Escolar Documentos
Profissional Documentos
Cultura Documentos
Membres du Jury :
- Septembre 2007 -
Sommaire simplifié
1
SOMMAIRE SIMPLIFIE
Partie introductive
Introduction ………………………………………..…………………………………………………………………………….……………6
Problématique générale………………………………………..…………………………………………………………….…………9
Intérêt du sujet………………………………………..……………………………………………………………………………………12
Hypothèse centrale………………………………………..……………………………………………………………………………..13
Propos méthodologiques ………………………………………..………………………………………………..……….………..16
Chapitre préliminaire : Le système bancaire marocain : vue d’ensemble…………………..………19
2
Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information.
Section 1 : Organisation et management………………………………………..………………………..……………138
Section 2 : Sécurité………………………………………..…………………………………………………………..……………...148
Section 3 : Etudes et développements………………………………………..……………………..………………..…163
Section 4 : Exploitation informatique………………………………………..……………………………..………………168
Conclusion générale……………………………………………………………..………………………………...………..239
Annexes ………………………………………..……………………………………………………………………………………...246
Bibliographie…………………………………………………………………...…………………………………………………....276
3
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Partie introductive
4
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Partie introductive
Introduction
Problématique générale
Intérêt du sujet
Hypothèse centrale
Propos méthodologiques
Chapitre préliminaire : Le système bancaire
marocain : vue d’ensemble
5
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Introduction.
Le secteur bancaire est en mutation : déréglementation, désintermédiation, risques
accrus, pour n’en citer que les éléments les plus courants.
Les banques font face à un environnement socioéconomique mouvant et de plus en
plus complexe.
En effet, les banques marocaines comme les banques étrangères ont vécu de profonds
bouleversements dans les années quatre vingt se traduisant par la décentralisation et
l'internationalisation des activités, la croissance des volumes d’opérations, le
développement des produits sophistiqués et la prise de risques dans un contexte de
baisse des marges.
Depuis le début du troisième millénaire, en Europe, on constate une accélération des
fusions et des acquisitions dans le secteur bancaire. Phénomène qui semble se
propager pour toucher ainsi le paysage bancaire marocain.
Si, historiquement, la restructuration du secteur bancaire n'est pas un phénomène
nouveau, comment expliquer l’accélération actuelle ? Quelles en sont les conséquences
sur les fonctions exercées par les banques et les risques qui en découlent ? Le paysage
bancaire mondial y compris celui marocain sera-t-il dominé par quelques méga banques
dans quelques années ?
Ainsi, avec les évolutions qui marquent le secteur bancaire et qui se caractérisent
notamment par la rapidité de renouvellement des process, l'automatisation accélérée
des traitements ainsi que par la technicité et la diversité croissantes des produits, les
risques auxquels les banques sont confrontées sont devenus plus nombreux, plus
significatifs et plus complexes.
Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle
des risques, de protection des investisseurs et de transparence des marchés et d'autre
part, des exigences toujours plus élevées à la gestion des risques et à l’organisation des
établissements bancaires. De même, elles accroissent le risque de contrôles inadaptés
voir défaillants.
Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour tirer
les conclusions de ces évolutions.
L’axe de progrès le plus évident est la mise en place d’un système interne de
connaissance de leur exposition aux risques, quelle que soit l’origine du risque (crédit,
marché, système d'information...).
Le pilotage des risques bancaires via le risk management et l'audit interne est une
problématique largement d'actualité, depuis déjà quelques années dans beaucoup de
pays occidentaux (Etats Unis, Japan, Grande Bretagne, France,…). Ceci n'est pas le
6
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
fruit du hasard, mais une conséquence des problèmes économiques importants que
soulève la question, ayant abouti dans certains cas à des situations dramatiques.
S'il est vrai que ces accidents n'ont pas mis le système financier en danger, ils n'en
sont pas moins porteurs d'un avertissement pour tous : des systèmes déficients en
matière de gestion et d'audit des risques dans le secteur financier peuvent rapidement
provoquer des pertes financières considérables lesquelles, si elles ne sont pas
contenues adéquatement par des tampons solides aptes à endiguer le risque
systémique, sont susceptibles d'engendrer un effet de domino auprès d'autres
opérateurs sur les marchés avec des conséquences difficilement calculables pour le
système financier.
Cette préoccupation est réelle, comme en témoigne l'actualité internationale : les crises
récentes de l'Argentine, la Turquie et la crise asiatique d'il y a quelques années n'en
sont que des exemples.
Ces turbulences financières qui ont secoué les marchés financiers internationaux en
général et celui marocain en particulier, ont mis en évidence certaines faiblesses dans la
gestion et l'audit des risques au sein des établissements bancaires. Cette gestion
longuement assimilée à une simple conformité à des règles prudentielles s'est révélée
inefficace dans la mesure où celle-ci s’est limitée pour la plupart au respect d'un
7
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer,
l’interprétation des résultats et les difficultés d’élaboration d’un système de référence.
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil à même
de limiter les risques inhérents à ses activités, de rendre l'organisation existante plus
performante et plus généralement, d'accroître l'efficacité de celle-ci.
En effet, l’audit interne peut jouer un rôle non négligeable en matière d’efficacité du
management d’une banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien
apte à accomplir la mission qui lui est assignée.
Des conditions sont à remplir pour que l'audit interne puisse être un véritable outil
d'efficacité. A l'évidence, quelle que soit la nature des missions confiées à l'audit interne,
le niveau d'efficacité sera fonction d'un certain nombre de paramètres tels que la
pertinence de l'approche empruntée, l'exhaustivité du périmètre audité, le savoir-faire
technique et qualités intrinsèques de l'auditeur, …etc.
Ainsi, face aux évolutions des métiers bancaires, qui ont généré de nouvelles variantes
de risques et modifié les facteurs de fragilité financière, il devient de plus en plus
impératif de développer des outils d'audit spécifiques dans le but de détecter et de
couvrir tous les risques inhérents à l'activité bancaire.
8
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Problématique générale.
Contexte international
La problématique de gestion et d'audit des risques apparaît donc comme une donnée
omniprésente et essentielle dans l'appréciation de la qualité des établissements de
crédit. Une rétrospective sur l'évolution des normes et des pratiques en la matière
souligne toutefois le caractère récent de cette préoccupation avec les premières
réflexions d'ensemble qui remontent seulement à une vingtaine d'années.
C'est en effet en 1988 que le premier texte international visant à réguler l'exposition aux
risques des banques a vu le jour, avec la publication par le Comité de Bâle de l'accord
sur l'adéquation des fonds propres qui, rappelons-le , ne traitait à l'époque que les
risques de crédit ( cette norme est à la base de la décision réglementaire de Bank Al-
Maghrib (BAM) N°96 du 25 décembre 1992 relative à l'instauration du ratio de solvabilité
imposé à l'ensemble des opérateurs dans le secteur bancaire).
L'évolution spectaculaire des référentiels de gestion des risques découle de deux
phénomènes qui sont venus se cumuler.
- L'impulsion du marché avec la montée en puissance des thématiques de
gouvernement d'entreprise et de transparence, phénomène qui n'est d'ailleurs
pas spécifique au secteur bancaire mais concerne l'ensemble des sociétés et, en
particulier celles cotées;
- La pression forte et continue des régulateurs bancaires, en premier lieu le Comité
de Bâle, pour améliorer les dispositifs de gestion et de contrôle des risques dans
l'objectif de garantir la stabilité économique au niveau mondial et d’éviter la
survenance de risques systémiques.
9
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L'analyse des textes qui émanent des autorités prudentielles bancaires, au niveau
international, montre une attention croissante portée depuis quelques années par ces
autorités à ces thèmes, avec en particulier :
- La déclinaison au niveau du secteur bancaire du principe de responsabilité finale
des administrateurs dans le fonctionnement du contrôle interne et de la mise en
place de comités d'audit ;
- La définition d’un cadre complet et précis sur le mode d'organisation, de gestion
et d'encadrement des différents risques avec le développement du concept de
"Risk Management" notamment à travers des textes réglementaires sur le
contrôle interne;
- L'affirmation constante de la nécessité de transparence vis-à-vis du marché.
Celle-ci passe notamment par une communication adaptée sur l'organisation
interne de la gestion des risques, les expositions et les incidences passées et
futures, ainsi que sur la rentabilité des activités autour de différents indicateurs de
création de valeur.
Une autre tendance de fond observée depuis 1998 réside dans l'élargissement des
référentiels de gestion et de maîtrise des risques, vers une conception étendue à
l'ensemble des risques banacires, alors qu'ils étaient concentrés initialement sur les
risques financiers (crédit, marché,..). En particulier, des travaux approfondis ont été
entrepris par le Comité de Bâle sur le thème du risque opérationnel.
La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un
"going concern".
Contexte marocain
Le paysage bancaire marocain se caractérise par un cadre prudentiel qui a fait l'objet
d'une refonte profonde dès 1993 coïncidant avec la promulgation de la nouvelle loi
bancaire. Dans le prolongement de cette nouvelle loi bancaire, plusieurs règlements se
sont succédés, dont le plus important est la circulaire N°6 relative au contrôle interne
des établissements de crédit diffusée par Bank Al Maghrib (BAM) en février 2001.
Avant la diffusion de cette nouvelle circulaire, un débat fragmenté a été soulevé depuis
quelques années avec pour toile de fond les dysfonctionnements vécus ces derniers
temps par certains établissements de crédit ; jusque-là considérés comme pionniers
dans le pilotage bancaire et le contrôle interne.
10
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
11
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
• Comment a-t-il réparti les rôles entre les divers acteurs de son entité (Risk
management, Audit interne et Compliance en termes de gestion, de contrôle et de
prévention de ces risques ?
• L’audit interne au sein du système bancaire marocain, jouit-il de l'indépendance, du
pouvoir et de l'efficacité nécessaires pour mener à bien sa mission ?
• Le système d'audit bancaire marocain est-il efficient ?
La cartographie des risques des établissements bancaires est-elle fiable et
exhaustive ?
La cartographie des risques permet-elle d'identifier les risques (par
métiers, domaines, ou processus), de qualifier ces risques (fréquence,
niveau de criticité,…) et de les rattacher aux éléments concernés (tâche,
acteur, système,...) ?
Permet-elle au management de la banque de décider des actions à mener
pour gérer ces risques : assumer, éviter, prévenir (réduire la fréquence ou
la probabilité de survenance), atténuer (réduire l’impact financier ou
d’image) ou transférer (assurance)?
Fournit-elle au management une synthèse dégageant les risques majeurs
et/ou les processus les plus sensibles, lesquels seront à surveiller à l’aide
d’indicateurs des risques clés "Key Risk Indicators" ?
Le champ d’audit des établissements bancaires est-il exhaustif ?
Son périmètre couvre-t-il tous les risques (marchés, système d'information,
comptables, ressources humaines, ..) et les entités de la banque (Réseau,
Directions centrales, filiales et succursales) ?
Les directions d'audit interne disposent-elles de pôles de compétence
aptes à mener des missions d'audit dans des métiers spécifiques (salle
des marchés, systèmes d'information, ressources humaines, finance et
comptabilité, gestion actifs-passifs, logistique.…) ?
Disposent-elles de manuels de procédures ou de modes opératoires pour
piloter les missions d’audit réalisées dans tous les métiers ?
Intérêt du sujet.
12
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L'objectif primordial de cette étude est donc de fournir une esquisse des pratiques
d'audit dans le système bancaire et de démontrer l'incapacité des systèmes classiques
d'audit de couvrir seuls l'ensemble des métiers bancaires et particulièrement ceux
réputés comme "inauditables" de part leur complexité et/ou de leur technicité, tels que :
le système d’information, les activités de marché, les ressources humaines et la
comptabilité.
Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion
des risques. Disposer d'une visibilité globale sur les risques, tout en répondant aux
exigences réglementaires, demande beaucoup d’implication, de temps, d’efforts et de
ressources de la part des banques.
Devant les difficultés majeures de mise en place d'un dispositif efficace de contrôle
interne au regard des tendances internationales et des nouvelles exigences
réglementaires, l’audit systémique, développé dans le présent thème de recherche, a
pour objectif ultime de proposer aux établissements bancaires un outil précieux pour
mieux gérer et auditer leurs risques.
Ainsi, sera développée une démarche méthodologique d'audit systémique illustrée via
quatre lignes métiers (système d'information, activités de marché, comptabilité et
ressources humaines) et qui pourrait ainsi être étendue à d'autres métiers.
Hypothèse centrale.
13
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Dans ce contexte, une méthodologie d’audit des risques appelée "audit systémique "
est primordiale pour en étudier les principales causes et conséquences, ainsi que les
mécanismes de propagation. Elle permettra de déterminer les indicateurs et mesures de
gestion puis les plans d’actions les mieux adaptés pour les maîtriser.
14
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Elle aboutira notamment à mieux connaître le profil de risque des activités exercées
(cartographie des risques), à développer et alimenter les outils nécessaires au pilotage
de ces risques (référentiel de risques par activité, indicateurs de veille et de suivi).
Elle vise également à améliorer et coordonner les processus de gestion existant en
intégrant, en particulier, les problématiques de contrôle interne, de sécurité des
systèmes d’information, de déontologie, dans le cadre d’un dispositif d’évaluation
globale des risques.
Enfin, elle permettra d’accroître la responsabilité, la vigilance et la réactivité des unités
fonctionnelles et de répondre aux exigences du risk-management.
Instauré en globalité pour tous les métiers ou intégré individuellement pour compléter un
système existant, l'audit systémique contribuerait inévitablement à améliorer l'efficience
du système d'audit interne bancaire marocain en mettant en œuvre une politique globale
de gestion des risques.
15
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Propos méthodologiques.
La méthodologie du traitement du présent sujet s'inscrit en trois étapes:
• D'abord, au travers d'un travail d'enquête approfondie sur le terrain auprès d'un
échantillon représentatif des banques marocaines, dresser un constat de la
problématique et des enjeux de la question et les difficultés pragmatiques de sa
mise en œuvre. L'orientation de mon travail découlera en grande partie des
résultats de cette analyse qualitative, qui se veut tout d'abord un outil permettant
de mettre en exergue les difficultés à la fois techniques et méthodologiques dans
l'audit interne des risques bancaires.
• Si les concepts et les méthodes font l'objet d'un large consensus, l'organisation
des systèmes et des structures gérant les modèles internes est
incontournablement différente d'un établissement à l'autre. Mon propos à ce sujet
est d'étudier les difficultés de mise en place de dispositifs internes efficaces
d'audit en s'appuyant sur une analyse approfondie de la stratégie et de
l'organisation des différentes activités des établissement de crédit marocains.
Tout en s'alignant sur les nouvelles dispositions découlant du comité de Bâle sur
le contrôle bancaire ainsi que les nouvelles règles instituées par la circulaire N°6
relative au contrôle interne des établissements de crédit au Maroc, ce travail se
veut aussi un diagnostic de la réalité des établissements de crédit marocains eu
égard à cette nouvelle tendance réglementaire et leur capacité à pouvoir s'y
conformer dans les délais souhaités. On ne manquera pas à cet effet, de rappeler
quelques expériences étrangères sur les meilleures pratiques "Best practices" de
la profession d'audit.
• Enfin, par une mise en perspective de la fonction d’audit interne auprès du top
management, à travers un benchmarking et un raccordement de synergie entre
d'une part les enseignements tirés de mon expérience personnelle en audit
bancaire, et d'autre part par les nouvelles approches d'audit interne pratiquées, à
l’échelon mondiale, par plusieurs banques de renom. Ces dernières constitueront
via leur Approches d’audit systémique, un repère incontournable de la conduite
de ce travail.
Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle
approche d'audit systémique dans le dispositif de maîtrise globale des risques.
Pour étudier tous ces aspects, mon travail s'articule en deux parties:
• La première partie traite des pratiques d'audit interne dans le système bancaire
marocain. Elle présente d'abord, un examen typologique des risques bancaires et
leurs critères d'évaluation comme étant l'étape la plus importante et surtout la
plus difficile à apprivoiser dans le processus de management des risques et un
aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain.
16
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Pour étudier tous ces aspects, mon travail s'articule en deux parties:
• La première partie traite des pratiques d'audit interne dans le système bancaire
marocain. Elle présente d'abord, un examen typologique des risques bancaires et
leurs critères d'évaluation comme étant l'étape la plus importante et surtout la
plus difficile à apprivoiser dans le processus de management des risques et un
aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain.
Ensuite, elle souligne les principes fondamentaux relatifs à l'audit interne en
général et les particularités de l'audit bancaire de part la pluridisciplinarité des
champs observés (ressources humaines, système d'information, activités de
marché…) et la multiplicité et la complexité des risques qui en découlent.
17
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
18
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre préliminaire :
19
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Depuis le début des années 90, le secteur financier au Maroc a connu une période de
libéralisation marquée par des réformes appuyées par une série d’initiatives de la
Banque Mondiale. Ces réformes portaient sur le secteur bancaire (1991-1995), le
développement du marché des capitaux et la poursuite de la libéralisation du secteur
financier (1996).
Parmi les principales reformes mises en œuvre pendant cette période, il faut souligner
l'élimination de l'encadrement du crédit, la libéralisation des taux d’intérêt, la refonte du
cadre législatif de l'activité des établissements de crédit par l'adoption en 1993 d'une
nouvelle Loi Bancaire, la suppression progressive des emplois obligatoires (Plancher
d’Effets Publics) et le renforcement de la réglementation prudentielle des banques en
s’inspirant des normes internationales.
Plus récemment, la refonte des nouveaux statuts de Bank Al-Maghrib en janvier 2005
et la nouvelle loi bancaire en février 2006 ont renforcé les prérogatives de la Banque
Centrale dans le domaine de la supervision bancaire et de la politique monétaire.
Avec la réduction de la présence de l’Etat dans le système bancaire, une part nettement
plus importante des crédits est destinée au financement du secteur privé. Néanmoins, la
croissance relative des crédits à moyen et long terme et de l’épargne bancaire à terme
ne s’est pas sensiblement améliorée. Le financement du Trésor continue de représenter
une partie non négligeable des emplois du secteur bancaire.
20
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
AUTORITES DE
REGLEMENTATION OPERATEURS
ET DE SUPERVISION
BANQUES SOCIETES DE FINANCEMENT
- Banques commerciales - Crédits à la consommation
Banque Centrale - Banques spécialisées - Crédits bail
BANK AL MAGHRIB - Filiales de banques étrangères - Autres
- Succursale de banque étrangère
ASSOCIATIONS PROFESSIONNELLES
GPBM, APSF, APSB, ASFIM
Le Ministère des Finances n’est pas impliqué dans le contrôle des opérations courantes
des établissements de crédit, mission dévolue exclusivement aux services de Bank Al-
Maghrib qui trouve ses prérogatives renforcées par la nouvelle loi bancaire du 14 février
2006 en particulier dans le domaine de la supervision bancaire.
21
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
22
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
2
BANK AL AMAL , créée en 1989, a pour mission le financement de projets d’investissement visant la réinsertion dans leur pays d’origine des Marocains résidant à l’étranger.
3
MEDIAFINANCE (créée en 1996) et CASABLANCA FINANCE MARKETS (créée en 1998) interviennent sur le marché des titres négociables de la dette.
4
Le FEC est un établissement public créé en 1959, devenu banque en DECEMBRE 1996. Le FEC a pour mission de concourir au développement des collectivités locales, en
leur accordant des concours techniques et financiers.
23
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
24
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Elles ont concerné aussi bien le système bancaire que les autres compartiments du
secteur financier.
25
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Ce ratio, conçu au départ pour les banques d’envergure internationale, a été adopté par
l’ensemble des autorités bancaires. En 1996, le Comité de Bâle a amendé ce ratio en
élargissant l’assiette des risques à ceux associés aux activités de marché.
S’agissant du Maroc, les autorités monétaires ont transposé le dispositif de 1988 dans
la réglementation nationale dès 1993, ce qui s’est traduit par un accroissement
significatif des fonds propres des banques.
Le ratio Cooke a montré ses limites sous l’effet, notamment, de la globalisation
financière qui s’est accompagnée de l’apparition de nouveaux risques et qui a entraîné
de nombreuses crises financières.
En outre, la sophistication des pratiques, développées par les banques pour l’évaluation
et la maîtrise de leurs risques, a rendu nécessaire la mise en place d’un nouveau
dispositif plus adapté au contexte des marchés internationaux.
Ainsi, en juin 1999, le Comité de Bâle a proposé un amendement à l’accord de 1988
censé introduire une plus grande sensibilité aux risques et permettre d’appréhender de
manière plus exhaustive l’ensemble des risques encourus.
Après de larges consultations auprès des instances de supervision, des banques et
d’autres parties intéressées, le Comité de Bâle a publié, en juin 2004, la version
définitive du nouvel Accord sur les fonds propres sous l’appellation « convergence
internationale de la mesure et des normes de fonds propres ».
• des exigences minimales de fonds propres qui sont une extension des règles définies
dans l’accord de 1988 ;
• un processus de gestion des risques et de surveillance prudentielle renforcé ;
• une discipline de marché moyennant la publication, par les banques, d’informations
périodiques sur la nature et le volume des risques ainsi que sur les méthodes de leur
gestion.
26
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
27
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
pour financer leur activité de crédit qui a été étendue, de manière plus significative, à la
distribution de concours à court terme.
3.1.- Les emplois des banques ont connu une hausse couvrant des évolutions
différenciées de leurs différentes composantes
Appréhendé à travers l’activité sur base sociale, qui intègre celle exercée par les
succursales et les agences installées à l’étranger, le total cumulé des bilans5 des
banques a atteint en 2004, 417 milliards de dirhams en progression de 8,6% par rapport
à 2003. Le volume de leur activité réalisé au Maroc s’est élevé à 411,5 milliards de
dirhams, en hausse de 8,4%, représentant 98,7% de l’activité sur base sociale.
5
Etablis depuis l’exercice 2000 nets de provisions pour dépréciation d’actifs.
28
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
29
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
6
Rapport de l’agence de notation internationale Standard and Poor’s du 20 avril 2006.
30
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Ce texte limite le pouvoir des banquiers à récupérer les actifs des sociétés défaillantes.
Le rapport souligne toutefois que l’adossement de plusieurs établissements à des
banques étrangères leur permet de bénéficier d’un transfert de technologie et d’un
savoir-faire. En outre, le niveau de rentabilité du secteur résiste, malgré une forte
pression sur les marges d’intérêt. Cette rentabilité est préservée grâce à une
consolidation dans le secteur et l’adoption d’une politique de niche. L’une des ambitions-
clés des banques est de devenir universelles. Pour ce faire, elles élargissent leur palette
de services, notamment dans le crédit à la consommation.
31
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
services de base. C'est vrai même dans segment des entreprises, où prêter consiste
typiquement en des opérations de financement de trésorerie à court terme et à taux fixe.
Par conséquent, les banques dans leur ensemble accusent un retard relativement
considérable dans la mise à niveau des activités de support en particulier les fonctions
de risk management et de management des systèmes d'information.
L'ensemble du secteur semble par ailleurs de plus en plus orienté vers le financement
d'engagements de qualité au détriment du volume, dans un contexte sectoriel de plus
en plus concurrentiel caractérisé notamment par un double phénomène d'effritement
des marges et d'accroissement des impayés.
Si ces banques continuent par ailleurs à étendre et à diversifier leurs revenus pour
surmonter la pression sur les marges d'intérêt, leur performance financière future devrait
rester relativement stable. Les banques marocaines semblent profiter à cet effet d'un
niveau relativement élevé des marges d'intérêt et d'un coût réduit de leurs ressources
(comme plus de 50% de leurs dépôts sont des dépôts à vue non rémunérés).
Sur les années à venir, le taux d'intermédiation moyen ne devrait que légèrement
décliner pour atteindre un niveau moyen allant de 4% à 6%. A l'inverse de la marge
d'intermédiation, les marges sur trésorerie et commissions devraient voir leurs
contributions dans le PNB7 augmenter dans les années à venir et compenser ainsi la
baisse prévisible des revenus tirés de l'activité de crédit.
7
PNB : Produit Net Bancaire.
32
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Cela dit, le niveau de liquidité satisfaisant dans le système bancaire marocain reflète le
manque d'opportunités d'engagements à faible risque, en particulier dans le segment
fortement concurrentiel des entreprises.
• La capitalisation de certaines banques publiques reste faible eu égard à leur structure
financière nécessitant des appels de fonds importants pour les recapitaliser;
• La rentabilité reste en-dessous des standards des marchés émergeants, affectée en
grande part le niveau élevé de provisionnement des créances en souffrance.
Le rapport entre les créances en souffrance nettes des provisions et l’encours net des
crédits des banques commerciales s’est établi à 3,8 %, au lieu de 3,9% en 2003 et 3,5%
33
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
en 2002. Rapportées aux fonds propres, ces créances ont représenté 20,5% en 2004,
contre 22,4% en 2003 et 18,7% en 2002.
Les réaménagements des règles de classification et de provisionnement des créances
en souffrance, intervenus à la fin des années 2002 et 2004, ont eu un impact différent
sur les banques commerciales, certaines d’entre elles ayant vu leurs créances en
souffrance s’accroître plus rapidement, notamment en 2003, pour se mettre en
conformité avec ces dispositions.
34
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Un héritage si historique n'est pas un facteur de contrainte en soi, mais limite des
comparaisons avec d'autres banques émergeantes, qui appliquent de plus en plus des
Standards Internationaux de Comptabilité.
Le principe de gouvernement d'entreprise était quasiment absent dans la plupart des
établissements de crédit à dominante publique :
• La communication financière ainsi que les pratiques comptables ont besoin d'être
adaptés dans le sens d'une meilleure information sur la situation financière des
établissements de crédit. Le faible niveau de gouvernement d'entreprise est une
question récurrente.
• Les participations de l'Etat dans le secteur bancaire ont approuvé son inefficacité,
notamment à travers les multiples cas de mauvaise gestion et de fraude.
• La réglementation ainsi que la surveillance s’améliorent, mais à une allure lente, qui
place les établissements de crédit à la traîne des standards internationaux.
35
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Première partie :
36
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 1 :
37
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Introduction.
Il est d’usage de dire que le métier de banquier est le métier du risque. Les risques sont
inhérents à l'activité bancaire. L'absence ou l'insuffisance de leur maîtrise provoque
inévitablement des pertes qui affectent la rentabilité et les fonds propres.
L'identification des risques est sans doute l'étape la plus importante et surtout la plus
difficile à apprivoiser dans le processus de management des risques.
Le risque peut se définir comme « tout événement ou toute situation, interne ou
externe, pouvant compromettre la réalisation d’un objectif de la Banque ».
Position partagée également par les organes de régulation qui s'accordent désormais
d'une façon unanime à attribuer plus de responsabilités au management et aux organes
délibérants des banques dans la gestion et la prévention des risques.
Ces divers aspects seront développés par référence aux trois questions clefs suivantes :
• Quels risques doivent être couverts par le risk management ?
• Quels critères peuvent être affectés à leur identification et à leur évaluation ?
• Quelles en sont les pratiques pour le système bancaire marocain ?
38
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Des divergences existent néanmoins sur leur nature et leur étendue. Toutefois, au delà
des diversités d'appréciation, du périmètre restreint ou étendu que l'on entend donner à
chaque type de risque, une tendance se dégage .
La première phase de toutes les démarches actuelles de gestion et de suivi des risques
bancaires consiste dans la délimitation précise de ces derniers et dans une définition
claire de ces risques, commune et applicable à l'ensemble d'un établissement bancaire.
Toute activité bancaire expose l'établissement à des risques stratégiques, des risques
réputationnels, des risques financiers et des risques opérationnels.
Afin d'apprécier et d'analyser chaque risque, le risk manager et/ou l’auditeur bancaire
procède à une estimation des risques inhérents (voir graphique ci-dessous) à chaque
domaine d’activité. Ces risques peuvent être classés en trois catégories :
• Les risques opérationnels qui ont leur source dans les risques que l’organisation,
ses acteurs et l’environnement externe font courir à la banque. Ils intègrent les
risques liés aux systèmes d’information, aux procédures, aux personnes et à
l’environnement externe.
39
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques stratégiques
Liquidité Compliance
Crédit Juridique
Marché Sécurité & SI
Comptabilité
Fiscalité
RH & Fraudes
Exécution des
transactions
Risques de réputation
40
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
41
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
principales des pertes supportées par des banques en difficulté dans l'Union
Européenne.
La première analyse des 68 établissements de crédit confrontés à des problèmes
financiers a clairement mis en évidence que le risque de crédit était dans 75% des cas
la principale cause des situations graves vécues par le secteur bancaire.
Par conséquent, ce facteur était prépondérant comparé aux autres sources de risques,
comme par exemple les pertes sur les opérations de marché, les problèmes de liquidité
et la mauvaise gestion.
L'évidence de ce constat a été par ailleurs parfaitement illustrée au Maroc à travers les
déboires de certains établissements financiers publics, sur lesquels le gouvernement
avait pourtant beaucoup misé pour appuyer plusieurs secteurs économiquement et
socialement très sensibles.
En effet, le poids des créances en souffrance s’est hissé à 19,4% en 2004, contre
18,7% en 2003 et 17,7% en 2002. (Compte non tenu des banques spécialisées, ce taux
est respectivement de 12,4% en 2004, contre 12,3% en 2003 et 11,2% en 2002) du
portefeuille global des engagements des banques. Cette situation est inhérente
principalement à l'aggravation des créances malsaines dans les secteurs agricoles et
immobiliers fortement représentatifs de l'encours global des engagements bancaires
tous secteurs confondus.
L'on observe également depuis quelques années un accroissement sans précédent des
crédits individuels, en particuliers ceux assortis de gages hypothécaires au détriment
des crédits aux entreprises ou aux professionnels.
Ces changements traduisent de temps en temps un renouveau de négligences sur des
standards élémentaires de prudence. Cela a été parfaitement illustré par la baisse
progressive des taux d'intérêt sur certaines opérations de crédit en comparaison avec
ce qui était pratiqué il y a deux à quatre ans. De plus, nul ne peut ignorer les facilités qui
ont accompagnées l'octroi des crédits et la constitution de garanties.
Dans ce contexte, BAM n'a pas hésité à exprimer publiquement son souci et a rappelé
toute la profession bancaire à la raison suite à des baisses successives de taux d'intérêt
sur des crédits hypothéqués pratiqués par certaines grandes banques de la place.
En définitive, le risque de crédit demeure la première cause des difficultés et des faillites
des banques. Les cas douloureux des situations difficiles vécues par certains
établissements bancaires spécialisés du secteur bancaire marocain en sont une parfaite
illustration.
42
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Dans ce contexte, de nouvelles entités appelées " salle des marchés " ont ainsi été
créées pour répondre justement à cette contrainte croissante des risques de marché.
Les activités traditionnelles et les activités nouvelles ont été réunies dans cette nouvelle
entité qui regroupe désormais l'ensemble des activités financières ;
Marché des changes;
Marché monétaire;
Marché des titres et fonds;
Marché obligataire.
Un aspect spécial de gestion de risque est le contrôle des activités de marché. Les
évènements fortement médiatisés impliquant Bankers Trust, Barings et Daiwa Banks
ainsi que les pratiques douteuses sont venues pour rappeler à cet égard l'enjeu
grandissant sur les questions du professionnalisme et d'intégrité.
En réalité, ces événements constituent une parfaite illustration des pertes importantes
qui pourraient résulter de négligences dans la gestion et la couverture des risques au
sein de la banque.
Les causes de ces accidents convergent généralement vers les mêmes faiblesses : la
confusion du front office et du back office, des marges de manœuvre excessives et non
contrôlées entre les mains de certains commerciaux combinée à une approche bénigne
du management n'ayant aucune vue sur les positions risquées engagées par les
43
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Activité de placement
L'impact de la baisse des taux d'intérêt sur les marges nettes d'intérêt a été plus que
compensé par des revenus croissants générés par l'activité de placement, elle-même
tirant profit d'un niveau exceptionnel de liquidité que la majorité des banques a dû placer
en bons de trésor qui représente fin 2004 déjà 18% des actifs totaux du système.
Ceci représente une exposition significative au risque de crédit souverain domestique,
et créé aussi une source de sensibilité élevée des banques à la variation des taux
d'intérêt alors que les taux d'intérêt poursuivent leur tendance à la baisse.
Au niveau opérationnel, l'exercice des activités de marché par les banques marocaines
fait courir à celles-ci, comme partout ailleurs, un risque de contrepartie ou de livraison.
Ce risque est associé à la défaillance temporaire ou permanente de la contrepartie qui
pourrait résulter soit d'un différent entre les parties sur l'exécution de la transaction, soit
d'une simple défaillance de la partie adverse, ce qui est d'ailleurs le cas le plus fréquent
9
Bank Al Maghrib a autorisé les banques à conserver les positions à la fois longues et courtes en prévoyant toutefois des limitations et des mesures à même de prévenir des
dérapages spéculatifs .Ainsi une banque ne peut dépasser :
- Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets ;
- Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets ;
Les établissements bancaires doivent, par ailleurs, déclarer à BAM les pertes de change de plus de 3% enregistrées sur toute position dans une devise donnée et ce ,
immédiatement après le constat de la perte , BAM peut alors , s'il le juge utile , demander à l'établissement bancaire concerné de procéder à la liquidation de la position en
question .
10
L'encours mensuel moyen des contrats de couverture à terme est passé de 7,1 milliards en 2001 à 7,9 milliard de dirhams en 2002, dont 6,5 milliards pour la couverture des
risques de change liés aux importations et 1,4 milliards au titre des exportations.
44
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
45
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
variation radicale dans les tendances d'outre mer de dépôt de liquidités représenterait
une menace importante pour le secteur bancaire".
46
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Présentation du concept.
La masse et la diversité des opérations traitées quotidiennement par une banque sont
toujours considérables. Des erreurs, négligences, retards et fraudes se produisent
inévitablement. Ils engagent, non seulement la responsabilité pécuniaire de
l'établissement, mais également contribuent à détériorer son image de marque.
L'inefficacité est aussi un risque important, qui se traduit par un coût excessif des
services qui obèrent la rentabilité. A cette inefficacité, s'ajoute en général une mauvaise
qualité des services, qui là encore est un facteur de détérioration de l'image de marque
de l'établissement.
Or, autant les pertes consécutives à des risques mesurés, et consciemment assumés et
contrôlés, sont normales car inhérentes au métier de banquier, autant les pertes par
négligence, par inadvertance, par inconscience ou par l'insuffisance d'organisation sont
intolérables. Elles sont toujours la conséquence d'une carence dans le système de
contrôle interne.
Ce sont là quelques aspects du risque opérationnel sans que cette liste soit exhaustive
ou limitative. En effet, le concept du risque opérationnel n'est pas bien défini et ne fait
pas l'objet d'un consensus. Il correspond également à une série de pertes occasionnées
par la gestion des opérations qui ne sont pas reliées aux risques parfaitement
identifiables, appelés parfois risques financiers, tels que le risque de marché, de crédit,
de liquidité, de taux d'intérêt. Certains d'ailleurs définissent le risque opérationnel
comme tout risque autre que les risques financiers.
La circulaire BAM N°6 donnait un sens plutôt restrictif au risque opérationnel, défini, à
l'article 8, comme '' tous les risques qui pourraient être engendrés par des procédures
inefficientes, des contrôle inadéquats, des erreurs humaines ou techniques , des
fraudes ou par toutes autres défaillances".
Le risque opérationnel n'est pas un sujet nouveau. Durant les dix dernières années, les
faillites bancaires, les pertes liées à des erreurs de valorisation ou à un mauvais suivi
des risques ont défrayé la chronique : parmi les incidents les plus récents, Barings,
Daiwa ou Sumitomo et la liste n'est pas exhaustive. Les pertes y afférents sont estimées
à 12 milliard de dollars sur les dix dernières années.
La gestion des risques opérationnels commence à préoccuper de plus en plus les
établissements, de même que les actionnaires et les régulateurs. Les propositions
récentes du comité de Bâle en sont la preuve.
En juin 1999, le comité de Bâle dans son projet de réforme du ratio Cooke intègre
explicitement l'importance des risques autres que les risques de crédit et de marchés et
insiste sur la nécessité d'un environnement de contrôle interne rigoureux, essentiel pour
la gestion des risques opérationnels.
Il faut toutefois souligner que les problèmes financiers vécus par certains
établissements financiers sont souvent la combinaison de la survenance d'un risque de
47
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les travaux de normalisation menés dans le secteur bancaire ont remis au goût du jour
la notion de risque opérationnel. Si ce risque en soi n’est pas nouveau, l’évolution de la
réglementation bancaire le replace au premier rang des préoccupations au travers de
normes que l’on désigne communément sous le terme de « Bâle II ».
48
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
risques de marché. Ceci se fera au travers d’un nouveau ratio, baptisé « Mc Donough»
du nom de l’ancien président du Comité de Bâle.
Le Comité Bâle II a mené une analyse quantitative de ces risques sur près d’une
centaine d’établissements. Les résultats démontrent la fréquence et le coût global
élevés des incidents opérationnels : ils génèrent en moyenne près de 90 millions
d’euros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés
sont aussi les mieux couverts (incendie, dégâts des eaux), c’est finalement la diversité
des risques non couverts qui explique l’importance du coût final.
Le nouvel accord sur les fonds propres a pour but de mieux aligner l’évaluation de
l’adéquation des fonds propres sur les principales composantes des risques bancaires
et d’encourager les banques à renforcer leurs procédures de mesure et de gestion du
risque.
49
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Une plus grande différenciation dans le traitement des risques de crédits : l’incitation
à adopter un nouveau système de notation interne concernant le risque de crédit
permettant aux banques d’estimer par elles-mêmes, aux moyens de leurs
informations internes, la charge en capital, c’est à dire le montant des fonds propres
nécessaires pour couvrir ce risque de crédit.
Cette note dérivera du calcul de la perte attendue définie comme étant le produit de
la probabilité de défaut (qui sera estimée par la banque), la perte en cas de défaut et
de l’exposition au moment du défaut.
EL = PD x LGD x EAD
EL : Expected Loss ou perte attendue.
PD : Default Probability ou probabilité que le débiteur ne veuille pas ou ne puisse pas
remplir ses engagements contractuels. La probabilité de défaut mesure le risque défaut du
débiteur.
LGD : Loss Given Default ou perte occasionnée en cas de défaut du débiteur : il s’agit du
pourcentage de perte que la banque subirait par rapport au montant du crédit ouvert au
moment du défaut.
EAD : Exposure At Default ou montant du crédit qui est exposé au moment du défaut.
Dans le cadre de l’approche IRB (Internal Rated Basing) de base, la banque estimera
uniquement la probabilité de défaut et utilisera les données, concernant la perte en cas
de défaut et l’exposition au moment du défaut, fournies par l’autorité de tutelle.
Dans l’approche IRB avancée, la banque estimera elle-même tous ces facteurs de
risque, auxquels on peut ajouter le facteur M ou Maturity c’est à dire la durée restante
du crédit dont l’ampleur influence le risque de non-remboursement.
Le futur régime donnera aussi un rôle plus important aux autorités de surveillance.
Conformément aux dispositions prévues par le pilier 2, et pour tenir compte du
« profil risque » de chaque établissement, ces autorités seront habilitées à imposer
des exigences de fonds propres supérieures à celles résultant de la seule application
des formules réglementaires.
50
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
51
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
En outre, les lois existantes peuvent être impuissantes à résoudre des problèmes
juridiques rencontrés par une banque. Une action en justice impliquant un établissement
donné peut avoir des conséquences plus vastes pour l’activité bancaire et entraîner des
coûts, non seulement pour lui-même mais pour de nombreuses autres banques ou pour
l’ensemble du système bancaire; par ailleurs, les lois concernant les banques et autres
entreprises commerciales peuvent changer.
Le risque comptable s’entend comme le risque de non fiabilité, de non exhaustivité des
données comptables et financières et/ou de non disponibilité de l’information au moment
opportun conformément aux prescriptions du plan comptable des établissements de
crédit (PCEC). Il s’agit, pour la Banque, des risques résultant :
52
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
53
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
ressources engagées deviennent sans valeur et la perte causée sera d’une substance
significative.
54
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
peut arriver que l’emprunteur, quelle que soit sa situation financière, ne puisse disposer
de la devise dans laquelle l’obligation est libellée.
55
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
3. Le risque de réputation.
Le risque de réputation est l'atteinte de la confiance qu'une banque doit inspirer à sa
clientèle et au marché à la suite d'une publicité ou d’un événement. Cette perte de
confiance peut alors avoir des effets désastreux : retraits massifs des déposants, perte
de clientèle, méfiance des marchés qui est suivie généralement par une crise de
liquidité.
Le risque de réputation résulte également de dysfonctionnements opérationnels et de
l’incapacité de satisfaire aux lois et réglementations en vigueur. Ce risque est
particulièrement préjudiciable aux banques, étant donné que la nature de leur activité
nécessite le maintien de la confiance des déposants, des créanciers et du marché en
général.
L’organe d’administration et l’organe de direction doivent prendre les précautions et les
mesures adéquates pour empêcher que leur établissement bancaires ne soit impliqué, à
leur insu, dans des opérations financières liées à des activités non autorisées par la loi
et plus généralement pour éviter la survenance de tout événement susceptible
d'entacher la réputation de cet établissement ou de porter atteinte au renom de la
profession.
11 Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques - Consultative Document on the Compliance Function in Banks -
56
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
57
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
prises par au moins deux personnes et ce, après analyse d’une unité spécialisée
indépendante d’étude de risques;
• mesurer et encadrer le risque de livraison (risque de règlement) c’est-à-dire le risque
que la contrepartie ne règle ou ne livre pas les titres à l’occasion d’une opération de
marché;
• déterminer les conditions financières des opérations à partir d’une analyse
prévisionnelle aussi exhaustive que possible des produits (marges d’intérêt,
commissions, variation de la valeur de marché des opérations) ainsi que des coûts
(coût opérationnel, coût de refinancement, coût de rémunération des fonds propres,
coût lié au risque de défaillance);
• effectuer une revue trimestrielle des opérations supérieures à un certain seuil en
procédant, si nécessaire, au reclassement des engagements au sein des catégories
internes de rating et, en tant que de besoin, aux affectations dans les rubriques
comptables de créances douteuses, le niveau de provisionnement adopté devant
tenir compte d’une évaluation récente des garanties détenues.
Les critères retenus pour l'appréciation du risque de crédit se basent pour l'ensemble
des établissements bancaires marocains sur une analyse systématique de la situation
économique et financière de la contrepartie. Cette analyse se traduit, dans certains cas,
par l'affectation d'une note de signature qui concerne dans un premier temps les
grandes entreprises puis les PME/PMI.
Les clients particuliers ne font toutefois pas l'objet de notation, ils sont néanmoins
segmentés selon les critères commerciaux pouvant servir à définir l'offre de crédit
notamment. L'évaluation du risque pour cette catégorie de clientèle est basée sur le
revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes
entourant son caractère à la fois véridique et permanent.
De manière générale, la surveillance des risques repose sur un contrôle à deux
niveaux:
• contrôle à priori;
• contrôle à posteriori.
Contrôle à priori.
Ce contrôle repose sur le principe selon lequel les principales opérations des clients
doivent faire l'objet de l'accord d'un délégataire dès lors que celles-ci mettent la position
de la contrepartie en anomalie (notamment les dépassements) ou concourent à la mise
en place d'un nouveau crédit.
Ce traitement est centralisé généralement au niveau de la Direction des Crédits qui
prend en charge toute la fonction d'octroi de crédits relative aux clients d'une certaine
taille.
Un tel contrôle suppose la nécessité de disposer d'outils permettant de connaître
individuellement et en temps réel les autorisations et les utilisations de chaque client à
la demande et au cas par cas.
58
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Néanmoins, les outils disponibles actuellement pour analyser finement les risques de
contrepartie par nature et par secteur, sont encore insuffisants. Les banques se sont
engagées dans un programme d'investissement considérable en système d'information
en vue de contribuer à l'élaboration d'une cartographie des risques fiable notamment
pour ce qui concerne la nature des risques ainsi que les risques liés aux dépassements
par rapport aux limites démarquant les clients sains de ceux douteux.
Contrôle à posteriori.
Le principe de contrôle à posteriori repose principalement sur la surveillance des
dépassements et des impayés, qui s'exerce néanmoins selon des périodicités variant
entre un mois, un trimestre voire un semestre.
Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques, ce
qui diminue de la qualité des contrôles en terme d'exhaustivité et de réactivité.
La pertinence de ce système repose par ailleurs sur une vigilance accrue des
opérationnels qui sont le plus à même d'attirer l'attention sur des risques sensibles ou
naissants. C'est justement la raison pour laquelle ce système peut se révéler inefficace
étant donné le contexte à la fois manuel et non formalisé qui entoure tout le processus
d'identification.
• Rating.
L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note
(appelée aussi "cotation", "rating") par référence à un échelle de notation interne.
Certaines banques, surtout celles dépendant de groupes étrangers, sont parvenues
néanmoins à mettre en place un système de rating.
La cotation des dossiers est revue généralement une fois tous les ans à l'occasion du
renouvellement des dossiers.
• Rentabilité
Les décisions d'octroi des crédits prennent en considération la rentabilité globale des
opérations effectuées avec le client et ce, à travers l’analyse prévisionnelle des charges
et produits y afférents.
En l'état actuel, la rentabilité des opérations n'est le plus souvent obtenue qu'au travers
un PNB agrégé. Elle ne prend pas en compte tous les coûts et notamment le coût du
risque.
Certaines banques sont parvenues depuis peu à établir un RBE par client et par
opération. Cependant, ce calcul reste approximatif dans la mesure où les charges
affectées à chaque relation sont attribuées sur la base de clés de répartition qui restent
empreintes d'arbitraire en l'absence d'un système de comptabilité analytique permettant
de décliner finement les coûts par client.
• Suivi des provisions
Les concours qui, au regard de la réglementation en vigueur, sont considérés comme
créances en souffrance doivent être enregistrés dans les comptes appropriés du plan
comptable des établissements de crédit et donner lieu à la constitution des provisions
requises.
59
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les encours des créances en souffrance ainsi que les résultats des démarches,
amiables ou judiciaires, entreprises pour leur recouvrement doivent être régulièrement
portés à la connaissance de l’organe d’administration.
Les banques possèdent à intervalles de temps réguliers, pour certaines
trimestriellement pour d'autres semestriellement, à l'identification des créances éligibles
aux critères de classification de BAM.
60
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
61
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
62
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
déjà, sont tenus sur des supports manuels et se révèlent impuissantes à opérer des
modélisations de séries statistiques complexes, volumineuses et multicritères.
Le risque de taux est évoqué généralement en tant que risque de marché. Ce ci pourrait
être partiellement vrai, mais, il serait tentant d'englober dans le même cadre le risque de
taux global ou structurel et le risque de marché.
Les modèles de risque de marché sont fondés généralement sur trois principes : le
portefeuille peut être valorisé à tout moment de façon incontestable (valeur de marché,
market-to-market). Les positions peuvent être rapidement soldées. Un historique de
quelques années décrit suffisamment des variations de marché pour se faire une bonne
idée des risques futurs.
Or aucun, des trois principes de marché n'est transposable au "portefeuille bancaire"
des dépôts et crédits de la clientèle : la valeur du portefeuille bancaire est celle à
laquelle on trouve un acquéreur. Rien n'implique qu'elle corresponde à la juste valeur
actuarielle qui fait si souvent foi sur les marchés. Aucun lien simple et objectif n'existe
entre cette valeur du portefeuille bancaire et le niveau présent ou anticipé des taux
d'intérêt.
Si une forte baisse des taux advenait, aucun réseau bancaire ne pourrait
raisonnablement, ni en dix jours, ni même en dix mois, se défaire de ses dépôts. Le stop
Loss (variable statistique permettant de déterminer le montant maximum de perte
tolérée) n'est pas un concept applicable aux réseaux bancaires.
C'est pourquoi, la circulaire N°6 sépare le risque de taux des activités de marché du
risque de taux global.
La position structurelle de taux recèle des risques majeurs surtout en cas de très forte et
très durable variation des taux d'intérêt. Pour une banque de dépôt, par exemple, le
scénario fâcheux serait une forte baisse des taux suivie d'une longue période de taux
bas. Quel historique indique aujourd'hui ce que pourrait être l'ampleur statistique d'un tel
phénomène, et quelle serait sur plusieurs années l'attitude de ses clients ?
Une bonne partie des difficultés à appréhender concernant le risque de taux structurel
réside dans les innombrables options cachées vendues (implicitement ou non) aux
clients : dépôts ou retrait des fonds sur les comptes à vue, remboursement par
anticipation des crédits, modification des taux réglementés, options diverses de
l'épargne logement….
Mêmes parfaitement modélisées, ces options ne pourraient pas être parfaitement
couvertes. En effet, toutes les couvertures d'option partent du principe que le client
auquel on a vendu ces options aura un comportement financièrement rationnel.
Par exemple, le jour où ses droits à prêt d'épargne-logement seront moins chers que les
taux de crédit normaux, il devrait immédiatement emprunter le maximum via ses droits.
Il apparaît dès lors que la modélisation des options cachées passe par une modélisation
comportementale des clients, ce qui est loin d'être un indicateur efficace d'une
couverture parfaite contre le risque de taux global.
Compte tenu de ces difficultés, un risque de taux global persiste, même après
couverture éventuelle, et il est légitime d'envisager une exigence en fonds propres pour
63
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
couvrir ce risque résiduel. L'objectif d'une exigence en fonds propres est de couvrir un
risque de perte extrême.
Les banques qui se sont dotées d'une gestion actif-passif ont eu à fixer les modalités de
leur couverture (montants, durées, instruments utilisés). Si les montants ont vocation à
ressembler à ceux des postes couverts, et si les instruments disponibles ne sont pas
innombrables, les choix d'horizon de temps pour les couvertures sont moins évidents à
établir; Ils peuvent être étayés par des études statistiques (lois d'écoulement du passif à
vue), des hypothèses de déformation à venir du bilan (nouvelle production) ou autres
considérations financières ou commerciales.
64
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
65
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
66
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
étrangers ou que la valeur des actifs détenus par ces mêmes créanciers étrangers
diminue soudainement et substantiellement.
Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre,
entre autres, de:
• mesurer le niveau du risque par pays en fonction de la nature des opérations, de leur
durée et de la classification des pays,
• encadrer ces risques par un jeu de limites,
• suivre l’évolution de l’utilisation de ces limites.
67
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
intègre. D'où le rôle déterminant qu'aura à jouer aussi bien l'inspection générale et
l'audit interne que les reporting en interne.
Le système de collecte et de reporting doit être une partie intégrante des procédures
opérationnelles. A cet effet, la notion de contrôle de deuxième niveau devrait être bien
développée et communiquée à tous les responsables opérationnels, étant donné qu'une
bonne maîtrise de ce risque passe par la qualité de contrôle opéré à ce niveau.
Ces exigences ne peuvent que renforcer le rôle indéniable du "risk manager" chargé du
suivi et de l'analyse de tous les événements de pertes identifiés à travers le système
interne d'information.
Conformément aux pratiques issues des travaux du Comité de Bâle, les banques sont
tenues de cartographier leurs unités métier, fonctions organisationnelles ou processus
par catégorie de risque.
Le système interne de mesure du risque opérationnel doit être étroitement associé à la
gestion quotidienne des risques de l'établissement. Les données produites doivent faire
partie intégrante de ses processus de surveillance et de contrôle de son profil de risque
opérationnel.
L'exposition au risque opérationnel et les pertes subies doivent être régulièrement
notifiées à la direction de la banque concernée, à la direction générale et au conseil
d'administration.
Principes directeurs :
Obligations des directions : chaque direction de la banque est tenue de produire
et de tenir à jour la cartographie des risques opérationnels attachés à la mise en
œuvre de ses activités ou processus.
Le Risk Manager est responsable de la réalisation et des résultats de sa
68
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Finalités :
La cartographie des risques opérationnels a pour objectifs de :
Identifier les risques opérationnels par métiers, domaines, ou processus, selon
deux natures :
Les risques à fréquence importante et à faible impact (risques
récurrents ou attendus “Expected Losses”).
Les risques rares à fort impact (risques exceptionnels “Unexpected
Losses”).
Evaluer périodiquement et hiérarchiser les risques opérationnels portés par les
processus au sein des métiers, selon une approche structurée et formalisée,
s’appuyant sur une méthodologie et des nomenclatures communes à l’ensemble
de la banque;
Etablir une synthèse dégageant les risques majeurs et/ou les processus les plus
sensibles, lesquels seront à surveiller à l’aide d’indicateurs des risques clés "Key
Risk Indicators" (à définir par les Directions);
Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des
risques;
Satisfaire aux critères qualitatifs d’éligibilité édictés par Bâle II, pour être autorisé
à appliquer les méthodes avancées de calcul des fonds propres économiques.
Démarche
69
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Composants de l’évaluation.
Cette exposition est évaluée par une cotation prospective des risques, en fréquence et
en impact, basée sur le niveau de perte potentielle. Elle est décrite par trois
composants:
le risque récurrent, ou attendu (fréquence élevée, faible impact unitaire): est
évalué, en tenant compte du niveau des contrôles permanents, par le montant
des pertes récurrentes attendues à horizon d’un an et / ou par le niveau de
nuisance des impacts non financiers (risque d’image, risque réglementaire,
sanctions pénales). Exemples : risque d’erreurs de bourse, risque de fraude à la
carte bancaire, intérêts de retard pour paiements tardifs.12
12
“Sound practices for the management and supervision of operational Risk” (février 2003) - Risk Management :
Identification, Assessment, Monitoring and Mitigation/ Control…
70
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
11.1 - Les établissements de crédit ont d’ores et déjà pris des dispositions
pour réduire le risque de non-conformité.
Les banques, ont amélioré depuis plusieurs années leurs dispositifs de veille
réglementaire afin d’approfondir la connaissance de la réglementation par leurs salariés
et de formaliser davantage les procédures de contrôle de la conformité de leurs
décisions à la réglementation ou aux lois.
Comme le relève le Comité de Bâle, le risque de non-conformité fait désormais l’objet
d’une gestion plus formalisée et identifiée de la part des établissements15.
Ce constat rejoint l’appréciation qui peut être portée sur la situation des banques à
l’échelon international en la matière.
En effet, il ressort que ces banques ont toutes engagé, à des degrés divers, une
réflexion quant aux modalités d’organisation d’un dispositif permettant de s’assurer de la
conformité de leurs activités à la réglementation, à la loi, aux normes ou aux usages
professionnels. La quasi-totalité des grands établissements se sont déjà dotés d’un
responsable de la conformité (le titre étant variable selon les établissements :
responsable de la conformité ou « compliance officer », déontologue…).
Les établissements de crédit apparaissent cependant avoir des définitions hétérogènes
de la conformité. Chez un certain nombre d’entre eux, le champ d’intervention du
responsable désigné de la compliance se limite à la supervision du dispositif de
prévention du blanchiment et à la déontologie.
Plusieurs de ces établissements ont élaboré des procédures précisant les modalités du
suivi de ce risque, voire une charte de la conformité.
13 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 675 “Scenario analysis”
14 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 676« Business environment and internal control factor »
15 1 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques « Consultative Document on the Compliance Function
in Banks ». « Sound Practices for the Management and Supervision of Operational Risk » – « Saines pratiques de gestion et de contrôle du risque opérationnel » (février 2003)
point 2.
71
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Enfin, quelques établissements, plus avancés encore, ont d’ores et déjà construit un
état spécifique pour le suivi du risque de non-conformité. Ceci permet d’informer
régulièrement les niveaux les plus élevés de l’établissement du niveau de maîtrise de ce
risque ainsi que de tout événement significatif relevant de cette problématique.
16
formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003
72
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
73
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Conclusion du chapitre 1.
Depuis quelques années, les risques bancaires sont devenus plus nombreux et leur
nature a évolué : les produits bancaires sont de plus en plus diversifiés, les
contreparties évoluent et la volumétrie des opérations s’est considérablement accrue.
• Il y a quelques années, seul le risque de crédit faisait l’objet d’un véritable suivi par
les autorités de contrôle. En 1995, la réglementation internationale a imposé un suivi
spécifique des risques de marché. Le Comité de Bâle demande aujourd’hui aux
banques une démarche identique pour les risques opérationnels.
• La gestion des risques n'est évidemment pas nouvelle : son existence coïncide avec
celle de l'activité bancaire même. L'élément nouveau est la complexité croissante qui
la caractérise, rendant ainsi le secteur plus vulnérable. Les instruments classiques
de couverture ne semblent par ailleurs plus adaptés face aux nouvelles donnes de
l'environnement financier.
Dans l'ensemble, le secteur bancaire souffre encore de quelques lacunes qui pourraient
témoigner d'une certaine fragilité de leur structure de contrôle et d'audit interne. Certes,
les efforts consentis jusqu'ici témoignent d'une volonté commune et sans équivoque
visant à mieux cerner les risques bancaires.
En même temps, cet effort ne sera vraisemblablement salutaire que s'il dépasse le
stade de l'analyse statique des risques en portefeuille pour accéder à une vision plutôt
dynamique et évolutive de la gestion des risques bancaires.
Une fois que le niveau des risques inhérents a été ainsi estimé, l’auditeur en
collaboration avec le risk manager doit comprendre comment ceux-ci sont gérés et
contrôlés. Autrement dit, il doit apprécier l’adéquation et l’efficacité des mesures prises
par la banque en vue de minimiser les risques encourus.
Ainsi, la mise en place d’un audit systémique des multi risques bancaires est à
tout point de vue reconnu comme un préalable, entre autres, au développement sain
des activités bancaires.
74
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
75
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 2 :
76
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Introduction.
La complexité de la gestion moderne, les exigences requises pour le maintien de la
bonne organisation et le désir des dirigeants de s'assurer des vertus des systèmes de
contrôle interne, ont favorisé l'épanouissement des activités de l'audit.
Le vocable d'audit, d'origine anglaise, décrivant la perception par le sens de l’ouie, est
une activité dont la signification recouvre, à la fois, celles de vérification, d'examen, de
contrôle, de conseil, d'inspection et de révision et les dépasse même.
On peut ainsi définir l’audit comme une démarche spécifique d’investigation et
d’évaluation à partir d’un référentiel, incluant un diagnostic et conduisant éventuellement
à des recommandations. Ce dernier aspect est en quelque sorte une extension de la
notion puisque l’audit consiste en un éclairage sur une situation à risque, un instrument
d’aide à la décision.
La notion d’audit est large, d’une part parce que la méthode est définie par l’auditeur lui
même (la qualité repose sur le savoir-faire), et d’autre part parce que la nature et le type
de l’audit sont diverses.
De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Ceci entraîne des particularités pour l’auditeur concernant la manière d’observer,
l’interprétation des résultats et les difficultés d’élaboration d’un système de référence.
Nous allons tenter de cerner le contenu du concept d'audit en général, et celui d'audit
bancaire en particulier. L'audit systémique quant à lui, sera présenté au chapitre suivant.
77
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
régulier des comptes d'une entreprise, s'en porte garant auprès des divers partenaires
intéressés de la firme et, plus généralement, porte un jugement sur la qualité et la
rigueur de sa gestion" (dictionnaire La rousse en cinq volumes).
Dès cet emploi, on a trois caractéristiques de ce qu'est un audit quels que soient le
domaine où il s'applique et l'évolution des pratiques :
une activité spécialisée et comportant une certaine distance, une marge d'extériorité
par rapport à la chose examinée,
« C’est l’activité qui appliquée, en toute indépendance des procédures cohérentes et
des normes d’examen en vue dévaluer l’adéquation et le fonctionnement de toute ou
partie des actions menées dans une organisation par référence à des normes» (M.
Gervais).
« L’audit interne est un dispositif interne à l’entreprise qui vise à :
Apprécier l’exactitude et la sincérité des informations notamment comptables,
Assurer la sincérité physique et comptable des opérations,
Garantir l’intégrité du patrimoine,
Juger de l’efficacité des systèmes d’informations »
« Réalisé par un service de l’entreprise, l’audit interne consiste à vérifier si les règles
édictées par l’entreprise elle-même sont respectées ».
« L’audit interne est le département d’une entreprise chargé d’examiner et d’évaluer
le contrôle interne dans tous les domaines et à tous les niveaux. Au delà de ce rôle
traditionnel, il peut aussi assumer une fonction de conseil».
« L’audit interne est une fonction d’expertise indépendante au sein de l’entreprise,
assistant la direction de celle-ci pour le contrôle général de ses activités »
(L’IFACI)17.
« L’audit interne est à l’intérieur d’une organisation une fonction indépendante
d’évaluation périodique des opérations pour le compte de l’organisation.
Audit ne signifie pas inspection : inspecter c’est observer, examiner et rendre
Compte;
Audit ne signifie pas contrôle : contrôler c’est inspecter par rapport à une
norme imposée ou une règle non remise en cause.
Auditer c’est :
contrôler par rapport à une norme à (re)bâtir et justifier,
identifier les cause de l’écart,
et proposer ce qu’il faut faire ».
L’audit interne est une activité indépendante et impartiale menée pour produire de la
valeur ajoutée pour une organisation en lui apportant assurance sur son fonctionnement
et conseils pour l’améliorer. Il aide cette organisation à atteindre ses objectifs par une
approche systématique et méthodique d’évaluation et d’amélioration des processus de
maîtrise des risques, de contrôle et de gouvernement d’entreprise, et en faisant des
17
IFACI : Institut Français de l’Audit et du Contrôle Interne.
78
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
2. Principes Fondamentaux.
Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes
fondamentaux suivants:
Intégrité.
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité
accordées à leur jugement. Les auditeurs internes :
• doivent accomplir leur mission avec honnêteté, diligence et responsabilité,
• doivent respecter la loi et les règles de la profession,
• ne doivent pas prendre part à des activités illégales ou déshonorant la profession
d’audit interne ou leur organisation,
• doivent respecter et contribuer aux objectifs éthiques de leur organisation.
Objectivité.
Les auditeurs internes doivent montrer le plus haut degré d’objectivité professionnelle
en collectant, évaluant et communiquant les informations relatives à l’activité ou au
processus examiné. Les auditeurs internes doivent évaluer de manière équitable tous
les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs
propres intérêts ou par autrui.
18
IIA : The Institute of Internal Auditors.
79
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Confidentialité.
Les auditeurs internes doivent respecter la valeur et la propriété des informations qu’ils
reçoivent. Ils ne divulguent ces informations qu’avec les autorisations requises, à moins
qu’une obligation légale ou professionnelle ne les oblige à le faire. Les auditeurs
internes :
• doivent utiliser avec prudence et protéger les informations recueillies dans le
cadre de leurs activités ;
• ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou
d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice
aux objectifs éthiques et légitimes de leur organisation.
Compétence.
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les
expériences requis pour la réalisation de leurs travaux :
• ils ne doivent s’engager que dans des travaux pour lesquels ils ont les
connaissances, le savoir faire et l’expérience nécessaires ;
• doivent réaliser leurs travaux d’audit interne dans le respect des normes pour la
pratique professionnelle de l’audit Interne19 ;
• doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de
leurs travaux.
Indépendance et impartialité.
L’auditeur n’a pas d’autorité et de responsabilité à l’égard des activités auditées. Il est
indépendant mais autocratique et doit être rattaché à une personne ou une instance
dont l’autorité lui assure la liberté de ses opinions, la liberté d’action et d’investigation et
la prise en compte de ses recommandations.
19
Standards for the Professional Practice of Internal Auditing
80
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
81
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
82
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
83
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
84
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L'audit devient alors un audit de la performance et les normes d'audit se situent dans la
réalisation des quatre notions suivantes : notions d’efficacité, notion d'efficience, notion
de pertinence et notion d’économie.
Notion d'efficacité.
Une réponse positive à la question " est-ce que l'objectif est atteint ? " souvent donne
naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour
atteindre les mêmes résultats ?
L'efficacité examine le rapport entre l'effort et la performance.
L'efficacité est définie comme étant "la mesure dans laquelle un programme atteint les
buts visés ou les autres effets recherchés. 20
Notion d'efficience.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part,
et les ressources utilisées pour les produire, d'autre part.
Dans une opération basée sur l'efficience, pour tout ensemble de ressources utilisées le
produit obtenu est maximum, ou encore les moyens utilisés sont minimaux pour toute
qualité et quantité données de produits ou de services.
Notion de pertinence.
La notion de pertinence reste très subjective et difficile à mesurer. Toutefois, on pourra
admettre que la pertinence est la conformité des moyens et des actions mis en oeuvre
en vue d'atteindre un objectif donné. Autrement dit, être pertinent c'est atteindre
efficacement et d'une manière efficiente l'objectif fixé.
Notion d'économie.
Par économie, on entend les conditions dans lesquelles on acquiert des ressources
humaines et matérielles. Pour qu'une opération soit économique, l'acquisition des
ressources doit être faite d'une qualité acceptable et au coût le plus bas possible.
En résumé, on peut schématiser par une représentation triangulaire les relations entre
objectifs, moyens et résultats.
Objectifs
Pertinence Efficacité
Moyens Résultats
20
Par le "Bureau du vérificateur général du Canada".
85
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
86
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
La prise de connaissance
Son objectif est double, d'abord disposer de la culture nécessaire pour comprendre
l’activité de l’organisation auditée et pouvoir « poser » les bonnes questions pour
ensuite maîtriser le sujet audité.
La prise de connaissance se fait suivant un plan d’approche organisé permettant de
prévoir les moyens les mieux appropriés pour l’atteinte des objectifs.
Pour mener à bien cette étape, l'auditeur dispose de divers moyens tels que le
questionnaire de prise de connaissance, la documentation collectée auprès de l’audité
et les entretiens avec les responsables.
87
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
88
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Ossature du rapport
L’ossature du rapport élaborée à partir des « problèmes » figurant sur les FRAP et des
conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est
l’enchaînement des messages que l’auditeur veut livrer lors des présentations et dans le
rapport concluant la mission. L’ossature du rapport constitue :
Le guide de rédaction du rapport d’audit interne ;
Le guide de rédaction du résumé du rapport ;
Le support de présentation.
Hier contrôleur de la régularité des traitements et des opérations, l'auditeur bancaire est
aujourd'hui un expert du diagnostic des processus opérationnels et de contrôle des
risques, un chef de projet évoluant dans un environnement complexe et un spécialiste
du métier bancaire. Ce profil en fait également un acteur majeur en matière de gestion
des risques et de création de valeur ajoutée pour la banque.
89
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
90
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
91
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Dans les années 90, quelques faillites célèbres alertent les autorités de tutelle
internationales. Une globalisation qui change tout. Auparavant, les banques ne
dépendaient que de la supervision des autorités nationales. Mais le système bancaire
s'est mondialisé et les autorités de tutelle se sont regroupées dans le fameux Comité de
Bâle, pour édicter des règles générales valables pour tous les pays. Et tout
naturellement, on se cale alors sur les meilleures pratiques.
Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une
règle commune beaucoup plus exigeante que les règles habituelles. Il leur faut donc se
mettre à niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent
tirer avantage de ces contraintes nouvelles en termes de productivité et de compétitivité.
Quand on maîtrise mieux ce qui se passe, on gaspille moins, on a moins de sinistres, on
connaît mieux ses clients, on sait mieux définir ses prix etc.
Dans ce contexte plus sécurisé, l'auditeur peut donc s'attacher, non plus uniquement à
tester des soldes ou des transactions ou à valider des procédures courantes, mais de
plus en plus à effectuer un diagnostic du dispositif de contrôle et de pilotage sur lequel
s'appuie la direction de la banque pour maîtriser ses risques.
Parallèlement, les sujets auxquels s'intéresse l'auditeur évoluent et sont de plus en plus
perçus comme stratégiques par ses clients en l'occurrence le top management et les
risk managers.
92
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
93
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
94
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
95
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
96
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
rapide face à l’apparition de nouveaux risques. La finalité d'un tel système serait de
préserver leur solidité financière, de continuer de croître et d’apporter la confiance au
marché.
La fonction d’audit interne est un instrument important pour vérifier le bon
fonctionnement, l’efficacité et l’efficience du contrôle interne, en ce compris la fonction
de compliance.
Dans le cadre de ses travaux, l’audit interne fournit au management de la banque des
analyses, évaluations, recommandations, avis et informations sur les activités
examinées et contribue ainsi à une meilleure gestion de la banque.
Les autorités de tutelle, en l'occurrence BAM exige pour chaque banque l’existence
d’une organisation interne adéquate par rapport à l’activité exercée et aux risques
encourus. D’où la nécessité d’un système d’audit et de gestion de risques performant.
Ainsi, dans son rôle d’organe de vérification du bon fonctionnement du contrôle interne,
l'auditeur bancaire se voit attribuer un rôle beaucoup plus étendu. Il ne vérifie pas
97
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
98
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Autrement dit, il doit apprécier l’adéquation et l’efficacité des mesures prises par la
banque en vue de minimiser les risques encourus. Si donc l’importance du risque se
définit par le risque inhérent, la capacité de gérer ce risque se définit par le dispositif de
contrôle interne mis en place.
La conjonction des niveaux estimés du risque inhérent et du risque de contrôle permet
ensuite à l’auditeur de déterminer l’étendue, la périodicité et les méthodes de vérification
qu’il doit entreprendre, en accord avec les principes de la profession.
• Le respect des conditions d’autorisation.
L’analyse des risques inhérents et les contrôles internes mis en place permet de
s’assurer que les risques sont bien identifiés et correctement reflétés dans les comptes
annuels. Ces travaux permettent également de se prononcer sur le respect des
conditions d’autorisation et des règles de comportement.
Enfin, l’application d’une telle méthodologie permet également d’identifier des
opportunités d’amélioration et d’optimisation du système de contrôle interne et de les
communiquer à la banque sous forme de recommandations ou de plans d’actions.
Dans le contexte économique actuel, une gestion de risque efficace se révèle plus que
jamais capitale, pour préserver la solidité financière d’une banque et apporter la
confiance au marché. Les autorités bancaires de surveillance doivent intégrer cette
nécessité dans la réglementation en vigueur, qui va toutefois encore se renforcer avec
l’introduction des nouveaux accords de Bâle II.
Le développement récent du corporate governance, à l’image des fondements du
contrôle interne récemment redéfinis par BAM, gagne en importance dans la gestion de
risque.
99
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Conclusion du chapitre 2.
Dans un environnement changeant, l'auditeur interne peut jouer un rôle dépassant
largement celui de "contrôleur" pour devenir un "catalyseur" encourageant les dirigeants
d'entreprise à agir...
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit
la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue
de limiter les risques, de rendre l'organisation existante plus performante et plus
efficace.
L’audit interne peut jouer un rôle non négligeable en matière d’efficacité de la banque.
Ainsi, dans le cadre de l’exercice de sa mission, l’auditeur est bien placé pour identifier,
outre les problèmes de contrôle, les domaines dans lesquels les contrôles sont inutiles,
inefficaces et coûteux.
L’auditeur peut également identifier les inefficacités des opérations et peut se voir
charger, au-delà de sa mission habituelle, de mission de conseil.
Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission
qu'on lui a assignée. Des conditions sont à remplir pour que l'audit interne puisse être
un véritable outil d'efficacité.
L'efficacité, et donc le résultat pour la banque, seront d'autant plus grands, que chacun
de ses critères aura pu être optimisé, apportant ainsi une contribution significative à
l'ensemble. Cette optimisation a toutefois ses limites, qui peuvent être classées en
quatre grandes catégories, selon leur nature :
• Une première limite est liée aux hommes, aux auditeurs bien sûr, compte tenu de
leurs aptitudes à assumer la fonction, de leurs connaissances, de leur formation, de
leurs qualités intrinsèques, mais aussi aux audités et à leur comportement ou à la
remise en cause éventuelle de leur façon de travailler et de leurs habitudes.
Enfin, l'attitude des dirigeants et le soutien qu'ils apportent à leur structure d'audit
interne, est un gage majeur de réussite.
• Une deuxième limite est constituée par le rapport efficacité/coût. L'existence d'une
structure performante d'audit coûte cher en termes de salaires, de frais de
déplacements, de frais de structure. Il faut donc que l'équipe se rentabilise et il n'est
pas toujours évident de mesurer concrètement sa productivité.
• La troisième limite est liée au fait que la mise en place du contrôle interne vient
souvent à l'encontre de l'efficacité immédiate.
• Le quatrième type de limite concerne l'évolution rapide des techniques et des
méthodes de travail. L’exemple de l'informatique qui permet désormais de travailler
en temps réel, va tout à fait dans le sens de l'efficacité, mais par contre, conduit
souvent à des systèmes inauditables.
Par ailleurs, avec l'audit systémique qui sera présenté et développé en détail à la
deuxième partie, nous verrons que des systèmes réputés auparavant comme
inauditables pour l' auditeur bancaire, le seront désormais avec la méthodologie
présentée.
100
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
101
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 3 :
102
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Introduction.
L’enquête sur l’efficience de l’audit interne au sein du système bancaire marocain a été
réalisée avec les inspecteurs généraux et les responsables d’audit interne de cinq
banques privées de la place. Elles ont été choisies parmi celles les plus représentatives
de l'activité bancaire à l'échelon national à savoir :
Nos interlocuteurs ont répondu favorablement aux entretiens sollicités, donnant ainsi
aux résultats de l’enquête la légitimité que nous voulons.
Le guide d'entretien s'est articulé autour de la sensibilité du management à l'audit
intenre, le positionnement et rôle des départements de contrôle et le dispositif d'audit
adopté pour les quatre métiers choisis à savoir le système d’information, les activités de
marché, la gesion des ressources humaines et la comptabilité.
Le guide d'entretien adopté lors de l’enquête sur l’efficience de l’audit interne au sein du
système bancaire marocain avait comme objectif d’identifier :
Le degré de sensibilité du management à toutes les catégories de risques:
opérationnel, financier et de réputation;
Le rôle des risk - managers dans la gestion et le contrôle des risques;
L'indépendance et l'efficacité de l'audit interne dans la mesure et la
prévention des risques;
L'efficience du système d'audit interne existant et l’étendue de ses travaux;
L'exhaustivité de la cartographie des risques et du périmètre d'audit;
La réalisation de missions spécifiques pour les lignes métiers : Direction
du Système d'Information, Salle Des Marchés, Direction des Ressources
Humaines et Direction de la Comptabilité;
103
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
104
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Organisation et management,
Sécurité,
Etudes et développements,
Exploitation informatique ?
105
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Dans une mission de la Salle Des Marchés, les 3 fonctions sont-elles couvertes :
Front Office,
Middle Office,
Back Office ?
Les risques qui en découlent sont ils également couverts :
opérationnels,
de contrepartie,
juridique,
de sécurité ?
Dans une mission de la Direction des Ressources Humaines, les cinq domaines
d’activité du métier sont-ils couverts :
Administration,
Gestion des carrières,
Recrutement,
Formation,
Relations Sociales ?
Cette section présente l’analyse des résultats et restitue dans les grandes lignes les
pratiques d’audit interne bancaire, les tendances convergentes et les spécificités
apparentes. Elle met en lumière les éléments marquants qui s’en dégagent.
Ceux-ci viennent corroborer nos constats à travers notre exercice sur le terrain du
métier d’auditeur des multi métiers bancaires et confirmer aussi les enjeux et les
évolutions majeures de la profession au niveau du système bancaire marocain.
Cette enquête constitue ainsi un support d’analyse qualitatif auquel tout responsable
d’audit interne ou risk manager est invité à se reporter, d’autant que la deuxième partie
de ce mémoire présente en détail les bonnes pratiques en la matière à travers
l’approche de l’audit systémique.
106
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Cette enquête reflète l’image d’un audit interne indépendant au service tant de la
direction générale que du comité d’audit mais non parfaitement à même de prévenir
correctement avec le risk management toutes les familles de risques.
En particulier, l’audit interne apparaît de plus en plus comme un outil puissant de
détection des risques mais se limite toutefois aux risques classiques (de contrepartie, de
traitements opérationnels, ..) sans pour autant se focaliser sur d’autres risques tels que
les risques marché, les risques du système d’information, les risques liés aux
ressources humaines,...
Ce faisant, la non maîtrise de certains risques peut induire à la destruction de valeur au
sein de l’organisation et de limiter le rôle essentiel de l’audit interne, à savoir d’apporter
une contribution déterminante à la bonne gouvernance de l’établissement bancaire.
107
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
et de prévention des risques opérationnels, excepté pour les filiales des banques
françaises, ne semblent pas être encore à l’ordre du jour.
En termes de prévention de ces risques, il n’y a pas une claire répartition des rôles entre
les différentes structures à savoir : le Risk management, l’Audit interne et la
Compliance.
La supervision de la prévention des risques par le management se limite au suivi des
rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée
pour piloter l’évolution de tous les risques par ligne métier et par entité.
Seule une banque (filiale française) dispose d’un progiciel d’autoévaluation du système
de contrôle interne sur une périodicité trimestrielle, renseigné et validé par le
responsable de chaque entité. La remontée de l’information sur le dispositif du contrôle
interne par métier est centralisée au niveau de la Direction de Contrôle Interne.
108
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Le système de collecte et de reporting doit être une partie intégrante des procédures
opérationnelles. Ces exigences ne peuvent que renforcer le rôle indéniable du "risk
manager" chargé du suivi et de l'analyse de tous les événements de pertes identifiées à
travers le système interne d'information.
Même si les banques utilisent des moyens préventifs contre l’exposition aux risques, les
résultats de l’enquête mettent en évidence l’insuffisance de ces moyens. En cela, la
prise de conscience des dirigeants apparaît insuffisante à ce jour. Au delà de cette prise
de conscience, c’est l’évolution de la gestion des risques qui doit être repensée au sein
des banques. Par conséquent, un pré -requis s’impose : la fonction de l’audit interne doit
contribuer à la prévention des risques bancaires à travers l’identification des risques et
l’évaluation de l’efficacité du dispositif de contrôle interne mis en place.
109
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
110
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Le périmètre d’audit n’est pas très exhaustif et ne couvre pas toujours toutes les entités
d’une banque.
L’audit du réseau d’agences occupe le premier rang (70% du budget temps alloué au
plan annuel d’audit) en se focalisant sur le risque des traitements opérationnels et le
risque de crédit.
Par ailleurs, l’audit des filiales, des services centraux, des banques offshore reste peu
fréquent voire absent pour certaines entités. Les métiers les moins audités sont : la salle
des marchés, le système d’information, les ressources humaines, la gestion Actifs
Passifs (ALM), le contrôle de gestion, le contrôle interne, la compliance…
L’examen du plan annuel d'audit des 3 dernières années de certaines banques listant
les missions menées ne couvre pas la totalité des risques des unités opérationnelles et
fonctionnelles même s’il est approuvé parfois par le comité d’audit.
Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou
inefficaces. Très souvent, les audits effectués ne sont pas suffisamment rigoureux pour
déceler et notifier les insuffisances du contrôle dans les banques. Dans d’autres cas,
même si les auditeurs ont fait part des problèmes détectés, aucun mécanisme, excepté
celui de suivi des recommandations par l’audit interne, n’est prévu pour faire en sorte
que la direction remédie immédiatement aux déficiences relevées.
Manuels de procédures d’audit.
Pour piloter les missions d’audit réalisées, les directions d’audit interne disposent en
général de manuels de procédures mais se limitant aux procédures internes de
traitement et du risque de contrepartie. La mise à jour de ces manuels reste une
pratique non systématique.
Les modes opératoires d’audit (DSI, SDM, DRH, DC, ALM22, gestion d’actifs,
Compliance, activités de bourse) s’avèrent très peu fréquents.
Auditeurs internes.
Même si l’audit interne apparaît comme une fonction plutôt attractive, les responsables
d’audit interne rencontrent des difficultés à recruter, pour des raisons de compétences
principalement. L’une des conséquences probables de ces difficultés est le recours à
des ressources extérieures au service, qu’elles soient internes ou externes à la banque,
pour rechercher certaines compétences et de l’expertise complémentaire en faisant
notamment appel à des prestataires externes.
Les entretiens menés auprès des responsables d’audit interne, confirment que sont
exclues de leur périmètre d’intervention certaines missions exigeant une expertise
pointue et une haute technicité telles que l’audit des systèmes d’information ou l’audit de
la salle des marchés et ce pour le manque de compétences en audit interne aptes à
mener ce genre de missions.
22
DSI (Direction du Système d’Information), SDM (Salle des Marchés), DRH (Direction des Ressources Humaines), DC ( Direction
Comptable), ALM (Asset Liability Management)
111
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Dans ce cadre, les filiales des banques françaises font appel à l’audit interne de leurs
maisons mères ayant l’expertise et les outils adéquats (modes opératoires spécifiques,
outils élaborés d’audit) pour aborder ces missions.
Par ailleurs, les banques marocaines recourent aux prestations d’experts externes ou
de cabinets spécialisés d’audit.
La pratique des pôles de compétence en audit interne ne semble en général pas être
pratiquée du fait de la nature des profils généralistes pour les auditeurs. Une seule
distinction a toutefois été relevée entre l’équipe chargée du volet inspection, celle de
l’audit des opérations et des procédures et enfin celle chargée d’auditer le risque de
crédit.
L’audit interne dispose généralement de moyens humains adéquats ce qui est
révélateur de la prise de conscience de l’importance de cette fonction par le
management des banques.
Le niveau de qualification des auditeurs internes reste très disparate d’une banque à
une autre avec une prédominance d’équipes hétérogènes dont une partie est issue des
grandes écoles de commerce avec une expérience professionnelle ne dépassant pas
les deux ans et un autre lot composé de profils ayant déjà eu une expérience
opérationnelle dans la banque.
La volonté de former des cadres à haut potentiel ayant une vision sur l’ensemble des
processus pour l’organisation semble être prioritaire par rapport à la fidélisation des
auditeurs au sein du service.
La compétence professionnelle doit aussi être appréciée au niveau du service d’audit
interne dans son ensemble, qui doit avoir en son sein toute la gamme des compétences
techniques nécessaires pour pouvoir examiner l’ensemble des domaines dans lesquels
l’établissement opère.
Le service d’audit interne doit maintenir à jour les connaissances acquises et assurer
une formation continue et actualisée à chacun des auditeurs.
Lorsque dans des domaines spécifiques, le service d’audit interne ne dispose pas d’une
compétence suffisante pour procéder à un audit, il peut recourir aux services d’un expert
externe, sous condition toutefois que l’expert soit placé sous la dépendance du chef du
service d’audit interne qui conserve la supervision de l’opération.
La compétence, et en particulier les connaissances et l’expérience, de chaque auditeur
sont essentielles pour le bon fonctionnement du service d’audit interne. Il est important
que le service d’audit interne dispose de personnes ayant reçu une formation de niveau
élevé et disposant de compétences techniques adéquates. Lors de la sélection de ces
personnes il sera tenu compte également de la nature et de la diversité des activités
conduites par l’établissement.
112
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
113
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
114
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
De ce fait, un nombre de zones à risques n’ayant pas été couverts tels que :
Les règles de confidentialité (paie, dossiers personnels) et de sécurité (back up);
Le processus de révision des rémunérations individuelles ;
La gestion des avantages annexes;
Le provisionnement des engagements sociaux (retraites, prévoyance, indemnités) ;
La sensibilisation du personnel aux risques de fraude interne et externe
(consignation du code de déontologie);
Le processus d’appréciations annuelles ;
La rationalisation des mouvements sociaux.
Les objectifs d’une mission d’audit de la Direction Comptable sont les suivants :
S’assurer de la fiabilité de l’information financière et de sa conformité aux normes
définies par les autorités de tutelle. On entend par information financière à la fois les
comptes sociaux, consolidés et fiscaux ainsi que les états réglementaires.
Identifier les dysfonctionnements éventuels du dispositif de contrôle interne.
Apprécier la fiabilité du système d’information comptable.
Porter une appréciation sur les résultats et la rentabilité de l’entité auditée.
S’assurer de la connaissance et du respect des règles de déontologie.
Les deux premiers objectifs sus - visés sont atteints par les cinq banques sondées. Par
ailleurs, rares sont les missions comptables ayant abordé les trois autres objectifs.
Différents de ceux des auditeurs externes ayant un caractère légal, les objectifs de
cette mission sont étendus et ne peuvent être atteints qu’avec une analyse approfondie
des zones les plus risquées. C’est pourquoi une mission d’audit de la fonction
comptable doit mettre l’accent sur :
l’identification des risques et le recoupement avec les travaux des autres missions
(système d’information ; ressources humaines, ..) concernant les « clignotants
comptables »;
l’analyse des risques transverses à plusieurs fonctions, sur un ou plusieurs
échantillons d’opérations ;
l’examen des risques de non exhaustivité, de non qualité et de non fiabilité de
l’information comptable, de non fiabilité des comptes et des états financiers, de non
fiabilité de l’information financière consolidée, réglementaire et fiscale.
La mesure du niveau des risques, leur évolution, et l’avancement des plans d’actions
correcteurs.
Cette mission doit couvrir quatre domaines : l’audit systémique du service comptable
(appréciation du contrôle interne), les reportings réglementaires, les risques fiscaux et la
consolidation.
115
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les missions comptables au sein des banques sondées s’exercent en priorité autour de
l’analyse du contrôle interne de tous les processus de traitements comptables et
financiers.
La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits
systémiques comptables et financiers reste minoritaire, même si plus de la moitié des
responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce
type.
L’évaluation des processus de management des risques comptables est quasiment
absente mais tend à prendre une part significative avec la prise en conscience
progressive du rôle déterminant de cette fonction dans la gestion des risques.
116
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Conclusion du chapitre 3.
L’audit interne tel que pratiqué actuellement dans de nombreuses grandes
banques marocaines, relève encore quelques insuffisances. En outre, cet audit doit
aller dans le sens de l’importance accrue conférée par les autorités de contrôle
bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de
contrôle interne dans une organisation bancaire.
Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou
inefficaces. Très souvent, les audits effectués ne sont pas suffisamment rigoureux
pour déceler et notifier les insuffisances du contrôle dans les banques. Dans d’autres
cas, même si les auditeurs ont fait part des problèmes détectés, aucun mécanisme,
excepté celui de suivi des recommandations par l’audit interne, n’est prévu pour faire
en sorte que la direction remédie immédiatement aux déficiences relevées.
Ces cas révèlent également l’absence d’incitations appropriées pour que l’audit
interne exerce une surveillance hiérarchique rigoureuse et maintienne un niveau
élevé de conscience du contrôle au sein du système bancaire.
L’audit interne n’a pas achevé sa mutation et continuera d’évoluer pour apporter aux
banques toujours plus de valeur ajoutée. Les résultats de cette enquête permettent
d’entrevoir les contours de l’audit interne de demain et de définir les défis et les
enjeux futurs de la profession :
affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la
faveur d’un rattachement hiérarchique à la direction générale et de liens
fonctionnels avec le comité d’audit, lorsqu’il existe ;
se positionner, plus encore que par le passé, comme un outil majeur de
détection, de prévention et de maîtrise des risques, en coordination avec
toute autre fonction concernée (Risk management, compliance,..);
maintenir son indépendance, son objectivité et son impartialité ;
accroître sa professionnalisation par :
117
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
En relevant ces défis, l’audit interne apportera aux banques encore plus de valeur
ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation
bancaire.
118
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Partie 2 :
119
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 1 :
120
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Introduction.
Les évolutions des métiers bancaires, ont généré de nouvelles variantes de
risques et modifié les facteurs de fragilité financière susceptibles d'affecter la qualité de
la situation des acteurs bancaires. Ainsi, il devient de plus en plus impératif de
développer des outils d'analyse spécifiques dans le but de prévenir, de détecter et de
couvrir le plus rapidement possible les risques susceptibles d'engendrer une défaillance
bancaire qui ne pourrait être que préjudiciable à la stabilité du secteur financier dans
son ensemble.
De nombreux établissements bancaires ont encore un mode de fonctionnement
compartimenté, avec des silos d’informations, d’analyses et d’hypothèses parfois
incohérents entre les entités de la banque. Il leur est donc difficile d’obtenir une vision
d’ensemble fiable et cohérente des multiples risques rencontrés et d’en mesurer le
niveau de criticité.
Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel, il
est de plus en plus pressant que les établissements bancaires puissent s'investir dans le
développement d'instruments complémentaires d'analyse fondés sur des méthodes à la
fois quantitatives, qualitatives voire systémiques.
« Bâle II » impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la
gestion du risque de crédit, du risque de marché et du risque opérationnel. Disposer de
cette visibilité globale sur le risque, tout en répondant aux exigences réglementaires,
demande beaucoup d’implication, de temps, d’efforts et de ressources de la part des
banques. Avec l'audit systémique, les établissements bancaires disposent d'un outil
précieux pour mieux gérer et contrôler leurs risques.
121
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Le contexte.
L'audit, ou la revue du système de contrôle interne, d'une banque peut constituer une
mission spécifique mandatée par la direction générale ou le conseil d'administration qui
éprouve le besoin d'avoir un diagnostic sur la qualité du système de contrôle interne et
des recommandations pour en améliorer l'efficacité.
Pour l'auditeur bancaire, ce travail constitue un préalable à sa mission générale car la
qualité du contrôle interne conditionnera son programme de travail : étendue des
contrôles, profondeur des contrôles, budget temps. L'auditeur s'appuiera sur un système
de contrôle interne dont il aura vérifié l'efficacité. Un système de contrôle interne faible
conduira à renforcer les tests, les sondages et les contrôles pour pallier cette faiblesse.
Cette alternative demeure toutefois difficilement applicable pour le cas spécifique des
établissements de crédit, ce pour la simple raison que le contrôle interne est un élément
incontournable de la sécurité des opérations financières. Un contrôle interne défaillant
ne saurait être compensé par des tests étendus, compte tenu du volume des
opérations, de la complexité et de la diversité des métiers et de la taille des
établissements financiers dotés généralement d'une organisation largement
décentralisée.
Ce travail exige en revanche un personnel hautement qualifié car il se fera
essentiellement à base d'entretiens, d'analyse de l'organisation, d'examen des rapports
et documents importants et éventuellement de quelques tests destinés à vérifier la
réalité et l'efficacité des dispositifs et des procédures existantes.
Un questionnaire, un guide de contrôle interne, ou un mode opératoire d’audit par ligne
métier peut constituer un outil précieux pour mieux "encadrer" la mission. (Cf. 2ème
Partie).
A l'issue de cette revue, l'auditeur pourra établir son diagnostic soulignant les forces et
les faiblesses du système de contrôle interne et ses recommandations pour en
améliorer l'efficacité.
Plusieurs approches sont possibles pour réaliser cette revue du système de contrôle
interne. Ainsi, on distingue, l'approche par les risques et l'approche par les systèmes.
Actuellement, il y a une tendance à privilégier davantage l'approche par les risques.
Par ailleurs, l'approche systémique permet d'avoir une vision plus globale et maîtrisée
des risques et d’optimiser ainsi l’efficacité de l’audit, quelle que soit la complexité des
organisations ou des processus à auditer.
L’auditeur bancaire doit se poser les questions suivantes avant de définir sa démarche
d'audit :
122
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Pour une meilleure appréhension des risques d'un établissement financier, L’auditeur
bancaire est tenu de :
Améliorer la compréhension de l'activité et de la performance de la banque et de
son environnement/marché;
Elargir son champ d'investigation;
Ne pas se cantonner à la fonction financière;
Evaluer la qualité du pilotage de l’entreprise et les impacts éventuels de l'activité
sur les comptes;
Identifier et évaluer également ce qui n'est pas dans les comptes ;
Renforcer l'analyse de l'activité, des engagements et des opérations des
différentes fonctions;
Renforcer la qualité et l'efficacité de l'audit;
Renforcer l'utilisation dans son approche des indicateurs de pilotage de l'activité
utilisés par le management;
Prendre en compte les améliorations rapides des outils et du contrôle des
processus du client;
Accroître sa capacité à produire des conclusions à forte valeur ajoutée,
répondant aux préoccupations du management.
123
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
124
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
125
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Toute démarche de revue du système de contrôle interne viserait les objectifs suivants:
Les grandes étapes de cette démarche peuvent être résumées comme suit :
126
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
risque de crédit ;
risque de marché ;
risque de taux d'intérêt ;
risque de liquidité ;
risque de règlement;
risques opérationnels;
risques informatiques;
risque juridique;
risque humain;
risque commercial.
Pour ce qui concerne l'identification des principaux risques, ceux-ci devraient être revus
avec les principaux responsables de services de chaque entité lors d'entretiens
individuels. Lors de ces entretiens, il est question de revoir avec eux la probabilité de
survenance et l'impact potentiel de ces risques sur les objectifs de l’entité.
Cette phase débouchera sur la rédaction d'un document d'identification des principaux
risques pouvant menacer les processus de la banque.
127
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
128
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L'approche systémique.
L'approche systémique a modifié profondément les pratiques utilisées jusqu'alors pour
aborder l'étude et la conception des systèmes. L'analyse systémique engendre une
démarche inductive.
Son introduction dans l'audit a imposé une remise en cause profonde de l'approche
utilisée s'accompagnant d'une modification de la nature des outils sur lesquels se fait
son application.
La systémique envisage les éléments d'une conformation complexe, des faits, non pas
isolément mais globalement, en tant que parties intégrantes d'un ensemble dont les
différents composants sont dans une relation de dépendance :
Le principe de totalité exprime l'idée que les interactions entre les différents
éléments d'un système ne peuvent s'appréhender qu'au niveau de la totalité et non
au niveau des éléments pris séparément.
Le principe d'interaction implique que chaque élément peut s'informer et agir sur
l'état des autres.
Le principe d'homéostasie caractérise un système auto-régulé, c'est à dire capable
de réagir à toute modification, d'origine interne ou externe, pour revenir à son état
initial.
Le principe d'équifinalité indique qu'un même résultat peut être obtenu par des
voies et conditions initiales différentes.
129
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
130
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les risques bancaires sont liés aux processus de distribution des produits et services,
au traitement des opérations, aux systèmes d’information ou à des modifications de
l’environnement dans lequel opère la banque (juridique, fiscal, contractuel,
réglementaire ou autres). Tout établissement bancaire est confronté à ces risques
susceptibles de porter atteinte à la qualité des services apportés à ses clients, à sa
performance commerciale et, partant, à son développement dans la rentabilité.
Dans ce contexte, une méthodologie d’approche globale des risques serait
indispensable pour en étudier les principales causes et conséquences, ainsi que les
mécanismes de propagation. Une telle approche - appelée audit systémique -
permettra de déterminer les indicateurs et mesures de gestion puis les plans d’actions
les mieux adaptés pour les maîtriser.
L’audit systémique est une approche descriptive, cognitive, prospective, experte et éco
systémique des dispositifs complexes. L’audit systémique tente de répondre aux
besoins de connaissance et de modélisation préparant à la conception de systèmes
complexes (projet et dispositif) ainsi qu’à leur pilotage par le commandement et la
gestion des décisions (management).
Cette approche permet d'avoir une vision globale et maîtrisée des risques et d’optimiser
l’efficacité de la mission d’audit, quelle que soit la complexité des organisations ou des
processus à auditer.
Il s’agit d’une approche globale du risque avec un ensemble de composants modulaires
complets permettant de vérifier l'efficacité du dispositif de contrôle interne par ligne
métier, mais qui peut aussi être intégrée individuellement pour compléter un système
existant.
L'audit systémique aboutit notamment à mieux connaître le profil de risque des activités
exercées (cartographie des risques), à développer et alimenter les outils nécessaires au
pilotage de ces risques (référentiel de risques par activité, indicateurs de veille et de
suivi, incidents opérationnels et pertes consécutives à leur survenance).
Il vise également à améliorer et à coordonner les processus de gestion existants en
intégrant, en particulier, les problématiques de contrôle interne, de sécurité des
systèmes d’information, de déontologie et de plans de continuité des activités dans le
cadre d’un dispositif de maîtrise globale des risques.
Enfin, il permettra d’accroître la responsabilité, la vigilance et la réactivité des unités
opérationnelles et ainsi des risk managers qui bénéficieront notamment des retours
d’expériences et de répondre aux exigences du marché (actionnaires, analystes
financiers et agences de notation) et du régulateur.
Une démarche détaillée d'évaluation du système de contrôle interne par l'audit
systémique est développée pour quatre lignes métiers (système d'information, salle des
marches, comptabilité et ressources humaines) dans la deuxième partie.
131
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
front office, middle office, back office, finance - comptabilité, conformité - déontologie,
sécurité financière).
L'audit systémique permet au Risk Manager de mener à bien sa mission en matière
d'identification et d'évaluation des risques, de mesure et de suivi du coût de ces
risques, de prévention et de réduction de leurs impacts et enfin, de surveillance et de
maîtrise desdits risques.
132
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Ce tableau de bord est revu par le Comité de Contrôle Interne, puis communiqué à la
Direction Générale. Il appartient à l’entité, le cas échéant, de faire automatiser la
collecte et le traitement des données nécessaires à son alimentation.
En relation avec l’audit interne, le Risk manager établit, suit et coordonne le plan
d’actions global d’amélioration du Contrôle Interne. Les actions d’amélioration de la
maîtrise des risques proviennent des résultats de la cartographie, des recommandations
des auditeurs et des régulateurs, et de l’analyse des dysfonctionnements significatifs.
Ce plan d’actions global est suivi par le Comité de Contrôle Interne.
Adhésion du top management : une condition sine qua none pour l’efficacité
de l’approche d’audit systemique.
Pour garantir l’efficacité de l’approche d’audit systémique, la structure managériale de
l’établissement bancaire doit être suffisamment sensibilisée par rapport à l’apport
indéniable de cette approche et de sa valeur ajoutée en termes d’outil de pilotage de la
stratégie risques, d’efficacité et de sécurité des traitements opérationnels, d’efficience
du risk management et de la bonne gouvernance en général.
133
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Conclusion du chapitre 1.
d'avoir une vision globale et maîtrisée des risques, quelle que soit la complexité des
organisations ou des processus à auditer;
de vérifier l'efficacité du dispositif de contrôle interne par ligne métier;
Enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités
opérationnelles et ainsi des risk managers dans la maîtrise, la gestion et la
prévention des risques.
134
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 2 :
135
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Introduction.
Ce chapitre couvre l'audit de la fonction système d’information (SI) dans son ensemble.
Il a été divisé en quatre domaines correspondant à un découpage logique des axes
d’analyse de ladite fonction : l'organisation et le management, la sécurité, les études
et développements et l'exploitation informatique.
La maîtrise de la fonction système d'information, au sein de toute banque commerciale
comme ailleurs, passe notamment par la maitrise des quatre domaines à savoir :
Une organisation claire et un management adéquat avec des procédures
générales en place visant à maîtriser la fonction SI dans son ensemble,
La maîtrise de la sécurité par une analyse régulière des risques pesant sur le
système d'information de l'entité (sécurité logique, sécurité physique, et la
continuité des services),
L'efficacité, l'efficience et l'intégrité des développements d’applications (en
interne ou en externe), des progiciels ou des systèmes existants ayant été
modifiés,
L'exhaustivité des procédures d’exploitation du SI : indicateurs de qualité,
performance, planification et contrôle des travaux.
Comme pour toutes les fonctions, une mission d’audit SI comprendra une phase de
préparation (collecte de documents et entretiens préparatoires), une phase
d’investigation (entretiens systémiques 23 et sondages) et une phase de rédaction. Il
conviendra de couvrir chacun des quatre domaines lors de chaque phase.
Selon l’importance de la banque auditée, ces quatre thèmes seront déclinés plus ou
moins formellement. Dans tous les cas, la mission aura pour objet d’apprécier comment
sont couverts les risques liés à la fonction SI.
Parmi les familles de risques recensées, seront principalement concernés les risques
d'efficacité, d'efficience, de confidentialité, d'intégrité, de disponibilité, de conformité,
juridique et d'image.
L’audit des systèmes d’information devra mesurer le niveau des risques, leur évolution,
et l’avancement des plans d’actions correcteurs.
23
Audit de processus : organisation, fonctionnement, procédures, …
136
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Pour la phase de synthèse, une liste de sondages qui pourraient être repris
dans le rapport.
Préparation.
Dès le début de la phase préparatoire de la mission, les auditeurs remettent à la
Direction des Systèmes d’Information (DSI) une liste de documents à leur envoyer et/ou
à tenir à leur disposition :
Organigramme de la DSI ;
Liste des comités auxquels participe le responsable SI ;
Description des missions / rôles / responsabilités des principaux départements
de la DSI ;
Liste des sites informatiques (développement, production, back-up,
archivage,…) et des principaux sites « utilisateurs » ;
Liste des principales sociétés externes prestataires de services informatiques,
avec indication de la nature et de l’importance (quantitative/qualitative) des
services rendus ;
Documents budgétaires de synthèse des exercices N et N-1 (données
chiffrées et dossiers d’accompagnement validés) ;
Documents de synthèse récents relatifs aux grandes orientations stratégiques
/ schémas directeurs / principaux projets informatiques (exemple : plan
triennal, notes d’orientation stratégique,…) ;
Documents de synthèse de présentation des architectures matérielles,
logicielles et réseaux (incluant les principales interconnexions avec
l’extérieur);
Documents de synthèse de la cartographie applicative et de présentation des
principales applications sur les différentes plates-formes ;
Comptes-rendus récents (ex : 6 derniers mois) des principaux Comités
informatiques (internes DSI / inter-Directions / de Direction Générale) ;
Rapports de synthèse d’activité récents de la DSI diffusés à la Direction
Générale / aux Directions utilisatrices … (ex : rapport annuel, derniers
rapports mensuels / trimestriels,…).
137
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Investigation.
Rappel de l’arborescence de la démarche d’audit systémique :
1. Organisation et management.
Ce domaine concerne l'organisation et les procédures générales en place visant à
maîtriser la fonction SI dans son ensemble à travers :
une organisation claire et des définitions de responsabilités précises,
une planification à court, moyen et long terme formalisée des évolutions des
systèmes d'information,
la mise en oeuvre de procédures internes formalisées, notamment en matière
budgétaire et de suivi d’activité,
la formalisation des relations avec les utilisateurs et leurs maîtrises d’ouvrage,
la mise en œuvre de dispositifs de pilotage et de contrôle.
138
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Existe-t-il une définition de poste précisant les rôles et responsabilités pour chaque
poste figurant sur l'organigramme de la Direction informatique, et est-elle appliquée
dans les faits ?
Existe-t-il une procédure formalisée précisant les responsabilités des personnes au
sein de la Direction informatique concernant les délégations de signature ?
Risques.
Efficacité, efficience, conformité.
Approches d’audit & sondages.
Pour un certain nombre de postes de la Direction informatique, vérifier que la description
de poste comporte les éléments suivants : objet du poste, missions, rôles et
responsabilités, rattachements hiérarchiques et fonctionnels, principales relations avec
d’autres postes internes et externes à la Direction informatique. De plus, interroger la
personne qui occupe le poste pour s'assurer qu'il connaît sa description et qu'il
l’applique.
S'assurer notamment de la formalisation des autorisations pour les embauches, la
définition de l'organisation interne, le lancement des projets, les achats et le recours à
des prestations externes.
139
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Par analyse des travaux effectués par quelques personnes, vérifier qu'elles ne réalisent
pas dans la pratique des tâches d'autres personnes, à l’encontre d’une correcte
séparation des tâches.
Stratégie informatique
Objectifs/points de contrôle.
Une stratégie claire et cohérente a-t-elle été définie et formalisée en matière de
systèmes d'information, et est-elle respectée ?
Les décisions clés en matière de systèmes d'information sont-elles soumises à un
Comité réunissant la Direction Générale, les maîtrises d'ouvrage et les maîtrises
d'œuvre de la banque ?
Risques.
Efficacité, efficience.
Approches d’audit & sondages.
Consulter les documents décrivant cette stratégie.
S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas
d’orientations importantes apparaissant comme incohérentes avec la stratégie.
S'assurer que ces orientations stratégiques sont respectées et que les maîtrises
d’ouvrage sont consultées à l’occasion des orientations prises par la banque.
Se faire communiquer la note ou l'instruction de la Direction Générale de la banque
instituant le Comité décisionnel en matière de stratégie informatique.
Examiner par rapport à la structure générale de la banque la représentativité de ce
Comité.
Examiner les procès-verbaux ou les comptes rendus des réunions les plus récentes de
ce Comité et vérifier si les principales décisions stratégiques en matière d'évolution des
SI ont bien été prises dans le cadre de ce Comité.
140
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
S'assurer que ce suivi est effectué, soit dans le cadre d'un Comité réunissant les
principaux responsables de la banque, y compris la Direction Générale, soit par un
reporting formalisé à ces responsables.
Plans de travail.
Objectifs/points de contrôle.
Le plan informatique à long terme est-il régulièrement traduit en plans de travail à
court terme qui prévoient l’affectation des ressources humaines et matérielles ? Ces
plans sont-ils périodiquement réexaminés et mis à jour ?
Les plans de travail sont-ils cohérents par rapport aux budgets informatiques ?
Risques.
Efficacité, efficience.
Approches d’audit & sondages.
Demander la communication des versions successives des plans informatiques à court
terme et vérifier leur cohérence avec le plan à long terme. S'assurer que ces plans
incluent les développements, la maintenance, et qu'une marge de manœuvre est
conservée afin de réaliser des travaux exceptionnels et urgents.
S’assurer que les travaux prévus aux plans de travail sont cohérents par rapport aux
lignes budgétaires approuvées par la Direction Générale de la banque.
141
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Moyens techniques.
Objectifs/points de contrôle.
Dispose-t-on d'un inventaire à jour de tous les équipements24 avec leur emplacement
et leurs connexions ?
Des inventaires physiques périodiques sont-ils effectués et existe-t-il un
rapprochement périodique avec la comptabilité ?
Existe-t-il une gestion de la performance et de la capacité des équipements ?
Risques.
Efficacité, efficience.
Approches d’audit & sondages.
Apprécier l'exhaustivité, la lisibilité, et les procédures de mise à jour de cet inventaire.
Obtenir les résultats du dernier inventaire physique : apprécier les procédures mises en
oeuvre, y compris l’analyse des écarts et le rapprochement avec la comptabilité.
Obtenir le reporting correspondant : apprécier la couverture des équipements
concernés, et déterminer si ce reporting permet d’anticiper correctement des
modifications de configuration pour améliorer les performances et la capacité de
traitement.
24
Equipements concernés: serveurs, postes de travail, imprimantes, équipements réseau (routeurs, multiplexeurs, concentrateurs, modems...)
142
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
La banque a-t-elle établi une structure générale de gestion de projets qui définit la
méthodologie à appliquer pour chaque projet entrepris ? Cette méthodologie couvre-
t-elle, au minimum, l’attribution des responsabilités entre la Maîtrise d’Ouvrage
(MOA) et la Maîtrise d’œuvre (MOE), le jalonnement des tâches, l’établissement et le
suivi du budget temps et ressources, les points de contrôle et de validation ?
La MOA des départements utilisateurs participe-t-elle systématiquement à la
définition et à l’autorisation d’un projet de développement, de mise en œuvre ou de
modification ?
La méthodologie de gestion de projet prévoit-elle l’approbation d’un projet par la
Direction Générale de la banque et l’approbation des différents lots et des différentes
phases par la MOA ?
143
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
144
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Vérifier que des mesures régulières des niveaux de services sont effectuées à l’aide de
ces indicateurs, et que des actions d’améliorations sont engagées le cas échéant à
partir de ces mesures.
1.5 - Assurances.
Objectifs/points de contrôle.
Le choix des garanties en matière informatique correspond-il à une stratégie
résultant d'une étude spécifique, validée par la Direction Générale de la banque ?
Le système informatique est-il couvert par un contrat d'assurance couvrant les
dommages matériels ?
La banque a-t-elle souscrit un contrat couvrant les frais supplémentaires
d’exploitation en cas de sinistre ?
La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de
médias25?
La banque a-t-elle souscrit d'autres contrats liés aux précédents (Globale
informatique, Responsabilité civile, Pertes d'exploitation, etc...) ?
Risques.
Efficacité, efficience.
Approches d’audit & sondages.
Vérifier que le montant et la nature des risques couverts ont été déterminés par une
étude précise portant notamment sur le matériel (configuration centrale, réseaux...), les
risques de fraude ou de détournement, les coûts de reconstitution de supports, les
pertes d'exploitation éventuelles, etc ...
Vérifier que les risques suivants sont bien mentionnés : la détérioration d'origine externe
mais aussi interne, d'ordre électrique ou mécanique, les phénomènes naturels, le vol ou
la tentative de vol de matériel (s'assurer que le contrat inclut une garantie de vol sans
effraction).
S'assurer que le contrat d'assurance prend bien en charge les frais supplémentaires
d'exploitation, c'est-à-dire ceux qui sont mis en œuvre au moment du sinistre, la
couverture du back-up, les biens et services de remplacement, les frais supplémentaires
de transport et de main d'œuvre.
S'assurer que le contrat couvrant les frais de reconstitution des médias concerne les
programmes développés pour les besoins spécifiques de l'entreprise et les adaptations
des progiciels aux besoins particuliers de l'entreprise.
Vérifier que les sauvegardes correspondantes existent et sont effectuées régulièrement,
pour rendre possible la mise en jeu de la garantie.
Vérifier que les risques couverts par les différents contrats sont complémentaires, non
redondants, et cohérents par rapport à la stratégie d’assurance de la banque.
145
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Conformité.
Approches d’audit & sondages.
Vérifier notamment que les logiciels font l’objet d’une licence.
146
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Conformité, efficience, efficacité, conformité, juridique.
Approches d’audit & sondages.
Identifier les principales prestations externes, et vérifier pour chacune d’elles l'existence
d’un contrat, d’un responsable du suivi de la prestation et de procédures de suivi et de
contrôle effectives (en principe sur la base de conventions de service).
Interroger le département juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont)
été consulté(s) sur des contrats récemment signés par la fonction informatique avec des
tiers. Vérifier sur un échantillon que les avis émis sont formalisés.
Recenser les contrats et vérifier l'existence d'une telle clause et sa portée effective.
Recenser les contrats de sous-traitance et vérifier l'existence d'une telle clause et son
applicabilité effective.
147
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Efficacité, efficience, conformité.
Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Prendre connaissance des résultats des analyses récentes des risques informatiques.
S’assurer que l’évaluation des risques se fait de manière intégrée au niveau général des
activités de la banque et au niveau spécifique des systèmes d’information de la banque.
Prendre connaissance des plans d’actions existants visant à réduire les risques
identifiés.
Déterminer si ces plans d’actions adressent les principaux risques identifiés.
Déterminer si les risques résiduels sont clairement identifiés et formellement acceptés
par les responsables de la banque, sur des bases objectives.
Déterminer si les risques résiduels sont correctement couverts par des assurances.
2. Sécurité.
27
Ressources humaines, communication, juridique, déontologie, gestion des risques, ...
148
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
28
Technologie, sécurité, continuité de service, réglementation, etc
29
Les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers.
30
Incidents, erreurs, indiscrétion, fraude, sabotage
31
Audit interne et externe, contrôles du responsable sécurité, ...
32
Disponibilité, Intégrité, Confidentialité, Preuve
149
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Disponibilité, Intégrité, Confidentialité, Efficacité, Efficience.
Approches d’audit & sondages.
Analyser le contenu du plan sécurité33.
Etudier les modalités de mises à jour du plan : évolution des configurations matérielles
et logicielles / applicatives, recommandations faites sur la sécurité (audit interne ou
externe, responsable sécurité, ...).
S'assurer de la correcte mise en œuvre des actions du plan en termes de contenu et de
délais (consulter notamment les comptes rendus des instances de pilotage et de suivi
de la sécurité).
Vérifier que l'élaboration du plan s'est effectuée à partir d'une évaluation des risques ou
d'audits sécurité.
Vérifier le niveau de couverture des systèmes d’information à partir de l’inventaire
disponible. S'assurer notamment que les micro-ordinateurs (autonomes ou connectés
au réseau) et l'I*net34 sont couverts par le plan.
33
Il doit comprendre une évaluation quantitative des risques, une définition des risques intolérables (en liaison avec les utilisateurs), les moyens de sécurité existants, ceux à
mettre en place, le planning et les priorités, un budget annuel de la sécurité, les principes et règles de sécurité à mettre en place, ainsi que les responsabilités et dates prévues
de mise en oeuvre
34
Internet, Extranet, Intranet
35 Pour les entités de taille importante, il est recommandé que le responsable sécurité n'administre pas lui-même la sécurité.
150
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Disponibilité, intégrité, confidentialité, efficacité, efficience.
Approches d’audit & sondages.
Se procurer le document décrivant les objectifs et le fonctionnement du Comité.
Analyser sa composition, récupérer les derniers comptes-rendus et évaluer la réalité de
son rôle dans le domaine de la sécurité.
Prendre connaissance de la définition de fonction du responsable sécurité.
Vérifier que le rattachement du poste se fait au moins au niveau du responsable
informatique et de préférence directement à la Direction Générale de la banque (pour
garantir son indépendance).
S'assurer qu'il dispose de véritables moyens pour assumer sa fonction (temps, budget,
compétences, ...).
Prendre connaissance de leur définition de fonction.
S'assurer que leurs travaux sont correctement tracés et contrôlés périodiquement par le
responsable sécurité.
S'assurer de la couverture de l'ensemble des activités de l'entité notamment dans les
domaines transverses (gestion des fichiers clients, flux...) par ces propriétaires.
Prendre connaissance des rôles et responsabilités des propriétaires et de la réalité de
leur action.
Interroger des membres du personnel de la banque à tous les échelons hiérarchiques et
évaluer leur degré de sensibilisation et d'information.
S'assurer de l'existence de supports pour la sensibilisation / l'information36.
Vérifier, dans la manière de travailler du personnel, que la sécurité est une
préoccupation permanente.
Examiner quelques contrats / conventions. Vérifier notamment qu'ils précisent que
toutes les règles37 et procédures de la banque relatives à la sécurité doivent être
respectées et qu'elles ont été portées au préalable à la connaissance des prestataires.
36
Par exemple: charte de sécurité, formation / action de sensibilisation (journal interne, ...)
37
Clause de confidentialité, règles d'accès aux matériels, logiciels, données et documentations en plus des procédures applicables à l'ensemble du personnel
151
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
La gestion des droits d'accès est-elle prise en charge par un logiciel spécifique et/ou un
composant du système de base ?
L'accès aux fonctions de gestion / d'administration des habilitations et des paramètres
de sécurité est-il strictement limité ?
Risques.
Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Analyser l'architecture de la sécurité d'accès et les systèmes de sécurité en place38 pour
accéder aux traitements et données informatiques.
S'assurer qu'elle couvre tous les systèmes : serveurs centraux (mainframe), serveurs
décentralisés, micro-ordinateurs connectés ou connectables, réseaux,...
Lister les utilisateurs ayant accès à ces fonctions. S'assurer que cette liste est limitée
aux personnes en charge de l'administration de la sécurité.
2.7 – Identification et authentification.
Objectifs/points de contrôle.
Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse,
clé ou carte personnelle, …) effectivement utilisées et conditionnant l’accès aux
systèmes d’information et à leurs données ?
Risques.
Disponibilité, Intégrité, Confidentialité.
Approches d’audit & sondages.
S’assurer, pour quelques systèmes / données sensibles sélectionnés, que chaque
utilisateur dispose de son propre identifiant (le partage au travers d’identifiants
génériques étant à proscrire) pour y accéder.
Vérifier que les mécanismes d’identification et d’authentification couvrent tous les points
d’accès39 aux systèmes informatiques.
S’assurer que des procédures sont en place afin de préserver l’efficacité des
mécanismes d’authentification par mot de passe.
38
Pour les utilisateurs et les informaticiens (interne et externes)
39
Connexion par le réseau commuté et les autres voies d'entrée sur le système (réseau local principalement)
152
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Vérifier si la procédure traite l'ensemble des événements de la gestion des habilitations
(création, modification, suppression) incluant une demande écrite et sa validation
formelle.
Pour quelques utilisateurs sur quelques systèmes sensibles, vérifier l'existence des
demandes et leur validation formelle.
S'assurer également que les ajouts d'accès font l'objet d'une demande et que la
suppression / modification des profils / habilitations est rapide après le départ / la
mutation d’un collaborateur. Pour cela, prendre la liste les derniers départs et mutations
au sein de l'entité.
Sur quelques systèmes sensibles, faire un sondage principalement pour quelques
utilisateurs ayant des accès privilégiés (très étendus). S'assurer que chaque utilisateur
n'a que les accès (en consultation, ajout, modification ou suppression) qui lui sont
nécessaires.
A-t-on recours à des sociétés de services informatiques pour simuler des attaques
externes (tests d’intrusions) afin d’évaluer et d’améliorer le cas échéant le niveau de
sécurité en place ?
Avant de rendre opérationnel un site, une étude est-elle soumise au service juridique
compétent afin de s’assurer du correct traitement des aspects juridiques, fiscaux,
réglementaires et prudentiels ?
40
Pare-feu: Mécanisme employé pour protéger le réseau interne d’une entreprise des accès ou usages non autorisés tout en permettant aux utilisateurs locaux d’accéder à
l’Internet.
41
DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systèmes informatiques (réseau interne) de l'entité et le réseau externe (Internet).
42
Secure Socket Layer (SSL): protocole de sécurisation des transactions assurant la confidentialité, l'intégrité et en principe l'authentification des parties et la non-répudiation
des transactions par l'usage de la cryptographie à clés publiques, fondé sur le contrôle d'intégrité et le chiffrement des données
153
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages.
Obtenir l’inventaire des points d’accès à distance aux systèmes informatiques de la
banque.
S’assurer qu’ils sont sécurisés par des procédures de « call-back » ou d’accès dûment
sécurisés.
Vérifier que les accès / tentatives provenant de l’extérieur sont enregistrés dans des
logs analysés régulièrement (les tentatives d’accès infructueuses doivent en principe
être analysées au jour le jour).
Recenser les échanges ou transactions électroniques effectués par la banque avec
l’extérieur.
Pour chacun d’entre eux, vérifier l’existence d’un mécanisme d’authentification fiable
(mot de passe, clé de chiffrement, ...), de non-répudiation (signatures électroniques,
horodatage, certificats émis par des tiers de confiance,...).
S’assurer que des mécanismes de contrôle d’intégrité adaptés (hash coding /
scellement43 par exemple) sont utilisés.
Apprécier les dispositifs de protection (sécurité physique et logique, séparation de
fonctions,...) en place. Recenser les sites déployés par la banque, et les études de
sécurisation existantes.
Vérifier que des règles de sécurisation ont été suivies.
S’assurer que le paramétrage des firewalls a été effectué par des spécialistes de la
sécurité Internet et qu’une DMZ est utilisée.
Se procurer les rapports de ces prestations et vérifier que les faiblesses relevées ont été
corrigées rapidement et/ou qu’un plan d’actions a été établi.
Vérifier auprès du service juridique de la banque la nature du travail effectué sur ce
point pour les sites mis en oeuvre, et que d’éventuelles consultations auprès de
spécialistes extérieurs à la banque ont eu lieu si en interne les compétences n’étaient
pas suffisantes.
Objectifs/points de contrôle.
Une revue périodique des profils utilisateurs est-elle effectuée par un responsable afin
de vérifier le respect des procédures et de confirmer les droits d’accès existants ?
A-t-on instauré des règles de journalisation45 d'évènements liés à la sécurité
informatique?
Existe-t-il un contrôle systématique, périodique et centralisé des événements
journalisés?
Certains types de violation d'accès sont-ils remontés en temps réel au responsable
sécurité pour contrôle ?
Les opérations effectuées par les administrateurs de la sécurité sur les systèmes de
sécurité sont-elles journalisées sans possibilité d'altération ?
Ces traces sont-elles revues périodiquement par un responsable sécurité distinct des
administrateurs de sécurité ?
Risques.
43
Technique de représentation d’un texte en clair en un équivalent symbolique (« hash code » / sceau) indécodable, qui permet de détecter toute altération du texte en clair.
44
Les contrôles de niveau 1 sont contenus dans le traitement des opérations (contrôles informatiques, contrôles manuels) et ceux du niveau 2 sont effectués par la hiérarchie qui
supervise le traitement des opérations.
45
Trace d'enregistrement
154
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
46
Equipements de contrôle d’accès, détection et extinction incendie, détection humidité, climatisation, onduleurs, batteries, groupes électrogènes, ...
155
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Disponibilité, intégrité.
Approches d’audit & sondages.
S'assurer que ces études ont bien pris en compte les principales menaces liées à
l'environnement extérieur48.
En l'absence d'étude particulière, vérifier que le responsable informatique a conscience
de ces risques.
S'assurer que des dispositifs spécialisés sont installés pour surveiller et contrôler
l'environnement.
Vérifier si le bâtiment renferme uniquement les locaux et installations informatiques. Si
le bâtiment n'est pas à l'usage exclusif de l'informatique, examiner la liste et la nature
d'activité des autres services et départements s'y trouvant. Déterminer si ce voisinage
se traduit par des facteurs de risque spécifiques49.
S'assurer qu'aucun panonceau n'indique la présence du site informatique et qu'aucun
matériel du site n'est visible et facilement accessible de l'extérieur.
S'assurer que le transformateur est protégé contre les risques d'incendie, de dégâts des
eaux et d'accès non autorisés.
47
Il s'agit d'un disjoncteur permettant d'arrêter l'alimentation de l'ensemble des équipements en une seule opération d'un "coup de poing" d'où le nom de la commande.
48
Menaces liées à l'environnement extérieur: phénomènes météo, inondation (cours d'eau, sources et nappes phréatiques), coulée de boue, orages/foudre (paratonnerre),
qualité/stabilité du terrain, zone sismique, etc mais également le voisinage à risques pollution, menaces chimiques, voisinage ou stockage de matières inflammables.
49
Allers et venues de personnes extérieures, stockage de matières inflammables, ...
156
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
50
Il ne suffit pas d'avoir les serveurs sur onduleurs mais également les équipements de communication et les consoles de pilotage des systèmes informatiques
157
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
158
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
2.16 – Sauvegardes.
Objectifs/points de contrôle.
La banque s’est-elle dotée des moyens lui permettant de disposer de copies de ses
données aisément utilisables en cas de perte des données d’exploitation d’origine ?
A-t-on pris en compte la nécessité d’élaborer des sauvegardes de type production 51
d’une part et de type recours d’autre part ? Les cycles de sauvegarde et les durées
52
51
Après incident d'exploitation
52
Après sinistre majeur
159
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Existe-t-il un Plan de Continuité des Activités de la banque remis à jour au moins
chaque année ?
Le PCA est-il remis à jour en cas d’évolutions qui le nécessiteraient ?
Existe-t-il un PCA, pendant « utilisateurs » du plan de secours informatique ?
Une coordination entre les deux plans (informatique et utilisateurs) existe-t-elle afin
d’éviter tout déphasage ?
Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs
« autonomes » (fixes et portables) et les micro-ordinateurs « en réseau » (serveurs,
stations de travail, …) ?
Une étude sur la vulnérabilité de la banque face à différents types de risques physiques
ou non (pas nécessairement informatiques) a-t-elle été réalisée et a-t-elle entraîné la
mise en place d’un Plan de Continuité des Activités de la banque ?
A-t-on réalisé une étude préliminaire, qui permette de classer les processus et/ou les
applications dans l’ordre décroissant des pertes ou préjudices qui surviendraient après
un sinistre physique (total ou partiel), une panne grave ou une grève ?
Existe-t-il des locaux et/ou des coffres de sécurité permettant de stocker dans des
conditions de sécurité acceptables les supports informatiques contenant des
informations dont la perte serait préjudiciable à la banque ?
Le PCA contient-il bien les procédures alternatives de traitement à mettre en place par
les utilisateurs jusqu’à ce que la fonction informatique soit en mesure de restaurer
entièrement ses services après un sinistre ?
Un plan de communication a-t-il été défini pour permettre la mise en œuvre des actions
de communication adaptées tant en interne qu’en externe en cas de survenance d’un
sinistre ?
Une cellule de crise a-t-elle été organisée pour gérer un sinistre éventuel ?
Le PCA est-il testé périodiquement dans des conditions les plus proche possibles de la
réalité de la production ?
Risques.
Disponibilité, intégrité, efficacité, efficience.
Approches d’audit & sondages.
S’assurer de la mise à jour périodique du PCA en fonction des évolutions de
l’organisation de la banque et de son système d’information.
53
Le plan de continuité est l'outil de contrôle interne qui assure la gestion des ressources et des données informatiques sensibles, en cas d'interruption de traitement. Le plan de
continuité des activités comprend les éléments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up
et le plan de reprise d'activités qui intègre les schémas fonctionnels et organisationnels complétant les moyens matériels.
160
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
S’assurer que des procédures ont été élaborées par les départements utilisateurs, en
collaboration avec le service informatique, pour organiser la reprise et la continuité des
activités à partir du déclenchement du sinistre et jusqu’au retour à la normale.
S’assurer que les sauvegardes sont stockées sans délai dans un lieu sécurisé une fois
leur création effectuée.
Vérifier la cohérence des deux plans en termes de déroulement, de priorités de
reprise,…
S’assurer que les évolutions de systèmes et procédures à la fois côté informatique et
côté utilisateurs font l’objet de mises à jour des plans.
Recenser les nouvelles applications ou activités sensibles de la banque (ou des
modifications significatives récentes), et vérifier que les plans les prennent bien en
compte.
S’assurer que cette étude est assez récente pour être pertinente.
Vérifier que l’étude a été formalisée et validée par les principaux responsables de la
banque. Analyser ce document et vérifier son exhaustivité ;
S’assurer que les processus / applications couvrent bien l’ensemble des activités de la
banque.
Vérifier que l’étude est mise à jour en cas de nouveau processus / application ou de
modification importante.
S’assurer que l’on a pris en considération dans cette étude les interdépendances entre
processus / applications.
Analyser ce document. S’assurer qu’il a été élaboré avec des professionnels de la
communication et les parties prenantes dans le P.C.A.
Vérifier que les procédures de reprise couvrent les différentes étapes du déroulement du
plan de secours informatique.
Vérifier que les cibles des actions de communication ont été identifiées et les
« messages » adaptés.
Analyser la composition de la cellule. Vérifier qu’elle regroupe les parties prenantes du
PCA (informatique, utilisateurs, communication), y compris les principaux responsables
de la banque ;
S’assurer que les modalités de la réunion rapide de la cellule sont formalisées et
communiquées aux participants (coordonnées, y compris personnelles, lieu de
regroupement, …).
Prendre connaissance des conditions de tests.
Se procurer les comptes-rendus de tests et vérifier que les problèmes rencontrés ont fait
l’objet d’adaptations dans le PCA.
161
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les ressources informatiques critiques pour la continuité des activités ont-elles été
identifiées et effectivement secourues ?
A-t-on effectué une étude de sécurité pour le choix des liaisons de télécommunications
entre le site de secours et l’ensemble des sites connectés (internes / externes) ?
L’exhaustivité des sauvegardes de recours garantit-elle la reprise de l’activité dans les
conditions définies par la banque ?
Le plan de secours est-il testé périodiquement dans des conditions les plus proches
possible de la réalité de l’exploitation ?
Le plan de secours est-il remis à jour (évolutions matérielles et logicielles, configurations
réseau, …) de manière régulière ?
Les activités nécessitant une haute disponibilité des systèmes informatiques (par
exemple les activités de salles de marchés, les systèmes d’échanges interbancaires
(SWIFT, …)) bénéficient-elles de solutions de secours en temps réel ?
Risques.
Disponibilité, efficacité, efficience.
Approches d’audit & sondages.
Analyser ce document. S’assurer que les procédures sont complètes, claires et
détaillées.
Vérifier que toutes les parties prenantes disposent d’un exemplaire à jour du plan.
S’assurer que les impacts sur le plan de secours des évolutions contenues dans le plan
informatique ont été prises en compte.
S’assurer que les trois possibilités offertes ont été étudiées (mutualisation de moyens
chez un prestataire, secours externe dédié à la banque, secours interne) et que les
moyens mis à disposition sont conformes aux choix stratégiques de la banque.
S’assurer que ces ressources comprennent les traitements et données d’applications
critiques, les systèmes d’exploitation et les logiciels de base, les équipements de
télécommunications, et les fournitures.
Vérifier que préalablement à cette étude, un recensement des liaisons au(x) sites
d’exploitation a été effectué.
S’assurer que les lignes principales sont doublées.
S’assurer qu’une procédure garantit l’exhaustivité des sauvegardes de recours.
Vérifier que les hypothèses de reprise sont cohérentes avec la « fraicheur » des
données des sauvegardes.
Prendre connaissance des conditions et des résultats de tests. Se procurer les comptes-
rendus de tests et vérifier que les problèmes rencontrés lors des tests ont donné lieu à
des mises à jour du plan de secours.
S’assurer que le plan est mis à jour notamment lors des modifications des configurations
matérielles, logicielles (nouveau développement, maintenance, …) et réseau.
Vérifier que pour les systèmes sensibles concernés, des solutions de haute disponibilité
(de type mirroring / clustering55) sont mises en œuvre pour permettre de basculer de
manière quasi-transparente (« à chaud ») d’un système informatique défaillant à un
autre.
55
Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallèle. La panne d'une ressource étant transparente pour le déroulement
des traitement par le passage à la ressource en miroir / cluster.
162
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
3. Etudes et développements.
Ce domaine concerne les développements d’applications (en interne ou en externe),
l’acquisition de progiciels ou la modification de systèmes (applications, progiciels)
existants. Il concerne non seulement les développements effectués par le département
informatique, mais aussi ceux directement réalisés par les utilisateurs à l’aide de
logiciels bureautique (Microsoft Access ou Excel, par exemple).
L’auditeur doit se faire communiquer la liste des développements (applications,
progiciels) terminés ou en cours par le département informatique avec la charge de
travail des équipes informatiques, les développements effectués par les services
utilisateurs à l’aide de logiciels bureautique, les classer par ordre d’importance et de
criticité pour déterminer un échantillon représentatif de systèmes sensibles.
163
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
164
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
165
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
166
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Un procès verbal de recette doit être co-signé par le responsable du projet / de
l’application informatique et les responsables des départements utilisateurs (ou la MOA).
Contrôler que le dossier de recette identifie correctement les règles de gestion et les
scénarios de tests correspondants.
Contrôler l’existence des Procès Verbaux de recette, et vérifier que les demandes de
mise en exploitation sont formalisées sur un document adéquat et qu’elles intègrent
l’approbation des départements concernés (Etudes, Utilisateurs, Exploitation).
167
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Vérifier l’existence d’un plan de conversion / migration / reprise des données des
anciennes applications avec une estimation des ressources (humaines et matérielles)
nécessaires à ces travaux.
Vérifier sur quelques applications ayant nécessité une reprise des données que la
méthodologie a été appliquée et que les procédures de reprise ont été correctement
formalisées et planifiées.
Contrôler l’existence de cette procédure et vérifier la séparation des responsabilités
entre les secteurs Etudes et Exploitation.
Vérifier que la mise en exploitation des applications et des modifications aux
programmes n’est jamais effectuée directement par les équipes de développement.
4. Exploitation informatique.
4.1 – Suivi de l’exploitation.
Objectifs/points de contrôle.
Existe-t-il des procédures d’exploitation du système informatique ?
Ces procédures décrivent-elles l’exploitation des systèmes centraux et des systèmes
décentralisés / distribués (par exemple : les systèmes installés sur des serveurs du
réseau local) ?
L’Exploitation Informatique a-t-elle défini des contrats de service avec les utilisateurs ?
Ces contrats ont-ils été formalisés et signés par les parties ?
Le secteur tient-il un tableau de bord reprenant les indicateurs de qualité / performance
prévus dans les contrats de service ?
Les travaux d’exploitation sont-ils correctement planifiés pour utiliser au mieux les
ressources et atteindre les objectifs cités dans les contrats de service ?
Les travaux non planifiés (ou exceptionnels) sont-ils analysés et approuvés
préalablement à leur inclusion dans le plan de travail ?
Existe-t-il des journaux (logs) d’exploitation permettant de vérifier l’exécution et la
bonne fin des traitements ?
La bonne fin des travaux est-elle contrôlée (réception des fichiers, exécution correcte de
tous les programmes, transmissions de fichiers, impression, façonnage) ?
Risques.
Efficacité, efficience, conformité, intégrité, disponibilité.
Approches d’audit & sondages.
Prendre connaissance des procédures existantes (documentation disponible).
Vérifier l’existence d’une documentation qui recense les diverses tâches d’exploitation
(par exemple : manuel opérateur).
Vérifier que toutes les applications et plates-formes / systèmes informatiques sont
effectivement couverts par ces procédures.
Vérifier l’existence de contrats de service entre le département informatique et les
utilisateurs.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la
disponibilité, la fiabilité, la performance, le support aux utilisateurs, la résolution des
incidents et la mise en place des changements.
Les niveaux de service doivent être des données facilement quantifiables, par exemple :
le taux de disponibilité du système pour les utilisateurs, les temps de réponse, le respect
des horaires de production, le nombre d’incidents et leur délai moyen de résolution, les
mises en place des changements (nouveaux programmes, évolutions ou corrections
dans les programmes existants).
168
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Contrôler que les équipes d’exploitation disposent en permanence d’un plan de travail
incluant les travaux journaliers, périodiques et exceptionnels.
Vérifier que les heures de mise à disposition des applications ne perturbent pas les
activités des utilisateurs.
Se faire communiquer le relevé de contrôle et d’analyse des journaux d’exploitation.
S’assurer que les contrôles des journaux (logs) d’exploitation permettent de suivre
l’exécution et la bonne fin des travaux informatiques.
Vérifier, à partir de ces documents, qu’il est possible de retracer facilement les incidents
d’exploitation.
169
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
journaliser les incidents d’exploitation par nature et pour suivre les actions engagées en
vue d’y remédier ?
La direction du département informatique a-t-elle défini une procédure d’escalade
(remontée) des problèmes afin de s’assurer qu’ils sont résolus de la manière la plus
efficace ?
Les procédures de gestion des incidents prévoient-elles de rechercher les causes
originelles des incidents (par exemple : changement de système d’exploitation ou mise
en production d’une nouvelle application) ?
Existe-t-il des procédures de reprise des traitements et de restauration des données à
partir des sauvegardes et des procédures de mise en œuvre d’un fonctionnement en
mode dégradé en cas d’incident ?
Existe-t-il, au sein de l’exploitation, une fonction d’assistance / support aux utilisateurs ?
Le personnel en charge de cette fonction travaille-t-il en étroite collaboration avec le
personnel en charge de la gestion des incidents ?
Toutes les demandes d’assistance / requêtes des utilisateurs sont-elles correctement
enregistrées par la cellule d’assistance ?
Existe-t-il une procédure d’escalade au sein du département informatique pour les
demandes des utilisateurs qui ne peuvent pas être résolues immédiatement par l’équipe
de support de premier niveau ?
Le management du département informatique exerce-t-il un suivi périodique pour
s’assurer que le traitement des demandes des utilisateurs s’effectue en temps voulu ?
Risques.
Efficacité, efficience, intégrité, disponibilité.
Approches d’audit & sondages.
Vérifier l’existence de cette organisation et de ces outils / procédures, et se faire
communiquer le reporting relatif aux incidents afin d’en apprécier l’adéquation.
Vérifier que cette procédure prévoit les critères et modalités d’escalade aux niveaux
hiérarchiques et d’expertise successifs pour la résolution des problèmes, en tenant
compte de la gravité des problèmes et de leur priorité de résolution.
Vérifier que les causes des incidents sont analysées au travers des documents de suivi /
reporting des incidents.
Vérifier l’existence, dans les dossiers d’exploitation, de procédures de reprise /
restauration et de mise en œuvre d’un mode dégradé en cas d’incident.
Vérifier dans l’organigramme que cette fonction est effectivement couverte et que les
ressources sont suffisantes par rapport à la population des utilisateurs.
Sonder quelques utilisateurs à cet égard pour évaluer leur niveau de satisfaction.
Se faire communiquer le registre des demandes d’assistance / requêtes afin d’évaluer
l’adéquation de leur enregistrement.
A partir du registre, contrôler que les demandes sont résolues dans les plus brefs délais
et que les procédures d’escalade entre les différents niveaux de support sont
respectées.
170
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
différent du centre informatique pour permettre une mise en œuvre du plan de secours
en cas de sinistre majeur dans le bâtiment ?
L’identification externe des supports magnétiques, le contrôle de leurs mouvements et
de leur stockage sont-ils correctement effectués ? Les supports contenus dans la
médiathèque sont-ils régulièrement inventoriés ?
Les anomalies relevées suite à un inventaire physique sont-elles corrigées en temps
voulu ?
Les supports magnétiques sont-ils périodiquement testés pour s’assurer qu’ils sont
lisibles et que les données qu’ils contiennent sont exhaustives ?
Existe-t-il des procédures d’archivage qui prennent en compte la nature des données
58
57
Après sinistre majeur
58 Cette fonction ne doit pas être confondue avec la sauvegarde, qui vise à permettre une reprise des traitements après un incident . L’archivage représente le besoin de conservation
pour des buts fonctionnels liés à l’activité de l’entreprise (besoins internes, légaux et réglementaires).
171
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
172
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 3 :
173
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Sur l’identification des risques et le recoupement avec les travaux des autres
auditeurs en phase de préparation,
Sur les liens avec l’audit des autres fonctions concernant les activités de marché
en phase d’investigation,
En fonction de l’analyse des risques, sur des sondages, transverses à plusieurs
fonctions, sur un ou plusieurs échantillons d’opérations à déterminer.
Un tel audit couvre cinq domaines : le front office (trading & ventes), le middle
office, le back office, le risque de contrepartie, le risque juridique et la sécurité
physique.
Comme pour toutes les fonctions, une mission d’audit de la salle des marchés
comprendra une phase de préparation (collecte de documents et entretiens
préparatoires), une phase d’investigation (entretiens systémiques 60 et sondages) et une
phase de rédaction. Il conviendra, en théorie, de couvrir chacun des 6 domaines lors de
chaque phase.
60
Audit de processus : organisation, fonctionnement, procédures, …
174
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
La mission aura pour objet d’apprécier comment sont couverts les risques liés à l'activité
de marché. Parmi les familles de risques recensées, seront principalement concernés
les risques de gestion, opérationnels, déontologiques, de fraude, d’image, de crédit,
commerciaux et juridiques.
L’audit de la salle des marchés devra mesurer le niveau des risques, leur évolution, et
l’avancement des plans d’actions correcteurs.
175
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Sinon, les opérations internes entre des desks animés par la même hiérarchie sont-elles
interdites ?
La répartition des traders coïncide t’elle avec celle des vendeurs ?
Tous les vendeurs peuvent-ils effectuer des opérations avec les clients ?
Sont-ils dûment autorisés ?
Les vendeurs prennent-ils des positions non couvertes ?
Risques.
Risque de gestion.
Risque de fraude : les gains ou les pertes pourraient être basculés d’un livre à l’autre.
Risque opérationnel : les traders pourraient passer plus de temps à coter des opérations
qu’à négocier.
Risque commercial : des cotations trop longues pourraient entraîner la perte de client.
Risque déontologique : les vendeurs pourraient conclure des opérations en dehors de
leur délégation.
Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors
de leur délégation en matière de risque de marché.
Approches d’audit & sondages.
Définition de poste, organigramme, notes internes.
Analyser l’affectation des traders et des vendeurs aux clients, aux différents produits,
aux différentes devises au moyen des statistiques (nombre d’opérations, volumes) et en
fonction des résultats.
Organigramme, liste des livres de trading avec le plan de comptes.
Analyser l’affectation des traders par rapport aux besoins de la force de vente.
Vérifier la délégation de chaque vendeur et la comparer avec les produits traités.
Point de contrôle difficile à vérifier. Analyser le courant d’opérations pour voir si les
vendeurs peuvent à un moment quelconque prendre des positions ouvertes sans les
déclarer.
Le contrôle le plus important est celui effectué lors de la réception par un secteur
indépendant des confirmations et des réclamations des clients.
176
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Les analyses envoyées au client sont-elles réalisées par des membres du personnel
autorisés et qualifiés ?
Risques.
Risque d’image. Risque déontologique.
Approches d’audit & sondages.
Examen des analyses sur le marché envoyées aux clients.
Objectifs/points de contrôle.
Les avis d’opéré contiennent-ils toutes les informations nécessaires au traitement des
opérations ? 61
Les opérations sont-elles pré-affectées à un secteur déterminé ?
Existe-t-il une piste d’audit pour chaque ticket ?
Les tickets de transaction sont-ils horodatés ? 62
Existe-t-il une piste d’audit en cas d’annulation ou de modification?
Dans le cas où le Front Office peut annuler ou modifier des opérations (et
particulièrement les opérations échues) dans les systèmes FO et BO, la validité de ces
annulations/modifications est-elle contrôlée de façon indépendante ?
Des heures limites de traitement des opérations ont-elles été fixées ? sont-elles
respectées ?
61
Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs sont responsables des informations renseignées sur les tickets d’opérés. Ils
doivent veiller à ce qu’ils soient correctement remplis et visés, et transmis dans les meilleurs délais aux services de traitement.
62
Principes de déontologie spécifiques aux activités de marchés financiers : Les ordres de la clientèle sont enregistrés chronologiquement dés leur réception (horodatage).
177
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque opérationnel et financier. Risque de mauvaise interprétation des ordres par le
back office.
Risque financier : une affectation a posteriori pourrait amener à un transfert de gains
d’un secteur à un autre.
Risque opérationnel. En cas de contrôle, la piste d’audit de chaque ticket doit être
étayée.
Risque de fraude : le FO pourrait modifier les opérations sans que les secteurs
administratifs en soient informés. La modification d’une opération échue peut
changer le résultat.
Risque opérationnel : des opérations peuvent avoir été initiées et non traitées.
Risque financier : certaines opérations pourraient être effectuées à l’insu de la banque.
Objectifs/points de contrôle.
Chaque opérateur tient-il un état récapitulatif des opérations soit manuellement soit par
l’intermédiaire d’un système FO?
Les opérations sont-elles enregistrées dans l’ordre chronologique sur cet état.64 ?
La position (position de change, solde, impasse en taux, sensibilité, delta, …) de chaque
trader est-elle toujours disponible et constamment mise à jour ?
Le périmètre de la position du trader couvre-t-il exactement ce qu’il est censé couvrir ?
63
Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs susceptibles de réaliser une transaction sur un instrument financier en dehors des
horaires et de leur lieu de travail habituels doivent préalablement obtenir une habilitation spécifique de leur hiérarchie, visée par le déontologue, de telle sorte que les modalités
d’intervention assurent la sécurité requise.
64
Les négociateurs veillent aussi à l’enregistrement chronologique des ordres reçus, transmis et exécutés.
178
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les avis de positions provenant d’autres secteurs sont-ils envoyés en temps opportun et
en bonne et due forme ?
Toutes les positions du FO sont-elles rapprochées avec celles du BO ?
Toutes les positions prises par les autres secteurs sont- elles bien prises en ligne de
compte dans le rapprochement?
Dans le cas d’un système FO automatisé, une solution de secours de suivi des positions
est-elle en place et a -t- elle été testée ?
Dans le cas où le client a des positions ouvertes avec la banque (opérations de gré à
gré), les vendeurs ont-ils accès en temps réel à la position du client réévaluée ?
Dispose-t-on d’une lettre de décharge, signée par le niveau N+1 de la hiérarchie de
l’interlocuteur habituel pour les reports de terme à cours historiques ?
Risques.
Risque opérationnel : l’absence d’une piste d’audit rend impossible tout contrôle de
second niveau.
Risque financier. La position du trader doit pouvoir être connue à tout moment.
Autrement, en cas d’évolution défavorable du marché et d’absence du trader, la
banque ne sera pas en mesure de réduire la position.
Risque opérationnel : le cambiste pourrait surveiller une position qui ne couvre pas le
périmètre qu’elle devrait couvrir (notamment lorsque cette position est suivie à l’aide
d’un système FO).
Risque financier : le trader peut ne pas être informé des positions (trésorerie,
changes, …) prises par d’autres secteurs.
Risque financier : les positions non communiquées ou non réconciliées sont
responsables de positions inexactes qui peuvent générer des pertes.
Risque Financier : la position doit être disponible en cas de panne du système.
Autrement des pertes peuvent être encourues.
Risque commercial et financier : en cas d’évolution défavorable du marché, les
vendeurs doivent être en mesure de conseiller le client, tout particulièrement dans le
cas des produits volatils (dérivés).
Risque de crédit : le client peut dissimuler des pertes ou des gains. La banque
pourrait faire l’objet de poursuites pour soutien illégal ou pour évasion fiscale.
Approches d’audit & sondages.
Vérifier les états récapitulatifs du trader ou s’assurer que le système FO assure cette
fonction.
Examiner l’état pour s’assurer que les opérations sont enregistrées dans l’ordre
chronologique.
S’assurer que l’état récapitulatif du trader est bien disponible.
Dans le cas d’un système FO, s’assurer que les opérations sont saisies immédiatement
en vérifiant les heures de saisie des opérations pour mettre en évidence d’éventuelles
concentrations inhabituelles ou des opérations tardives.
Dans le cas d’un système FO, vérifier la codification du portefeuille/périmètre de la
position.
Examiner les positions communiquées aux traders par les autres secteurs (production,
commercial, …). Des positions non communiquées à temps pourraient être mises en
évidence au cours du rapprochement des positions entre le FO et le BO.
Vérifier le type des rapprochements effectués sur les positions et s’assurer de leur
efficacité. S’assurer que ces rapprochements sont effectués régulièrement.
Examiner les positions provenant des autres secteurs pour s’assurer qu’elles sont
communiquées en temps voulu.
179
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Le FO est-il en mesure de suivre ses risques de marché ?
Le FO est à même de suivre ses risques de contrepartie ?
Risques.
Risque financier : le FO peut ne pas être à même de suivre ses risques de marché. Il
peut dépasser la limite (dans le cas d’une variation brusque sur le marché par
exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans
les limites.
Risque de crédit : le FO peut initier des opérations avec des clients sans que des lignes
de crédit soient disponibles ou dans le cadre de lignes de crédit non
autorisées.
Approches d’audit & sondages.
S’assurer que le FO dispose des moyens matériels pour suivre ses limites de risques de
marché.
Examiner les utilisations afin d’identifier tout dépassement de limites de ce fait.
Dans l’éventualité où le FO n’a pas de moyen pour suivre les limites et prétend que les
limites sont suivies au “feeling”, s’assurer que l’utilisation n’est pas proche de la limite.
S’assurer que le FO a les moyens matériels pour suivre ses limites de risques de
contrepartie.
Passer en revue les utilisations pour identifier tout dépassement de limites de ce fait.
Objectifs/points de contrôle.
Existe-t-il des contrôles permettant de s’assurer que toutes les opérations initiées par le
FO sont matérialisées ? 65
Existe-t-il une procédure d’enregistrement des conversations téléphoniques ?
Les enregistrements sont-ils conservés dans un endroit dont l’accès est limité aux
personnes dûment autorisées et interdit aux membres du FO ?
Les enregistrements sont-ils conservés pendant une durée minimum de 6 mois
conformément aux réglementations locales ?
Les personnes habilitées à écouter les conversations ont–elles été approuvées par le
déontologue ?
Lorsqu’une conversation téléphonique est écoutée, le personnel concerné est-il autorisé
à entendre la conversation incriminée ? 66
65
les SDM ont l’obligation de procéder à l’enregistrement des conversations téléphoniques de tous les négociateurs d’instruments financiers et des collaborateurs qui sans être
négociateurs participent à la relation commerciale avec les donneurs d'ordres, en tenant compte de l’appréciation du déontologue concerné et des montants et risques en
cause. Ces enregistrements ont pour fin de faciliter les contrôles de la régularité des opérations , leur conformité aux instructions des donneurs d’ordres et la résolution
d’éventuels litiges.
66
Ces enregistrements sont conservés dans un endroit dont l’accès est strictement réservé aux personnes autorisées. La durée de conservation obligatoire des enregistrements
est fixée à 6 mois et ne peut en aucune façon excéder cinq ans, sauf obligation nationale différente. L’audition des enregistrements des conversations téléphoniques, peut être
effectuée par le déontologue à des fins de preuve en cas de litiges ou à des fins de contrôle. Si le déontologue ne procède pas lui même à l’audition, celle ci ne peut intervenir
180
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque opérationnel : la contrepartie pourrait contester une opération qui ne serait
pas étayée par un justificatif (communication téléphonique, communication par
Reuter …).
Risque opérationnel : la preuve d’opérations pourrait ne pas être suffisamment
protégée.
Approches d’audit & sondages.
S’assurer que la salle dispose des moyens nécessaires pour enregistrer toutes les
conversations téléphoniques ou les communications par Reuter ou pour fournir tout
autre justificatif des opérations.
S’assurer que l’accès au système d’enregistrement de conversations téléphoniques est
protégé.
Vérifier que les enregistrements sont conservés au moins six mois et conformément aux
réglementations locales.
S’assurer que le déontologue a bien donné son accord sur les personnes habilitées à
écouter les conversations téléphoniques.
Objectifs/points de contrôle.
Est-il interdit aux traders et à leurs assistants d’effectuer les tâches suivantes : 67
rédiger, valider et envoyer des confirmations ou des contrats de trading ?
enregistrer les opérations de trading, tenir les livres de positions et des échéanciers,
préparer des rapports d’activité quotidiens et des états de positions (à l’exception
des notes pour informer les traders sur les positions prises) ?
réévaluer les positions régulièrement et déterminer les gains ou les pertes pour les
comptes officiels ?
dénouer les opérations ou effectuer d’autres fonctions de paiement ou de réception
de fonds, telles que l’émission ou la réception et le traitement d’opérations par câble
ou par courrier, des effets ou des lettres de change ?
recevoir les confirmations des contreparties et les marier avec les contrats ou les
avis de courtiers, suivre les confirmations en suspens et corriger les erreurs qui s’y
rapportent et autres fonctions de traitement similaires ?
gérer et rapprocher les comptes Nostri et autres comptes débiteurs et créditeurs
concernés par les activités de trading ?
préparer, approuver et enregistrer toute autre écriture comptable ?
Le personnel du FO est-il exclu des listes de signatures autorisées et des personnes
habilitées à :
ouvrir des comptes au nom de la Banque auprès de confrères ou de courtiers ?
initier des transferts ou des mouvements sur ces comptes?
Une unité indépendante de la salle est elle chargée de revoir les rapports quotidiens
pour détecter les dépassements de limites de trading autorisées ?
qu’avec son accord ou l’accord d’une personne désignée par lui. Le collaborateur dont les conversations sont enregistrées dispose du droit d’écouter l’enregistrement en cause
en cas d’audition.
67
Principes de déontologie spécifiques aux activités de marchés financiers – “La sécurité des transactions est notamment assurée par le respect du principe de séparation des
fonctions de négociation (« front office ») et de traitement (« middle et back office »). Ces fonctions relèvent d’organisation et de hiérarchie différentes. Elles ne doivent en aucun
cas être assumées par la même personne.”
181
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque de fraude. Les traders peuvent confirmer des transactions sans en informer le
BO. Des positions peuvent être prises à l’insu de la banque.
Les traders peuvent manipuler les livres de manière à générer des gains fictifs ou à
dissimuler des pertes.
Les traders peuvent manipuler les réévaluations pour gonfler les gains artificiellement.
Les traders peuvent initier des paiements à l’insu de la banque.
Des positions, des gains ou des pertes peuvent être cachés à la banque.
Les traders peuvent dissimuler des irrégularités dans les Nostri occasionnées par
des opérations effectuées à l’insu de la banque.
Les traders peuvent manipuler les écritures comptables pour générer des gains fictifs.
Les traders peuvent ouvrir des comptes à l’insu de la Banque afin de dissimuler des
pertes ou des gains et de les virer sur d’autres comptes.
Risque de fraude : les dépassements de limites peuvent ne pas être signalés et ainsi
générer des pertes supérieures aux « stop-loss » officiels.
Approches d’audit & sondages.
S’assurer que les points de contrôle suivants sont respectés.
Examiner les contrats et les confirmations pour s’assurer qu’aucun(e) n’est signé(e) ni
envoyé(e) par des traders ou par quiconque leur soit rattaché.
Vérifier la liste des signatures autorisées et des pouvoirs pour s’assurer que tous les
traders et leurs assistants en sont exclues.
S’assurer qu’aucune écriture comptable n’est saisie directement par les traders et
qu’aucune position n’est tenue par eux.
S’assurer que la comptabilité effectue ces tâches indépendamment sans intervention du
FO.
Vérifier que le secteur comptabilité est indépendant du FO dans le cadre de ses
réévaluations et de ses calculs de pertes et profits.
Tous les chiffres utilisés par le secteur comptabilité doivent préalablement être validés
par le BO (ou par un secteur administratif).
S’assurer que les traders n’ont pas accès aux systèmes (Swift, telex …) ou aux moyens
de paiement (lettres de change).
S’assurer que ces fonctions sont physiquement séparées.
S’assurer que les traders ne reçoivent aucune confirmation. Il conviendrait d’éviter que
des télécopies, telex, etc ne soient reçus dans la salle. Si un telex ou un télécopieur est
nécessaire dans la salle, il y a lieu de s’assurer qu’aucune confirmation ne peut être
reçue exclusivement dans la salle.
S’assurer que les comptes Nostri et autres comptes débiteurs et créditeurs sont
rapprochés par un secteur indépendant du FO.
S’assurer qu’aucune écriture comptable n’est saisie directement par les traders.
S’assurer que le secteur comptabilité saisit ces écritures lui-même sans aucune
intervention du FO.
S’assurer que toutes les personnes rattachées au FO sont exclues de la liste des
signatures autorisées et des mandataires.
S’assurer que la fonction suivi de limites n’est pas rattachée au FO.
Objectifs/points de contrôle.
Existe-t-il un programme de visites aux clients ?
182
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
2. Middle-Office.
2.2 - Stocks.
Objectifs/points de contrôle.
Le MO calcule-t-il les risques et les résultats sur un stock validé chaque jour par un
secteur (BO) indépendant du FO ? 68
S’il existe deux systèmes (FO et BO), le MO vérifie-t-il que le rapprochement des stocks
est correctement effectué (contrôle de deuxième niveau) ?
Les opérations en suspens sont-elles prises en compte dans les calculs de risques du
MO ?
Lorsque la salle ne négocie pas sur une amplitude de 24 heures, les risques sont-ils
68
Chaque jour, à partir des positions arrêtées le soir précédent et validées par le back office, la tâche du middle office est de : valider les paramètres de marché utilisés dans les
calculs de risques et de résultats en contre-vérifiant auprès de sources extérieures .
183
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
calculés sur toutes les opérations réalisées pendant la journée, y compris celles
réalisées après l’heure limite du BO ?
Risques.
Risque financier et risque de fraude : les calculs des risques et des résultats peuvent
ne pas être indépendants du FO ce qui impliquerait des risques de positions
cachées.
Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des
stocks ce qui peut affecter les calculs de risques et de résultats.
Risque financier : il se peut que toutes les opérations ne soient pas prises en
compte, ce qui peut entraîner une estimation erronée des risques de marché.
Approches d’audit & sondages.
Dans le cas d’un système unique, vérifier que le MO calcule les risques et les résultats
postérieurement à la validation du stock par le BO.
Lorsqu’il existe deux systèmes (FO et BO), vérifier que le BO ou un secteur indépendant
du FO effectue un rapprochement entre les deux stocks avant le calcul du MO.
S’assurer que le MO est toujours informé des différences entre les stocks du FO et du
BO.
S’assurer que le MO vérifie régulièrement les rapprochements des stocks.
Vérifier la procédure en matière d’opérations en suspens. Cette procédure devrait
assurer un calcul des risques sur toutes les opérations effectuées au cours de la journée
écoulée.
184
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Modifications.
Objectifs/points de contrôle.
Chaque modification dans la référence d’un prix de marché est-elle justifiée et
documentée ?
Les modifications des prix de marché sont-elles documentées?
Les prix de marché sont-ils modifiés et validés par un secteur indépendant du FO?
Existe-t-il une piste d’audit pour chaque paramètre de marché ?
Risques.
Risque financier : les références pourraient être modifiées afin de manipuler les prix
de marché
Risque financier : les prix de marché pourraient être manipulés.
Risque financier : en l’absence d’une piste d’audit appropriée, aucun contrôle de
second niveau ne peut être assuré. Il existe par conséquent un risque de
manipulation des prix de marché.
185
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
S’assurer que toute modification ou intervention sur les prix de marché est étayée par
un document qui n’émane pas du FO.
Examiner les prix de marché. Pour chacun, la source (page Reuter par exemple) et
l’heure de chargement ou de saisie devrait être disponible.
Limites.
Objectifs/points de contrôle.
La direction de la banque (le directeur de la banque ou le conseil d’administration) et les
responsables de desks sont-ils impliqués dans la fixation des limites globales de la
banque ?
Les limites globales tiennent-elles compte des exigences en matière de fonds propres ?
Les limites globales sont-elles revues aussi souvent que nécessaire et au minimum une
fois par an ?
Le responsable de la salle a-t-il fixé et décomposé des limites de risques de marché
opérationnelles en phase avec les limites globales ?
Risques.
Risque financier : la limite peut ne pas être opérationnelle (parce que trop basse) ou
inutilisée parce que trop importante (dans ce cas du capital serait alloué inutilement).
Risque financier : les limites de certaines unités peuvent être trop élevées et exposer
la Banque à un risque financier (faillite).
Risque financier : du fait des fluctuations sur le marché, les limites peuvent être
obsolètes (trop faibles ou trop élevées).
Risque opérationnel : les traders peuvent ne pas avoir à respecter une limite
individuelle les limites globales pourraient par conséquent être dépassées.
186
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
2.4.1 - Méthodologie
Objectifs/points de contrôle.
La méthodologie élaborée par la SDM pour le suivi des risques de marché est-elle
respectée ?
Les limites globales couvrent-elles l’ensemble des risques de marché auxquels la
banque est exposée ?
Risques.
Risque financier : les risques de marché pourraient être sous-évalués.
Approches d’audit & sondages.
S’assurer que la méthodologie est bien respectée
S’assurer qu’elle couvre l’ensemble des risques de marché inhérents à l’activité.
Vérifier que la méthodologie mise en œuvre fixe des limites spécifiques pour : les
échéances, les devises, les produits, le marché.
S’attacher à la validité des modèles mathématiques, les risques de liquidité, la position
dominante sur un marché donné (importantes positions sur les instruments financiers à
terme par exemple)…
S’informer sur des perturbations de marché récentes qui ont affecté l’activité de trading
de la banque. S’assurer que les pertes ont été contenues dans les limites prévues.
187
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risque financier : les dépassements de limites qui ne sont pas signalés pourraient
entraîner une exposition à des risques excessifs et par conséquent à des pertes
potentielles supérieures aux prévisions.
Risque financier : détecter les dépassements sans suivre les actions correctives peut
inciter le FO à dépasser continuellement les limites.
Une action corrective inadaptée ou trop laxiste pourrait affecter la crédibilité et
l’efficacité des contrôles.
Approches d’audit & sondages.
S’assurer que le MO assure le suivi de toutes les limites fixées au FO (échéances
maximum, restrictions relatives aux produits, etc …)
S’assurer que le MO est doté d’outils appropriés pour assurer ce suivi.
Examiner par sondage les états de risques afin de trouver tout dépassement de limite.
Demander à voir tous les états de risque et vérifier par sondage que tous les
dépassements de limites ont bien été signalés.
Vérifier pour quelques dépassements quelles actions correctives ont été prises et de
quelle manière elles ont été suivies : courrier, notes, rapports, etc.
Vérifier que les actions correctives entreprises augmentent la crédibilité du contrôle. De
trop nombreux dépassements pourraient indiquer un manque de crédibilité dans le
contrôle des limites.
Objectifs/points de contrôle.
Æ Si les limites sont calculées par un système :
Les calculs du système ont-ils été validés par un secteur indépendant du FO et du MO ?
Le périmètre (desk, portefeuille) des états de risque est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont bien prises en ligne de compte ?
L’accès à la codification du système de calcul et d’édition des états de risques est-il
interdit au FO ?
ÆSi les limites ne sont pas calculées par un système :
L’outil utilisé peut-il calculer correctement les risques de marché ?
L’outil utilisé (Excel, états, rapports,…) est-il fiable ?
Est-il indépendant du FO, en ce sens qu’il utilise des données vérifiées par un secteur
indépendant. ?
Un plan de secours/une sauvegarde a-t-il(elle) été mis(e) en place et testé(e) ?
Le périmètre (desk, portefeuille) du calcul de risque est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont prises en compte ?
Risques.
Risque financier : les risques de marché pourraient être mal calculés.
Les limites pourraient être calculées sur un périmètre incorrect à cause d’une
mauvaise codification des systèmes. La limitation de l’accès à la codification du
système de calcul des risques met la Banque à l’abri des risques de fraude
(manipulations des risques de marché).
Risque financier : les risques de marché pourraient être mal calculés.
188
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Si les systèmes ne permettent pas un suivi en temps réel des limites de marché, existe-
t-il un contrôle a posteriori par sondage pour s’assurer que les positions en cours de
journée ne dépassent pas les limites de marché ?
Ces contrôles sont-ils documentés ?
Risques.
Risque financier : l’absence de contrôle sur les opérations en cours de journée
pourrait entraîner un dépassement de limites par le FO, ce qui pourrait exposer la
Banque à des pertes potentielles supérieures aux prévisions.
Approches d’audit & sondages.
Vérifier que le MO effectue des contrôles a posteriori par sondage.
Vérifier que ces vérifications sont documentées.
Objectifs/points de contrôle.
La banque est-elle en mesure de procéder à une évaluation au cours du jour de toutes
ses positions indépendamment du FO ?
La banque a-t-elle mis en place une procédure permettant de calculer quotidiennement
les gains ou les pertes comptables indépendamment du FO ?
Risques.
Risque financier : la banque doit être en mesure d’évaluer au cours du jour ses positions
pour déterminer son résultat latent, même si le résultat est en couru.
Risque financier : les résultats doivent être calculés par un secteur indépendant afin
d’éviter toute dissimulation de perte et les risques de fraude.
Approches d’audit & sondages.
S’assurer que le MO a les moyens de réévaluer toutes les positions au cours du jour.
189
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
S’assurer que le MO a ses propres outils pour procéder à ces ré-évaluations ainsi que
des données validées et qu’il est par conséquent indépendant du FO.
Vérifier que les calculs sont effectués par un secteur indépendant.
S’assurer que ce secteur a les moyens d’assurer l’indépendance de la production : stock
validé par le BO, indépendance des paramètres de marché.
Objectifs/points de contrôle.
Les résultats sur opérations de change (relatifs à la banque) sont-ils couverts auprès de
la salle des marchés au moins une fois par mois ? 71
Risques.
Risque financier : le risque de change sur les résultats pourrait ne pas être couvert.
Approches d’audit & sondages.
Vérifier que le résultat sur opérations de change est couvert auprès de la salle au moins
une fois par mois.
Objectifs/points de contrôle.
ÆSi les résultats sont calculés par un système :
Les calculs effectués par le système ont-ils été validés par un secteur indépendant du
FO ?
Le périmètre (desk, portefeuille) de l’état de résultats est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont prises en compte ?
L’accès à la codification du système de calcul et d’édition des états de résultats est-il
interdit au FO ?
ÆSi les résultats ne sont pas calculés par un système dédié :
L’outil utilisé est-il capable de calculer correctement les résultats ?
L’outil utilisé (Excel, états, …) est-il sûr ?
Est-il indépendant du FO, en ce sens qu’il utilise des données vérifiées par un secteur
indépendant ?
Une procédure de secours a-t-elle été mise en place ? testée ?
Le périmètre (desk, portefeuille) des calculs de résultats est-il vérifié régulièrement pour
s’assurer que toutes les opérations sont bien prises en compte ?
Tous les éléments constitutifs du résultat ont-ils été pris en compte : trésorerie interne
résiduelle, coût de la liquidité, risques de garantie et risques émetteurs, provisions, etc?
Risques.
Risque financier : les résultats pourraient être mal calculés. Les limites pourraient être
calculées sur un périmètre incorrect du fait d’une mauvaise codification des
systèmes.
Limiter l’accès à la codification du système dans le cadre des calculs de résultats
71
Dans chaque unité, les résultats en devises sur opérations courantes, qu'ils soient évalués en couru ou en marked to market, doivent être cédés au moins mensuellement
contre monnaie locale auprès de la salle des marchés, ou auprès de la Gestion Actif-Passif de la banque.
190
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Le calcul des résultats comptables est-il soumis à la validation des traders par le biais
d’un rapprochement formel avec les résultats du FO ?
Les résultats du MO sont-ils rapprochés régulièrement des résultats comptables? 72
Risques.
Risque financier : le rapprochement est une garantie de la validité des résultats. Il
permet de s’assurer également que les opérateurs FO sont d’accord avec les
résultats.
Approches d’audit & sondages.
Vérifier le rapprochement et s’assurer que tous les écarts sont expliqués et documentés.
3. Back Office.
191
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Des procédures formelles existent-elles au niveau de la banque ? Ces procédures sont-
elles mises à jour régulièrement et communiquées aux membres du personnel
concernés ?
L’application correcte des procédures au niveau de la banque fait-elle l’objet de
vérifications régulières ?
Risques.
La remise de procédures précises aux membres du personnel permet de réduire les
risques opérationnels par une intervention rapide et de garantir la poursuite de
l’activité dans le respect des procédures en cas de départ ou d’absence d’un
employé occupant un poste clef.
Des erreurs de traitement peuvent survenir dans le cas d’un non respect des
procédures.
Approches d’audit & sondages.
Demander à consulter les procédures les plus récentes et vérifier qu’elles correspondent
à l’activité actuelle.
S’assurer que les membres du personnel connaissent parfaitement les procédures en
vigueur.
Objectifs/points de contrôle.
Le BO est-il hiérarchiquement indépendant du FO ?
Existe-t-il une véritable séparation des tâches entre le FO / BO / le secteur règlement?73
Des contrôles spécifiques sont-ils mis en œuvre pour s’assurer qu’il existe une
indépendance totale entre le FO (qui initie les opérations), le BO (qui saisit les
opérations dans les systèmes de gestion), les personnes chargées des règlements et le
73
La sécurité des transactions est notamment assurée par le respect du principe de séparation des fonctions de négociation (« front office ») et de traitement (« middle et back
office »). Ces fonctions relèvent d’organisation et de hiérarchie différentes. Elles ne doivent en aucun cas être assumées par la même personne.
192
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
secteur comptabilité ?
Les fonctions de rapprochement et de confirmation sont-elles assurées par des
personnes différentes au sein du BO ?
Risques.
Des opérations frauduleuses peuvent être conclues et traitées en l’absence d’un
contrôle approprié et d’une véritable séparation des tâches.
Une même personne pourrait être chargée de l’ensemble du processus, ce qui
empêcherait le contrôle de deuxième niveau.
Objectifs/points de contrôle.
Les tickets d’opéré font-ils l’objet d’un horodatage ? (vérification pour s’assurer que les
tickets sont correctement et régulièrement transmis au BO : exhaustivité des opérations
enregistrées) .
Les tickets d’opéré sont-ils pré-affectés aux opérateurs ou aux desks ?
Les tickets d’opéré sont-ils différents selon le type d’instrument ?
Les horodateurs sont-ils à jour ?
Les tickets d’opéré sont-ils correctement et complètement remplis ? (exactitude des
données).
Les tickets d’opéré contiennent-ils toutes les informations requises par les règles de
marché (cela vaut aussi pour les opérations internes) ?
Les tickets d’opéré sont-ils signés par les traders ?
Les opérations sont-elles saisies au fil de l’eau et correctement ?
Les fonctions de saisie et de validation des opérations sont-elles effectivement
séparées ?
Si les traders utilisent Reuters, les conversations sont-elles imprimées au BO ?
Les impressions de conversations Reuters sont-elles régulièrement vérifiées par le BO ?
Les opérations internes sont-elles formalisées par un ticket d’opéré ?
Un rapprochement est-il effectué entre les tickets d’opéré et les saisies dans le
système?
Risques.
Les opérations peuvent être saisies avec un certain retard ou incorrectement. Il
pourrait en résulter une mauvaise évaluation du risque ou une dissimulation de
postions.
Une opération conclue par le FO pourrait ne pas être enregistrée par le BO.
Il pourrait y avoir un transfert de résultat par une affectation a posteriori.
Les tickets d’opéré pourraient être incorrectement saisis.
L’horodatage permet de connaître précisément l’heure à laquelle une opération a été
conclue, ce qui peut être utile dans le cas d’une réclamation clientèle.
Les opérations peuvent être saisies de manière incorrecte.
193
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L’évaluation des positions pourrait être inexacte si le stock de position est lui-même
inexact.
Le contrôle de deuxième niveau pourrait ne pas être assuré.
Certaines transactions pourraient être dissimulées par le FO et certaines opérations
pourraient être omises.
Les opérations internes pourraient ne pas être documentées et par conséquent
difficiles à identifier.
Tous les tickets d’opéré pourraient ne pas être enregistrés dans les systèmes de
gestion.
Approches d’audit & sondages.
Vérifier que les tickets d’opérations sont bien horodatés au moment ou l’ordre client est
reçu et au moment ou l’exécution est achevée.
S’assurer que les tickets d’opéré contiennent des informations relatives au desk.
Prendre un échantillon de tickets d’opéré par type d’instrument et vérifier qu’ils sont
différents.
Vérifier que tous les tickets d’opéré précisent l’heure de conclusion de l’opération.
Vérifier au FO que les horodateurs indiquent les bonnes date et heure.
Prendre un échantillon de tickets d’opéré et vérifier qu’ils sont complètement remplis et
qu’ils ne comportent pas de mots rayés ou effacés.
Prendre de façon aléatoire quelques opérations et comparer la date d’opération avec la
date de saisie, la date de valeur, la date de paiement.
Déterminer le nombre d’opérations saisies de façon incorrecte, rechercher les causes et
analyser les conséquences.
Vérifier les signatures apposées sur les tickets d’opéré, les droits d’accès aux systèmes
et les noms des utilisateurs utilisés pour la saisie.
Vérifier la cohérence entre les tickets / les telex / les impressions Reuters.
Vérifier que les contrôles relatifs aux conversations Reuters sont documentés et
formalisés.
Vérifier que les tickets d’opéré relatifs aux opérations internes sont correctement
remplis. S’assurer qu’ils peuvent être facilement identifiés par le BO (numéros
spécifiques, archivage …). Cette vérification peut être menée de pair avec celle des
retards de saisie.
Objectifs/points de contrôle.
Les dossiers sont-ils conservés dans un endroit sûr ? l’accès à ce local est-il protégé?
Les dossiers des opérations sont-ils correctement conservés ? sont-ils complets (ticket
d’opéré, confirmations, ordres de paiement, fiches de saisie, documentation légale,
messages telex et description de produits complexes, s’il y a lieu …) ?
Les différents types d’opérations peuvent-ils être aisément individualisés ? opérations
en cours ? opérations échues ?
Risques.
La protection des dossiers pourrait ne pas être suffisamment assurée.
Le suivi des opérations peut être difficile faute d’une documentation correcte.
Une comptabilisation incorrecte des opérations pourrait cacher des pertes
financières éventuelles.
194
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Existe-t-il une procédure pour la modification ou l’annulation d’une opération ?
Existe-t-il une piste d’audit en cas d’annulation ou de modification d’une opération
(registre spécifique, classement des tickets d’opéré correspondants ….) ?
Toutes les modifications/annulations sont-elles expliquées, autorisées par la hiérarchie
et documentées ?
Des états d’anomalie spécifiques sont-ils édités en cas de modification des opérations ?
Risques.
Les opérations pourraient être modifiées ou annulées par les membres du personnel
sans que ces annulations ou modifications soient documentées.
Approches d’audit & sondages.
Prendre un échantillon d’opérations modifiées et annulées et analyser le processus.
Objectifs/points de contrôle.
Un horaire butoir a-t-il été défini en ce qui concerne l’activité de trading (l’heure limite
d’envoi des derniers tickets d’opéré et pour arrêter la journée comptable) ?
Existe-t-il une procédure formalisée en ce qui concerne le traitement des opérations
conclues en dehors des heures d’ouverture ?
Risques.
La sécurité des opérations pourrait ne pas être assurée.
Approches d’audit & sondages.
Demander à consulter la procédure relative aux négociations en dehors des heures
d’ouverture.
Identifier les opérations effectuées en dehors des heures d’ouverture et analyser de
quelle manière elles ont été traitées.
Objectifs/points de contrôle.
Existe-t-il une procédure spécifique pour les opérations hors site ?
Risques.
La sécurité des opérations pourrait ne pas être assurée .
Approches d’audit & sondages.
Demander à consulter la procédure relative aux négociations hors site.
195
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Identifier des opérations effectuées hors site et analyser de quelle manière elles ont été
traitées.
Objectifs/points de contrôle.
Les stocks enregistrés dans les applications BO sont-ils constamment rapprochés avec
les systèmes FO ?
Risques.
L’exactitude de la position de la banque n’est pas assurée en l’absence d’un
rapprochement des stocks approprié.
Les écarts dans les stocks pourraient signifier que certaines opérations n’ont pas été
enregistrées dans les systèmes FO ou BO, entraînant des évaluations incorrectes.
Approches d’audit & sondages.
Vérifier que les stocks sont régulièrement rapprochés (selon quelle fréquence ?) et que
ces rapprochements ne mettent pas en évidence des suspens. Analyser au moins trois
rapprochements de stocks : identifier le seuil de signification des écarts constatés, le
niveau de détail, …
Vérifier que des rapprochements sont régulièrement effectués entre le FO et le BO.
Demander à consulter au moins trois rapprochements et identifier toute opération en
suspens. Les suspens doivent être expliqués et documentés.
Objectifs/points de contrôle.
Le BO procède-t-il périodiquement (l’idéal étant une périodicité quotidienne) à un
rapprochement entre les positions FO et BO ?
Sinon de quelle manière les positions à vérifier sont-elles choisies ?
Les positions du BO et de la comptabilité sont-elles rapprochées périodiquement (au
moins à chaque date d’arrêté comptable)?
Risques.
Les résultats de la Banque pourraient être inexacts en l’absence d’une position
exacte des stocks.
Approches d’audit & sondages.
Choisir certaines opérations et rapprocher les saisies / la récapitulation des saisies / les
tickets d’opéré ou demander à voir des rapprochements effectués par le BO.
Si le rapprochement est automatisé, analyser les états d’anomalie.
Vérifier que l’état contient toutes les positions à rapprocher.
Vérifier que toutes les positions du BO sont bien enregistrées dans le système
comptable.
En cas de déversement automatique en comptabilité, vérifier qu’il n’y a pas de suspens
ou s’il y en a, qu’ils sont identifiés et documentés.
196
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
3.11 - Suspens.
Objectifs/points de contrôle.
Existe-t-il une procédure spécifique pour liquider les suspens ?
Cette procédure est-elle correctement appliquée ?
Les anomalies sont-elles numérotées, enregistrées dans un registre interne et signalées
à la direction ?
Les suspens sont-ils détectés et réglés ponctuellement ?
Une piste d’audit est-elle assurée lorsque le suspens implique la modification ou
l’annulation d’une opération ?
Une analyse des suspens est-elle faite à l’attention de la direction : origine,
conséquences financières ? Cet impact financier est-il systématiquement affecté au
desk responsable du suspens ?
Quelles actions correctives sont entreprises ? Sont - elles approuvées par la direction ?
Risques.
Les suspens peuvent suggérer des erreurs de traitement par le BO et peuvent
entraîner des pertes financières.
Approches d’audit & sondages.
Vérifier que le BO est au courant de tous les suspens et qu’il en assure le suivi : si les
suspens sont mis dans un fichier spécifique, demander à le consulter et procéder à un
examen détaillé ; nombre des suspens, explications, temps nécessaire à leur
règlement…
Demander à consulter la procédure interne relative au règlement des suspens ou toute
note d’information.
Objectifs/points de contrôle.
Le BO est-il le seul secteur chargé de l’envoi et de la réception des confirmations?
La réception ou l’envoi de confirmations par le FO est-il strictement interdit(e) ?
Le processus de confirmation est-il automatisé ? Dans l’affirmative, est-il suffisamment
sécurisé (accès à swift, au telex .) ?
Les confirmations sont-elles envoyées à l’extérieur en temps opportun (un jour ouvrable
au plus tard après la date d’opération) ? (FED) 74
74
FED Trading and Capital Markets Activities Manual.
75
FED Trading and Capital Markets Activities Manual Feb 1998
197
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
sécurisé.
Des confirmations incorrectes peuvent être la cause de réclamations des
contreparties.
L’absence de confirmation ou une émission tardive peut entraîner des saisies
incomplètes.
Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en
évidence.
Une opération pourrait être mal enregistrée.
La Banque pourrait ne pas être l’abri en cas de différend avec la contrepartie.
Approches d’audit & sondages.
Vérifier que toutes les confirmations sont directement envoyées par le BO et qu’elles
sont conservées par ce secteur.
Vérifier que le FO ne peut pas avoir accès au processus de génération des
confirmations.
Vérifier que les confirmations ne peuvent être effectuées que par des personnes
autorisées, et qu’il existe une piste de connexion.
Prendre quelques confirmations et s’assurer qu’elles contiennent toutes les informations
utiles relatives à l’opération et qu’elles sont signées par des personnes autorisées.
Examiner les états récapitulatifs des confirmations pour identifier les opérations dont les
confirmations sont en suspens depuis plus de 15 jours (FED)76.
Vérifier si toutes les différences entre les confirmations envoyées par les contreparties
et les états de la Banque sont enregistrées dans un registre des anomalies. Vérifier que
toutes les irrégularités sont envoyées pour règlement à un cadre indépendant de la
fonction trading. (FED) 77
Vérifier que tous les suspens nécessitant une action corrective sont rapidement
identifiés, examinés et réglés en temps opportun. (FED)78
Analyser les états d’anomalies éventuels.
Si ce rapprochement n’est pas formalisé, choisir certaines opérations et réaliser le test.
Demander à consulter le recueil des signatures autorisées des contreparties conservé
par le BO et le comparer à quelques confirmations.
Objectifs/points de contrôle.
Les mouvements sont-ils cumulés et enregistrés par date de valeur ? par devise ? par
correspondant ?
La banque dispose-t-elle d’un système de gestion de trésorerie fiable ?
La banque dispose-t-elle d’un outil fiable de gestion de prévisions des flux ?
La prévision de liquidité et les soldes comptables sont-ils rapprochés quotidiennement ?
Les opérateurs sont-ils informés des nouvelles prévisions de position? Comment?
Risques.
Des anomalies pourraient ne pas être détectées.
198
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Existe-t-il une procédure formalisée pour traiter les réclamations des clients ?
Toutes les réclamations sont-elles consignées dans un registre ad hoc ? Ce registre est-
il à jour ? est-il correctement tenu (indique-t-il la nature de la réclamation, la date de
règlement, la solution apportée …) ?
Ce registre est-il régulièrement soumis à l’audit interne ? Est-il visé par la direction de la
banque ?
Les réclamations non réglées sont-elles soumises à la direction pour décision ? dans
quel délai ?
Chaque réclamation de client est-elle étudiée d’un point de vue financier ? l’incidence
est-elle affectée en analytique au desk “responsable” ?
Des pénalités de retard sont-elles systématiquement demandées et payées ?
La personne chargée d’étudier les réclamations est-elle différente de celle qui initie ou
traite les opérations ?
Est-ce que les conversations téléphoniques sont enregistrées ?
Risques.
La banque peut avoir à payer des pénalités pécuniaires.
La séparation des tâches pourrait ne pas être assurée ce qui fait obstacle à un
contrôle approprié. Il existe un risque de fraude du fait que des réclamations peuvent
ne pas être suivies.
En cas de litige la piste d’audit peut ne pas être assurée.
Approches d’audit & sondages.
Analyser de quelle manière les réclamations sont traitées par le BO. S’il existe un
registre, l’examiner.
Vérifier que la fonction examen des réclamations est assurée par des personnes
indépendantes (par des entretiens, l’examen de l’organigramme).
Vérifier que les conversations sont enregistrées.
4. Risque de contrepartie.
Objectifs/points de contrôle.
Est-ce que les lignes pour les opérations de marché font partie de la demande globale
de lignes de risque pour la contrepartie ?
Est-ce que le département des engagements dispose des « master agreements »
signés avec chacun des clients utilisant des produits dérivés ?
Est-ce que les lignes de risque sont accordées par le Comité de Crédit ?
Est-ce que le département commercial est informé des lignes de risque pour les
activités de marché sur les clients accrédités ?
Risques.
Risque de crédit : La demande de lignes pour les opérations de marché insuffisamment
documentée et motivée, peut conduire à une sous-estimation du risque sur un client.
Risque de crédit : L’absence de la documentation affaiblit la position de la banque en
199
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Existe-t-il un système de gestion du risque de crédit pour les opérations de marché ?
Est-il en temps réel ?
Couvre-t-il l’ensemble des produits ?
Risques.
Risque de crédit : l’absence de système de gestion peut conduire à une sous-
évaluation du risque de contrepartie.
Approches d’audit & sondages.
Vérifier que l’ensemble des produits traités sont pris en compte par le système de
gestion des risques de contrepartie, notamment des produits comme les instruments à
départ dans le futur.
4.3 – Réévaluation.
Objectifs/points de contrôle.
Dans le cas où le système n’est pas intégré, est-ce que les réévaluations des positions
clients sont réalisées par un service indépendant du Front Office ?
Si le système n’est pas intégré : Est-il maîtrisé (qu’il soit développé en interne ou acheté
à un fournisseur) ? Est-il sécurisé en terme de droit d’accès, de sauvegarde et de back-
up ?
Est-ce que les paramètres de marché servant à la réévaluation pour le calcul du risque
de contrepartie sont validés par un département indépendant ?
Risques.
Séparation des tâches : Le Front Office peut dissimuler des pertes si c’est lui qui
procède aux réévaluations des positions
Risque de crédit : le système peut ne pas être assez sécurisé et pour diverses
raisons mal évaluer le risque de contrepartie.
Risque de crédit : Le risque de contrepartie peut être mal calculé.
200
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Est-ce que les risques de contrepartie sont suivis par un service indépendant du Front
Office ?
Est-ce que les positions sont suivies sur une base continue (temps réel) et contrôlées
par un service indépendant du Front Office ?
Est-ce que les dépassements de limites sont notifiés au responsable du desk avec copie
au management ?
Est-ce que les notifications de dépassement sont suivies ?
Risques.
Risque de Crédit :Le Front Office ne doit pas être impliqué dans le suivi du risque de
contrepartie. L’indépendance du contrôle garantit que les dépassements seront
notifiés.
Risque de crédit : Les franchissements de limites non signalés peuvent conduire à
augmenter le risque de crédit sur un client.
Risque de crédit : Les dépassements doivent être signalés et corrigés sinon le rôle
du département de contrôle sera diminué.
Approches d’audit & sondages.
Vérifier qu’un département réellement indépendant contrôle le risque de contrepartie.
Vérifier que pour chaque dépassement une notification est envoyée au responsable du
desk avec copie à sa hiérarchie.
Vérifier que pour chaque dépassement, les actions correctrices ont été prises à partir
des mails, des mémos etc…
5. Risque Juridique.
Objectifs/points de contrôle.
Est-ce que l’interlocuteur possède la capacité à engager son entreprise sur des
opérations de marché?
Est-ce que l’interlocuteur est habilité à traiter pour tous types d’opérations (options,
swaps de taux etc…) et de montants ?
Est-ce que les employés de la banque sont autorisés à traiter avec les contreparties,
pour quels types de montants et de produits ?
Risques.
Risque Juridique : La banque peut se voir reprocher des opérations au motif que la
201
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Est-ce que les contrats cadres sont signés avec les contreparties traitant des produits
dérivés ?
Avant de traiter le premier deal, s’il manque des contrats signés, existe-t-il un suivi ?
Est-ce que la personne qui a signé avait le pouvoir de le faire ?
Est-ce que les contrats cadres sont signés avec les contreparties travaillant en repo et
prêt/emprunt de titres avec la banque ?
Risques.
Risque Juridique : le contrat cadre doit être juridiquement valable.
Risque Juridique : l’absence des contrats cadres affaiblit la position de la banque en
cas d’action en justice.
Approches d’audit & sondages.
Demander la validation officielle du Département Juridique.
Vérifier que le contrat cadre est signé avant de réaliser la première transaction et que la
signature a été authentifiée.
5.3 - Confirmations.
Objectifs/points de contrôle.
Est-ce que le contenu des confirmations a été validé par un département juridique?
Risques.
Risque Juridique : la confirmation doit être juridiquement valable pour les produits
sensibles.
Approches d’audit & sondages.
Vérifier que les confirmations envoyées aux clients sur les produits dérivés non
standards ont été validées par le département Juridique.
Objectifs/points de contrôle.
Est-ce que le système d’enregistrement des conversations fonctionne correctement ?
Risques.
Risque Juridique et Commercial : Même si un enregistrement n’est pas une preuve
forte, ce système aide en cas d’erreur sur une opération.
202
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
6. Sécurité Physique.
6.1 - Accès.
Objectifs/points de contrôle.
Est-ce que l’accès à la salle des marchés est réservé aux personnes autorisées ?
Risques.
Fraude : Un accès réservé est la première étape pour éviter les opérations
frauduleuses.
Approches d’audit & sondages.
Vérifier que les portes sont fermées et que l’accès est réservé aux membres du Front-
Office.
6.2 - Systèmes.
Objectifs/points de contrôle.
Est-ce que les PC et autres systèmes de dealing sont déconnectés en dehors des
heures de travail ?
Est-ce que le système d’enregistrement des conversations fonctionne correctement ?
Risques.
Risque de fraude : Ces systèmes sont protégés par des « user » et des
« password ». Une utilisation frauduleuse de ces systèmes est impossible lorsque ces
systèmes sont déconnectés.
Risque juridique et commercial : Même si un enregistrement n’est pas une preuve
forte, cet appareil aidera sur d’éventuels litiges.
Approches d’audit & sondages.
Vérifier que les systèmes informatiques sont bien déconnectés en dehors des heures de
travail.
Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la
conservation des enregistrements.
6.3 - Back-up.
Objectifs/points de contrôle.
Est-ce que la solution de back-up de la salle est opérationnelle ?
Risques.
Risque de continuité d’activité.
Approches d’audit & sondages.
Pour ce contrôle il faudra s’associer avec l’auditeur en charge de la fonction
informatique.
203
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
204
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 4 :
205
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
79
Audit de processus : organisation, fonctionnement, procédures, …
206
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Préparation.
Documentation spécifique à demander à la banque.
Parmi la documentation spécifique demandée à la banque au cours de la phase de
préparation, les documents suivants concernent plus particulièrement la fonction
Ressources Humaines :
Organigramme de la DRH,
Liste des comités auxquels participe le responsable RH,
Liste du personnel en activité (âge, ancienneté, fonction, niveau hiérarchique, statut,
diplômes, salaire, emploi temps complet – partiel),
Système de salaires et de bonus, avantages annexes, liste des bonus ou primes des
trois dernières années,
Liste des heures supplémentaires par département au cours des trois dernières
années,
Liste des absences hors congés annuels au cours des trois dernières années,
Programme de formation des trois dernières années (budget – réalisé),
Principaux éléments de la réglementation du travail,
Le cas échéant, plans sociaux des cinq dernières années,
Liste des organisations syndicales représentées,
Règlement intérieur,
207
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Entretiens préalables
Top management,
Responsable RH (DRH).
Investigations.
La fonction RH est une fonction support. Les investigations auront donc pour objet de
s’efforcer de répondre à deux types de préoccupations :
Celles relatives à l’audit de conformité : conformité avec les accords sociaux, avec
les aspects juridiques et fiscaux, avec les budgets et avec l’organisation.
Celles relatives aux audits stratégiques : quelles sont les pratiques de rétribution, les
freins à la mobilité interne, quelle est la politique de gestion des compétences, la
formation est-elle efficace, comment peut-on apprécier la qualité du climat social…
Rappel de l’arborescence de la démarche d’audit systémique :
208
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Nombre de personnes dédiées à chaque fonction par rapport à la taille de la banque (en
particulier pour l’administration de personnel : Formation du personnel RH (passée et
prévue).
Stratégie.
Objectifs/points de contrôle.
Des objectifs sont-ils fixés annuellement par ligne-métier ? Sont-ils accompagnés de
plans d’actions ?
La synergie avec le management est-elle suffisante ?
La DRH est-elle associée à la détermination des objectifs ?
La procédure budgétaire intègre-t-elle les objectifs RH ?
Les objectifs annuels généraux de la banque sont-ils communiqués aux différents
responsables de la banque ?
Risques.
Risque lié au management.
Risque opérationnel.
Non prise en compte des impératifs de la banque.
Non respect du budget.
Non application des décisions prises.
Qualité.
Objectifs/points de contrôle.
Y a-t-il une démarche qualité au sein de la DRH ?
Risques.
Risque opérationnel.
Efficacité non mesurée.
209
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Audit.
Objectifs/points de contrôle.
Les recommandations de l’Audit Interne et/ou de l’Inspection Générale sont-elles
prises en compte ?
Risques.
Risque lié au management, risque opérationnel.
Approches d’audit & sondages.
Réponses de la DRH aux rapports d’Audit Interne, respect des délais de mise en œuvre,
notes internes.
Déontologie.
Objectifs/points de contrôle.
La réglementation interne et la déontologie sont-elles respectées ?
Les règles de confidentialité sont-elles respectées au sein de la DRH ?
Risques.
Risque juridique, risque lié au management,
Risque opérationnel, risque de déontologie et de compliance.
Divulgation d’informations sensibles.
Approches d’audit & sondages.
Vérifier que le règlement intérieur et le code de déontologie ont été remis à chaque
collaborateur, et lus (sondage),
Vérifier la sécurité et la confidentialité du système de paie et de bonus, la distribution
des fiches de paie sous pli fermé, les dossiers personnels dans un local fermant à clé.
Procédures.
Objectifs/points de contrôle.
La banque a-t-elle défini des procédures pour le fonctionnement du département RH ?
Risques.
Risque opérationnel.
Suivi non homogène selon les personnes.
Approches d’audit & sondages.
Procédures existantes, vérification de leur respect (sondage).
Information externe.
Objectifs/points de contrôle.
210
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Information interne.
Objectifs/points de contrôle.
Existe-t-il des tableaux de bords pour la Direction Générale, avec indicateurs quantitatifs
et qualitatifs (turn-over, démissions, …) ? Pour le responsable de la banque ? Pour la
DRH ?
Risques.
Risque lié au management. Information incomplète ou insuffisante.
Approches d’audit & sondages.
Copie des tableaux de bord remis à la DG et à la DRH.
Ressources.
Objectifs/points de contrôle.
Les ressources humaines, matérielles, budgétaires (formation, systèmes
d’information, …) sont-elles adaptées ?
Risques.
Risque lié au management, risque opérationnel.
Inadéquation des moyens.
Systèmes d’information
Objectifs/points de contrôle.
Y a-t-il un pilotage centralisé de la fonction RH ?
Risques.
Risque opérationnel.
Approches d’audit & sondages.
Mode d’enregistrement et de suivi des absences, embauches, départs, formation, …
2. Administration.
Dossiers du personnel.
Objectifs/points de contrôle.
Les dossiers sont-ils complets ? A jour ? Correctement classés ? Confidentiels ?
Qui assure le secrétariat du personnel et la gestion des dossiers ?
Existe-t-il un système d’habilitation pour les personnes qui ont accès aux dossiers ?
Qui signe les augmentations de salaire, les embauches, les contrats de travail, les
211
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque opérationnel, risque juridique.
Connaissance incomplète de la formation, des congés, appréciations trop
anciennes,…
Approches d’audit & sondages.
Sondage sur dossiers individuels dans plusieurs directions ou départements. Voir en
annexe 2 le contenu standard d’un dossier.
Respect des règles de confidentialité.
Suivi quotidien.
Objectifs/points de contrôle.
Liste quotidienne des absences (causes), heures supplémentaires, personnel
temporaire, stagiaires.
Dans les points de vente recevant du public, les règles de présence minimum sont
elles respectées ?
Risques.
Risque opérationnel, risque juridique, risque lié au management.
Absences injustifiées, retards, heures supplémentaires systématiques, …
Approches d’audit & sondages.
Liste des absences par service, sondage sur exactitude de cette liste sur quelques
jours. Idem pour heures supplémentaires. (Voir annexe 3).
Contrôle sur présences minimum dans points de vente recevant du public.
Traitement de la paie.
Objectifs/points de contrôle.
Comment la paie est-elle traitée (interne, externe) ? Par qui (en interne ? par un
sous-traitant externe ?) Y a-t-il des contrôles ? Un back-up ? Une séparation des
tâches ?
Le processus d’établissement de la paie permet-il de s’assurer que les opérations et
données traitées sont complètes, exactes, autorisées et effectuées dans les délais ?
Risques.
Risque lié au management, risque opérationnel.
Non confidentialité, fraude interne.
Réglementation.
Objectifs/points de contrôle.
La DRH a -t-elle une bonne connaissance de la réglementation ? (droit du travail, …)
212
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque juridique, risque lié au management.
Non respect des règles locales.
Approches d’audit & sondages.
Possession et utilisation d’un code du travail à jour.
Abonnements aux sources d’information de mise à jour de la réglementation.
Statistiques.
Objectifs/points de contrôle.
Existe-t-il des statistiques à jour sur : les effectifs (répartition, classes d’âge,
ancienneté, qualification, rémunération, taux de rotation), le marché du travail dans
le secteur bancaire ?
Risques.
Risque opérationnel.
Non adaptation au marché, connaissance insuffisante des données de base pour
gestion à moyen terme des effectifs.
Approches d’audit & sondages.
Documents statistiques établis par la DRH (et sondage sur fiabilité).
Informations générales sur le marché du travail local.
Bilan social s'il existe.
Appréciations.
Objectifs/points de contrôle.
Comment fonctionne le système d’appréciation ? Les différents délais (appréciation
213
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Mutations.
Objectifs/points de contrôle.
Comment sont décidés les changements de poste ? Rôles respectifs de la
hiérarchie, de la DRH ; de la DG ? Y a-t-il une Bourse de l’emploi ?
Y a-t-il des entretiens de gestion réguliers ? Comment les collaborateurs font-ils
remonter leurs desiderata ?
Quels sont les délais pour les mouvements de personnel entre une décision et sa
mise en œuvre ?
Risques.
Risque opérationnel. Gestion non optimale et mécontentement du personnel.
Mauvaise adéquation possible entre le personnel et les fonctions exercées.
Conflit entre intérêt individuel des hiérarchiques et intérêts du Groupe.
Approches d’audit & sondages.
Entretiens (toutes fonctions). Procédures formalisées sur les changements de postes.
Copie de la Bourse de l’emploi.
214
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Rémunérations.
Objectifs/points de contrôle.
Quel est le système de rémunération de la banque ? Mesures collectives et
individuelles, rémunération fixe et variable. La détermination de la partie variable est-elle
objective ?
Ses critères sont-ils prédéfinis et acceptés formellement par l’intéressé ?
Les objectifs individuels sont-ils fixés a priori et non a posteriori ?
Quelles sont les modalités de rémunération des cadres supérieurs ?
Existe-t-il des systèmes d’intéressement aux résultats ? Comment fonctionnent-ils ?
Le personnel du département RH est-il sensibilisé aux risques de fraude interne et
externe en matière de rémunérations ? Des dispositions sont-elles prises pour
prévenir la fraude ?
Risques.
Risque opérationnel, risque lié au management.
Absence de maîtrise de la masse salariale, non respect du budget, de la politique de
rémunération.
Démissions de cadres dirigeants.
Démotivation du personnel.
Risques de fraude.
Salaires fictifs, avantages indus.
Approches d’audit & sondages.
Procédure budgétaire, comptes-rendus de réunions sur mesures individuelles, règles de
rémunération variable communiquées au personnel.
Par sondage, calcul de rémunérations variables à partir des critères prédéfinis.
Vérification de la date de fixation des objectifs individuels.
Voir avec le responsable de la banque et la DRH les modalités écrites et pratiques de
rémunération.
Vérifier que les décisions DRH sont appliquées sans modifications dans la banque.
Règles relatives à l’intéressement. Accord d’entreprise le cas échéant. Existence d’un
contrôle interne sur l’application des accords (modalités de calcul).
4. Recrutement.
Politique de recrutement.
Objectifs/points de contrôle.
Comment sont définis les besoins ? Comment sont données les autorisations ? Qui a le
pouvoir de recruter ?
Risques.
Risque lié au management.
Approches d’audit & sondages.
Procédure budgétaire. Autorisations spécifiques écrites pour recrutements hors budget.
215
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Besoins.
Objectifs/points de contrôle.
Existe-t-il une fiche de besoin précise pour chaque poste ?
Risques.
Risque opérationnel.
Inadaptation des postes.
Approches d’audit & sondages.
Fiches de besoins.
Sélection.
Objectifs/points de contrôle.
Comment sont sélectionnées les candidatures ? Les modes sont-ils différents selon
les niveaux ?
Les rôles respectifs du département demandeur, de la DRH et du responsable de
la banque sont-ils clairement définis ?
Risques.
Risque de fraude.
Non utilisation du meilleur mode de recrutement.
Risque opérationnel.
Perte de temps, demandes de personnel mal formulées.
Approches d’audit & sondages.
Contrat avec prestataire extérieur. Appel d’offres, copie des annonces d’offre d’emploi.
Document contractuel général. Profil de poste, salaire proposé décrit par le département
demandeur.
Embauche.
Objectifs/points de contrôle.
Existe-t-il un contrat de travail ? Est-il standard, systématique, revu par le service
juridique ?
A l’embauche, la DRH distribue-t-elle un document sur le secret professionnel, sur
les règles déontologiques, sur l’utilisation de la micro-informatique ?
Risques.
Risque de déontologie et de compliance.
Risque juridique.
Méconnaissance des règles de base de la banque.
216
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Suivi.
Objectifs/points de contrôle.
Y a-t-il un suivi formalisé et systématique des jeunes embauchés ?
Y a-t-il des statistiques sur les démissions ? Des entretiens avec les
démissionnaires ?
Risques.
Risque opérationnel.
Démotivation du personnel.
Approches d’audit & sondages.
Modalités de suivi des jeunes embauchés, entretiens.
Comptes-rendus d’entretiens avec les démissionnaires.
Qualité.
Objectifs/points de contrôle.
Le recrutement répond-il de manière satisfaisante et dans les délais acceptables aux
besoins (profil et niveau de compétence) ?
Risques.
Mauvaise adéquation entre besoins et ressources.
Approches d’audit & sondages.
Mesurer les délais entre expression des besoins, propositions de dossiers et embauche
des candidats,
Comparer les profils demandés et les profils des candidats présentés et recrutés.
5. Formation.
Plan de formation.
Objectifs/points de contrôle.
Existe-t-il un plan de formation ? Est-il respecté ?
Est-il cohérent avec les moyens, les besoins, le budget, les obligations légales ?
Des besoins sont-ils exprimés ? Sont-ils pris en compte ?
Risques.
Risque opérationnel.
Formation insuffisante ou coûteuse.
Formation inadaptée ou non coordonnée.
Approches d’audit & sondages.
Plan de formation, suivi par la DRH, mode d’élaboration (entretiens de formation,
remontée formalisée des besoins).
Mode de détermination des besoins, entretiens annuels de formation.
Inscriptions aux actions de formation.
Coût de la formation.
Objectifs/points de contrôle.
217
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Syndicats.
Objectifs/points de contrôle.
Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids
respectifs ?
Risques.
Risque opérationnel.
Sous ou sur-représentation du personnel.
Approches d’audit & sondages.
Tracts, entretiens avec les représentants. Existence de relations sociales
institutionnelles, réunions formelles.
Tableau de résultats des élections.
Mouvements sociaux.
Objectifs/points de contrôle.
La banque a-t-elle connu des mouvements sociaux ? Ont-ils été suivis ?
Des activités ou des équipements pourraient-ils être bloqués suite à des
mouvements sociaux ?
218
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque opérationnel.
Mauvais climat social.
Rumeurs fondées ou infondées.
Approches d’audit & sondages.
Taux d’absentéisme pour grève.
Existence de plans de secours.
Instruments d’évaluation du climat social.
Communication interne.
Objectifs/points de contrôle.
Existe-t-il un ou des journaux d’entreprise ? Qui les rédige ?
Risques.
Risque opérationnel.
Mauvais climat social.
Approches d’audit & sondages.
Journaux internes, entretiens avec les rédacteurs.
Prêts au personnel.
Objectifs/points de contrôle.
Y a-t-il des prêts au personnel à la consommation, immobiliers ? Existe-t-il des
règles écrites ? Les taux sont-ils attractifs ? Y a-t-il des impayés ? Les prêts sont-ils
remboursables en cas de démission ?
Risques.
Risque de crédit, risque opérationnel.
Coût si les taux sont trop bas, mauvais climat social s’ils sont trop élevés.
Approches d’audit & sondages.
Règles écrites pour prêts au personnel. Mode de décision. Contrôle de la DRH sur les
prêts à taux bonifiés. Limitations, impayés. Répartition des prêts consentis en fonction
des niveaux hiérarchiques.
Sécurité du travail.
Objectifs/points de contrôle.
Existe-t-il un suivi des accidents du travail ?
Risques.
Risque opérationnel.
Risque financier et juridique.
Approches d’audit & sondages.
Suivi au travers du bilan social ou de tout autre indicateur.
219
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Synthèse.
La phase de synthèse, consacrée à la rédaction du rapport d’audit, comprendra
l’élaboration des constats, mais également l’établissement d’une liste de sondages.
Pour mémoire, et pour information, on rappellera ci-dessous quels sont les sondages
qui peuvent être effectués et listés dans le rapport, et, s’agissant des constats, les
domaines les plus sensibles. Sur ces domaines sensibles, une appréciation claire sera
portée dans la synthèse de la fonction RH, autant que possible.
Domaines les plus sensibles (doivent faire l’objet d’une appréciation dans la
synthèse de la fonction RH)
220
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Chapitre 5 :
221
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Ces objectifs sont donc différents de ceux des auditeurs externes. En effet, ces
derniers ont une mission légale à l’issue de laquelle ils doivent donner une opinion
sur les comptes (certification avec ou sans réserve, refus de certification).
Ces missions sont étendues et ne peuvent être atteintes par le seul audit de la
fonction comptable. En conséquence, l’audit de cette fonction doit impérativement
s’appuyer sur :
Un tel audit est plus particulièrement applicable dans le cadre d’une banque ayant
une comptabilité propre. Il ne couvre pas les spécificités comptables liées à certaines
activités (crédit-bail, assurance, affacturage, gestion d’actifs).
222
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Comme pour toutes les fonctions, une mission d’audit de la fonction comptable
comprendra une phase de préparation (collecte de documents et entretiens
préparatoires), une phase d’investigation (entretiens systémiques et sondages) et
80
Préparation.
Documents à collecter.
Documentation générale :
Documentation spécialisée :
Comptabilité :
80
Audit de processus : organisation, fonctionnement, procédures, …
223
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Entretiens préparatoires.
A titre indicatif, nous dressons une liste d’entretiens préparatoires avec certaines
entités concernées par la mission d’audit comptable :
Direction comptable et financière : s’informer sur les spécificités
comptables de la banque auditée,
Travaux préparatoires :
Les rubriques suivantes doivent être renseignées dans un tableau (liste indicative, à
adapter en fonction de l’activité) :
• Compte de résultat : ( cf . Annexe 5 ) :
224
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
225
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Investigation.
Rappel de l’arborescence de la démarche d’audit systémique :
Missions.
Objectifs/points de contrôle.
Existe-t-il une définition des missions et responsabilités du service comptable ainsi
que des règles de fonctionnement qui lui sont applicables ?
Les missions du service comptable ont-elles été déclinées au niveau de chaque
collaborateur par l’intermédiaire d’une définition de fonction signée par le
responsable hiérarchique et le collaborateur ?
Risques.
Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
226
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Le service comptable dispose-t-il des ressources humaines adaptées à ses
missions ?
La formation des collaborateurs du service comptable est-elle suffisante et adaptée
aux besoins du service comptable ?
Le service comptable a–t-il une documentation suffisante et mise à jour ?
Risques.
Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
S’assurer de l’adéquation qualitative et quantitative des ressources avec la charge
de travail : nombre de personnes, qualification et niveau de compétence du
personnel. Pour cela, vérifier : les dossiers du personnel, les évaluations annuelles,
les plans de formation des trois dernières années, les mouvements et la rotation du
personnel.
Systèmes d’information.
Objectifs/points de contrôle.
Le service comptable dispose-t-il des outils adaptés à l’exercice de ses missions ?
Risques.
Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
Se faire décrire par le responsable comptable le système d’information.
Repérer les zones de fragilité du système : délai et qualité des reportings, nature et
nombre d’écritures comptables saisies manuellement par le service comptable,
mauvaise qualité (ou absence) de l’interface entre les différents sous-systèmes, non
blocage du système informatique sur les mois et les exercices précédents (attention
aux écritures manuelles rétroactives).
227
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque de non exhaustivité, de non qualité et de non fiabilité de l’information
comptable.
Approches d’audit & sondages.
Vérifier que les procédures comptables de la banque sont produites et validées par
le service comptable et incluent principalement :
le plan de compte,
les modalités d’enregistrement, de traitement et de restitution des
informations,
l’exhaustivité des schémas comptables utilisés,
la périodicité et la nature des contrôles mis en œuvre,
le calendrier d’arrêté des comptes,
les principes comptables en vigueur et la réglementation.
228
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
L’accès au système comptable est-il contrôlé, c’est à dire :
seul un nombre restreint d’opérateurs a accès au système comptable (le
personnel des back offices et de la comptabilité),
les habilitations accordées à ces personnes sont elles mêmes limitées
aux besoins de leur poste.
Risques.
Risque de fraude.
Approches d’audit & sondages.
Vérifier que les profils utilisateurs des collaborateurs correspondent aux besoins de
leur poste.
S’assurer que les accès aux guides de saisie « ouverts » (permettant de
mouvementer n’importe quel compte) sont strictement limités au service comptabilité
(travail à réaliser en liaison avec l’auditeur informatique).
229
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Le responsable comptable a-t-il mis en place une procédure de suivi et de contrôle
des opérations saisies par la comptabilité ?
Risques.
Risque de fraude.
Approches d’audit & sondages.
Recenser les opérations saisies comptabilisées.
230
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
231
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Les indicateurs du Responsable Comptable permettent-ils de s’assurer du respect
des délais de production et d’envoi des travaux de reporting réglementaire ?
Risques.
Risque réglementaire.
Approches d’audit & sondages.
Examiner le planning de production des états et situations comptables.
1.4.3 - Productivité.
Objectifs/points de contrôle.
Dispose-t-il d’autres indicateurs de productivité (temps passés, en jours / homme,
pour la production des différents états de reporting réglementaires) ?
Risques.
Risque d'efficience.
Approches d’audit & sondages.
Discuter de ce point avec le Responsable Comptable. Par ailleurs, on pourra établir
des comparaisons dans le temps entre le nombre d’Unités Temps Plein et le nombre
d’écritures.
1.4.4 - Supervision hiérarchique.
Objectifs/points de contrôle.
Ces informations (contrôle des comptes, reporting réglementaire, productivité) sont-
elles également communiquées au Directeur Financier (ou autre hiérarchie de
232
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Les membres du service comptable ont-ils connaissance des règles de déontologie
de la banque?
Ont-ils déjà eu à appliquer ces règles ?
Risques.
Risques associés : mise en cause de la banque pour non respect de la
réglementation, divulgation d’informations confidentielles.
Approches d’audit & sondages.
Vérifier la diffusion et la prise de connaissance du code de déontologie de la
banque.
Les deux points suivants doivent plus particulièrement être soulignés dans le cas
d’un personnel comptable :
le respect du secret professionnel,
le droit et devoir d’appel.
Objectifs/points de contrôle.
La liasse de consolidation est-elle alimentée correctement ?
Les informations qui y figurent sont-elles rapprochées de la comptabilité générale ?
Les normes comptables appliquées sont-elles conformes aux normes
réglementaires ?
Risques.
Non fiabilité de l’information financière servant de base à la production des comptes
consolidés.
Approches d’audit & sondages.
Audit systémique : Quel est le mode de production de la liasse : alimentation
automatique ou saisie manuelle ? Quels sont les contrôles exercés au sein du
service comptable : rapprochement systématique de la liasse avec la comptabilité
générale, validation par le Responsable Comptable ?
A partir de la liasse de consolidation du dernier arrêté trimestriel :
233
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
2.2 - Intra-groupes.
Objectifs/points de contrôle.
La banque identifie-t-elle ses opérations intra-groupes ?
Existe-t-il une procédure de réconciliation avec les contreparties internes
(circularisation et rapprochement) ?
Risques.
Non fiabilité de l’information financière servant de base à la production des comptes
consolidés.
Approches d’audit & sondages.
Auditer la procédure de réconciliation des opérations intra-groupes : Le service
comptable échange-t-il des confirmations avec ses contreparties sur les opérations
intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec
l’ensemble des contreparties) ? Les écarts sont-ils analysés et expliqués ?
Objectifs/points de contrôle.
Le reporting engagements pondérés est-il alimenté correctement :
Les informations qui y figurent sont-elles rapprochées de la comptabilité
générale ?
La réglementation de BAM en la matière est-elle appliquée ?
Risques.
Non fiabilité de l’information financière communiquée à la Banque Centrale et servant
de base au calcul du ratio de solvabilité.
Approches d’audit & sondages.
Audit systémique :
Quel est le département en charge du calcul des engagements pondérés :
comptabilité ou engagements ?
Existe-t-il un système dédié à la production des engagements pondérés ? Est-
il interfacé avec le système comptable ? Des ajustements manuels sont-ils
nécessaires ? Pour quel type d’opérations ?
Existe-t-il une piste d’audit satisfaisante permettant de remonter à la source de
chaque ligne de la liasse de reporting ?
Quels sont les contrôles, manuels ou automatiques, effectués sur la liasse ?
La liasse définitive est-elle contrôlée et validée par le département des
engagements ?
Test sur un échantillon d’engagements :
Sélectionner quelques dossiers dans la liste des dossiers d’engagement revus
lors de l’audit de cette fonction. On prendra soin de sélectionner des types
d’opération pouvant facilement engendrer des erreurs :
émission de garanties intra-groupes,
gages espèces reçus en garantie,
lignes octroyées pour des opérations de marché.
Vérifier pour ces opérations qu’elles sont correctement prises en compte
234
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Objectifs/points de contrôle.
Le reporting sur le ratio de liquidité est-il correctement rempli par la banque auditée ?
Risques.
Non fiabilité de l’information financière.
Approches d’audit & sondages.
Auditer le processus de production de ce reporting,
Qui produit ce reporting ? Quelle est la source de l’information ? Quels sont les
contrôles effectués ?
Objectifs/points de contrôle.
La banque auditée respecte-t-elle les règles prudentielles ? Remplit-elle les
obligations de reporting imposées par les autorités réglementaires ?
Le processus d’élaboration du reporting statutaire garantit-il l’exactitude,
l’exhaustivité et le respect des délais ?
Risques.
Non respect de la réglementation BAM.
Risque de sanctions BAM.
Approches d’audit & sondages.
Afin de valider ces points, il conviendra :
de s’informer des contraintes réglementaires en matière de règles prudentielles (par
entretien avec le Directeur Financier et consultation des textes officiels),
d’obtenir et de contrôler les états de reporting récents envoyés aux autorités
réglementaires (Banque Centrale, Ministère des Finances principalement) : s’assurer
que tous les états de reporting requis sont envoyés dans les délais requis et que les
ratios prudentiels locaux (solvabilité, liquidité,…) sont respectés.
NB : on trouvera des informations également dans les rapports des Commissaires aux Comptes
(qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque
Centrale.
3. Risques fiscaux.
Objectifs/points de contrôle.
Le reporting fiscal est-il réalisé dans les délais et validé par les personnes
habilitées ?
La banque a-t-elle effectué les démarches nécessaires pour se documenter et
appliquer les règles fiscales en vigueur ?
235
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque réglementaire.
Approches d’audit & sondages.
Consulter les liasses fiscales des derniers exercices et les états de reporting du
responsable comptable.
Passer en revue la documentation fiscale du responsable financier.
S’assurer que les liasses sont revues par le responsable fiscal (s’il en existe un) et
par le management.
Objectifs/points de contrôle.
Les risques fiscaux ont-ils été identifiés par la banque et, si oui, sont-ils correctement
provisionnés ?
Risques.
Risque réglementaire.
Approches d’audit & sondages.
S’assurer, en cas de pertes fiscales, qu’elles sont justifiées et non répétitives et ne
correspondent pas à un habillage fiscal.
Vérifier s’il y a eu des redressements fiscaux ou s’il y a des contrôles fiscaux en
cours et si oui, qu’une provision passive a été constituée pour le montant du risque.
Vérifier que les frais de siège refacturés aux filiales sont justifiés fiscalement quant à
leur réalité et à leur montant.
Vérifier que les impôts différés sont fiscalement justifiés (plus-values à long terme...).
4. Consolidation.
4.1 – Périmètre.
Objectifs/points de contrôle.
Le périmètre retenu par la banque est-il comptablement justifié?
Risques.
Risque de non fiabilité de l’information financière,
Risque réglementaire.
Approches d’audit & sondages.
Obtenir et valider la liste des sociétés du périmètre ainsi que les méthodes de
consolidation retenues.
Pour ce faire, on vérifiera l’exactitude des pourcentages d’intérêt et pourcentages
d’intégration calculés pour chaque société.
Objectifs/points de contrôle.
La banque a-t-elle mis en place une procédure d’identification des intra-groupes ?
Ces intra-groupes ont-ils été éliminés pour la production des comptes consolidés ?
236
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risques.
Risque de non fiabilité de l’information financière, risque réglementaire.
Approches d’audit & sondages.
Vérifier que la procédure mise en place par la banque pour rapprocher les montants
intra-groupes société par société permet d’identifier la réciprocité et l’exhaustivité des
éliminations (confirmations réciproques des intra-groupes par fiches navettes avec
les autres unités du périmètre de consolidation).
S’assurer que les montants éliminés enregistrés en consolidation ont bien été
déclarés sur les liasses de consolidation de chaque filiale concernée et inversement
que l’ensemble des intra-groupes recensés ont effectivement été éliminés en
consolidation.
4.3 – Retraitements.
Objectifs/points de contrôle.
Le passage du résultat social au résultat consolidé de la banque est-il expliqué et les
retraitements effectués sont-ils justifiés ?
Risques.
Risque de non fiabilité de l’information financière consolidée, risque réglementaire.
Approches d’audit & sondages.
Obtenir le tableau de passage du résultat social au résultat consolidé de la banque.
Vérifier la justification des principaux retraitements effectués et leur conformité avec
les normes comptables, notamment :
la prise en compte des retraitements obligatoires avec l’élimination des
écritures purement fiscales (provisions réglementées),
les retraitements d’homogénéisation (amortissement des immobilisations
selon une durée homogène par exemple).
237
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
238
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Conclusion générale
239
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
240
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Conclusion générale.
Le pilotage des risques bancaires via le risk management et l'audit interne est une
problématique largement d'actualité.
Le paysage bancaire marocain fait actuellement face à un environnement
socioéconomique mouvant et de plus en plus complexe.
Avec la croissance des volumes d’opérations, le développement des produits
diversifiés et sophistiqués, la rapidité de renouvellement des process,
l'automatisation accélérée des traitements, les risques auxquels les banques sont
actuellement confrontées sont devenus plus nombreux, plus significatifs et plus
complexes surtout dans un contexte de baisse des marges.
Ces mutations posent d'une part des problèmes de difficultés d’audit et de
management des risques et d’autre part, elles accroissent le risque d’audit inadapté
voir défaillant.
Des systèmes déficients en matière de gestion et d'audit des risques dans le secteur
bancaire peuvent rapidement provoquer des pertes financières considérables
lesquelles, si elles ne sont pas contenues adéquatement par des tampons solides
aptes à endiguer le risque systémique, sont susceptibles d'engendrer un effet de
domino auprès d'autres opérateurs sur les marchés avec des conséquences
difficilement calculables pour le système financier.
S'il est vrai que l'audit bancaire comporte des coûts élevés, il s'est avéré qu'un audit
déficient ou insuffisant coûte encore plus cher.
De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner.
Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer,
l’interprétation des résultats et les difficultés d’élaboration du système de référence.
Encore s'agit-il de s'assurer que l'audit mis en place est bien apte à accomplir la
mission qu'on lui a assignée.
241
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L’audit interne tel que pratiqué actuellement dans de nombreuses grandes banques,
s’avère inadéquat ou du moins présente des insuffisances. En outre, cet audit doit
aller dans le sens de l’importance accrue conférée par les autorités de contrôle
bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de
contrôle interne dans une organisation bancaire.
L’axe de progrès le plus évident est la mise en place d’un système interne d’audit et
de risk management et ce, quelle que soit la nature du risque (crédit, marché,
opérationnel, conformité, réputation...).
Ainsi, les banques doivent plus que jamais disposer d’un système d’audit et de risk
management performant, efficace et élaboré, susceptible d’analyser, de mesurer, de
maîtriser et d'assurer une réaction rapide face à l’apparition de nouveaux risques.
d'avoir une vision globale et maîtrisée des risques, quelle que soit la
complexité des organisations ou des processus à auditer;
de vérifier l'efficacité du dispositif de contrôle interne par ligne métier;
enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités
opérationnelles et ainsi des risk managers dans la maîtrise, la gestion
et la prévention des risques.
242
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les travaux préparatoires pour l’application du nouvel accord sur les fonds propres
ont conduit à opter pour une démarche progressive, adaptée au contexte national,
mais incitative à l’adoption d’approches plus fines dites de notation interne pour
l’allocation des fonds propres.
243
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Ce faisant, l’audit interne n’a ainsi pas achevé sa mutation et continuera d’évoluer
pour apporter aux banques toujours plus de valeur ajoutée. Les résultats de
l’enquête menée permettent d’entrevoir les contours de l’audit interne de demain et
de définir les défis et les enjeux futurs de la profession à savoir :
En relevant ces défis, l’audit interne apportera aux banques encore plus de valeur
ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation
bancaire.
Il reflète l’image d’un audit interne au service tant de la direction générale que du
comité d’audit, à même de prévenir la destruction de valeur au sein de l’organisation
bancaire et d’apporter une contribution déterminante à une bonne gouvernance.
244
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
245
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexes
246
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
247
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe N°1
Source : PricewaterhouseCoopers.2002
81
METALLGESELLSHAFT Refining and Marketing (MGRM).
248
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe N°2
249
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe 3
Etat des Absences
Sur base de l’effectif payé mensuel moyen de l’année (en nombre de personnes),
avec les jours ouvrés par an.
n n-1 n-2
Maladie % % %
Accidents du travail % % %
Congés de maternité % % %
Congés autorisés (événements familiaux,…) % % %
Autres causes % % %
Total % % %
Annexe 4
250
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe 5
Compte de résultats
251
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe 6
Bilan
252
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe N°7
253
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
ARTICLE 6
L’organe de direction est tenu de veiller à la mise en place du système de contrôle interne, une fois
adopté par l’organe délibérant.
Il doit, à cet effet, désigner un responsable qui relève directement de son autorité et qui a pour tâche
d’assurer un suivi exhaustif du système de contrôle interne et de veiller à sa cohérence.
ARTICLE 7
Les établissements de crédit constitués en groupe, doté d'un organe central, choisissent le responsable
visé au 2ème alinéa de l’article précédent en concertation avec ledit organe.
ARTICLE 8
Les fonctions du responsable visé au 2ème alinéa de l’article 6 ci-dessus peuvent être assurées par
l'organe de direction lorsque la taille de l'établissement ne justifie pas de confier ces tâches à une
personne spécialement désignée à cet effet.
Elles peuvent également, dans le cas des établissements contrôlés de manière exclusive par un autre
établissement de crédit, être assumées par le responsable du contrôle interne de ce dernier.
ARTICLE 9
Le responsable du contrôle interne rend compte de l'exercice de sa mission à l'organe de direction ainsi
qu'au comité visé à l'article 15 ci-dessous.
ARTICLE 10
L’organe de direction doit veiller au suivi du système de contrôle interne.
Il est tenu, dans ce cadre de :
- s’assurer, en permanence, de la bonne exécution de la mission confiée au responsable visé au
2ème alinéa de l’article 6 susvisé et du bon fonctionnement global du système de contrôle interne,
- prendre les mesures nécessaires pour remédier, en temps opportun, à toute carence ou
insuffisance relevée dans les dispositifs de contrôle.
ARTICLE 11
L’organe de direction est tenu d’élaborer un manuel de contrôle interne qui précise notamment :
- les éléments constitutifs de chaque dispositif et les moyens de leur mise en œuvre,
- les règles qui assurent l'indépendance des dispositifs de contrôle vis- à- vis des unités
opérationnelles,
- les différents niveaux de responsabilité du contrôle.
ARTICLE 12
Le manuel de contrôle interne doit être réexaminé périodiquement en vue d’adapter ses dispositions
particulièrement aux prescriptions légales et réglementaires ainsi qu’à l'évolution de l'activité, de
l'environnement économique et financier et des techniques d'analyse.
ARTICLE 13
L’organe de direction doit établir, au moins une fois par an, un rapport sur les activités du contrôle
interne qu'il adresse à l’organe d’administration.
Ce rapport décrit les actions de contrôle effectuées et les insuffisances relevées, notamment au niveau
des domaines que couvre le dispositif de gestion des risques prévu par le Plan Comptable des
Etablissements de Crédit, ainsi que les mesures correctrices y afférentes.
Il doit, dans le cas des établissements qui détiennent le contrôle exclusif d’autres entités à caractère
financier, retracer les activités du contrôle interne au niveau de l'ensemble des entités du groupe.
ARTICLE 14
L’organe d’administration est tenu de s’assurer de la mise en place et du suivi, par l’organe de
direction, du système de contrôle interne.
A cet effet, il procède, au moins une fois par an, à l’examen de l’activité et des résultats du contrôle
interne sur la base des informations qui lui sont adressées par l’organe de direction conformément aux
dispositions de l’article 13 ci-dessus ainsi que par le comité prévu à l’article 15 ci-dessous.
ARTICLE 15
L’organe d’administration est tenu de constituer un comité chargé de l’assister en matière de contrôle
interne.
Ce comité procède notamment à l’évaluation de la cohérence et de l’adéquation des dispositifs de
contrôle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposées pour
combler les lacunes ou insuffisances décelées dans le système de contrôle interne.
254
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
ARTICLE 16
Le comité visé à l’article 15 ci-dessus doit être composé, en partie, d’administrateurs non dirigeants
ayant les compétences requises.
Il relève directement de l’organe d’administration qui en détermine les modalités de fonctionnement et
auquel il rend compte.
ARTICLE 17
L’organe d’administration doit veiller à ce que l’auditeur externe de l’établissement soit régulièrement
invité à assister aux réunions du comité prévu à l’article 15 ci-dessus.
ARTICLE 18
Les établissements de crédit qui contrôlent de manière exclusive d’autres entités à caractère financier
doivent s’assurer que les systèmes de contrôle interne mis en place au sein de ces dernières soient
cohérents et compatibles entre eux de manière à permettre notamment une surveillance et une maîtrise
des risques au niveau du groupe.
Ils s’assurent également que les systèmes de contrôle interne susvisés sont adaptés à l’organisation du
groupe ainsi qu’à la nature des entités contrôlées.
ARTICLE 19
L’organe d’administration de tout établissement de crédit habilité à recevoir des fonds du public doit
veiller à ce que les auditeurs externes formulent, dans le cadre de leur mission de révision et de
contrôle annuels des comptes, un avis sur l'organisation et le fonctionnement du système de contrôle
interne.
ARTICLE 20
L’organe de direction doit adresser, à la Direction du Contrôle des Etablissements de Crédit de Bank
Al-Maghrib, une copie du rapport annuel visé à l’article 13 ci-dessus et ce, au plus tard le 31 mars de
l'exercice suivant.
Les rapports et les comptes rendus portant sur le contrôle interne doivent également être mis à la
disposition des commissaires aux comptes, des auditeurs externes et des contrôleurs de Bank Al-
Maghrib.
ARTICLE 21
Les membres de l’organe d’administration et de l’organe de direction veillent à promouvoir, au sein de
leur établissement, une culture de contrôle forte qui met l'accent particulièrement sur la nécessité, pour
chaque agent, d'assumer ses tâches dans le respect des dispositions légales et réglementaires en
vigueur et des directives internes établies par les organes compétents.
Ils adoptent, à cet effet, une politique de formation et d'information qui met en avant les objectifs de
l'établissement et explicite les moyens de leur réalisation.
255
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
De même, une séparation stricte doit être établie entre les unités chargées, chacune en ce qui la
concerne, de l'initiation, de l'exécution et du contrôle des opérations.
Les domaines qui présentent des conflits d'intérêts potentiels ou des risques de chevauchement de
compétences ou de responsabilités doivent être identifiés, soumis à une surveillance continue et faire
l'objet d'une évaluation régulière en vue de leur suppression.
ARTICLE 25
Chaque service ou unité opérationnelle doit être doté d’un manuel dans lequel sont consignées les
procédures d’exécution des opérations qu’il est chargé d’effectuer.
Ces consignes fixent notamment les modalités d'engagement, d'enregistrement et de traitement des
opérations ainsi que les schémas comptables correspondants.
1- RISQUES DE CREDIT
ARTICLE 31
On entend par risque de crédit, le risque qu’un client ne soit pas en mesure d’honorer ses
engagements à l’égard de l’établissement de crédit.
ARTICLE 32
Le dispositif de contrôle du risque de crédit doit permettre de s’assurer que les risques auxquels peut
s’exposer l’établissement de crédit, du fait de la défaillance de la clientèle, sont correctement évalués
et régulièrement suivis.
La mise en place d’un tel dispositif doit se faire dans le respect des dispositions minimales prévues
aux articles 33 à 42 ci-après.
ARTICLE 33
Les critères d’appréciation du risque de crédit ainsi que les attributions des personnes et des organes
habilités à engager l’établissement doivent être définis et consignés par écrit.
Ces consignes doivent être adaptées aux caractéristiques de l’établissement, en particulier, à sa taille,
à la nature et au volume de ses activités.
ARTICLE 34
Les demandes de crédit doivent donner lieu à la constitution de dossiers comportant toutes les
informations quantitatives et qualitatives relatives au demandeur notamment les documents
256
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de
revenu ou tout autre document en tenant lieu.
Les informations portent tant sur le demandeur de crédit lui-même que sur les entités avec lesquelles
il constitue un groupe d’intérêt, compte tenu des liens juridiques et financiers qui existent entre eux.
Les dossiers de crédit doivent être régulièrement mis à jour.
ARTICLE 35
L'évaluation du risque de crédit prend en considération, notamment, la nature des activités exercées
par le demandeur, sa situation financière, la surface patrimoniale des principaux actionnaires ou
associés, sa capacité de remboursement et, le cas échéant, les garanties proposées.
Elle prend également en compte toutes autres informations permettant une appréciation plus complète
du risque tels que la compétence des dirigeants et l'environnement économique dans lequel le
demandeur de crédit exerce son activité.
ARTICLE 36
Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations
effectuées avec le client et ce, à travers l’analyse prévisionnelle des charges et produits y afférents
(coûts opérationnels et de financement, charge correspondant au risque de défaillance éventuelle de la
contrepartie et rémunération des fonds propres).
ARTICLE 37
L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note par référence à
une échelle de notation interne.
ARTICLE 38
Les risques de crédit encourus sur une même contrepartie (client individuel ou groupe de personnes
physiques ou morales liées entre elles et présentant un risque unique pour l’établissement de crédit)
doivent être recensés et centralisés quotidiennement. Ceux encourus par secteur, pays ou zone
géographique doivent l’être au moins une fois par mois.
ARTICLE 39
Les risques de crédit encourus sur des clients bénéficiant de concours relativement importants doivent
faire l'objet d'une surveillance particulière, tant sur une base individuelle qu'au niveau du groupe.
ARTICLE 40
Les concours consentis aux personnes physiques ou morales apparentées à l’établissement de crédit
ainsi que l’évolution de leurs encours doivent être régulièrement portés à la connaissance de l’organe
d’administration.
L’organe d’administration doit être également informé de toute opération susceptible d’engendrer un
conflit entre les intérêts de l’établissement et ceux des personnes précitées.
ARTICLE 41
Les concours qui, au regard de la réglementation en vigueur, sont considérés comme créances en
souffrance doivent être enregistrés dans les comptes appropriés du plan comptable des établissements
de crédit et donner lieu à la constitution des provisions requises.
ARTICLE 42
Les encours des créances en souffrance ainsi que les résultats des démarches, amiables ou judiciaires,
entreprises pour leur recouvrement doivent être régulièrement, et à tout le moins deux fois par an,
portés à la connaissance de l’organe d’administration. Celui-ci doit également être tenu informé des
encours des créances restructurées et de l’évolution de leur remboursement.
2- RISQUES DE MARCHE
ARTICLE 43
On entend par risques de marché, les risques de pertes qui peuvent résulter des fluctuations des prix
des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles
d’engendrer un risque de change, notamment les opérations de change à terme et au comptant.
Le portefeuille de négociation susvisé comprend :
- les titres acquis, dès l’origine, avec l’intention de les revendre à brève échéance en vue de tirer
bénéfice des écarts entre les prix d’achat et de vente, et ce dans le cadre d’une activité de marché,
y compris les titres à livrer ou à recevoir,
- les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le marché
gris,
257
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
- les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer avantage de
l’évolution des prix ou à couvrir les risques de marché encourus sur les instruments visés aux
tirets précédents.
ARTICLE 44
Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les risques auxquels
peut s’exposer l’établissement de crédit, du fait des fluctuations qui pourraient affecter les prix des
instruments financiers visés à l’article 43, font l’objet d’une évaluation appropriée et d’une
surveillance régulière.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des
articles 45 à 47 ci-dessous.
ARTICLE 45
Les transactions sur les instruments financiers visés à l’article 43 doivent faire l’objet d’un suivi
quotidien de manière à :
- appréhender les positions détenues en chaque instrument et en calculer les résultats,
- mesurer le risque de taux d’intérêt, le risque de change et le risque sur titres de propriété liés à ces
positions,
- s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces
risques.
ARTICLE 46
La mesure des risques de marché doit être effectuée de façon à en cerner les diverses composantes et
ce, par le recours à des procédés qui permettent une agrégation, aussi bien sur une base individuelle
que consolidée, de l’ensemble des positions relatives à des instruments financiers ou à des marchés
différents.
ARTICLE 47
Des évaluations régulières, notamment en cas de fortes variations affectant un marché ou l'un de ses
segments, doivent être effectuées pour suivre l’évolution des risques susvisés.
Les modèles d'analyse retenus pour ces évaluations doivent, eux aussi, régulièrement faire l’objet de
révisions, à l’effet d’en apprécier la validité et la pertinence au regard de l’évolution de l’activité, de
l’environnement des marchés et des techniques d’analyse.
ARTICLE 48
Le dispositif visé à l’article 44 ci-dessus doit également permettre de s’assurer du respect des
dispositions réglementaires prévues en la matière, des normes et usages professionnels et
déontologiques ainsi que des limites fixées par les instances compétentes.
258
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
ARTICLE 53
Les paramètres et les hypothèses visés à l’article précédent doivent faire l’objet de réexamens
périodiques pour s’assurer de leur cohérence et de leur validité au regard de l’évolution de la structure
des activités exercées et des conditions du marché.
4- RISQUE DE LIQUIDITE
ARTICLE 54
Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir
s’acquitter, dans des conditions normales, de ses engagements à leur échéance.
ARTICLE 55
Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que l’établissement de
crédit est en mesure de faire face, à tout moment, à ses exigibilités et d’honorer ses engagements de
financement envers la clientèle.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des
articles 56 et 57 ci-dessous.
ARTICLE 56
La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à des échéances
déterminées doivent être évaluées de manière correcte, en tenant compte notamment de l'incidence
des fluctuations des marchés de capitaux.
ARTICLE 57
Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement, en particulier les
lignes de crédit ouvertes par les correspondants, doivent être revues périodiquement afin de tenir
compte des éventuels changements qui pourraient affecter la situation ou la renommée de
l’établissement lui-même ou la situation financière ou juridique de ces correspondants.
5- RISQUE DE REGLEMENT
ARTICLE 58
Le risque de règlement s’entend comme le risque de survenance, au cours du délai nécessaire pour le
dénouement de l’opération de règlement, d’une défaillance ou de difficultés qui empêchent la
contrepartie d’un établissement de crédit de lui livrer les instruments financiers ou les fonds
convenus, alors que ledit établissement a déjà honoré ses engagements à l’égard de ladite contrepartie.
ARTICLE 59
Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les risques auxquels
peut s’exposer l’établissement de crédit sont correctement évalués et font l’objet d’un suivi rigoureux
et régulier.
ARTICLE 60
Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les différentes phases
du processus de règlement sont identifiées et font l’objet d’une attention particulière, notamment
l'heure limite pour l'annulation unilatérale de l'instruction de paiement, l'échéance de la réception
effective des fonds relatifs à l'instrument acheté et le moment où la réception de ces fonds ou
instruments est confirmée.
6- RISQUE INFORMATIQUE
ARTICLE 61
Le risque informatique s’entend comme le risque de survenance de dysfonctionnements ou de rupture
dans le fonctionnement du système de traitement de l’information, imputables à des défaillances dans
le matériel ou à des erreurs, des manipulations ou autres motifs (virus) affectant les programmes
d’exécution.
ARTICLE 62
Le dispositif de contrôle des risques informatiques doit assurer un niveau de sécurité jugé satisfaisant
par rapport aux normes technologiques et aux exigences du métier.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des
articles 63 à 65 ci-dessous.
ARTICLE 63
259
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
7- RISQUE JURIDIQUE
ARTICLE 66
Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la
responsabilité de l’établissement de crédit du fait d’imprécisions, de lacunes ou d’insuffisances dans
les contrats et autres actes de nature juridique le liant à des tiers.
ARTICLE 67
Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats et les autres
actes de nature juridique liant l’établissement de crédit à toute contrepartie sont rédigés et conclus
dans le respect des dispositions légales et réglementaires en vigueur et sont soumis à un contrôle strict
en vue de parer à toutes insuffisances, imprécisions ou lacunes.
8- AUTRES RISQUES
ARTICLE 68
Les autres risques englobent tous les risques qui pourraient être engendrés par des procédures
inefficientes, des contrôles inadéquats, des erreurs humaines ou techniques, des fraudes ou par toutes
autres défaillances.
ARTICLE 69
Le dispositif de contrôle des risques visés à l’article 68 doit permettre de s’assurer que les risques qui
pourraient découler de défaillances ou d’insuffisances, de quelque ordre que ce soit, sont identifiés et
font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global
de l’établissement.
La mise en place d’un tel dispositif doit se faire dans le respect notamment des prescriptions des
articles 70 et 71 ci-après.
ARTICLE 70
L’organe d’administration et l’organe de direction doivent prendre les précautions et les mesures
adéquates pour empêcher que leurs établissements ne soient impliqués, à leur insu, dans des
opérations financières liées à des activités non autorisées par la loi et plus généralement pour éviter la
survenance de tout événement susceptible d'entacher leur réputation ou de porter atteinte au renom de
la profession.
ARTICLE 71
Les dispositifs mis en place pour assurer la sécurité des personnes et des biens doivent être conformes
aux normes usuellement requises en la matière.
De même, les dommages auxquels peuvent se trouver exposés les personnes et les biens doivent être
couverts par des contrats d'assurances dûment souscrits.
260
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Signé : M. SEQAT
261
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe N°8
Circulaire BAM devoir de vigilance
BANK AL-MAGHRIB
--------------------
LE GOUVERNEUR
Circulaire n° 36/G/2003
I - IDENTIFICATION DE LA CLIENTELE
Article 3
Les établissements de crédit sont tenus de recueillir les éléments d’information permettant
l’identification de toute personne qui :
- Souhaite ouvrir un compte, quelle que soit sa nature, ou louer un coffre fort ;
- Recourt à leurs services pour l’exécution de toutes autres opérations, même ponctuelles, telles que
le transfert de fonds.
Article 4
Préalablement à l‘ouverture de tout compte, les établissements de crédit doivent avoir des entretiens
avec les postulants et, le cas échéant, leurs mandataires, en vue de s’assurer de leur identité et de
recueillir tous les renseignements et documents utiles relatifs aux activités des titulaires des comptes et
à l’environnement dans lequel ils opèrent notamment lorsqu’il s’agit de personnes morales ou
d’entrepreneurs individuels.
262
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les compte rendus de ces entretiens doivent être versés aux dossiers des clients, prévus aux articles 5
et 6 ci-après.
Article 5
Une fiche d’ouverture de compte doit être établie au nom de chaque client personne physique, au vu
des énonciations portées sur tout document d’identité officiel. Ce document doit être en cours de
validité, délivré par une autorité marocaine habilitée ou une autorité étrangère reconnue et porter la
photographie du client.
Sont consignés dans cette fiche les éléments suivants :
- Le(s) prénom(s) et le nom ;
- Le numéro de la carte d’identité nationale, pour les nationaux ainsi que sa durée de
validité ;
- Le numéro de la carte d’immatriculation, pour les étrangers résidents ainsi que sa
durée de validité ;
- Le numéro du passeport ou de toute autre pièce d’identité en tenant lieu, pour les
étrangers non résidents et sa durée de validité ;
- L’adresse exacte ;
- La profession ;
- Le numéro d’immatriculation au registre de commerce, pour les personnes physiques
ayant la qualité de commerçant ainsi que le centre d’immatriculation.
Les éléments d’identification ci-dessus doivent également être recueillis des personnes qui
pourraient être amenées à faire fonctionner le compte d’un client en vertu d’une procuration.
La fiche d’ouverture de compte ainsi que les copies des documents d’identité présentés doivent être
classées dans un dossier ouvert au nom du client.
Article 6
Une fiche d’ouverture de compte doit être établie au nom de chaque client personne morale dans
laquelle doivent être consignés, selon la nature juridique de ces personnes, l’ensemble ou certains des
éléments d’identification ci-après :
- La dénomination ;
- La forme juridique ;
- L’activité ;
- L’adresse du siège social ;
- Le numéro de l’identifiant fiscal ;
- Le numéro d’immatriculation au registre du commerce ainsi que le centre
d’immatriculation.
Cette fiche doit être conservée dans le dossier ouvert au nom de la personne morale concernée ainsi
que les documents complémentaires, ci-après précisés, correspondant à sa forme juridique.
Les documents complémentaires devant être fournis par les sociétés commerciales incluent
notamment :
- Les statuts mis à jour ;
- La publicité légale relative à la création de la société et aux éventuelles modifications
affectant ses statuts ;
- Les procès-verbaux des délibérations des assemblées générales ou des associés ayant
nommé les administrateurs ou les membres du conseil de surveillance ou les gérants ;
- Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte
bancaire.
263
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
264
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
265
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
V - AUTRES DISPOSITIONS
Article 25
Les établissements de crédit ayant des filiales ou des succursales, installées dans des zones offshore ou
dans des pays ne disposant pas de réglementation en matière de vigilance, au moins équivalente à
celle applicable au Maroc, doivent veiller à ce que ces entités soient dotées d’un dispositif de
vigilance similaire à celui prévu par la présente circulaire.
Article 26
Les établissements de crédit incluent, dans le cadre du rapport sur le contrôle interne qu’ils sont tenus
d’adresser à la Direction du Contrôle des Etablissements de Crédit conformément à l’article 20 de la
circulaire n° 6/G/2001 précitée, un chapitre consacré à la description des dispositifs de vigilance mis
en place et des activités de contrôle effectuées en la matière.
Article 27
Les dispositions de la présente circulaire entrent en vigueur à compter du 1er janvier 2004.
Signé : A.JOUAHRI
266
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Annexe N°9
267
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les demandes d’agrément relatives aux auditeurs externes exerçant à titre indépendant doivent être
accompagnées de dossiers comportant les documents suivants :
1) un document attestant de l’inscription de l’auditeur externe sur le tableau de l’ordre des experts-
comptables et de l’exercice effectif de la fonction d’expert-comptable ;
2) le curriculum vitae, dûment daté et signé, de l’auditeur externe et de chacun de ses collaborateurs
susceptibles de prendre part aux travaux d’audit des établissements de crédit ;
3) une déclaration sur l’honneur, conforme au modèle joint en annexeI, datée et signée par chacune
des personnes visées au point 2 ci-dessus, par laquelle le signataire atteste, notamment, qu’il ne tombe
pas sous le coup de l’une des incompatibilités prévues par :
- la loi n° 15-89 réglementant la profession d’expert-comptable et instituant un ordre des experts-
comptables, promulguée par le dahir n° 1-92-139 du 14 rajeb 1413 (8 janvier 1993),
- le dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l’exercice de
l’activité des établissements de crédit et de leur contrôle
- et la loi n° 17-95 relative aux sociétés anonymes, promulguée par le dahir n° 1-96-124 du 14 rabii
II 1417 (30 août 1996) ;
4) une note faisant ressortir l’expérience professionnelle de l’auditeur externe, les moyens techniques
et humains dont il dispose et, le cas échéant, l’appui dont il pourrait bénéficier de la part d’autres
partenaires qualifiés, nationaux ou étrangers, ainsi que les références des missions d’audit antérieures
réalisées auprès des établissements de crédit et les services de consultation et de conseil, rendus par
l’auditeur, y compris par le biais de filiales spécialisées.
Article 4
Les demandes d’agrément concernant les auditeurs externes exerçant en qualité de sociétés d’experts-
comptables doivent comprendre, outre les informations visées à l’article 3, les documents ci-après :
- une fiche de renseignements, conforme au modèle joint en annexeII, dûment datée et signée par le
représentant statutaire de la société ;
- une copie certifiée conforme des statuts de la société mis à jour ;
- le curriculum vitae de chacun des associés appelés à participer aux missions d’audit des
établissements de crédit.
Article 5
Toute demande d’agrément doit être accompagnée d’une attestation, conforme au modèle joint en
annexeIII, dûment datée et signée par un responsable habilité à le faire, par laquelle l’établissement de
crédit certifie que le choix de l’auditeur externe a été effectué dans le respect des dispositions prévues
par la présente circulaire.
Article 6
Dans le cas où l’auditeur externe fait appel, dans le cadre de sa mission, à des experts ne faisant pas
partie de son effectif pour effectuer des travaux ponctuels, il est tenu de s’assurer que ces personnes
n’enfreignent pas les dispositions légales relatives aux incompatibilités visées au point 3 de l’article 3
ci-dessus.
Article 7
La DCEC peut demander communication de tous autres renseignements qu’elle estime nécessaires
pour l’instruction des demandes d’agrément.
Article 8
Les auditeurs externes sont agréés pour un mandat de 3 ans renouvelable.
Les demandes de renouvellement des agréments doivent être adressées à la DCEC selon les modalités
prévues aux articles 2 à 5 ci-dessus.
Article 9
Le renouvellement de l’agrément des auditeurs externes ayant exercé leur mission, auprès d’un même
établissement, durant deux mandats consécutifs ne peut intervenir :
- qu’à l’expiration d’un délai de trois ans, dans le cas des auditeurs externes exerçant à titre
indépendant,
- que sous réserve du remplacement de l’associé responsable de la mission d’audit, en ce qui
concerne les auditeurs externes exerçant en qualité de sociétés d’experts-comptables.
Article 10
268
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
La décision d’octroi de l’agrément ou, s’il y a lieu, de refus de l’agrément dûment motivée, est notifiée
à l’établissement de crédit concerné, 30 jours maximum à compter de la date de réception définitive du
dossier de demande d’agrément.
Article 11
Bank Al-Maghrib peut adresser un avertissement à tout auditeur externe qui ne s’acquitte pas de sa
mission avec la compétence et la diligence requises ou faillit à ses engagements.
Article 12
Bank Al-Maghrib peut suspendre ou, le cas échéant, retirer l’agrément à un auditeur externe,
lorsque celui-ci :
- se trouve, en infraction au regard des dispositions législatives relatives aux incompatibilités
prévues par la loi 15-89, le dahir portant loi n° 1-93-147 ou la loi 17-95 précités,
- fait l’objet de mesures disciplinaires de la part de l’ordre des experts-comptables ou de sanctions
pénales en application des dispositions de la loi n° 15-89 susvisée,
- ne tient pas compte de l’avertissement qui lui a été adressé par Bank Al-Maghrib, en application
des dispositions de l’article 11 ci-dessus.
Article 13
La décision de suspension ou de retrait de l’agrément est notifiée à l’établissement de crédit concerné
qui doit soumettre à la DCEC une demande d’agrément d’un nouvel auditeur externe, selon les
modalités prévues aux articles 2 à 5 ci-dessus.
Article 14
La décision de révocation du mandat d’un auditeur externe, par l’établissement de crédit lui-même,
doit être préalablement notifiée à Bank Al-Maghrib et dûment motivée.
L’auditeur externe peut, à sa demande, être entendu par Bank Al-Maghrib.
Article 15
Les établissements de crédit communiquent, chaque année, à la DCEC, copie de la lettre de mission
précisant notamment l’étendue des travaux devant être entrepris par l’auditeur externe ainsi que les
moyens humains qu’il prévoit à cet effet.
269
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
L’évaluation de l’organisation générale et des moyens du contrôle interne est faite à l’occasion du
premier rapport établi dans le cadre de la présente circulaire. Les rapports ultérieurs peuvent ne
comporter que les changements qui affectent les domaines susvisés.
Article 20
L’auditeur externe évalue la qualité et l’adéquation du dispositif mis en place pour la mesure, la
maîtrise et la surveillance du risque de crédit en procédant notamment à l’analyse :
- des modalités de décision, d’exécution et de gestion des crédits ;
- des procédures de recouvrement des créances et des modalités de classification des créances en
souffrance et de leur provisionnement ;
- des procédures de centralisation des risques, de reporting interne et de surveillance du respect des
limites réglementaires et de celles fixées par les organes compétents de l’établissement de crédit.
Article 21
L’auditeur externe apprécie la qualité et l’efficience du dispositif de mesure, de maîtrise et de
surveillance des risques de marché, en procédant notamment à l’examen :
- des modalités de décision, d’exécution et d’enregistrement des opérations de marché ;
- des procédures de mesure de l’exposition aux risques inhérents à ces opérations ;
- de la méthode de calcul des résultats opérationnels et de leur rapprochement avec les soldes
comptables ;
- des procédures d’appréhension du risque de règlement ;
- des mécanismes de reporting interne et des méthodes de surveillance du respect des limites
réglementaires et de celles fixées par les organes compétents de l’établissement.
Article 22
L’auditeur externe apprécie la qualité et l’adéquation du dispositif de mesure, de maîtrise et de
surveillance du risque global de taux d’intérêt et de liquidité, en procédant, en particulier, à
l’évaluation :
- des procédures d’appréhension de l’exposition globale au risque de taux d’intérêt ;
- des procédures de mesure et de suivi des principaux déterminants de la liquidité ;
- des mécanismes de reporting interne et des modalités de surveillance du respect des limites
réglementaires et de celles fixées par les organes compétents de l’établissement.
Article 23
L’auditeur externe apprécie l’adéquation des dispositifs mis en place pour :
- prévenir les fraudes, manipulations et erreurs susceptibles d’engager la responsabilité de
l’établissement de crédit ou de porter atteinte à l’intégrité de ses actifs ou de ceux de la clientèle ;
- empêcher que l’établissement ne soit impliqué, à son insu, dans des opérations financières liées à
des activités illicites ou de nature à entacher sa réputation ou de porter atteinte au renom de la
profession ;
- garantir la sécurité des personnes et des biens.
Article 24
L’auditeur externe apprécie la fiabilité et l’intégrité du système de traitement de l’information
comptable et de gestion en procédant notamment à l’évaluation :
- du dispositif de sécurité du système d’information
- de la fiabilité de la piste d’audit ;
- des procédures comptables et de contrôle de l’information.
Article 25
Les lacunes significatives relevées dans les différents dispositifs du contrôle interne doivent être
portées, dès leur constatation, à la connaissance de l’organe de direction et du Comité d’audit de
l’établissement de crédit.
Article 26
L’auditeur externe fait état dans son rapport détaillé des insuffisances significatives constatées au
niveau :
- de l’organisation générale du contrôle interne ;
- des dispositifs de contrôle visés aux articles 20 à 23 ci-dessus, tout en précisant le nombre et les
montants des dépassements des limites réglementaires et/ou internes ;
- du système de traitement de l’information.
270
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Il signale si ces anomalies sont portées de manière régulière à la connaissance des organes
d’administration et de direction de l’établissement et si elles donnent lieu aux mesures de redressement
appropriées.
Il fait, également, état des recommandations susceptibles de pallier les faiblesses et insuffisances
relevées.
Article 27
L’auditeur externe est tenu de signaler à Bank Al-Maghrib, dans les meilleurs délais, tout fait ou
décision dont il a eu connaissance au cours de l’exercice de sa mission et qui est de nature à constituer
une violation des dispositions législatives ou réglementaires applicables aux établissements de crédit, à
affecter la situation financière de l’établissement audité ou à porter atteinte à la renommée de la
profession.
271
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Les critères au vu desquels est déterminé l’échantillon susvisé doivent être précisés et justifiés dans le
rapport détaillé, en indiquant la part examinée dans l’encours total des crédits.
Article 33
Les anomalies et insuffisances significatives relevées dans la comptabilité ou dans les états financiers
ainsi que les omissions d’informations essentielles pour la bonne appréciation du patrimoine, de la
situation financière et des résultats de l’établissement, doivent être portées à la connaissance de
l’organe de direction en vue de leur redressement.
Article 34
L’auditeur externe fait état dans ses rapports des ajustements, considérés comme significatifs au regard
des normes de la profession en vigueur, qui doivent être apportés aux états de synthèse en précisant en
particulier :
- le montant des créances en souffrance non classées ;
- le montant de l’insuffisance des provisions nécessaires pour la couverture des créances en
souffrance ;
- le montant de l’insuffisance des provisions nécessaires pour la couverture des dépréciations du
portefeuille titres ;
- le montant de l’insuffisance des provisions pour dépréciations des autres actifs ;
- le montant de l’insuffisance des provisions pour risques et charges ;
- le montant des soldes injustifiés ;
- tout autre écart matériel constaté par rapport aux normes comptables et méthodes d’évaluation
prescrites par le PCEC.
Il mentionne également les autres ajustements qui, à son avis, doivent être apportés aux déclarations
adressées à Bank Al-Maghrib, en particulier, celles ayant trait à la réglementation prudentielle et aux
emplois obligatoires.
272
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
DCEC dans un délai de 60 jours maximum à compter de cette date, accompagnées de la lettre de
mission visée à l’article 15 ci-dessus.
Article 41
Les dispositions de la présente circulaire entrent en vigueur à compter de la date de sa publication.
273
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Bibliographie
274
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
275
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
BIBLIOGRAPHIE
Ouvrages.
Antoinne Sardi, Audit et inspection bancaires - l'audit interne- Editions Afges, Septembre
2002.
Antoinne Sardi, Pratiques de la comptabilité bancaire, Editions Afges, 1999.
Coopers & Lyberland, IFACI, La nouvelle pratique du contrôle interne - Editions des
organisations, Octobre 1994.
Michel Rouach, Gérard Nauleau, Le contrôle de gestion bancaire et financier - Edition
Economica, Septembre 1999.
Jean-Michel Errera, Christian Jimenez, Pilotage bancaire et contrôle interne - Edition les
Eska, Juillet 1999.
Amine Tarazi, Risques bancaires, déréglementation financière et réglementation
prudentielle : Une analyse en terme d'espérance-variance.
Siruwet, Jean Luc, Roessler, Lydia, Le contrôle comptable bancaire, un dispositif de
maitrise des risques : normes, techniques et mise en œuvre.
Azedine Berrada, Techniques de banques et de crédit. Edition 2000.
COBIT (Gouvernance, Contrôle et Audit de l’Information et des Technologies Associées)
Brokers and dealers in securities : Guide d’audit publié par l’American Institute of
Certified Public Accountant.
R.VATIER, "L'audit : Qu'est-ce que c'est?", Personnel, n°362, juillet 1995.
R.VATIER, "L'audit social", Personnel, n°365, décembre 1995.
A.AUBERT, "L'audit : Des représentations éclatées", Education Permanente,
n°132/1997-3, 1997.
"Audit social au service du management des ressources humaines : professionnalisme
des consultants", ISEOR, Economica, Paris, 1994.
276
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Publications réglementaires.
Rapport annuel sur le contrôle, l’activité et les résultats des établissements de crédit,
exercice 2004.
Circulaires de Bank Al Maghrib N°6,N°9,N°19.
Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke, ratio de
division des risques, ratio de liquidité, réserve monétaire"
Règlement Français N°97-02 sur le contrôle interne bancaire.
Loi bancaire marocaine de 1993.
Livre blanc de la commission bancaire française relatif à la sécurité des systèmes
d'information 1995.
Circulaire D1/EB/2002/6 : sur le contrôle interne ainsi que sur la fonction d’audit interne
et la fonction de Compliance des entreprises d’investissement. Commission bancaire et
financière Bruxelles, le 14 novembre 2002.
Publications spécialisées.
Le secteur bancaire au Maroc © MINEFI – DREE/TRÉSOR Prestation réalisée sous
système de management de la qualité certifié AFAQ ISO 9001, le 26 juillet 2004.
Le rôle du contrôle interne, Georges Ravet ( de la caisse d'epargne) - Revue Banque
Magazine N°616, Juillet-Aout 2000.
Bale II - Plus de règles, moins de fonds propres? Yves Burger (Standard & Poor's) -
Revue Banque Magazine N°654, 01/01/2002.
Le Contrôle interne des systèmes d’information. Revue Banque Magazine N°558,
01/09/1998.
Une méthode pour les procédures de contrôle. Revue banque Magazine N°598,
01/12/1998.
Risques de marché : la construction des modèles internes. Revue Banque Magazine
N°592 01/05/ 1998.
Le système de Contrôle interne des établissements de crédit - Institut Monétaire
Européen - Revue d’économie financière n°48 (juillet 1998).
Banque et Risque - Revue Horizons bancaire du Crédit Agricole N°313 – Mai 2002.
Gestion des risques : Comptabilité et évaluation des risques bancaires, Etienne Boris
(PricewaterhouseCoopers) - Revue Banque Magazine N°654, 01/01/2002, Revue
Banque magazine - (N°616)- (ISBN/ISSN)- 01/07/2000.
La chronique du risk management avec PricewaterhouseCoopers - Systèmes
d'information - Technologie XBRL : une réelle opportunité pour Bal II, Jimmy Zou
(PricewaterhouseCoopers) - Marie-Jeanne Deverdun (PricewaterhouseCoopers),
Banque Magazine - (N°656) - 01/03/2004.
277
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Risque opérationnel : l'apport des outils automatisés de gestion des risques, Marie
Agnès Nicolet (Deloitte Touche Tohmatsu) - Banque magazine - (N°654) - 01/01/2004.
Méthodologie : le suivi du risque opérationnel, Sylvie Lépicier (LGB Finance) - Yann Le
Tallec (LGB Finance) - Banque magazine - (N°652) - 01/11/2003.
Métiers de la banque - IAS/Bale II : quels nouveaux profils ? , Anne Drif (Revue Banque)
- Banque magazine - (N°652) - 01/11/2003.
Débat : Bale II et la stabilité financière, Michel Dietsh (Institut d'études politiques de
Strasbourg) - Dominique Garabiol (Groupe Caisse d'Epargne) - Pierre-Yves Thoraval
(Commission Bancaire) - Alain Duchâteau (Secrétariat général commission bancaire) -
Banque magazine - (N°651) - 01/10/2003.
Bale II- Asset managers et risque opérationnel : les nouveaux paradoxes, Didier Benâtre
(PricewaterhouseCoopers)- Isaak Look (PricewaterhouseCoopers) - Banque magazine-
(N°651) - 01/10/2003.
Audit Committee and Governance Survey Results. Deloitte and Touche , Avril 2003
Global Internal Audit : The New Reality , Deloitte Touche Tohmatsu 2003.
Global Banking Industry Outlook : Top 10 Issues , Deloitte Touche Tohmatsu 2004.
Doyon, M. (1996) “Tuned in Management”, Internal Auditor, december.
Hopkins, D. (1996) The Auditing Business, Internal Auditor, october.
Audit Committee Newsletter KPMG’s Audit Committee Institute Edition 1, avril 2003
L’audit et le contrôle internes - Mise à niveau en Audit - Mounim Zaghloul, Consultant -
CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Réseau BKR
International, 12 au 14 Septembre 2002.
Bale II : Genèse et enjeux Conférence-débat association d'économie financière -
Commission Bancaire, Banque de France et Eurosysteme jeudi 27 mai 2004.
L’approche risque au centre de l’audit bancaire par Barbara Lambert Partner, Ernst &
Young SA/Switzerland et Antonio Mira Senior Manager, Ernst & Young SA/Switzerland -
Revue L’AGEFI – Haute Finance Novembre 2003.
Analyse, mesure et contrôle des risques dans le monde bancaire Pierre-Yves Thoraval
(Secrétariat général de la Commission bancaire), Directeur de la Surveillance générale
du Système bancaire 1ères Rencontres Internationales Institut Europlace de Finance - 4
juillet 2003
Evaluation du risque de crise bancaire - Rapport trimestriel BRI (Banque des Règlements
Internationaux) , décembre 2002.
Basel Committee on Banking Supervision Internal audit in banks and the supervisor’s
relationship with auditors - A survey August 2002 Bank For International Settlements
(BRI).
Le système bancaire dans la tourmente - Par Ibrahim Warde Chercheur au Center for
International Studies, Massachusetts Institute of Technology (Cambridge), auteur de The
Financial War on Terror (IB Tauris, Londres, à paraître) - Le Monde Diplomatique
novembre 1998.
L'analyse des risques opérationnels : un enjeu qui dépasse le secteur bancaire - Par
Jean-François Pirus PDG de la société de conseil Internet Business Services, et
responsable du site BPMS.info, deux entités spécialisées dans le management des
processus. (19/03/2004).
Le nouveau métier de "Responsability Manager" par Yves Medina, déontologue de
PricewaterhouseCoopers, conseiller-maître à la Cour des comptes et vice-président de
l'Observatoire sur la responsabilité sociétale des entreprises (ORSE). Les Echos, L'Art
de la gestion des risques 13 décembre 2000.
Vers une nouvelle approche de risque par Dominique Chesneau, associé chez
PricewaterhouseCoopers, Les Echos, L'Art de la gestion des risques 13 décembre 2000.
278
L’audit systémique bancaire, un outil d’efficacité du risk management.
__________________________________________________________________________________________
Sites Internet.
http://www.federalreserve.gov/boardocs/supmanual :
http//pwc.com
http//bpms.info
http://www.iviq.org
http://www.nbb.be
http://www.monde-diplomatique.fr
279