursales.
En plus d’une division des ressources humaines qui est rattachée au directeur général chargé de
la coordination des pôles ;
L'importance de leur implication dans ce développement a ainsi amené le GBP à intensifier ses
efforts, en vue de faire des BPR des outils opérationnels efficaces au service du tissu
économique local et régional.
La BPR est un ensemble de banques sous forme coopérative à capital variable qui constituent
le levier du CPM en ce qui concerne : la collecte de l’épargne au niveau régional, sa
mobilisation et son emploi dans la région.
Le capital de la BPR est détenu par les sociétaires qui sont en même temps des clients, il est
constitué de parts sociales ordinaires et privilégiées qui sont rémunérées sans pour autant
dépasser le taux maximum fixé par le comité directeur.
15 banques de forme coopérative à capital variable détenu dans sa quasi-totalité des clients
sociétaires, ce sont les BPR de :
Nador, Al Hoceima, Fès, Taza, Oujda, Casablanca, Laayoune, Rabat- Kenitra, Centre Sud,
Marrakech, Beni Mellal, Tanger- Tétouan, El Jadida, Safi, Meknès.
Au 1er Juillet 2003, une nouvelle série des BPR est devenue effective avec la création de la
Banque Populaire de FES- TAZA, la Banque Populaire de MARRAKECH- BENI MELLAL
et celle d’EL JADIDA- SAFI (ce qui réduit le nombre des BPR à 12).
Le processus de regroupement vise la création de BPR fortes, disposant d’une large autonomie
et de pouvoirs de décision décentralisés. Ces BPR regroupées sont considérées comme des
établissements de crédit à part entière, dotées de Directoires et de Conseils de Surveillance et
soumises aux règles prudentielles de la profession bancaire.
Cette nouvelle génération des BPR constitue des instruments financiers performants ; en mesure
de relever le défi du renouveau régional, qui consacre la région comme espace économique,
social et culturel, porteur de son propre développement.
Le regroupement des forces régionales du Groupe Banques Populaires est de nature à confronter
son leadership sur la scène nationale et régionale. Il répond également à l’impératif de
croissance naturelle du Groupe ; dans un environnement économique et financier en profonde
mutation, qui a généré une forte concurrence professionnelle et une configuration positionnelle.
Le groupe banque populaire dispose de plusieurs filiales où il détient des participations de plus
en plus importante.
Cette politique des filiales a été entreprise par le groupe pour diversifier ses sources de revenu
et constituer un holding assez puissant pour faire face à la concurrence acharnée sur le marché
de la banque.
Solidarité, Proximité, Citoyenneté et Performance sont les valeurs qui caractérisent la marque
Banque Populaire. Ces valeurs trouvent leur source dans le modèle coopératif et mutualiste du
groupe, proclament ses atouts identitaires, reflètent sa culture, portent sa vision, renforcent la
cohésion entre ses différentes entités et traduisent ses engagements pour le développement
économique et social de l’ensemble du continent africain.
Solidarité : Elle est ancrée dans l’histoire du groupe Banque Centrale populaire et
constitue l’une de ses valeurs fondamentales. Elle lui permet d’assurer sa mission
d’intérêt général de bancarisation et de développement socioéconomique, à travers des
actions à fortes retombées sociales et économiques en faveur des régions et des
différents secteurs d’activité.
Proximité : La structure régionale du groupe Banque Centrale Populaire, la densité de
son réseau et sa forte présence lui permet d’être en contact permanent avec les réalités
et les spécificités locales.
Cette proximité lui permet de contribuer efficacement à la mobilisation de l’épargne, à
son utilisation au profit du développement des régions où elle est collectée et à la
promotion des activités bancaires à l’échelle régionale et nationale.
Citoyenneté : Le groupe Banque Centrale Populaire veille à mettre en œuvre des actions
qui s’inscrivent dans une démarche globale de développement durable. L’engagement
citoyen du groupe est essentiellement porté par ses trois fondations. La Fondation
Banque Populaire promeut la culture et la scolarisation, notamment celle des filles dans
le monde rural. La Fondation Création d’Entreprises encourage l’esprit entrepreneurial
aussi bien pour la clientèle locale que pour les MDM. Attawfiq Micro-Finance, quant à
elle, contribue à l’inclusion bancaire et financière en accompagnant les micro-
entrepreneurs.
Tirant parti de l’expérience réussie de sa filiale marocaine Attawfiq Micro-Finance, le
groupe a créé la holding Atlantic Microfinance For Africa (Amifa) pour piloter son
ambitieux programme de microfinance en Afrique. Sa création est consécutive aux
conventions conclues entre le groupe et les Etats, notamment, le Mali, la Côte d’Ivoire,
Comité directeur
Comités d’audit
BCP, BPR, Filiales
Comités internes
Comités de crédits, du contentieux,
comité stratégique ALM, comité IG
d’évaluation des performances….
Auto-contrôle
Juridique
Niveau 1 Par les
Comptabilité opérationnels
Présient du Comité
Directeur
Président du
directoire
Direction Ressources
Humaines BPR Direction Gestion
des Risques
Risk Management
Risk ManagementAffaires
Juridiques et Conformité
Direction
Maché de Direction
l'Entreprise & Direction Traitements &
de Marchés des Supports
l'international MDM,
Particuliers et
Personnes
Sous-
Sous Événements Catégorie
Étapes clefs catégorie Entité/Fonction
Processus de risque Bâle
Bâle
ETP1 -
Réception
des E1 - Retard Exécution,
SP1 - Saisie,
notifications dans le livraison
Traitement exécution
par le réseau traitement de et gestion BPR
de la et suivi des
(Appui la des
notification transactions
technique) notification processus
pour
traitement
ETP1 - Clients,
E1 - Défaut de
Elaboration et produits et Défauts de
suivi de BPR/BCP
mise en place de pratiques production
l'assurance
l'assurance commerciales
E1 -
Dépassement du Exécution, Saisie,
délai livraison et exécution et
BPR
réglementaire gestion des suivi des
d'enregistrement processus transactions
des garanties
Exécution,
E2 - Garanties Admission et
livraison et
SP2 - ETP2 - falsifiées ou documentation BPR
gestion des
Constitution Constitution, non-conformes clientèle
processus
des comptabilisation
éléments et archivage des E3 - Erreur dans Exécution,
nécessaires garanties la constitution Admission et
livraison et
au des garanties documentation BPR
gestion des
déblocage entraînant leur clientèle
processus
nullité
E4 - Perte des
Exécution,
documents de Admission et
livraison et
garanties documentation BPR
gestion des
(défaut clientèle
processus
d'archivage)
E1 - Erreur de
saisie des
Exécution, Saisie,
ETP3 - Saisie conditions
livraison et exécution et
des conditions préférentielles BCP
gestion des suivi des
préférentielles relatives aux
processus transactions
taux et aux
commissions