INSTITUT SUPERIEUR DE COMMERCE ET D'ADMINISTRATION DES ENTREPRISES CYCLE SUPERIEUR DE GESTION (C.S.

G)

MEMOIRE PRESENTÉ EN VUE DE L'OBTENTION DU DIPLOME DU CYCLE SUPERIEUR DE GESTION

L'audit systémique, un outil d’efficacité du risk management
Application aux systèmes d'information, aux activités de marché, aux ressources humaines et à la comptabilité.
Cas du système bancaire marocain.

Par Membres du Jury

: M. Badr FIGUIGUI :

M. Mostafa MELSA : Professeur à l’ISCAE, Président du jury; • M. Abdellatif MAZOUZ : Directeur de recherche, suffragant ; • M. Mohammed HDID : Expert comptable Associé Saaidi-consultants,
• •

M. Hassan BOUBRIK M. Omar BOUNJOU

suffragant ; : Secrétaire Général de la Caisse de Dépôt et de Gestion (CDG), suffragant ; : Directeur Général d’Attijari Wafa Bank, suffragant.

- Septembre 2007 -

Sommaire simplifié

1

SOMMAIRE SIMPLIFIE
Partie introductive
Introduction
………………………………………..…………………………………………………………………………….……………6

Problématique générale………………………………………..…………………………………………………………….…………9 Intérêt du sujet………………………………………..……………………………………………………………………………………12 Hypothèse centrale………………………………………..……………………………………………………………………………..13 Propos méthodologiques ………………………………………..………………………………………………..……….………..16 Chapitre préliminaire : Le système bancaire marocain : vue d’ensemble…………………..………19

Première partie : L'audit interne dans le système bancaire marocain : des pratiques limitées aux fonctions classiques.
Chapitre 1 : Typologie et évaluation des risques bancaires
Section 1 : Typologie des risques bancaires………………………………………..……………...…………………..39 Section 2 : Critères d'évaluation et dispositifs de contrôle………………………………………….…………56

Chapitre 2 : Spécificités de l'audit bancaire
Section1 : Principes d'audit en général………………………………………..………………………………..………….77 Section2 : Particularités de l'audit bancaire………………………………………..……………………….…….……..89

Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur efficience : enquête sur le terrain
Section 1 : Le guide d’entretien………………………………………..………………………………….…………………..103 Section 2 : les conclusions de l’enquête………………………………………..…………………………..…………...106

Partie II : L'audit systémique, un nouvel outil au service du risk management pour maîtriser davantage les risques des métiers.
Chapitre 1 : Les particularités de l'approche d'audit systémique.
Section 1 : L'audit du système de contrôle interne global………………………………………..………….122 Section 2 : L'approche par les risques………………………………………..…………………………………………..126 Section 3 : L’approche systémique………………………………………..…………………………...…………………...128

2

Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information.
Section 1 : Organisation et management………………………………………..………………………..……………138 Section 2 : Sécurité………………………………………..…………………………………………………………..……………...148 Section 3 : Etudes et développements………………………………………..……………………..………………..…163 Section 4 : Exploitation informatique………………………………………..……………………………..………………168

Chapitre 3 : Mission d'audit de la Salle des Marchés.
Section 1 : Front-Office Trading & ventes………………………………………..….…………………………………175 Section 2 : Middle-Office………………………………………..……………………………………………………..…………..183 Section 3 : Back Office………………………………………..…………………………………………..……….………………..191 Section 4 : Risque de contrepartie………………………………………..…………………………………………………199 Section 5 : Risque Juridique………………………………………..……………………………………………………………201 Section 6 : Sécurité Physique………………………………………..………………………………………………...……….203

Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.
Section 1 : Organisation générale de la fonction RH………………………………………..……….…..……..208 Section 2 : Administration………………………………………..………………………………………………………..………211 Section 3 : Gestion des carrières………………………………………..…………………………………………..……….213 Section 4 : Recrutement………………………………………..………………………………………………………………..215 Section 5 : Formation………………………………………..………………………………………………………………...……..217 Section 6 : Relations et activités sociales………………………………………..…………………………………..…218

Chapitre 5 : Mission d'audit de la Direction Comptable.
Section1 : Audit systémique du service comptable………………………………………..…………………..…226 Section 2 : Les reportings réglementaires………………………………………..…………………...…………….....233 Section 3 : Risques fiscaux………………………………………..…………………………………………………………......235 Section 4 : Consolidation………………………………………..…………………………………………………………….…...236

Conclusion générale……………………………………………………………..………………………………...………..239 Annexes ………………………………………..……………………………………………………………………………………...246 Bibliographie…………………………………………………………………...…………………………………………………....276

3

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Partie introductive

4

__________________________________________________________________________________________ Partie introductive Introduction Problématique générale Intérêt du sujet Hypothèse centrale Propos méthodologiques Chapitre préliminaire : Le système bancaire marocain : vue d’ensemble 5 .L’audit systémique bancaire. un outil d’efficacité du risk management.

Phénomène qui semble se propager pour toucher ainsi le paysage bancaire marocain. en Europe. on constate une accélération des fusions et des acquisitions dans le secteur bancaire. désintermédiation.). de protection des investisseurs et de transparence des marchés et d'autre part. Depuis le début du troisième millénaire. risques accrus. avec les évolutions qui marquent le secteur bancaire et qui se caractérisent notamment par la rapidité de renouvellement des process. plus significatifs et plus complexes.. depuis déjà quelques années dans beaucoup de pays occidentaux (Etats Unis. comment expliquer l’accélération actuelle ? Quelles en sont les conséquences sur les fonctions exercées par les banques et les risques qui en découlent ? Le paysage bancaire mondial y compris celui marocain sera-t-il dominé par quelques méga banques dans quelques années ? Ainsi. quelle que soit l’origine du risque (crédit. l'automatisation accélérée des traitements ainsi que par la technicité et la diversité croissantes des produits. Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle des risques. France. un outil d’efficacité du risk management. Ceci n'est pas le 6 . Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour tirer les conclusions de ces évolutions.…). En effet. système d'information. des exigences toujours plus élevées à la gestion des risques et à l’organisation des établissements bancaires. Application aux systèmes d'information. Grande Bretagne. __________________________________________________________________________________________ 'audit systémique. historiquement. Le secteur bancaire est en mutation : déréglementation. L’axe de progrès le plus évident est la mise en place d’un système interne de connaissance de leur exposition aux risques. les banques marocaines comme les banques étrangères ont vécu de profonds bouleversements dans les années quatre vingt se traduisant par la décentralisation et l'internationalisation des activités. pour n’en citer que les éléments les plus courants. Les banques font face à un environnement socioéconomique mouvant et de plus en plus complexe. De même. elles accroissent le risque de contrôles inadaptés voir défaillants. les risques auxquels les banques sont confrontées sont devenus plus nombreux. aux ressources humaines et à la comptabilité. le développement des produits sophistiqués et la prise de risques dans un contexte de baisse des marges. la croissance des volumes d’opérations. Le pilotage des risques bancaires via le risk management et l'audit interne est une problématique largement d'actualité. Japan. marché. Si. un outil d’efficacité du risk management.. aux activités de marché.L’audit systémique bancaire. Cas du système bancaire marocain Introduction. la restructuration du secteur bancaire n'est pas un phénomène nouveau.

sont susceptibles d'engendrer un effet de domino auprès d'autres opérateurs sur les marchés avec des conséquences difficilement calculables pour le système financier. Les pertes importantes qu'ont subies plusieurs banques et établissements financiers sur leur activité de trading illustrent par ailleurs. le Maroc a lui aussi failli tomber sous le coup d'une instabilité financière causée par les difficultés financières de deux grandes banques publiques de la place. et sur la confiance qu’il doit inspirer à tous. ne sont que des exemples de cette liste noire (Cf. élaboré des doctrines dont l’objet principal est de soumettre les banques à des règles permettant de minimiser le risque de les voir manquer à leurs obligations vis-à-vis de leurs déposants. Ces turbulences financières qui ont secoué les marchés financiers internationaux en général et celui marocain en particulier. Fleming et Morgan Grenfell. les contrôles se renforcent et les sanctions deviennent plus dissuasives. De nombreuses affaires sur plusieurs grands marchés tels que Barings. S'il est vrai que ces accidents n'ont pas mis le système financier en danger. Annexe 1) et ont montré que l’existence de procédures adaptées était nécessaire mais pas suffisante. ayant abouti dans certains cas à des situations dramatiques. mais une conséquence des problèmes économiques importants que soulève la question. de manière assez pragmatique. Cette préoccupation est réelle. Daïwa et Sumitomo. cette crise aurait pris un tournant dangereux. Cette gestion longuement assimilée à une simple conformité à des règles prudentielles s'est révélée inefficace dans la mesure où celle-ci s’est limitée pour la plupart au respect d'un 7 . les conséquences de "break-down " dans le processus de maîtrise des risques. si elles ne sont pas contenues adéquatement par des tampons solides aptes à endiguer le risque systémique. A la suite de ces affaires et des menaces que fait peser une faillite bancaire sur le système financier tout entier. Le développement de ces règles dites « prudentielles » est en train de converger vers une approche de plus en plus similaire à celle résultant des analyses de la théorie financière : le projet du nouveau ratio de solvabilité dit « Mc Donough » a pour principal objectif de mieux prendre en compte la réalité des risques pour la définition des exigences de fonds propres auxquelles sont soumises les banques. Ces instances ont. à leur tour. un outil d’efficacité du risk management. la Turquie et la crise asiatique d'il y a quelques années n'en sont que des exemples. comme en témoigne l'actualité internationale : les crises récentes de l'Argentine. __________________________________________________________________________________________ fruit du hasard. ont mis en évidence certaines faiblesses dans la gestion et l'audit des risques au sein des établissements bancaires. Sans l'intervention des pouvoirs publics. les exigences des instances de régulation vont en croissant. Orange country et Metallgesellschaft. ils n'en sont pas moins porteurs d'un avertissement pour tous : des systèmes déficients en matière de gestion et d'audit des risques dans le secteur financier peuvent rapidement provoquer des pertes financières considérables lesquelles.L’audit systémique bancaire. Il y a quelques années.

face aux évolutions des métiers bancaires.L’audit systémique bancaire. d'accroître l'efficacité de celle-ci. …etc. qu'un ensemble de pratiques de l'audit. la solidité et la santé de tout établissement bancaire est une responsabilité qui incombe en premier lieu au management de celui-ci: il n' y a aucun système spécifique de surveillance bancaire qui puisse remplacer une gestion saine et efficace d'une banque. de rendre l'organisation existante plus performante et plus généralement. il en découle une pluridisciplinarité des champs observés : ressources humaines. comptabilité. S'il est vrai que l'audit bancaire comporte des coûts élevés. En effet. A l'évidence. Il n'existe pas encore de théorie d'audit bancaire standard et globalement acceptée. quelle que soit la nature des missions confiées à l'audit interne. Celle-ci passe désormais par une implication plus importante du management dans le choix d'outils pertinents les mieux adaptés au profil de risque de l'établissement bancaire. En effet. Ainsi. système d'information. Nous n'avons à l'heure actuelle. l'existence d'une structure d'audit interne au sein d'une banque traduit la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil à même de limiter les risques inhérents à ses activités. qui ont évolué au cours des années. Des conditions sont à remplir pour que l'audit interne puisse être un véritable outil d'efficacité. __________________________________________________________________________________________ ensemble d'indicateurs plutôt généraux et a passé sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du top management et du conseil d'administration dans le contrôle des organisations bancaires. en s’appliquant au système de gestion et de contrôle des risques bancaires. 8 . Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer. les risques bancaires sont des phénomènes complexes et difficiles à cerner. les banques ne peuvent plus se contenter pour leur gestion de s'appuyer sur une approche limitée de gestion des risques bancaires. En effet. L'audit bancaire présente quelques spécificités de part les particularités de l’environnement analysé. l’interprétation des résultats et les difficultés d’élaboration d’un système de référence. avec les besoins et les métiers de la banque. activités de marché …. l'exhaustivité du périmètre audité. il s'est avéré qu'un audit déficient ou insuffisant coûte encore plus cher. qui ont généré de nouvelles variantes de risques et modifié les facteurs de fragilité financière. De plus. Il est évident que dans ces conditions. l’audit interne peut jouer un rôle non négligeable en matière d’efficacité du management d’une banque. un outil d’efficacité du risk management. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission qui lui est assignée. le savoir-faire technique et qualités intrinsèques de l'auditeur.. Quoi qu'il en soit. Dans ce répertoire. un pilotage plus fin devient alors vital. il devient de plus en plus impératif de développer des outils d'audit spécifiques dans le but de détecter et de couvrir tous les risques inhérents à l'activité bancaire. le niveau d'efficacité sera fonction d'un certain nombre de paramètres tels que la pertinence de l'approche empruntée.

il est de plus en plus pressant que les établissements bancaires puissent s'investir dans le développement d'instruments complémentaires d'analyse fondés sur des méthodes à la fois quantitatives et qualitatives voir systémiques.L’audit systémique bancaire. du risque de marché et du risque opérationnel. un outil d’efficacité du risk management. avec la publication par le Comité de Bâle de l'accord sur l'adéquation des fonds propres qui. La pression forte et continue des régulateurs bancaires. Celle-ci a modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire. en particulier celles cotées. Une rétrospective sur l'évolution des normes et des pratiques en la matière souligne toutefois le caractère récent de cette préoccupation avec les premières réflexions d'ensemble qui remontent seulement à une vingtaine d'années. rappelons-le . Problématique générale. tout en répondant aux exigences réglementaires serait possible avec l'approche de l'audit systémique. en premier lieu le Comité de Bâle. __________________________________________________________________________________________ Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel. L'évolution spectaculaire des référentiels de gestion des risques découle de deux phénomènes qui sont venus se cumuler. Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un système existant. Contexte international La problématique de gestion et d'audit des risques apparaît donc comme une donnée omniprésente et essentielle dans l'appréciation de la qualité des établissements de crédit. une telle approche permet aux établissements bancaires de disposer d'un outil précieux pour mieux gérer et contrôler leurs risques. ne traitait à l'époque que les risques de crédit ( cette norme est à la base de la décision réglementaire de Bank AlMaghrib (BAM) N°96 du 25 décembre 1992 relative à l'instauration du ratio de solvabilité imposé à l'ensemble des opérateurs dans le secteur bancaire). Disposer de cette visibilité globale sur le risque. pour améliorer les dispositifs de gestion et de contrôle des risques dans l'objectif de garantir la stabilité économique au niveau mondial et d’éviter la survenance de risques systémiques. phénomène qui n'est d'ailleurs pas spécifique au secteur bancaire mais concerne l'ensemble des sociétés et. Le Comité de Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit. C'est en effet en 1988 que le premier texte international visant à réguler l'exposition aux risques des banques a vu le jour. L'impulsion du marché avec la montée en puissance des thématiques de gouvernement d'entreprise et de transparence. - 9 .

vers une conception étendue à l'ensemble des risques banacires. un débat fragmenté a été soulevé depuis quelques années avec pour toile de fond les dysfonctionnements vécus ces derniers temps par certains établissements de crédit . un outil d’efficacité du risk management. La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un "going concern".. Cette problématique générale étant précisée. les rapports annuels des grandes banques internationales comportent actuellement des présentations de plus en plus importantes sur les dispositifs globaux de "risk management". plusieurs règlements se sont succédés. et une communication désormais spécifique sur la gestion du risque opérationnel.L’audit systémique bancaire. __________________________________________________________________________________________ L'analyse des textes qui émanent des autorités prudentielles bancaires.. alors qu'ils étaient concentrés initialement sur les risques financiers (crédit. - - Une autre tendance de fond observée depuis 1998 réside dans l'élargissement des référentiels de gestion et de maîtrise des risques. jusque-là considérés comme pionniers dans le pilotage bancaire et le contrôle interne. montre une attention croissante portée depuis quelques années par ces autorités à ces thèmes. les expositions et les incidences passées et futures. avec en particulier : La déclinaison au niveau du secteur bancaire du principe de responsabilité finale des administrateurs dans le fonctionnement du contrôle interne et de la mise en place de comités d'audit . 10 . des travaux approfondis ont été entrepris par le Comité de Bâle sur le thème du risque opérationnel. Dans ce contexte de foisonnement et de progression continue des textes sur la gestion des risques des banques. Qu'en est-il de la question au Maroc? Contexte marocain Le paysage bancaire marocain se caractérise par un cadre prudentiel qui a fait l'objet d'une refonte profonde dès 1993 coïncidant avec la promulgation de la nouvelle loi bancaire.). dont le plus important est la circulaire N°6 relative au contrôle interne des établissements de crédit diffusée par Bank Al Maghrib (BAM) en février 2001. En particulier. Dans le prolongement de cette nouvelle loi bancaire. au niveau international. L'affirmation constante de la nécessité de transparence vis-à-vis du marché. marché. ainsi que sur la rentabilité des activités autour de différents indicateurs de création de valeur. Celle-ci passe notamment par une communication adaptée sur l'organisation interne de la gestion des risques. Avant la diffusion de cette nouvelle circulaire. de gestion et d'encadrement des différents risques avec le développement du concept de "Risk Management" notamment à travers des textes réglementaires sur le contrôle interne. La définition d’un cadre complet et précis sur le mode d'organisation.

découlant à la fois des pratiques internationales et des nouvelles approches fondées sur une gestion interne des risques. actuellement pratiqués par le système bancaire marocain : • Le management bancaire est-il sensible à tous les risques : opérationnels.L’audit systémique bancaire. la recrudescence des fraudes …. Toujours est-il qu'une question demeure posée à ce sujet. la rude course concurrentielle. Dés lors. ce sont leurs conséquences – notamment la fragilité financière accrue – qui attirent l’attention. un outil d’efficacité du risk management. Ce renforcement du dispositif prudentiel et son alignement sur les normes internationales visent à prévenir les différents risques liés à l'exercice de l'activité des établissements de crédit. La gestion des risques bancaires revêt encore plus d'importance auprès des autorités monétaires qui se sont démarquées ces derniers temps par la diffusion d'un ensemble de règles et de recommandations visant à mettre en place une nouvelle approche de surveillance de risque basée sur un renforcement des systèmes de contrôle interne. au-delà des causes des mutations que connaît le paysage bancaire marocain (les mouvements de fusion absorption.). financiers. conférant à cette institution l’autonomie en matière d’élaboration et de conduite de la politique monétaire et la nouvelle loi bancaire du 14 février 2006 ayant renforcé les prérogatives de Bank Al-Maghrib dans le domaine de la supervision bancaire. stratégique et de réputation ? 11 . la disparition des petites banques. Ces actions entreprises par les autorités monétaires traduisent une volonté ferme des organes de tutelle en vue d'éradiquer toutes les sources potentielles pouvant entraver un fonctionnement normal de l'ensemble du système financier. mais aussi sur la capacité des établissements de crédit à intégrer efficacement les nouvelles règles de contrôle interne. __________________________________________________________________________________________ Le cadre réglementaire du secteur bancaire a connu récemment de nouvelles évolutions et a ainsi subi plusieurs aménagements notamment à travers la refonte de deux textes fondateurs à savoir : les nouveaux statuts de Bank Al-Maghrib. adoptés par le Parlement le 13 janvier 2005. celle-ci porte non seulement sur l'efficacité des mesures réglementaires instituées par les autorités monétaires. des sanctions pécuniaires applicables aux différentes infractions ont. Actuellement. leurs actionnaires et l'ensemble de leurs partenaires. Afin d'inciter les établissements de crédit à se conformer à la réglementation en vigueur. Comment peut-on expliquer que certains établissements bancaires aient connu autant de difficultés financières ? Est-ce seulement dû à un management « irresponsable » ou s’agit-il d’un problème d’efficience de leur système d'audit interne? La circulaire N°6 de BAM arrive donc à point nommé pour rappeler aux établissements de crédit leurs responsabilités et la nécessité de maîtriser leurs risques majeurs pour protéger leurs clients. été édictées. en outre. des interrogations majeures s'imposent sur l'efficacité des dispositifs d'audit interne.

systèmes d'information. ou processus).) ? Permet-elle au management de la banque de décider des actions à mener pour gérer ces risques : assumer. Plus pratiquement. du pouvoir et de l'efficacité nécessaires pour mener à bien sa mission ? Le système d'audit bancaire marocain est-il efficient ? La cartographie des risques des établissements bancaires est-elle fiable et exhaustive ? La cartographie des risques permet-elle d'identifier les risques (par métiers. caractérisé par diverses mutations économiques et réglementaires importantes ( forte tendance concurrentielle .…) ? Disposent-elles de manuels de procédures ou de modes opératoires pour piloter les missions d’audit réalisées dans tous les métiers ? • • • Enfin. prévenir (réduire la fréquence ou la probabilité de survenance). ressources humaines.. jouit-il de l'indépendance. comptables.. Directions centrales.. l’intérêt du sujet découle de trois considérations principales : • Le contexte en forte évolution.) et les entités de la banque (Réseau.…) et de les rattacher aux éléments concernés (tâche. Audit interne et Compliance en termes de gestion. pression réglementaire) qui souligne l'importance de l’audit bancaire pour la stabilité 12 . de contrôle et de prévention de ces risques ? L’audit interne au sein du système bancaire marocain. . domaines. filiales et succursales) ? Les directions d'audit interne disposent-elles de pôles de compétence aptes à mener des missions d'audit dans des métiers spécifiques (salle des marchés. système. peut on améliorer l’efficience du système d’audit interne bancaire marocain par une nouvelle Approches d’audit systémique ? Intérêt du sujet. de qualifier ces risques (fréquence. éviter. lesquels seront à surveiller à l’aide d’indicateurs des risques clés "Key Risk Indicators" ? Le champ d’audit des établissements bancaires est-il exhaustif ? Son périmètre couvre-t-il tous les risques (marchés. ressources humaines. niveau de criticité. acteur.L’audit systémique bancaire. système d'information. gestion actifs-passifs. finance et comptabilité. atténuer (réduire l’impact financier ou d’image) ou transférer (assurance)? Fournit-elle au management une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles.. un outil d’efficacité du risk management. __________________________________________________________________________________________ • Comment a-t-il réparti les rôles entre les divers acteurs de son entité (Risk management. logistique.

un outil d’efficacité du risk management.L’audit systémique bancaire. de temps. demande beaucoup d’implication. sera développée une démarche méthodologique d'audit systémique illustrée via quatre lignes métiers (système d'information. Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion des risques. Devant les difficultés majeures de mise en place d'un dispositif efficace de contrôle interne au regard des tendances internationales et des nouvelles exigences réglementaires. développé dans le présent thème de recherche. tout en répondant aux exigences réglementaires. activités de marché. les activités de marché. __________________________________________________________________________________________ financière et explicite dorénavant le rôle majeur du top management dans ce processus de pilotage et de contrôle. • L'objectif de cerner et de prévenir tout risque de perte de valeur qui nécessite des outils adéquats en termes de développement. les établissements de crédit marocains offrent-ils un environnement propice pour une mise en œuvre dans les délais souhaités par les autorités monétaires des nouvelles recommandations formulées dans les nouvelles dispositions réglementaires ? • L'intérêt du travail que je me propose de développer dans le cadre du présent thème de recherche se veut tout d'abord pragmatique compte tenu à la fois des réalités économiques et organisationnelles des établissements de crédit marocains. Face à un environnement socioéconomique de plus en plus difficile marqué par la multiplicité et la complexité des risques et l'accroissement du risque d’audits inadaptés ou défaillants. tels que : le système d’information. mais aussi critique et précurseur d'une nouvelle approche d'audit bancaire. les ressources humaines et la comptabilité. Hypothèse centrale. comptabilité et ressources humaines) et qui pourrait ainsi être étendue à d'autres métiers. a pour objectif ultime de proposer aux établissements bancaires un outil précieux pour mieux gérer et auditer leurs risques. L'objectif primordial de cette étude est donc de fournir une esquisse des pratiques d'audit dans le système bancaire et de démontrer l'incapacité des systèmes classiques d'audit de couvrir seuls l'ensemble des métiers bancaires et particulièrement ceux réputés comme "inauditables" de part leur complexité et/ou de leur technicité. Disposer d'une visibilité globale sur les risques. de reporting et de maîtrise des risques qui passent incontournablement par un renforcement du dispositif de contrôle interne et par conséquent de l'approche d'audit. et dans le cadre même du processus naissant d'alignement sur les standards internationaux à la fois comptables et financiers. d’efforts et de ressources de la part des banques. Ainsi. les banques doivent plus que jamais disposer d’un système de gestion et 13 . l’audit systémique. Eu égard à cette volonté aussi bien publique que privée.

avec des silos d’informations. Elle permettra de déterminer les indicateurs et mesures de gestion puis les plans d’actions les mieux adaptés pour les maîtriser. gérer et consolider différents types de risques provenant de plusieurs localisations géographiques ou domaines fonctionnels. a donc nécessité l’existence des systèmes d’analyse. Dans ce contexte. La fonction d’audit interne est un instrument incontournable pour vérifier le bon fonctionnement. Ces exigences ont entraîné pour certains établissements de crédit des réflexions sur leur organisation. tout en répondant aux exigences de Bâle II. les autorités de réglementation et de contrôle bancaire ont pris de nombreuses initiatives en vue de développer et de renforcer le contrôle interne dans les établissements de crédit. Un système de contrôle interne adéquat requiert un ensemble efficace de mesures intégrées. des évaluations. un outil d’efficacité du risk management. des recommandations. ainsi que les mécanismes de propagation. De nombreux établissements financiers ont encore un mode de fonctionnement compartimenté. l’efficacité et l’efficience du système de contrôle interne. des avis sur les activités examinées et contribue ainsi à un meilleur pilotage de la banque. Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit. de temps. Cet environnement de plus en plus complexe et mouvant dans lequel évoluent les établissements de crédit.L’audit systémique bancaire. Disposer de cette visibilité globale sur le risque. Or. d’analyses et d’hypothèses parfois incohérents entre les entités de la banque. L’objectif est de s’assurer d’une part que les risques de toute nature sont analysés et surveillés et de contribuer d’autre part à la prévention ou à la détection précoce de ces risques. efficace et susceptible de mieux maîtriser et de prévenir l’apparition de nouveaux risques. de mesure. Depuis plusieurs années. l’audit interne fournit au top management des analyses. Il leur est donc difficile d’obtenir une vision d’ensemble fiable des multiples risques rencontrés et d’en mesurer le niveau global. leur système d’information ainsi qu’une révision de leur dispositif d'audit interne. adaptées à l’organisation et au fonctionnement de l’établissement bancaire et conformes aux principes d’une gestion prudente et saine. de maîtrise des risques performants qui complètent ainsi le dispositif prudentiel. du risque de marché et du risque opérationnel. demande beaucoup d’implication. une méthodologie d’audit des risques appelée "audit systémique " est primordiale pour en étudier les principales causes et conséquences. ou bien adopter une politique globale de gestion du risque en conformité avec la nouvelle réglementation Bâle II. le monde bancaire doit faire face à de nouveaux enjeux : disposer d’informations précises. provenant de sources internes éparses et de divers partenaires externes. 14 . Dans le cadre de ses travaux. d’efforts et de ressources de la part des banques. Sur le plan réglementaire. __________________________________________________________________________________________ d’audit de risques performant.

mais d’une étape dans un processus permanent d’analyse et d’évaluation des risques bancaires. à titre illustratif. Elle vise également à améliorer et coordonner les processus de gestion existant en intégrant. la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers dans la maîtrise. la vigilance et la réactivité des unités fonctionnelles et de répondre aux exigences du risk-management. et qui pourrait d'ailleurs être étendue à d'autres métiers. de vérifier l'efficacité du dispositif de contrôle interne par ligne métier. 15 . illustre parfaitement l'originalité et la pertinence de l'approche. Il ne s’agit donc pas simplement d’un audit classique. l'audit systémique contribuerait inévitablement à améliorer l'efficience du système d'audit interne bancaire marocain en mettant en œuvre une politique globale de gestion des risques. un outil d’efficacité du risk management. la gestion et la prévention des risques. __________________________________________________________________________________________ Elle aboutira notamment à mieux connaître le profil de risque des activités exercées (cartographie des risques). en particulier. Instauré en globalité pour tous les métiers ou intégré individuellement pour compléter un système existant. C’est d’ailleurs l’objectif principal recherché par le Comité de Bâle : le fait de pousser les banques à moderniser leurs systèmes internes de pilotage des risques devrait en effet conduire à une sécurisation accrue et donc à une amélioration globale de la qualité du système de contrôle interne et de la bonne gouvernance bancaires. En instaurant une nouvelle approche d'audit systémique. dans le présent travail pour quatre lignes métiers (systèmes d'information. une démarche méthodologique d'audit systémique est développée.L’audit systémique bancaire. ressources humaines et comptabilité). marché et opérationnel. sur la base duquel le management pilote les différentes activités. indicateurs de veille et de suivi). les problématiques de contrôle interne. et enfin. elle permettra d’accroître la responsabilité. L’audit systémique présente une approche intégrée capable d’identifier les facteurs de risque et qui inclut toutes les analyses appropriées à la mesure de tous les types de risques : crédit. Ainsi. quelle que soit la complexité des organisations ou des processus à auditer. d’accroître la responsabilité. les établissements bancaires seraient aptes à mieux évaluer et gérer leur risque. Une telle approche permet d'avoir une vision globale et maîtrisée des risques. à développer et alimenter les outils nécessaires au pilotage de ces risques (référentiel de risques par activité. salle des marchés. de déontologie. Enfin. Un audit systémique devient aujourd’hui un instrument efficace à la conduite raisonnée du métier de banquier. de sécurité des systèmes d’information. dans le cadre d’un dispositif d’évaluation globale des risques.

par plusieurs banques de renom. Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle approche d'audit systémique dans le dispositif de maîtrise globale des risques. • Enfin. un examen typologique des risques bancaires et leurs critères d'évaluation comme étant l'étape la plus importante et surtout la plus difficile à apprivoiser dans le processus de management des risques et un aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain. un outil d’efficacité du risk management. qui se veut tout d'abord un outil permettant de mettre en exergue les difficultés à la fois techniques et méthodologiques dans l'audit interne des risques bancaires. __________________________________________________________________________________________ Propos méthodologiques. On ne manquera pas à cet effet. de rappeler quelques expériences étrangères sur les meilleures pratiques "Best practices" de la profession d'audit. 16 . L'orientation de mon travail découlera en grande partie des résultats de cette analyse qualitative. Elle présente d'abord. par une mise en perspective de la fonction d’audit interne auprès du top management. Si les concepts et les méthodes font l'objet d'un large consensus. Tout en s'alignant sur les nouvelles dispositions découlant du comité de Bâle sur le contrôle bancaire ainsi que les nouvelles règles instituées par la circulaire N°6 relative au contrôle interne des établissements de crédit au Maroc. et d'autre part par les nouvelles approches d'audit interne pratiquées. Ces dernières constitueront via leur Approches d’audit systémique. La méthodologie du traitement du présent sujet s'inscrit en trois étapes: • D'abord. mon travail s'articule en deux parties: • • La première partie traite des pratiques d'audit interne dans le système bancaire marocain. ce travail se veut aussi un diagnostic de la réalité des établissements de crédit marocains eu égard à cette nouvelle tendance réglementaire et leur capacité à pouvoir s'y conformer dans les délais souhaités. Mon propos à ce sujet est d'étudier les difficultés de mise en place de dispositifs internes efficaces d'audit en s'appuyant sur une analyse approfondie de la stratégie et de l'organisation des différentes activités des établissement de crédit marocains. au travers d'un travail d'enquête approfondie sur le terrain auprès d'un échantillon représentatif des banques marocaines. à travers un benchmarking et un raccordement de synergie entre d'une part les enseignements tirés de mon expérience personnelle en audit bancaire. un repère incontournable de la conduite de ce travail.L’audit systémique bancaire. dresser un constat de la problématique et des enjeux de la question et les difficultés pragmatiques de sa mise en œuvre. Pour étudier tous ces aspects. à l’échelon mondiale. l'organisation des systèmes et des structures gérant les modèles internes est incontournablement différente d'un établissement à l'autre.

à travers un échantillon de cinq banques privées marocaines. le positionnement et le rôle des acteurs du système de contrôle interne et le dispositif d'audit pratiqué pour quatre métiers hétrogènes choisis de part leur haute technicité. elle souligne les principes fondamentaux relatifs à l'audit interne en général et les particularités de l'audit bancaire de part la pluridisciplinarité des champs observés (ressources humaines. Trois thèmes ont été mis en évidence. la salle des marchés.L’audit systémique bancaire. la comptabilité et ressources humaines) pour illustrer concrètement l'approche. choisies parmi les établissements les plus représentatifs de l'activité bancaire à l'échelon national. Enfin. une présentation des résultats de l'enquête sur l'efficience du système d'audit bancaire marocain. un examen typologique des risques bancaires et leurs critères d'évaluation comme étant l'étape la plus importante et surtout la plus difficile à apprivoiser dans le processus de management des risques et un aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain. système d'information. • La seconde partie est consacrée à l'approche méthodologique de l'audit systémique bancaire en exposant d'abord sa particularité en la situant dans le contexte d'audit du système de contrôle interne global. un outil d’efficacité du risk management. __________________________________________________________________________________________ Ensuite. Enfin. Pour étudier tous ces aspects. Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle approche d'audit systémique dans le dispositif de maîtrise globale des risques. elle souligne les principes fondamentaux relatifs à l'audit interne en général et les particularités de l'audit bancaire de part la pluridisciplinarité des champs observés (ressources humaines. Enfin. activités de marché…) et la multiplicité et la complexité des risques qui en découlent. Elle présente d'abord. une présentation des résultats de l'enquête sur l'efficience du système d'audit bancaire marocain. sera développé l’apport d'une telle démarche dans la maîtrise. choisies parmi les établissements les plus représentatifs de l'activité bancaire à l'échelon national. sera développée en détail une démarche méthodologique d'audit systémique pour quatre lignes métiers à savoir les systèmes d'information. à travers un échantillon de cinq banques privées marocaines. activités de marché…) et la multiplicité et la complexité des risques qui en découlent. système d'information. Ensuite. mon travail s'articule en deux parties: • La première partie traite des pratiques d'audit interne dans le système bancaire marocain. la sensibilité du management à l'audit. Ensuite. la gestion et la prévention des risques et sa contribution dans l’amélioration de l'efficience du système d'audit interne bancaire marocain. 17 .

sera développé l’apport d'une telle démarche dans la maîtrise. __________________________________________________________________________________________ Trois thèmes ont été mis en évidence. le positionnement et le rôle des acteurs du système de contrôle interne et le dispositif d'audit pratiqué pour quatre métiers hétrogènes choisis de part leur haute technicité.L’audit systémique bancaire. la sensibilité du management à l'audit. la comptabilité et ressources humaines) pour illustrer concrètement l'approche. Enfin. la gestion et la prévention des risques et sa contribution dans l’amélioration de l'efficience du système d'audit interne bancaire marocain. Ensuite. sera développée en détail une démarche méthodologique d'audit systémique pour quatre lignes métiers à savoir les systèmes d'information. un outil d’efficacité du risk management. • La seconde partie est consacrée à l'approche méthodologique de l'audit systémique bancaire en exposant d'abord sa particularité en la situant dans le contexte d'audit du système de contrôle interne global. 18 . la salle des marchés.

L’audit systémique bancaire. un outil d’efficacité du risk management. 19 . __________________________________________________________________________________________ Chapitre préliminaire : Le système bancaire marocain. vue d'ensemble.

Depuis le début des années 90. mais à un rythme qui ne menace pas de déstabiliser l’équilibre financier des principales banques commerciales. __________________________________________________________________________________________ Chapitre préliminaire : Le système bancaire marocain : vue d'ensemble. une part nettement plus importante des crédits est destinée au financement du secteur privé. la libéralisation des taux d’intérêt. le secteur financier au Maroc a connu une période de libéralisation marquée par des réformes appuyées par une série d’initiatives de la Banque Mondiale. Réformes et évolutions du système bancaire marocain et sa position macro économique. Avec la réduction de la présence de l’Etat dans le système bancaire. la refonte des nouveaux statuts de Bank Al-Maghrib en janvier 2005 et la nouvelle loi bancaire en février 2006 ont renforcé les prérogatives de la Banque Centrale dans le domaine de la supervision bancaire et de la politique monétaire. L’intermédiation financière des banques marocaines s’est développée par rapport à la taille de l’économie. La revue de la réglementation et de la supervision bancaires au Maroc a été fondée sur les vingt-cinq principes formulés par le Comité de Bâle. il faut souligner l'élimination de l'encadrement du crédit. la refonte du cadre législatif de l'activité des établissements de crédit par l'adoption en 1993 d'une nouvelle Loi Bancaire.L’audit systémique bancaire. Plus récemment. Néanmoins. Ces réformes portaient sur le secteur bancaire (1991-1995). Le financement du Trésor continue de représenter une partie non négligeable des emplois du secteur bancaire. Parmi les principales reformes mises en œuvre pendant cette période. la croissance relative des crédits à moyen et long terme et de l’épargne bancaire à terme ne s’est pas sensiblement améliorée. un outil d’efficacité du risk management. on peut schématiser le positionnement du système bancaire dans le système financier marocain comme suit : 20 . la suppression progressive des emplois obligatoires (Plancher d’Effets Publics) et le renforcement de la réglementation prudentielle des banques en s’inspirant des normes internationales. le développement du marché des capitaux et la poursuite de la libéralisation du secteur financier (1996). Ainsi. Réglementation et supervision bancaires. Ces principes ont été proposés à la fin de l’année 1997 en vue de rehausser la qualité de la réglementation et de la supervision bancaires.

Crédits bail Filiales de banques étrangères . Le Groupement Professionnel des Banques du Maroc (GPBM) est l’instance professionnelle des banques. ASFIM Ministère des Finances Conseil Déontologique des Valeurs Mobilières (CDVM) Réseau Trésor (collecte de la petite épargne) Réseau comptes chèques postaux (CCP) Caisse d'Epargne Nationale (CEN) Epargne Institutionnelle Caisse de Dépôts et Gestion (CDG) Compagnies d'assurances.CADRE INSTITUTIONNEL AUTORITES DE REGLEMENTATION ET DE SUPERVISION BANQUES Banque Centrale BANK AL MAGHRIB - OPERATEURS SOCIETES DE FINANCEMENT Banques commerciales . 21 . Il communique notamment les décisions et positions communes de la profession en matière d’environnement opérationnel des banques et publie régulièrement des recommandations sur les taux de base bancaire.Crédits à la consommation Banques spécialisées . un outil d’efficacité du risk management. mission dévolue exclusivement aux services de Bank AlMaghrib qui trouve ses prérogatives renforcées par la nouvelle loi bancaire du 14 février 2006 en particulier dans le domaine de la supervision bancaire. __________________________________________________________________________________________ SYSTEME FINANCIER MAROCAIN . caisse de retraite et de prévoyance Banques offshores Marché des Capitaux Bourse de Casablanca Sociétés de bourse Organismes de Placement Collectif des Valeurs Mobilières (OPCVM) Le Ministère des Finances n’est pas impliqué dans le contrôle des opérations courantes des établissements de crédit. APSF. APSB.L’audit systémique bancaire.Autres Succursale de banque étrangère ASSOCIATIONS PROFESSIONNELLES GPBM. Les autres associations professionnelles incluent l’Association Professionnelle des Sociétés de Financement (APSF) et l’Association Professionnelle des Sociétés de Bourse (APSB) et des OPCVM (ASFIM).

suite au rachat fin 2003 de Wafabank par la Banque Commerciale du Maroc. la filiale du groupe Société Générale) et Wafagestion. au lieu de 18. plusieurs banques internationales ont augmenté leur participation dans le capital des grandes banques marocaines. avec 10% dans le capital de la Banque Marocaine du Commerce Extérieur (BMCE). S'agissant des six banques off-shore.L’audit systémique bancaire. installées à Tanger. la Banque Marocaine du Commerce Extérieur (BMCE) et les trois filiales françaises. ce qui a porté leur nombre.7% des actifs des banques commerciales à fin 2004. mais présent à hauteur de 34% dans les filiales stratégiques que sont Wafasalaf (2ème société de crédit à la consommation de la place. à savoir : AttijariWafa Bank. • Des participations étrangères minoritaires mais significatives et s’accompagnant d’accords commerciaux : • Le CIC. Le paysage bancaire marocain Présentation du système bancaire marocain Le secteur des établissements de crédit se composait au terme de l'année 2004 de 17 banques1. • Le secteur bancaire marocain se partage en quatre catégories d’établissements : • Les banques de dépôts classiques. La part du capital étranger dans les banques marocaines atteint 20. après EQDOM. • La Société Générale contrôle 51. consécutivement à une opération de fusion-absorption. à 2043 unités.44% du capital de AttijariWafa Bank. • Santusa Holding (Espagne) avec 14.000 habitants (1 pour 2 500 en France) ce qui représente encore un réel potentiel de développement. __________________________________________________________________________________________ 1. soit un guichet pour près de 15. en l’occurrence la SGMB.4 millions de dollars.9% de la Société Générale Marocaine de Banque (SGMB). aujourd’hui au nombre de sept : parmi elles. On recense: • Des filiales françaises : • BNP Paribas contrôle 63. Sur les trois dernières années. au lieu de 40% en 2003. 22 . devenue à cette occasion Attijariwafa Bank. cinq étaient en activité à fin décembre 2004.12% de la Banque Marocaine pour le Commerce et l’Industrie (BMCI). on trouve les cinq grandes banques privées qui réalisent près des deux tiers de la collecte des dépôts bancaires. la BMCI et le CDM. depuis juin 2004. à compter de 2004. et de 40 sociétés de financement contre 44 en 2003. avec un total bilan de 834. Une présence marquée des banques étrangères : les grandes banques privées du Royaume comptent dans leur actionnariat des banques étrangères plus ou moins impliquées dans leur gestion. elle s'est élargie avec l'ouverture de 94 guichets permanents. un outil d’efficacité du risk management. • Le Crédit Agricole avec1. en progression de 53%.48% du capital de AttijariWafa Bank. Quant à l'implantation bancaire. à fin 2004. • Le Crédit Agricole contrôle 51% du Crédit Du Maroc (CDM). 1 Dix-sept.

4 filiales. Médiafinance3. Nombre de banques : 17. 2 BANK AL AMAL . de la Caisse Nationale de Crédit Agricole (CNCA) et de la ex Banque Nationale pour le Développement Economique (BNDE). un outil d’efficacité du risk management. a pour mission le financement de projets d’investissement visant la réinsertion dans leur pays d’origine des Marocains résidant à l’étranger. qui est un organisme public à caractère mutualiste. en leur accordant des concours techniques et financiers.L’audit systémique bancaire. Les anciens organismes financiers spécialisés (OFS) dans le financement de secteurs d’activités particuliers : il s’agit du Crédit Immobilier et Hôtelier (CIH). L’Etat a participé à la recapitalisation nécessaire (325 millions d’euros depuis 1998) sans qu’à ce jour la situation soit pleinement assainie. Casablanca Finance Markets3. MEDIAFINANCE (créée en 1996) et CASABLANCA FINANCE MARKETS (créée en 1998) interviennent sur le marché des titres négociables de la dette.043 guichets au Maroc. Diverses autres banques dont la création répond à des besoins spécifiques et dont l’objectif initial n’est pas de remplir la fonction de banque de dépôt. Implantation des banques : 2. Effectif des établissements de crédit : 26. • • Chiffres-clés du système bancaire Structure du système bancaire au 31/12/2004. 4 23 . Nombre de banques offshore : 6.000 environ pour les banques. Sociétés de financement : 40 dont 22 sociétés de crédit à la consommation et 8 sociétés de crédit-bail. qui ont vécu un processus de restructuration qui s’est traduit par un plan de redressement pour les deux premières et par un démembrement en mars 2003 de la BNDE entre la Caisse de Dépôts et de Gestion qui récupère l’agrément bancaire et la CNCA qui récupère le réseau d’agences. devenu banque en DECEMBRE 1996. créée en 1989. __________________________________________________________________________________________ • Le Crédit Populaire du Maroc. Le FEC a pour mission de concourir au développement des collectivités locales. concerné en particulier par la collecte de la petite épargne.653 guichets au Maroc. Implantation de Barid Al-Maghrib : 1. constitué de la Banque Centrale Populaire (BCP) et son réseau des Banques Populaires Régionales (BPR). 3 Le FEC est un établissement public créé en 1959. On recense dans cette catégorie Bank Al Amal2. 13 succursales et agences bancaires ainsi que 64 bureaux de représentation à l’étranger.251 dont 24. et le Fonds d’Equipement Communal (FEC)4. Nombre d’établissements de crédit : 57.

relative à l’exercice de l’activité des établissements de crédit et de leur contrôle. En 2004.L’audit systémique bancaire. les conditions de leur exercice et les contrôles auxquels sont assujettis les établissements de crédit.P) (BMCE BANK) (BMAO) (BMCI) (BNDE) (CFM) (CITI BANK) (CAM) (CDM) (CIH) (FEC) (MDF) (SGMB) (UMB) Source : BAM 2.AL HOCEIMA BANQUE POPULAIRE DE RABAT BANQUE POPULAIRE DE TANGER-TETOUAN BANQUE POPULAIRE DU CENTRE SUD CASABLANCA FINANCE MARKETS CITIBANK MAGHREB CREDIT AGRICOLE DU MAROC CREDIT DU MAROC CREDIT IMMOBILIER ET HOTELIER FONDS D'EQUIPEMENT COMMUNAL MEDIAFINANCE SOCIETE GENERALE MAROCAINE DE BANQUES UNION MAROCAINE DE BANQUES Sigle (ARAB BANK PLC) (ATTIJARI WAFA BANK) (BANK AL-AMAL) (B.C. __________________________________________________________________________________________ LISTE DES ETABLISSEMENTS DE CREDIT ET DES BANQUES OFFSHORE Raison sociale ARAB BANK PLC ATTIJARIWAFA BANK BANK AL-AMAL BANQUE CENTRALE POPULAIRE BANQUE MAROCAINE DU COMMERCE EXTERIEUR BANQUE MAROCAINE POUR L'AFRIQUE ET L'ORIENT BANQUE MAROCAINE POUR LE COMMERCE ET L'INDUSTRIE BANQUE NATIONALE POUR LE DEVELOPPEMENT ECONOMIQUE BANQUE POPULAIRE D'EL JADIDA . Ce texte définit les opérations bancaires.BENI MELLAL BANQUE POPULAIRE DE MEKNES BANQUE POPULAIRE DE NADOR .SAFI BANQUE POPULAIRE D'OUJDA BANQUE POPULAIRE DE CASABLANCA BANQUE POPULAIRE DE FES-TAZA BANQUE POPULAIRE DE LAAYOUNE BANQUE POPULAIRE DE MARRAKECH . le cadre légal et réglementaire régissant le secteur financier a connu plusieurs évolutions qui visent la modernisation de ce secteur et le renforcement de sa stabilité. Environnement institutionnel et réglementaire en pleine mutation Les établissements de crédit sont régis par la loi N°1-93-147 du 6 juillet 1993. un outil d’efficacité du risk management. 24 .

en partie. Il a pour vocation. Les instances dirigeantes doivent être directement impliquées dans la conception. notamment : • de renforcer. d’une certaine taille. ils sont tenus de se doter d’un système de contrôle interne leur permettant de s’assurer que les opérations réalisées sont conformes aux dispositions légales et réglementaires en vigueur ainsi qu’aux orientations des organes de gestion et que les limites fixées par ces organes pour la prise de risques sont strictement respectées.1 . De plus. dit ratio Cooke. sont tenus de désigner un responsable du contrôle interne. les établissements de crédit. de traitement. __________________________________________________________________________________________ Elles ont concerné aussi bien le système bancaire que les autres compartiments du secteur financier. reposant sur une couverture minimale de 8% des risques de contrepartie par les fonds propres. un cadre d’adéquation des fonds propres des banques. le Comité de Bâle avait publié.Nouvel Accord sur les fonds propres (Bâle II) 2.Rôle du Comité de Bâle Le Comité de Bâle sur le contrôle bancaire sert de forum pour la coopération entre les pays membres et non membres en matière de supervision bancaire. à l’échelle mondiale.2 . d’administrateurs non dirigeants. chargé notamment d’évaluer la cohérence et l’adéquation des dispositifs de contrôle mis en place ainsi que la pertinence des mesures préventives. Dans le prolongement de ses efforts de consolidation de la stabilité du système bancaire international.1. • de faciliter les échanges d’informations sur les activités des banques à vocation internationale . la solidité et la stabilité du secteur bancaire et de réduire les disparités entre les réglementations nationales .Dispositif de contrôle interne Les établissements de crédit ont été appelés à renforcer leur dispositif de contrôle interne suite à l’institution de règles minimales par la circulaire n°6/G/2001 du 19 février 2001. de diffusion et de conservation des données comptables et financières. L’organe d’administration doit se faire assister par un Comité d’audit constitué. 2. 2. en 1988. la mise en œuvre (organe de direction) et l’approbation du système de contrôle interne (conseil d’administration ou de surveillance). indépendant des entités opérationnelles. un outil d’efficacité du risk management. 25 . • d’améliorer les techniques de contrôle bancaire. Ce dispositif doit également garantir la fiabilité des conditions de collecte. détectives ou correctrices adoptées pour maîtriser les risques constatées.2.L’audit systémique bancaire. chargé du suivi de l’efficacité du dispositif de contrôle interne. Aux termes de ce texte.

les autorités monétaires ont transposé le dispositif de 1988 dans la réglementation nationale dès 1993. • une discipline de marché moyennant la publication. tient compte de la réalité et de la structure du système bancaire marocain. pour la transposition du nouvel Accord. 2. la sophistication des pratiques. conçu au départ pour les banques d’envergure internationale. ce qui s’est traduit par un accroissement significatif des fonds propres des banques. en juin 2004. d’informations périodiques sur la nature et le volume des risques ainsi que sur les méthodes de leur gestion. des banques et d’autres parties intéressées. de la globalisation financière qui s’est accompagnée de l’apparition de nouveaux risques et qui a entraîné de nombreuses crises financières. notamment. S’agissant du Maroc. un outil d’efficacité du risk management. Le ratio Cooke a montré ses limites sous l’effet. __________________________________________________________________________________________ Ce ratio. le Comité de Bâle a proposé un amendement à l’accord de 1988 censé introduire une plus grande sensibilité aux risques et permettre d’appréhender de manière plus exhaustive l’ensemble des risques encourus.L’audit systémique bancaire. Après de larges consultations auprès des instances de supervision. Elle s’inscrit dans un cadre de concertation continue avec la profession bancaire qui a montré sa disposition à adopter le nouvel Accord. En vue d’une bonne transition vers ce nouveau dispositif. C’est une démarche structurante et incitative. le Comité de Bâle a publié. en juin 1999. la version définitive du nouvel Accord sur les fonds propres sous l’appellation « convergence internationale de la mesure et des normes de fonds propres ». le Comité de Bâle a amendé ce ratio en élargissant l’assiette des risques à ceux associés aux activités de marché.2. En outre. développées par les banques pour l’évaluation et la maîtrise de leurs risques. En 1996. Le nouvel Accord repose sur les trois piliers suivants : • des exigences minimales de fonds propres qui sont une extension des règles définies dans l’accord de 1988 . et ouverte sur les différentes approches de calcul des fonds propres réglementaires prévues par le Comité de Bâle.2. a été adopté par l’ensemble des autorités bancaires. Ainsi. en vue d’adopter les meilleures pratiques en matière de gestion des risques. de renforcer le cadre réglementaire et la transparence financière.Travaux menés pour la transposition de Bâle II au Maroc La démarche adoptée par Bank Al-Maghrib. • un processus de gestion des risques et de surveillance prudentielle renforcé . par les banques. Bank Al-Maghrib s’est fixée comme priorités de mettre le système de supervision en conformité avec l’ensemble des principes du Comité de Bâle. 26 . a rendu nécessaire la mise en place d’un nouveau dispositif plus adapté au contexte des marchés internationaux.

La structure des bilans des banques a connu des changements significatifs avec le processus de libéralisation du secteur financier mené depuis la fin des années 80. d’accroître la proportion des crédits dans le bilan. des travaux avec différents partenaires pour définir les éléments d’information minimums devant être requis par les établissements de crédit dans le cadre de l’instruction des dossiers de crédit. qui ont abouti à la publication d’une directive le 1er avril 2005. plusieurs actions ont été initiées par Bank Al-Maghrib pour le renforcement et l’assainissement des pratiques de communication financière à la charge des entreprises marocaines. Bank Al-Maghrib a engagé. en particulier. le Maroc satisfaisait à plus de la moitié de ces principes.L’audit systémique bancaire. Par ailleurs. tout en développant leur fond de commerce lié à des segments de la population jusque-là non bancarisés et d’autre part. la suppression des emplois obligatoires a permis à ces banques d’une part. Ainsi. Pour les banques commerciales. un outil d’efficacité du risk management. les banques publiques spécialisées ont modifié la composition de leurs passifs en recourant davantage à la collecte des dépôts et au marché de la dette privée 27 . l’application des ratios prudentiels en fonction du profil de risque de chaque établissement. au cours de 2004. • • 3. ces changements ont concerné davantage leurs actifs. Activité et résultats du système bancaire. de diversifier leurs portefeuilles titres tout en augmentant le volume des opérations de marché et en investissant de nouveaux créneaux des autres compartiments du secteur financier en pleine évolution. __________________________________________________________________________________________ • Mise en conformité du système de supervision bancaire avec les 25 principes du Comité de Bâle La mise en conformité du système de supervision bancaire avec les principes fondamentaux édictés par le Comité de Bâle constitue une condition préalable pour réussir la transition vers Bâle II. notamment dans le cadre de la notation des contreparties. Renforcement de la transparence financière La mise en place de Bâle II repose sur un environnement de communication financière sain et la disponibilité d’informations fiables qui revêtent une importance capitale. le GPBM mène un projet de création d’une Centrale d’Information Client (CIC) qui a pour objet d’assurer la collecte et la diffusion d’informations auprès des banques adhérentes afin d’améliorer la sélection et l’acceptation des risques et d’accélérer la prise de décision d’octroi de crédits. De son côté. la mise en place d’une commission de coordination des organes de supervision du secteur financier et la conclusion d’accords de coopération et de coordination avec les autorités de supervision des autres pays. De leur côté. D’après les résultats du rapport d’évaluation du secteur financier (FSAP) réalisé conjointement par le FMI et la Banque Mondiale au cours de l’année 2002. A cet égard. Mise à niveau du cadre légal et réglementaire De nouvelles dispositions ont été introduites dans la nouvelle loi bancaire pour permettre au système de supervision d’être en conformité avec les 25 principes fondamentaux du Comité de Bâle.

6 point. a induit un léger changement au niveau de leur structure. de manière plus significative. 3. 2 : Les rubriques des l’actif sont présentées nets des provisions 3 : Cette rubrique regroupe les opérations effectuées notamment avec les banques.1. __________________________________________________________________________________________ pour financer leur activité de crédit qui a été étendue. 5 Etablis depuis l’exercice 2000 nets de provisions pour dépréciation d’actifs. 417 milliards de dirhams en progression de 8. les sociétés de financement. les services financiers de Barid Al-Maghrib. durant 2004. 28 . le total cumulé des bilans5 des banques a atteint en 2004.7% de l’activité sur base sociale. Bank Al-Maghrib. Ainsi. la Caisse de Dépôt et de Gestion. en hausse de 8.6% par rapport à 2003. un outil d’efficacité du risk management.2 .6 point et 0. représentant 98.L’audit systémique bancaire. le Trésor public. par rapport au total du passif. la Caisse Centrale de Garantie. 4 : Y compris les intérêts courus 3.5 milliards de dirhams. Celles des dépôts de la clientèle et les fonds propres ont augmenté de 0.4%. les établissements de crédit étrangers. qui intègre celle exercée par les succursales et les agences installées à l’étranger.Les emplois des banques ont connu une hausse couvrant des évolutions différenciées de leurs différentes composantes Appréhendé à travers l’activité sur base sociale. les banques offshore et les associations de micro-crédit. Le volume de leur activité réalisé au Maroc s’est élevé à 411. la part des dettes envers les établissements de crédit et assimilés et celle des titres de créance émis a baissé respectivement de 1. à la distribution de concours à court terme.7 et 0..L’évolution des ressources des banques reflète un renforcement des ressources en provenance de la clientèle L’évolution des ressources des banques.5 point.

Les résultats des banques se sont inscrits en nette amélioration A fin 2004. le résultat net de l’ensemble des banques s’est inscrit en sensible augmentation pour dépasser le niveau de l’année 2000. rompant ainsi avec le faible résultat de l’année 2002 et le résultat négatif de l’année 2003. __________________________________________________________________________________________ 3.L’audit systémique bancaire. un outil d’efficacité du risk management. 29 .3 .

2% cette année-là. l’une des faiblesses du secteur qui polarise 339 milliards de DH de dépôts dont 25% provenant des MRE. tandis que les banques privés ont affiché des performances plus ou moins équilibrées sur plusieurs fronts. il devrait se stabiliser si les créances en souffrance des PME croissent à moyen terme du faite d’une augmentation des crédits qui leur sont accordés. selon l’agence. est la qualité des actifs qui n’a pas arrêté de se détériorer pendant sept ans. Selon l’étude.3% à fin 2005. Dans l'ensemble. Dans le pire des cas. et au travers d’une approche au cas par cas. ce changement de stratégie vers la banque de détail n'a pas encore mené à l'amélioration des profits financiers des banques. avec un taux de créance en souffrance estimé à 16. Dans l'ensemble. Cela dit. un outil d’efficacité du risk management. Dans son analyse du secteur. les banques du secteur public font face à des problèmes de qualité d'actifs nuisibles. Une récente étude6 de l'agence de notation internationale Standard & Poor's (S&P) a classé les banques marocaines dans une gamme étroite d'évaluations variant généralement entre 'B' et 'BB'. l’agence de notation opère une différenciation claire entre la performance des banques privées et celle publiques. En excluant celles des ex-OFS. S&P estime que le code de commerce place les banques dans une position relativement faible dans la négociation avec les mauvais payeurs. prudente mais lente. le développement rapide des activités détail n'a pas encore été évalué par un cycle économique prolongé. 30 . De plus. Evaluation du système bancaire marocain. Des quatre institutions publiques. __________________________________________________________________________________________ 4. Ce n’est qu’en 2005 qu’ils ont commencé à s’améliorer. Les banques marocaines sont orientées presque uniquement sur le marché intérieur et souffrent en conséquence de la faible sophistication de leurs marchés respectifs. 6 Rapport de l’agence de notation internationale Standard and Poor’s du 20 avril 2006. la seule institution à avoir un profil comparable à celui des banques privées. est en train de rectifier le tir de façon équilibrée. S&P cite la mauvaise gestion et la politique défaillante d’octroi des crédits. le Crédit Populaire du Maroc représente. Si les crédits sont généralement couverts par des garanties suffisantes. ce taux ressort à 10. Ce gap est dû aux difficultés rencontrées par le passé par les ex-OFS. Ces évaluations à caractère spéculatif reflètent principalement l'environnement économique relativement risqué dans lequel ces banques opèrent. S&P prévoit une baisse de ce taux à l’avenir. Elles disposent d'une gamme de produits étroite avec des opportunités toutes aussi réduites pour l'octroi de crédit à des contreparties de bonne qualité. grâce notamment à des pratiques gestionnaires plus professionnelles s'inspirant pour certaines de leur maison mère dotées de systèmes de contrôle plus sophistiqués.L’audit systémique bancaire. Mais le gouvernement avec l’aide de divers partenaires. les crédits aux particuliers servent comme relais aux crédits aux entreprises considérés plus risqués et moins profitables.

Le système bancaire marocain semble ouvert à une concurrence démesurée par rapport aux opportunités de financement d'activités économiques prometteuses. Demande et offre peu sophistiquées. à juger par le poids des créances en souffrance qui dépassent de loin les normes observées chez d'autres pays. le niveau de rentabilité du secteur résiste.L’audit systémique bancaire. Ces déséquilibres ont eu un impact significatif non seulement sur la rentabilité de ces établissements. ni sophistiquée en terme d'offre de produits. elles-mêmes s'expliquant en grande partie par la dépendance significative aux dépôts de marocains résidents à l'étranger. elles élargissent leur palette de services. Mais ils ne sont pas tout aussi moins vulnérables que les établissements publics. L'expérience des banques du secteur public dans la sphère des banques commerciales est relativement limitée (situation succédant à celle d'organisme financier spécialisé où les établissements publics bénéficiaient d'un statut juridique privilégié les plaçant à l'abri de toute concurrence privée ou étrangère et bénéficiant en outre d'une dispense de l'application intégrale des dispositions prudentielles). A l'opposé. Quelques banques du secteur privé de renommée supérieure ont néanmoins la capacité technique pour fournir des produits bancaires plus avancés. La mise en œuvre du processus de libéralisation a mis en évidence des défaillances de fond qui se sont révélés principalement à travers la qualité dégradante de leur actif d'engagement fortement pénalisé par le poids des créances en souffrance. s'accompagnant par une pression agressive sur les marges et l'engagement dans les relations créditées d'un niveau de risque élevé. __________________________________________________________________________________________ Ce texte limite le pouvoir des banquiers à récupérer les actifs des sociétés défaillantes. mais même sur leur existence fortement compromise par le poids des pertes importantes occasionnées par une mauvaise gestion du risque de crédit. Pour ce faire. Contraintes d'environnements bancaires et structurels. L'activité bancaire n'est ni grande dans sa taille. L’une des ambitionsclés des banques est de devenir universelles. avec la présence très limitée d'opérations avec l'étranger. En outre. 10 sont des établissements financiers privés. les banques marocaines manquent de modèles de développement économique cohésifs. malgré une forte pression sur les marges d’intérêt. Le rapport souligne toutefois que l’adossement de plusieurs établissements à des banques étrangères leur permet de bénéficier d’un transfert de technologie et d’un savoir-faire. s'expliquant en grande partie par le faible niveau de bancarisation de la population et l'existence d'une économie parallèle traitant généralement en dehors du système bancaire. notamment dans le crédit à la consommation. les établissements du secteur privé semblent plus résistants à la volatilité et la lenteur de croissance de l'économie marocaine. Les banques du secteur privé dominent le secteur bancaire marocain. Dans l'ensemble. le marché demeure tiré par une demande cantonnée dans les 31 . un outil d’efficacité du risk management. toutefois. Cette rentabilité est préservée grâce à une consolidation dans le secteur et l’adoption d’une politique de niche. Des 17 banques dans le système. Les opérations des banques marocaines sont orientées vers l'économie domestique.

La rentabilité globale du secteur bancaire marocain demeure relativement faible comparée à d'autres pays. La croissance de banque de détail semble des plus prometteuses. Les banques marocaines semblent profiter à cet effet d'un niveau relativement élevé des marges d'intérêt et d'un coût réduit de leurs ressources (comme plus de 50% de leurs dépôts sont des dépôts à vue non rémunérés). le niveau de la ROE se situerait entre 10% et 11% en retrait par rapport aux performances atteintes au cours des années précédentes (une moyenne de 14% . elle affiche une ROE stabilisée autour de 7%. Par conséquent. un outil d’efficacité du risk management. L'ensemble du secteur semble par ailleurs de plus en plus orienté vers le financement d'engagements de qualité au détriment du volume. le développement de la distribution de crédit au Maroc a été étroitement corrélé au rythme de la croissance de l'activité macro-économique pendant les cinq derniers exercices et est resté modeste compte tenu des besoins de financement modérés de l'économie. 7 PNB : Produit Net Bancaire. Ainsi : • • La diversification limitée de l'activité économique reflète le faible niveau de sophistication de la demande domestique . 32 . dans un contexte sectoriel de plus en plus concurrentiel caractérisé notamment par un double phénomène d'effritement des marges et d'accroissement des impayés. Le niveau bas de cette performance est beaucoup plus inhérent aux banques spécialisées en phase de redressement et affichant par la même occasion une rentabilité négative tirant vers le bas la performance globale du secteur bancaire. à condition que les outils de gestion du risque et des procédures soient mis en place. A l'inverse de la marge d'intermédiation.L’audit systémique bancaire.15% durant ma période 1996-2000). Sur les années à venir. le taux d'intermédiation moyen ne devrait que légèrement décliner pour atteindre un niveau moyen allant de 4% à 6%. Hormis les banques spécialisés. où prêter consiste typiquement en des opérations de financement de trésorerie à court terme et à taux fixe. C'est vrai même dans segment des entreprises. Faible niveau de rentabilité. les marges sur trésorerie et commissions devraient voir leurs contributions dans le PNB7 augmenter dans les années à venir et compenser ainsi la baisse prévisible des revenus tirés de l'activité de crédit. les banques dans leur ensemble accusent un retard relativement considérable dans la mise à niveau des activités de support en particulier les fonctions de risk management et de management des systèmes d'information. leur performance financière future devrait rester relativement stable. __________________________________________________________________________________________ services de base. Si ces banques continuent par ailleurs à étendre et à diversifier leurs revenus pour surmonter la pression sur les marges d'intérêt. Dans ce contexte.

le niveau de liquidité satisfaisant dans le système bancaire marocain reflète le manque d'opportunités d'engagements à faible risque. Créances en souffrance des banques commerciales Le montant des créances en souffrance des banques commerciales a enregistré. permettant un taux de couverture de 72.5% 33 .4% de l’encours des crédits qu’elles ont distribués. à 23. au lieu de 3. grâce notamment à une politique modérée de paiement de dividende et une rentabilité relativement stable. __________________________________________________________________________________________ Situation financière faible pour certains établissements. à 17. Il a représenté 12. un outil d’efficacité du risk management. Conscientes du caractère risqué de leur activité dans un environnement économique volatil. un accroissement annuel moyen de 15. entre 2002 et 2004. affectée en grande part le niveau élevé de provisionnement des créances en souffrance. Le rapport des capitaux propres sur le total bilan est resté relativement stable autour d'une moyenne de 10% pendant les cinq dernières années. les provisions constituées en couverture de ces créances ont enregistré un accroissement annuel moyen de 16%.L’audit systémique bancaire.7%. en particulier dans le segment fortement concurrentiel des entreprises.9% en 2003 et 3. à travers plusieurs années. La rentabilité reste en-dessous des standards des marchés émergeants.5% en 2003 et en 2002. • • La capitalisation de certaines banques publiques reste faible eu égard à leur structure financière nécessitant des appels de fonds importants pour les recapitaliser. un niveau adéquat de capitalisation.8 %. Le rapport entre les créances en souffrance nettes des provisions et l’encours net des crédits des banques commerciales s’est établi à 3. les banques marocaines ont globalement réussi à bâtir. Cela dit.2 % en 2004 contre 71.7 milliards de dirhams.1 milliards de dirhams. Parallèlement.

4% en 2003 et 18. les pratiques bancaires au Maroc sont relativement conservatrices. les plus grandes banques disposent d'avantages compétitifs plus étroits.un modèle basé sur des règles qui accordent une place importante au coût historique au détriment de la valeur économique. Leurs comptes de prêts aux entreprises affichent toutefois des concentrations élevées sur différents secteurs. Néanmoins.5% en 2004. Rapportées aux fonds propres. • Très peu de banques ont mis de côté les niveaux adéquats de capitaux propres contre les mauvaises créances. aboutissant ainsi à des problèmes de qualité d'actif devenant de plus en plus sévères. Ces établissements ont développé une solide notoriété sur le marché et affichent une bonne santé financière susceptible d'endiguer. mieux que les banques à dominante publique. la communication financière accuse toujours un retard au regard des meilleures pratiques internationales et se compare défavorablement avec les standards observés dans d'autres pays émergeants. un outil d’efficacité du risk management. toute aggravation du risque de contrepartie comme étant la principale cause d'insolvabilité. contre 22. Faible niveau de gouvernement d'entreprise. D'un coté positif. ces concentrations ont augmenté davantage lorsque les banques se sont désengagées des secteurs considérés comme risqués (l'agriculture. • Le problème de qualité des actifs a empiré au cours des deux précédentes années s'expliquant en grande partie par le ralentissement et le caractère volatile de la croissance économique ainsi qu'une exposition de risque moins diversifiée. ces créances ont représenté 20. en particulier dans le secteur privé. Ce n'est pas directement lié aux méthodes comptables. En outre. En général. qui s'alignent dans leur ensemble sur le modèle européen . Pendant les deux dernières décennies. pour se mettre en conformité avec ces dispositions. 34 . ont eu un impact différent sur les banques commerciales. certaines d’entre elles ayant vu leurs créances en souffrance s’accroître plus rapidement. les banques marocaines peuvent se prévaloir d'un antécédent satisfaisant en matière de stabilité du système bancaire marocain. le textile et les importateurs de céréale). notamment en 2003. • Les banques du secteur public accusent des déficiences importantes en matière de gestion du risque et de contrôle de crédit. le tourisme. Les banques marocaines affichent des résultats mitigés quand il s'agit de parler du gouvernement d'entreprise. De plus. Les réaménagements des règles de classification et de provisionnement des créances en souffrance.L’audit systémique bancaire. aucune crise de banque principale ne s'est produite au Maroc. Etant donné le manque d'opportunités de prêt aux grandes entreprises. __________________________________________________________________________________________ en 2002. intervenus à la fin des années 2002 et 2004. les banques tendent à être largement exposées à des petites et moyennes entreprises.7% en 2002.

• Les participations de l'Etat dans le secteur bancaire ont approuvé son inefficacité. notamment à travers les multiples cas de mauvaise gestion et de fraude. Le principe de gouvernement d'entreprise était quasiment absent dans la plupart des établissements de crédit à dominante publique : • La communication financière ainsi que les pratiques comptables ont besoin d'être adaptés dans le sens d'une meilleure information sur la situation financière des établissements de crédit. __________________________________________________________________________________________ Un héritage si historique n'est pas un facteur de contrainte en soi. Le faible niveau de gouvernement d'entreprise est une question récurrente. un outil d’efficacité du risk management. mais à une allure lente. • La réglementation ainsi que la surveillance s’améliorent. 35 . qui appliquent de plus en plus des Standards Internationaux de Comptabilité.L’audit systémique bancaire. mais limite des comparaisons avec d'autres banques émergeantes. qui place les établissements de crédit à la traîne des standards internationaux.

36 .L’audit systémique bancaire. __________________________________________________________________________________________ Première partie : L'audit interne dans le système bancaire marocain : des pratiques limitées aux fonctions classiques. un outil d’efficacité du risk management.

37 . __________________________________________________________________________________________ Chapitre 1 : Typologique et évaluation des risques bancaires.L’audit systémique bancaire. un outil d’efficacité du risk management.

Position partagée également par les organes de régulation qui s'accordent désormais d'une façon unanime à attribuer plus de responsabilités au management et aux organes délibérants des banques dans la gestion et la prévention des risques. Ces divers aspects seront développés par référence aux trois questions clefs suivantes : • Quels risques doivent être couverts par le risk management ? • Quels critères peuvent être affectés à leur identification et à leur évaluation ? • Quelles en sont les pratiques pour le système bancaire marocain ? 38 . pouvant compromettre la réalisation d’un objectif de la Banque ». L'absence ou l'insuffisance de leur maîtrise provoque inévitablement des pertes qui affectent la rentabilité et les fonds propres.L’audit systémique bancaire. La caractéristique propre du risque est donc l’incertitude temporelle d’un évènement ayant une certaine probabilité de survenir et de mettre en difficulté la banque. interne ou externe. Il est d’usage de dire que le métier de banquier est le métier du risque. __________________________________________________________________________________________ Chapitre 1 : Typologie et évaluation des risques bancaires. Les risques sont inhérents à l'activité bancaire. leur solidité et leur bonne santé financière est avant tout une responsabilité qui incombe en premier lieu au management de la banque. L'identification des risques est sans doute l'étape la plus importante et surtout la plus difficile à apprivoiser dans le processus de management des risques. Ils sont parfois difficiles à cerner aussi bien en terme d'intensité que de fréquence. Le risque inhérent au secteur bancaire se distingue par sa multiplicité et par son caractère multidimensionnel ne pouvant être mesuré par un seul indicateur. Les risques eux mêmes sont multiples par leur nombre et leur probabilité. Introduction. En dépit de la diversité et du degré de complexité des risques auxquels les établissements de crédit peuvent être amenés à faire face. mais on s'accorde souvent de les répertorier sous des catégories communément admises afin de faciliter la définition de modèles ou scénarii unifiés de gestion et de management des risques. un outil d’efficacité du risk management. Le risque peut se définir comme « tout événement ou toute situation. Il s’agit d’un incident éventuel plus ou moins prévisible.

Ces risques peuvent être classés en trois catégories : • Les risques financiers découlant du marché (impact de la variation des prix). Afin d'apprécier et d'analyser chaque risque. Le risque de réputation découlant de tout événement susceptible d'entacher la réputation de la Banque ou de porter atteinte à la confiance qu‘elle doit inspirer au public. commune et applicable à l'ensemble d'un établissement bancaire. • • 39 . une tendance se dégage . La première phase de toutes les démarches actuelles de gestion et de suivi des risques bancaires consiste dans la délimitation précise de ces derniers et dans une définition claire de ces risques. un outil d’efficacité du risk management. aux personnes et à l’environnement externe. Toutefois. aux procédures. L'inventaire des risques associés à l'activité bancaire fait état d'une variété de risques considérable. le risk manager et/ou l’auditeur bancaire procède à une estimation des risques inhérents (voir graphique ci-dessous) à chaque domaine d’activité. Il se manifeste suite à une publicité ou un événement négatif ou à des erreurs de communication externe. ses acteurs et l’environnement externe font courir à la banque.L’audit systémique bancaire. Les risques opérationnels qui ont leur source dans les risques que l’organisation. du défaut des contreparties (crédit) et de la liquidité (difficulté de la banque d’honorer ses engagements). Ils intègrent les risques liés aux systèmes d’information. du périmètre restreint ou étendu que l'on entend donner à chaque type de risque. au delà des diversités d'appréciation. Des divergences existent néanmoins sur leur nature et leur étendue. Le métier de la banque comme toute activité à but lucratif implique la prise de positions risquées. __________________________________________________________________________________________ Section 1 : Typologie des risques bancaires. Toute activité bancaire expose l'établissement à des risques stratégiques. des risques financiers et des risques opérationnels. des risques réputationnels.

40 . Les 8 Antoine SARDI : "Audit et Contrôle Interne bancaires " Ed Afges septembre 2002 . __________________________________________________________________________________________ Risques stratégiques Risques inhérents à l'activité Bancaire Risques financiers Liquidité Crédit Marché Risques opérationnels Compliance Juridique Sécurité & SI Comptabilité Fiscalité RH & Fraudes Exécution des transactions Risques de réputation 1. mais aussi dans la capacité de l’emprunteur de faire face à ses engagements. 1. risque enregistré dans le bilan. La notion de risque de crédit est immédiatement associée au risque de contrepartie. il est en effet clair que le risque premier réside dans la volonté. pour un dossier donné.Le risque de crédit Le risque de crédit est défini comme étant "la perte potentielle consécutive à l'incapacité par un débiteur d'honorer ses engagements.1. cas le plus classique et le plus courant. un outil d’efficacité du risk management.L’audit systémique bancaire. Cet engagement peut être aussi de livrer des fonds ou des titres à l'occasion d'une opération à terme ou d'une caution ou garantie donnée. risque enregistré dans le hors bilan " 8. Cet engagement peut être de rembourser des fonds empruntés. Les risques financiers.

Le risque opérationnel : cette notion recouvre toutes les erreurs de traitement qui peuvent survenir au cours de la vie d’un dossier tels que déblocage des fonds avant que toute la documentation requise n’ait été réunie. de régions géographiques. à des entreprises dans lesquelles ils ont des intérêts ou à des sociétés liées à des actionnaires importants de l’établissement. Le risque de concentration : une diversification insuffisante du portefeuille de concours en termes de secteurs économiques. dans le cas contraire. Le risque d’initiés : il s’agit de concours accordés à des conditions hors marché. Les pertes consécutives aux défaillances des clients sont malheureusement inévitables et inhérentes au métier de banquier. le montant en principal est également exposé. Le risque légal et réglementaire : l’activité de crédit est étroitement réglementée et le non-respect de nombreuses dispositions peut conduire l’établissement à supporter des pertes soit directement. bien évidemment irrécouvrables. il se manifeste lorsqu’un pays étranger ne dispose plus de réserves suffisantes pour faire face aux engagements en monnaie étrangère de ses ressortissants. ou selon des procédures exceptionnelles à des dirigeants de la banque. mauvaise identification des concours compromis… Le risque de crédit classique reste toujours la cause principale des problèmes bancaires. soit en raison de l’impossibilité de mettre en œuvre une garantie. Il y a un peu plus de cinq ans. le risque ne porte que sur la marge de l’opération. un outil d’efficacité du risk management. Les problèmes de risque de crédit sont souvent liés à des imperfections dans l'audit interne et le risque management.L’audit systémique bancaire. Le risque de fraudes : multiforme. __________________________________________________________________________________________ risques que l’on pourrait qualifier d’additionnels ou de connexes au risque de contrepartie doivent également être maîtrisés et donc préalablement évalués. Le risque de change : il naît chaque fois que l’établissement accorde un crédit dans une monnaie qui n’est pas celle de l’expression de ses capitaux propres. saisie erronée des conditions de crédit dans les systèmes de gestion. Le risque pays : bien connu des grands établissements. il peut s’agir par exemple de concours consentis à de faux clients. donc. On distingue alors : Le risque de garantie : la banque peut devoir supporter une perte si elle ne peut exercer la garantie attachée à un prêt en défaut ou si le produit de cette action s’avère insuffisant pour couvrir les engagements accumulés par le débiteur. Au nombre de huit. ou de taille d’emprunteur peut provoquer des pertes importantes. le sous-comité Bancaire de Surveillance de l'Institut Monétaire Européen a mené une enquête sur les causes 41 . si les ressources utilisées pour financer cet emploi sont libellées dans la même devise. ils prennent naissance lors de l’initiation des transactions et le plus souvent perdurent jusqu’à l’échéance finale.

__________________________________________________________________________________________ principales des pertes supportées par des banques en difficulté dans l'Union Européenne. pour un établissement de crédit. En définitive. 1. contre 12. Les cas douloureux des situations difficiles vécues par certains établissements bancaires spécialisés du secteur bancaire marocain en sont une parfaite illustration. Cette situation est inhérente principalement à l'aggravation des créances malsaines dans les secteurs agricoles et immobiliers fortement représentatifs de l'encours global des engagements bancaires tous secteurs confondus. contre 18. le poids des créances en souffrance s’est hissé à 19.2 . L'évidence de ce constat a été par ailleurs parfaitement illustrée au Maroc à travers les déboires de certains établissements financiers publics. Cela a été parfaitement illustré par la baisse progressive des taux d'intérêt sur certaines opérations de crédit en comparaison avec ce qui était pratiqué il y a deux à quatre ans.L’audit systémique bancaire. (Compte non tenu des banques spécialisées.2% en 2002) du portefeuille global des engagements des banques. les problèmes de liquidité et la mauvaise gestion. ce facteur était prépondérant comparé aux autres sources de risques. Ce sont les risques de pertes qui peuvent résulter des fluctuations des prix des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles d’engendrer un risque de change. L'on observe également depuis quelques années un accroissement sans précédent des crédits individuels. sur lesquels le gouvernement avait pourtant beaucoup misé pour appuyer plusieurs secteurs économiquement et socialement très sensibles. les risques pouvant résulter.Les risques de marché On entend par risques de marché. nul ne peut ignorer les facilités qui ont accompagnées l'octroi des crédits et la constitution de garanties. De plus.7% en 2003 et 17. 42 . un outil d’efficacité du risk management. notamment les opérations de change à terme et au comptant. BAM n'a pas hésité à exprimer publiquement son souci et a rappelé toute la profession bancaire à la raison suite à des baisses successives de taux d'intérêt sur des crédits hypothéqués pratiqués par certaines grandes banques de la place. En effet. Par conséquent. le risque de crédit demeure la première cause des difficultés et des faillites des banques.7% en 2002. ce taux est respectivement de 12. Dans ce contexte. comme par exemple les pertes sur les opérations de marché. en particuliers ceux assortis de gages hypothécaires au détriment des crédits aux entreprises ou aux professionnels.4% en 2004. La première analyse des 68 établissements de crédit confrontés à des problèmes financiers a clairement mis en évidence que le risque de crédit était dans 75% des cas la principale cause des situations graves vécues par le secteur bancaire.4% en 2004. Ces changements traduisent de temps en temps un renouveau de négligences sur des standards élémentaires de prudence. d’une évolution défavorable des données de marché ou de leur volatilité.3% en 2003 et 11.

de nouvelles entités appelées " salle des marchés " ont ainsi été créées pour répondre justement à cette contrainte croissante des risques de marché. Marché monétaire. Même si sur le plan local. des marges de manœuvre excessives et non contrôlées entre les mains de certains commerciaux combinée à une approche bénigne du management n'ayant aucune vue sur les positions risquées engagées par les 43 .L’audit systémique bancaire. elles demeurent toutefois un enjeu qui préserve toute son importance pour les établissements de crédit marocains. un outil d’efficacité du risk management. Dans ce contexte. Les évènements fortement médiatisés impliquant Bankers Trust. Les activités traditionnelles et les activités nouvelles ont été réunies dans cette nouvelle entité qui regroupe désormais l'ensemble des activités financières . Les causes de ces accidents convergent généralement vers les mêmes faiblesses : la confusion du front office et du back office. Marché des titres et fonds. __________________________________________________________________________________________ Le portefeuille de négociation susvisé comprend : les titres acquis. les imbrications de plus en plus fortes entre les activités de marché et celles de crédit et de liquidité. avec l’intention de les revendre à brève échéance en vue de tirer bénéfice des écarts entre les prix d’achat et de vente. les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le marché gris. les activités de marché ont été relativement moins ouvertes sur les innovations caractérisant les nouveaux marchés avec notamment la création de nouveaux instruments financiers. et ce dans le cadre d’une activité de marché. Barings et Daiwa Banks ainsi que les pratiques douteuses sont venues pour rappeler à cet égard l'enjeu grandissant sur les questions du professionnalisme et d'intégrité. Marché obligataire. les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer avantage de l’évolution des prix ou à couvrir les risques de marché encourus sur les instruments visés aux tirets précédents. ces événements constituent une parfaite illustration des pertes importantes qui pourraient résulter de négligences dans la gestion et la couverture des risques au sein de la banque. Un aspect spécial de gestion de risque est le contrôle des activités de marché. En réalité. dès l’origine. y compris les titres à livrer ou à recevoir. et ceci pour au moins deux raisons : les marges sur les opérations de placement et de trésorerie devraient voir leur contribution dans le PNB augmenter dans les années à venir et compenser ainsi la baisse prévisible des revenus tirés de l'activité de crédit. Marché des changes.

elle-même tirant profit d'un niveau exceptionnel de liquidité que la majorité des banques a dû placer en bons de trésor qui représente fin 2004 déjà 18% des actifs totaux du système. Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets . les positions de change sont restées à un niveau nettement en deçà des ratios réglementaires. un risque de contrepartie ou de livraison. dont 6. demander à l'établissement bancaire concerné de procéder à la liquidation de la position en question . qu'en est-il au Maroc ? Nous pouvons considérer à ce stade que le risque de marché demeure relativement limité. L'introduction du marché des changes depuis mai 1996. Ceci représente une exposition significative au risque de crédit souverain domestique. 9 Cependant. immédiatement après le constat de la perte . à la suite de l'autorisation donnée aux banques d'effectuer des placements en devises à l'extérieur. 9 44 . moins de 1 pour cent des crédits et dépôts bancaires étant libellés en devises. déclarer à BAM les pertes de change de plus de 3% enregistrées sur toute position dans une devise donnée et ce . a fortement diminué le volume des ventes directes de dirhams par la Banque Centrale aux banques étrangères s'ajoutant à la baisse des dépôts en devises des banques auprès de Bank Al Maghrib de plus de moitié et leur réorientation vers les correspondants étrangers. un outil d’efficacité du risk management. __________________________________________________________________________________________ commerciaux et leur adéquation par rapport à la politique de risque retenue par l'établissement de crédit.1 milliards en 2001 à 7. par ailleurs. aussi bien pour l'activité de placement que pour l'activité de change. une part importante des opérations en devises est traitée par les filiales des banques marocaines à l'étranger qui ne sont pas soumises aux limites fixées par BAM mais à celles du pays hôte. Les banques ont des positions en devises qui se situent nettement en dessous des limites prudentielles sur les positions globales en devise et les positions par devise. Activité de change L'exposition au risque de change des banques marocaines est limitée. Néanmoins. Cela dit. ce qui est d'ailleurs le cas le plus fréquent Bank Al Maghrib a autorisé les banques à conserver les positions à la fois longues et courtes en prévoyant toutefois des limitations et des mesures à même de prévenir des dérapages spéculatifs .L’audit systémique bancaire. s'il le juge utile . et créé aussi une source de sensibilité élevée des banques à la variation des taux d'intérêt alors que les taux d'intérêt poursuivent leur tendance à la baisse. 10 L'encours mensuel moyen des contrats de couverture à terme est passé de 7. les banques transmettent régulièrement à BAM les états financiers de leurs filiales à l'étranger. soit d'une simple défaillance de la partie adverse. Au niveau opérationnel. un développement important10. Activité de placement L'impact de la baisse des taux d'intérêt sur les marges nettes d'intérêt a été plus que compensé par des revenus croissants générés par l'activité de placement.5 milliards pour la couverture des risques de change liés aux importations et 1. Ce risque est associé à la défaillance temporaire ou permanente de la contrepartie qui pourrait résulter soit d'un différent entre les parties sur l'exécution de la transaction. Les établissements bancaires doivent.9 milliard de dirhams en 2002. Cependant. Le marché des changes à terme affiche toutefois. comme partout ailleurs. BAM peut alors .Ainsi une banque ne peut dépasser : Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets . l'exercice des activités de marché par les banques marocaines fait courir à celles-ci.4 milliards au titre des exportations.

__________________________________________________________________________________________ et aux conséquences les plus dommageables pour les établissements bancaires marocains. vu que ces dépôts sont mobiles. Les statistiques sur le comportement des dépôts et des crédits montrent effectivement que les ressources varient à la hausse selon une cadence plus forte que celle des emplois. d'où un excédent de liquidité que les banques jugent structurel compte tenu de: - la distribution de crédits de plus en plus verrouillée. Elles bénéficient à cet effet d'un financement quasiment gratuit constitué dans une large mesure de dépôts à vue (à très faible taux de rémunération).Le risque de liquidité Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir s’acquitter. l'autre particularité importante des dépôts des banques commerciales marocaines est que près du quart de ces dépôts provient des MRE. N'importe quelle 45 . un outil d’efficacité du risk management. soit en convertissant rapidement des actifs. soit en augmentant son passif. soulignent les analystes de S&P dans un récent rapport sur la solvabilité des banques nord-africaines. l'exercice des activités de marché est beaucoup plus générateur de risques opérationnels liés en particulier au dysfonctionnement aussi bien technique qu'humain (cf. la part des dépôts MRE dans l’ensemble des dépôts des banques est restée relativement stable au tour de 25 à 28%. Les banques bénéficient toutefois de la stabilité de leurs dépôts à vue et ont une faible dépendance vis-à. Lorsqu’un établissement ne dispose pas d’une liquidité adéquate. La majeure partie des dépôts bancaires est d'une durée inférieure à un an. Dans des cas extrêmes. Il résulte de l’incapacité d’une banque de faire face à une réduction de son passif ou de financer un accroissement de son actif. risques opérationnels ci-dessous). Néanmoins. Le risque de liquidité associé à ces dépôts a été faible au cours des dernières années. au stade de développement actuel des salles de marché au niveau du secteur bancaire marocain. Toutefois. ce qui limiterait l'octroi de crédits à des clients notés d'un niveau de risque élevé.3 . le comportement positif des dépôts dont une partie considérable provient des marocains résidents à l'étranger. il ne peut obtenir des fonds suffisants à un coût raisonnable. ce qui affecte sa rentabilité. 1. L'exposition actuelle des banques marocaines au risque de liquidité est relativement limitée (exclusion faite bien évidemment des ex-OFS). dans des conditions normales. ils représentent la source la plus importante du risque de liquidité du système bancaire marocain. de ses engagements à leur échéance. une liquidité insuffisante peut conduire à une situation d’insolvabilité.vis de gros dépôts à terme institutionnels ou commerciaux.L’audit systémique bancaire. En plus de la forte proportion des dépôts à vue. " Cette dépendance par rapport à cette manne d'argent est dangereuse.

dettes et positions du hors-bilan des banques. Les activités bancaires de dépôt et de crédit impliquent un risque significatif en cas de variation importante des taux d'intérêt. vue l'importance des dépôts à vue dont le rendement implicite augmente avec la hausse des taux. Il faut toutefois souligner que la source principale du risque de taux d'intérêt est la conséquence du non-adossement des ressources aux emplois ou le décalage. du passif et du hors-bilan. risque de base. risque de clauses optionnelles.4 . qui provient de modifications de la pente et de la configuration de la courbe. des emplois et des ressources quant aux échéances de révision des taux. qui résulte de différences dans l’échéance (pour les taux fixes) et le renouvellement des conditions (pour les taux variables) des positions de l’actif. dotés par ailleurs de caractéristiques de révision de taux analogues. qui est lié aux options explicites ou implicites dont sont assortis nombre de créances. la marge nette des banques résultant des produits et des charges d'intérêt diminuera sensiblement dans un contexte de baisse continue des taux d'intérêt alors qu'elle augmentera dans la situation inverse. qui est dû à une corrélation imparfaite dans l’ajustement des taux reçus et versés sur des produits différents. un outil d’efficacité du risk management. 46 . Ses effets peuvent se révéler préjudiciables à l'avenir d'un établissement de crédit. Il est évident en contrepartie que. 1. les banques commerciales ont une faible vulnérabilité immédiate aux fluctuations à court terme des taux d'intérêt. Ce risque affecte à la fois les bénéfices d’un établissement et la valeur économique de ses créances. dettes et instruments du hors-bilan.L’audit systémique bancaire. Les principales formes du risque de taux d’intérêt auxquelles les banques sont généralement exposées sont les suivantes : - risque de révision de taux. Dans l'ensemble. risque de déformation de la courbe des taux. __________________________________________________________________________________________ variation radicale dans les tendances d'outre mer de dépôt de liquidités représenterait une menace importante pour le secteur bancaire".Le risque de taux Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir une évolution défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit. Le risque de taux d’intérêt concerne à la fois les positions de taux prises en salles de marchés ainsi que l’exposition au risque de transformation qui est inhérent à l’activité bancaire par définition.

essentiel pour la gestion des risques opérationnels. Des erreurs. qui là encore est un facteur de détérioration de l'image de marque de l'établissement. des fraudes ou par toutes autres défaillances". défini.L’audit systémique bancaire. Il faut toutefois souligner que les problèmes financiers vécus par certains établissements financiers sont souvent la combinaison de la survenance d'un risque de 47 . tels que le risque de marché. Certains d'ailleurs définissent le risque opérationnel comme tout risque autre que les risques financiers. L'inefficacité est aussi un risque important. les pertes liées à des erreurs de valorisation ou à un mauvais suivi des risques ont défrayé la chronique : parmi les incidents les plus récents. Ils engagent. Présentation du concept. Or. autant les pertes consécutives à des risques mesurés. La masse et la diversité des opérations traitées quotidiennement par une banque sont toujours considérables. __________________________________________________________________________________________ 2. Il correspond également à une série de pertes occasionnées par la gestion des opérations qui ne sont pas reliées aux risques parfaitement identifiables. Barings. comme '' tous les risques qui pourraient être engendrés par des procédures inefficientes. et consciemment assumés et contrôlés. par inadvertance. En effet. le concept du risque opérationnel n'est pas bien défini et ne fait pas l'objet d'un consensus. de taux d'intérêt. Daiwa ou Sumitomo et la liste n'est pas exhaustive. le comité de Bâle dans son projet de réforme du ratio Cooke intègre explicitement l'importance des risques autres que les risques de crédit et de marchés et insiste sur la nécessité d'un environnement de contrôle interne rigoureux. des erreurs humaines ou techniques . En juin 1999. sont normales car inhérentes au métier de banquier. appelés parfois risques financiers. à l'article 8. mais également contribuent à détériorer son image de marque. Les propositions récentes du comité de Bâle en sont la preuve. non seulement la responsabilité pécuniaire de l'établissement. Les risques opérationnels. des contrôle inadéquats. de liquidité. La gestion des risques opérationnels commence à préoccuper de plus en plus les établissements. La circulaire BAM N°6 donnait un sens plutôt restrictif au risque opérationnel. Les pertes y afférents sont estimées à 12 milliard de dollars sur les dix dernières années. Elles sont toujours la conséquence d'une carence dans le système de contrôle interne. s'ajoute en général une mauvaise qualité des services. Ce sont là quelques aspects du risque opérationnel sans que cette liste soit exhaustive ou limitative. un outil d’efficacité du risk management. les faillites bancaires. par inconscience ou par l'insuffisance d'organisation sont intolérables. Durant les dix dernières années. qui se traduit par un coût excessif des services qui obèrent la rentabilité. de même que les actionnaires et les régulateurs. de crédit. A cette inefficacité. retards et fraudes se produisent inévitablement. négligences. autant les pertes par négligence. Le risque opérationnel n'est pas un sujet nouveau.

Le risque lié aux personnes (absentéisme. bug logiciel. des systèmes internes ou résultant d’évènements extérieurs ». Le comité de Bâle remarque. L’appréciation de la solvabilité bancaire.… mais aussi capacité de l'entreprise à assurer la relève sur les postes clés) . jusqu’ici mesurée au travers du ratio Cooke.…). des personnes. la sophistication des nouvelles technologies. Les quatre composantes du risque opérationnel. Le Comité de Bâle définit le risque opérationnel comme étant « le risque de perte résultant d’une inadéquation ou d’une défaillance attribuable à des procédures internes. plus complexes et plus diversifiés. Le développement de réducteurs de risques tels que les garanties. La cause indirecte était l'absence de supervision et de séparation des tâches et des fonctions. langages de programmation. non respect des procédures. catastrophe naturelle.…) . environnement réglementaire. et le profil de leurs risques. l’évolution de la réglementation bancaire le replace au premier rang des préoccupations au travers de normes que l’on désigne communément sous le terme de « Bâle II ». Les fusions à large échelle posent le problème de l'intégration de nouveaux systèmes. Ils se décomposent en 4 sousensembles : Le risque lié au système d’information : défaillance matérielle. les fusions rendent l'activité bancaire. __________________________________________________________________________________________ crédit ou de marché et d'un risque opérationnel.…) . Le risque lié aux évènements extérieurs (terrorisme. Les tendances actuellement observées sont les suivantes : Le développement des systèmes automatisés transforme le risque d'erreurs manuelles en risque de défaillance de système. Ainsi la cause de la faillite de la Barings était due à un risque de marché qui était la cause directe. ses acteurs et l’environnement externe font courir à la banque. par ailleurs que la globalisation.L’audit systémique bancaire. obsolescence des technologies (matériel. fraude. dérivés de crédits. il faut entendre les risques que l’organisation. un outil d’efficacité du risk management. Une notion précisée par le comité Bâle II : Les travaux de normalisation menés dans le secteur bancaire ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi n’est pas nouveau. va devoir prendre en compte les risques opérationnels. titrisation réduisent le risque de crédit et de marché mais font naître de nouveaux risques opérationnels. Le risque lié aux processus (saisies erronées. en sus des risques de crédit et des 48 . mouvements sociaux. Par risques opérationnels. la dérégulation.

baptisé « Mc Donough» du nom de l’ancien président du Comité de Bâle. Ratio McDonough = Fonds propres/Risques crédit + marché + opérationnels ≥ 8% 49 . c’est finalement la diversité des risques non couverts qui explique l’importance du coût final. Les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels : ils génèrent en moyenne près de 90 millions d’euros de perte. • • • l’analyse du profil global de risque des établissements par les régulateurs . Le nouvel accord sur les fonds propres a pour but de mieux aligner l’évaluation de l’adéquation des fonds propres sur les principales composantes des risques bancaires et d’encourager les banques à renforcer leurs procédures de mesure et de gestion du risque. Les trois piliers du ratio McDonough : Pilier I : exigences minimales en fonds propres pour couvrir les actifs pondérés en fonction du risque. Ceci se fera au travers d’un nouveau ratio. le contrôle des procédures et de la méthode interne d’affectation des fonds propres . • • • des normes renouvelées pour mieux tenir compte des risques mais sans modification du niveau global des fonds propres (8% en moyenne). la possibilité de fixer des exigences individuelles supérieures au minimal réglementaire. Pilier II : contrôle accru par le régulateur.L’audit systémique bancaire. dégâts des eaux). Les fonds propres doivent couvrir les risques de crédit et de marché et les risques opérationnels. une meilleure prise en compte des techniques de réduction des risques. une prise en compte des risques opérationnels. Pilier III : plus grande discipline de marché avec une exigence accrue de transparence sur la structure des fonds propres et les risques encourus. __________________________________________________________________________________________ risques de marché. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie. avec possibilité d’un examen individualisé des établissements. un outil d’efficacité du risk management. Le Comité Bâle II a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements.

50 . ces autorités seront habilitées à imposer des exigences de fonds propres supérieures à celles résultant de la seule application des formules réglementaires. Le futur régime donnera aussi un rôle plus important aux autorités de surveillance. EAD : Exposure At Default ou montant du crédit qui est exposé au moment du défaut. la perte en cas de défaut et de l’exposition au moment du défaut. et pour tenir compte du « profil risque » de chaque établissement. aux moyens de leurs informations internes. concernant la perte en cas de défaut et l’exposition au moment du défaut. Dans le cadre de l’approche IRB (Internal Rated Basing) de base. La probabilité de défaut mesure le risque défaut du débiteur. c’est à dire le montant des fonds propres nécessaires pour couvrir ce risque de crédit. LGD : Loss Given Default ou perte occasionnée en cas de défaut du débiteur : il s’agit du pourcentage de perte que la banque subirait par rapport au montant du crédit ouvert au moment du défaut. Dans l’approche IRB avancée. le comité de Bâle présidé par W. la banque estimera elle-même tous ces facteurs de risque. le Comité de Bâle I a proposé la mise en place du ratio Cooke. fournies par l’autorité de tutelle. qui impose aux banques de disposer d’un montant de fonds propres proportionnel à leur encours de crédit. en vue de la mise en place d’un nouveau ratio de solvabilité Mcdonough insiste sur les points suivants : Une plus grande différenciation dans le traitement des risques de crédits : l’incitation à adopter un nouveau système de notation interne concernant le risque de crédit permettant aux banques d’estimer par elles-mêmes. Après avoir intégré les risques de marché au ratio Cooke en 1996.L’audit systémique bancaire. auxquels on peut ajouter le facteur M ou Maturity c’est à dire la durée restante du crédit dont l’ampleur influence le risque de non-remboursement. Conformément aux dispositions prévues par le pilier 2. EL = PD x LGD x EAD EL : Expected Loss ou perte attendue. PD : Default Probability ou probabilité que le débiteur ne veuille pas ou ne puisse pas remplir ses engagements contractuels. la charge en capital.McDonough en a décidé la refonte en 1999. La logique de cette réforme est simple : elle suggère le passage d’une méthode purement quantitative et forfaitaire à une méthode ajoutant le qualitatif au quantitatif et partant plus sensible à la qualité intrinsèque des risques. Les consultations soumises à la profession bancaire par le comité de Bâle. __________________________________________________________________________________________ Les innovations de la réforme McDonough : En 1988. elle vise à réconcilier le capital économique et le capital réglementaire. Plus précisément. un outil d’efficacité du risk management. Cette note dérivera du calcul de la perte attendue définie comme étant le produit de la probabilité de défaut (qui sera estimée par la banque). la banque estimera uniquement la probabilité de défaut et utilisera les données.

à cause de conseils ou documents juridiques inadéquats ou incorrects. les établissements de crédit devraient disposer du savoir faire. absence d’installations de remplacement compatibles dans le cas d’interruptions prolongées de fonctionnement des équipements. il s’avère que la valeur de l’actif est inférieure. Le danger que des décisions soient fondées sur des informations non fiables ou trompeuses produites par des systèmes d’information mal conçus ou insuffisamment contrôlés est vraisemblablement plus grave. des contrôles organisationnels et internes nécessaires pour détenir et traiter l’information sous forme électronique. de défaillances de l’équipement ou des systèmes et des procédures de sauvegarde et de récupération des données. • • De telles pertes et interruptions peuvent entraîner de graves difficultés pour un établissement et risquent. 51 . Pour toutes ces raisons. Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la responsabilité de l’établissement de crédit du fait d’imprécisions. informations de gestion erronées résultant de procédures imparfaites de développement de systèmes.Le risque juridique. 2. L’utilisation de l’informatique fait courir des risques supplémentaires aux établissements de crédit : • perte de données et de programmes en cas de dispositifs de sécurité inadéquats. __________________________________________________________________________________________ L’importance de la discipline de marché reposant sur la communication régulière d’informations par les banques au marché. imputables à des défaillances dans le matériel ou à des erreurs. de compromettre sa capacité de continuer à poursuivre ses activités. de lacunes ou d’insuffisances dans les contrats et autres actes de nature juridique le liant à des tiers. des manipulations ou autres motifs (virus) affectant les programmes d’exécution. 2. si. aux prévisions. dans des circonstances extrêmes.2 .L’audit systémique bancaire. C’est le cas. par exemple. La diffusion d’informations significatives par les banques apporte des éléments aux intervenants et facilite l’exercice d’une discipline de marché efficace.1 .Le risque de système d'information. un outil d’efficacité du risk management. Les banques sont soumises à des formes diverses du risque juridique. ou la hauteur du passif est supérieure. Le risque de système d’information s’entend comme le risque de survenance de dysfonctionnements ou de ruptures dans le système de traitement de l’information. ce qui accentue le pouvoir des autorités de contrôle de ces banques.

4 . 52 . d’organisation et de mise en œuvre des procédures d’enregistrement dans le système comptable. l’orientation. • • Les risques liés aux ressources humaines concernent principalement les risques de management.3 . 2. la justification de l’information par une pièce d’origine. de non exhaustivité des données comptables et financières et/ou de non disponibilité de l’information au moment opportun conformément aux prescriptions du plan comptable des établissements de crédit (PCEC). Le risque comptable s’entend comme le risque de non fiabilité. d'absence de procédures comptables et de pistes d'audit ayant pour objet la reconstitution chronologique des opérations. de compliance. opérationnels et fiscaux. les lois existantes peuvent être impuissantes à résoudre des problèmes juridiques rencontrés par une banque.L’audit systémique bancaire.Le risque comptable. de déontologie. la formation. pour la Banque. Risque d’inadéquation des besoins aux ressources humaines. 2. en ne fournissant les ressources humaines adaptées (le recrutement. gestion. Concrètement. Il s’agit. il s’agit. Risque d’envahissement des préoccupations sociales. des risques résultant : • • d’insuffisances de conception. la motivation). formation et relations sociales. recrutement. un outil d’efficacité du risk management. Risque d’inadaptation des politiques sociales aux attentes du personnel. juridiques. par ailleurs. __________________________________________________________________________________________ En outre. de sécurité et de conformité aux normes comptables en vigueur.Le risque des ressources humaines. Une action en justice impliquant un établissement donné peut avoir des conséquences plus vastes pour l’activité bancaire et entraîner des coûts. des risques résultant : d’insuffisances de couverture des fonctions Ressources Humaines (RH) : administration. Ces risques peuvent être synthétisés en : • • • • • • Risque de non respect des textes réglementaires. de défaillance du système d'information comptable au regard des objectifs généraux de prudence. de dysfonctionnements du système de contrôle comptable garantissant l’adéquation des méthodes et des paramètres retenus pour l’évaluation des opérations dans les systèmes de gestion ainsi que la pertinence des schémas comptables et leur conformité aux règles de comptabilisation en vigueur. non seulement pour lui-même mais pour de nombreuses autres banques ou pour l’ensemble du système bancaire. les lois concernant les banques et autres entreprises commerciales peuvent changer. de non réponse aux besoins. l’explication des évolutions de soldes et le respect des règles d’évaluation applicables aux opérations de marchés. pour la Banque.

Le risque de règlement. du non respect des règles de prise de congés.2 . d'une défaillance de gestion des mouvements sociaux garantissant la continuité du fonctionnement de la banque (le dialogue social. 2. une croissance externe par fusion ou acquisition…etc. d'absence d'un système de rémunération objectif. le lancement de nouveaux produits ou de nouvelles activités.5. Ces risques englobent tous les risques qui ne peuvent être répertoriés dans la liste des risques développés plus haut. au cours du délai nécessaire pour le dénouement de l'opération de règlement. Le risque de règlement s'entend comme le risque de survenance. d'une défaillance ou de difficultés qui empêchent la contrepartie d'un établissement de crédit de lui livrer les instruments financiers ou les fonds convenus. La stratégie adoptée par un établissement de crédit dans différents domaines engage toujours des ressources significatives. du non respect des règles de confidentialité (paie. retards. la refonte du système d'information. heures supplémentaires systématiques. connu et dont la révision est formalisée. 2. d'une non sensibilisation du personnel aux risques de fraude interne et externe. dossiers personnels) et de sécurité (back up) et de divulgation d’informations sensibles.L’audit systémique bancaire. connaissance insuffisante des données de base pour la gestion à moyen terme des effectifs. de l'inadéquation ou du non respect du plan de formation. alors que ledit établissement à déjà honoré ses engagements à l'égard de ladite contrepartie. le contrôle de gestion). A la différence de la circulaire N°6 qui a qualifié les risques opérationnels d'autres risques.5 . d'une mauvaise gestion des avantages sociaux. l’environnement du travail). __________________________________________________________________________________________ • • • • • • • • • • • de la non adaptation au marché.Les autres risques. de l'absence. nous avons regroupé ci-dessous d’autres catégories de risques : 2. de la multiplication des absences injustifiées. d'absence d'une gestion optimisée des coûts des RH (les rémunérations.5. Un échec stratégique peut s'avérer lourd de conséquences car les 53 . … d'une démotivation du personnel créant un mauvais climat social. A titre d'exemples ces stratégies peuvent être : la pénétration d'un marché. un outil d’efficacité du risk management.Le risque stratégique.1 .

il faut étudier ses composantes. conformément à leur rôle. de l’Argentine qui est un cumul de l’ensemble de ces risques. C'est une composante du risque de contrepartie ou du risque émetteur.pourrait créer un risque systémique plus étendu.5. que l’emprunteur soit public ou privé.4. Il 54 . à savoir le risque de défaillance du souverain. un outil d’efficacité du risk management. __________________________________________________________________________________________ ressources engagées deviennent sans valeur et la perte causée sera d’une substance significative. La solidarité de la place oblige fréquemment tous les établissements à participer à l'apurement du passif de l'établissement défaillant.Le risque systémique. Pour avoir une vision plus claire du risque pays. qui survient lorsque l’obligation d’un emprunteur n’est pas libellée dans la monnaie locale. constitue un exemple extrême du risque pays au sens « moderne » du terme. comme un jeu de dominos. Le risque-pays peut surtout apparaître lorsqu’il s’agit de prêts à des gouvernements étrangers ou à des organismes qui en dépendent. 2. mais il est important de le prendre en compte lors d’un prêt ou d’un investissement à l’étranger. Il existe aussi une composante du risque pays appelée «risque de transfert». de la Russie. C'est le risque de contagion généré par les liens interbancaires nationaux et transfrontaliers des banques. 2. essentiellement par le système bancaire. par effet de contagion.Le risque Pays. crises dans l’Asie du sud-est. le risque de change. Avec les premières crises des pays alors dits en « voie de développement ». peut donc déclencher les difficultés dans d'autres établissements et risquer de mettre en péril tout le système bancaire.c'est-àdire une situation dans laquelle le défaut d'une banque entraînerait la défaillance d'un ou de plusieurs de ses créanciers interbancaires . sous trois formes : Les opérations interbancaires. de tels crédits n’étant généralement pas assortis de garanties. Les actionnaires d'un établissement de crédit sont fréquemment ceux d'autres établissements qui devront. La défaillance d'un établissement de crédit. se traduiront par une perte pour l'établissement prêteur.L’audit systémique bancaire.3 . le risque de non-transfert et le risque systémique d’effondrement d’une économie.5. conclues avec l'établissement défaillant. Il ne s’agit plus du risque de non-transfert mais bien de l’effondrement général du système monétaire et financier d’un pays. Les établissements de crédit sont interdépendants les uns par rapport aux autres. Il s'agit d'évaluer si une réaction en chaîne à travers le marché interbancaire . Les pertes consécutives à la défaillance d'un établissement sont supportées. puis à la fin des années 90. participer au sauvetage de l'établissement défaillant. du Brésil.

y compris celles relatives à la prévention du blanchiment et du financement du terrorisme. le risque légal. telles que les règles relevant du droit de travail. les codes de conduite ou de déontologie internes ainsi que les codes d‘associations professionnelles et de marchés financiers sont à considérer également. notamment : • • les lois. c'est-à-dire les règles de lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que les règles de conduite du secteur financier et de protection des investisseurs. La fonction Compliance a pour objet de : • organiser. du droit social. Par ce risque. règlements et circulaires régissant l'accès au secteur financier et l'exercice des activités bancaires. de coordonner et de structurer les contrôles en matière des diverses réglementations à différents niveaux de l'organisation bancaire. le risque de sanctions ainsi que certains aspects du risque opérationnel. La Compliance n’est pas du ressort exclusif de la fonction qui lui est dédiée.L’audit systémique bancaire. on entend également le risque de préjudices qu'un établissement peut subir suite au fait que les activités ne sont pas exercées conformément aux normes en vigueur. la direction ainsi que tous les membres du personnel. __________________________________________________________________________________________ peut arriver que l’emprunteur. • protéger l’établissement de tout préjudice qui pourrait résulter du non-respect des normes en vigueur. ceci en relation avec l’intégralité des activités de l’établissement. du droit des sociétés ou du droit de l'environnement. compte tenu des particularités des activités exercées. Il appartient à l’établissement de décider si. Il peut comporter une variété de risques tels que le risque de réputation. Par normes en vigueur.5. 2.Le risque de non-conformité ‘‘Compliance Risk’’ Le risque de non-conformité « Compliance Risk » peut être défini comme un risque de non respect des dispositions réglementaires applicables aux activités bancaires et financières. quelle que soit sa situation financière. 55 . sa fonction Compliance couvre le contrôle du respect des règles n'ayant pas directement trait aux activités bancaires et financières à proprement parler. ne puisse disposer de la devise dans laquelle l’obligation est libellée. Elle concerne également le conseil d’administration. il faut entendre dans ce contexte toutes les règles auxquelles l'établissement bancaire est soumis dans l'exercice de ses activités dans les différents marchés. les lois et circulaires traitant des obligations professionnelles. Pour les besoins de l’évaluation du risque de Compliance et afin de déterminer le périmètre de la fonction Compliance. • assister la direction dans la gestion efficace des risques de non-conformité. des normes et usages professionnels et déontologiques et de protection des intérêts des investisseurs et des clients. le risque de contentieux. Elle est dès lors à considérer comme un élément important de la culture véhiculée d’un établissement laquelle doit être promue à tous les niveaux de la banque. un outil d’efficacité du risk management.5 .

__________________________________________________________________________________________ Dans ce contexte. Du fait de l’importance et de la spécificité du risque de non-conformité aux lois et règlements. dans des opérations financières liées à des activités non autorisées par la loi et plus généralement pour éviter la survenance de tout événement susceptible d'entacher la réputation de cet établissement ou de porter atteinte au renom de la profession. de mieux appréhender. Nous ne pouvons que constater à ce sujet l'enrichissement progressif des méthodes de mesure et d'évaluation des risques. afin.L’audit systémique bancaire. d’une part. perte de clientèle. développées par la majeure partie des banques commerciales marocaines. dans le règlement n° 97-02 du Comité de la réglementation bancaire et financière relatif au contrôle interne. Le risque de réputation résulte également de dysfonctionnements opérationnels et de l’incapacité de satisfaire aux lois et réglementations en vigueur. un outil d’efficacité du risk management. 3. une réflexion a été engagée au niveau international. Section 2 : Critères d'évaluation et dispositifs de contrôle des risques. L'organisation. Le risque de réputation est l'atteinte de la confiance qu'une banque doit inspirer à sa clientèle et au marché à la suite d'une publicité ou d’un événement. dans le calcul des exigences de fonds propres. Cette perte de confiance peut alors avoir des effets désastreux : retraits massifs des déposants. de formuler des propositions spécifiques quant aux modalités de contrôle du risque de non-conformité. le principe du respect de la conformité a été inscrit. comme l’ensemble des risques encourus par les établissements de crédit. Le risque de réputation. méfiance des marchés qui est suivie généralement par une crise de liquidité. d’autre part. étant donné que la nature de leur activité nécessite le maintien de la confiance des déposants. la notion de conformité n’a pas été inscrite dans la circulaire N° 6/G/2001 sur le contrôle interne des établissements de crédit et ne fait à ce jour l’objet d’aucune réglementation particulière. celui-ci paraît devoir être pris en charge par une fonction dédiée et. des créanciers et du marché en général.Consultative Document on the Compliance Function in Banks - 56 . bien que des marges de progrès existent encore sur 11 Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques . dès 1997. Ce risque est particulièrement préjudiciable aux banques. les processus et les outils de mesure et de quantification constituent les critères fondamentaux d'appréciation et de suivi des risques bancaires. être pleinement intégré dans le champ d’exercice du contrôle interne. à leur insu. L’organe d’administration et l’organe de direction doivent prendre les précautions et les mesures adéquates pour empêcher que leur établissement bancaires ne soit impliqué. Au Maroc. les risques autres que les risques de crédit et de marché et. En France. notamment au sein du Comité de Bâle11.

__________________________________________________________________________________________ plusieurs aspects pour se conformer aux standards aussi bien qu'internationaux. la surface patrimoniale des principaux actionnaires ou associés. avec des degrés d'avancement différents. C’est le risque encouru en cas de défaillance d’une contrepartie. la nature des activités exercées par le demandeur. entre autres. Cette prise de conscience peut s'expliquer par la relative maturité acquise dans la gestion des risques qui a mobilisé l'attention au cours des cinq dernières années. les décisions d’engagements concernant des opérations importantes. veiller à ce que les dossiers de crédit comportent toutes les informations quantitatives et qualitatives relatives au demandeur et veillant à ce que ces informations soient régulièrement mises à jour. le cas échéant. du fait de la défaillance de la clientèle. La pression des régulateurs pour une meilleure information sur les risques bancaires. d’un même secteur économique. pouvoir identifier de manière centralisée tous les risques bilan et hors bilan à l’égard d’une même contrepartie ou d’un groupe de contreparties. La mise en évidence accrue des risques financiers et récemment opérationnels qui a entraînée une réflexion accrue sur leur maîtrise et leurs méthodes de prévention. un outil d’efficacité du risk management. prendre également en compte toutes autres informations permettant une appréciation plus complète du risque tels que la compétence des dirigeants et l'environnement économique dans lequel le demandeur de crédit exerce son activité. devront être • • • • • 57 . notamment. d’un pays ou d’une zone géographique. • • Dans ce contexte. disposer d’un système de délégations clairement formalisé. sont correctement évalués et régulièrement suivis .L’audit systémique bancaire. prendre en considération. sa situation financière. dans la mise en place d'outils permettant d'assurer une surveillance permanente devant aboutir in fine à une couverture optimale contre les risques jugés significatifs et prioritaires. de : • • s’assurer que les risques auxquels peut s’exposer l’établissement de crédit. sa capacité de remboursement et. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre. Au niveau de la gestion du risque de crédit. Plusieurs facteurs éclairent cette évolution positive : • nationaux Une prise en compte accrue de ces risques par les dirigeants des banques. les garanties proposées. plusieurs établissements bancaires marocains se sont lancés. A l’intérieur de ce cadre. 1. appréhender différentes catégories internes d’appréciation du niveau de risque de crédit à partir d’informations qualitatives et quantitatives « rating ».

coût de refinancement. • contrôle à posteriori. la surveillance des risques repose sur un contrôle à deux niveaux: • contrôle à priori. aux affectations dans les rubriques comptables de créances douteuses. 58 . coût lié au risque de défaillance). après analyse d’une unité spécialisée indépendante d’étude de risques. déterminer les conditions financières des opérations à partir d’une analyse prévisionnelle aussi exhaustive que possible des produits (marges d’intérêt. Cette analyse se traduit. Un tel contrôle suppose la nécessité de disposer d'outils permettant de connaître individuellement et en temps réel les autorisations et les utilisations de chaque client à la demande et au cas par cas. le niveau de provisionnement adopté devant tenir compte d’une évaluation récente des garanties détenues. • • Les critères retenus pour l'appréciation du risque de crédit se basent pour l'ensemble des établissements bancaires marocains sur une analyse systématique de la situation économique et financière de la contrepartie. De manière générale.L’audit systémique bancaire. commissions. par l'affectation d'une note de signature qui concerne dans un premier temps les grandes entreprises puis les PME/PMI. __________________________________________________________________________________________ prises par au moins deux personnes et ce. un outil d’efficacité du risk management. en tant que de besoin. Ce traitement est centralisé généralement au niveau de la Direction des Crédits qui prend en charge toute la fonction d'octroi de crédits relative aux clients d'une certaine taille. effectuer une revue trimestrielle des opérations supérieures à un certain seuil en procédant. • mesurer et encadrer le risque de livraison (risque de règlement) c’est-à-dire le risque que la contrepartie ne règle ou ne livre pas les titres à l’occasion d’une opération de marché. Ce contrôle repose sur le principe selon lequel les principales opérations des clients doivent faire l'objet de l'accord d'un délégataire dès lors que celles-ci mettent la position de la contrepartie en anomalie (notamment les dépassements) ou concourent à la mise en place d'un nouveau crédit. variation de la valeur de marché des opérations) ainsi que des coûts (coût opérationnel. L'évaluation du risque pour cette catégorie de clientèle est basée sur le revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes entourant son caractère à la fois véridique et permanent. au reclassement des engagements au sein des catégories internes de rating et. dans certains cas. coût de rémunération des fonds propres. Les clients particuliers ne font toutefois pas l'objet de notation. si nécessaire. Contrôle à priori. ils sont néanmoins segmentés selon les critères commerciaux pouvant servir à définir l'offre de crédit notamment.

La cotation des dossiers est revue généralement une fois tous les ans à l'occasion du renouvellement des dossiers. sont encore insuffisants. à travers l’analyse prévisionnelle des charges et produits y afférents. sont considérés comme créances en souffrance doivent être enregistrés dans les comptes appropriés du plan comptable des établissements de crédit et donner lieu à la constitution des provisions requises. surtout celles dépendant de groupes étrangers. Certaines banques. • Suivi des provisions Les concours qui. Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques. C'est justement la raison pour laquelle ce système peut se révéler inefficace étant donné le contexte à la fois manuel et non formalisé qui entoure tout le processus d'identification. au regard de la réglementation en vigueur. La pertinence de ce système repose par ailleurs sur une vigilance accrue des opérationnels qui sont le plus à même d'attirer l'attention sur des risques sensibles ou naissants. ce qui diminue de la qualité des contrôles en terme d'exhaustivité et de réactivité. Elle ne prend pas en compte tous les coûts et notamment le coût du risque. En l'état actuel. Cependant. un trimestre voire un semestre. __________________________________________________________________________________________ Néanmoins.L’audit systémique bancaire. un outil d’efficacité du risk management. Certaines banques sont parvenues depuis peu à établir un RBE par client et par opération. Les banques se sont engagées dans un programme d'investissement considérable en système d'information en vue de contribuer à l'élaboration d'une cartographie des risques fiable notamment pour ce qui concerne la nature des risques ainsi que les risques liés aux dépassements par rapport aux limites démarquant les clients sains de ceux douteux. 59 . Le principe de contrôle à posteriori repose principalement sur la surveillance des dépassements et des impayés. les outils disponibles actuellement pour analyser finement les risques de contrepartie par nature et par secteur. Contrôle à posteriori. • Rating. ce calcul reste approximatif dans la mesure où les charges affectées à chaque relation sont attribuées sur la base de clés de répartition qui restent empreintes d'arbitraire en l'absence d'un système de comptabilité analytique permettant de décliner finement les coûts par client. d’une note (appelée aussi "cotation". à chaque client. la rentabilité des opérations n'est le plus souvent obtenue qu'au travers un PNB agrégé. sont parvenues néanmoins à mettre en place un système de rating. "rating") par référence à un échelle de notation interne. L’évaluation du risque de crédit donne lieu à l’attribution. • Rentabilité Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations effectuées avec le client et ce. qui s'exerce néanmoins selon des périodicités variant entre un mois.

__________________________________________________________________________________________ Les encours des créances en souffrance ainsi que les résultats des démarches. pour une opération donnée. notamment en cas de fortes variations affectant un marché ou l'un de ses segments.L’audit systémique bancaire. la sophistication des techniques de transaction. à l’effet d’en apprécier la validité et la pertinence au regard de l’évolution de l’activité. Des évaluations régulières. de: 60 .. Le système de mesure des risques de marché. entreprises pour leur recouvrement doivent être régulièrement portés à la connaissance de l’organe d’administration. La mesure des risques de marché représente un aspect sensible de l’ensemble du dispositif. les méthodes et les procédures de chaque activité. La mesure des risques de marché doit être effectuée de façon à en cerner les diverses composantes et ce. Or. des délais souvent très courts impartis pour déboucler une position. Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit. par le recours à des procédés qui permettent une agrégation. il semble que l’univers de la salle de marchés soit peu propice à une telle démarche en raison : du recours fréquent à des instruments télématiques. font l’objet d’une évaluation appropriée et d’une surveillance régulière. un outil d’efficacité du risk management. Les modèles d'analyse retenus pour ces évaluations doivent. régulièrement faire l’objet de révisions. de la nécessité de réagir rapidement en toutes circonstances. l’évolution quasi permanente des instruments et des stratégies. à l'identification des créances éligibles aux critères de classification de BAM. en effet. du risque de taux d’intérêt pris dans toutes ses composantes ainsi que du risque de change. eux aussi. si la réglementation prévoit une parfaite intégration du contrôle interne dans l’organisation. Au niveau de la gestion du risque de marché. de l’ensemble des positions relatives à des instruments financiers ou à des marchés différents. Les opérations qui génèrent ces risques correspondent. à une part importante de l’activité des banques. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre. pour certaines trimestriellement pour d'autres semestriellement. aussi bien sur une base individuelle que consolidée.. entre autres. doivent être effectuées pour suivre l’évolution des risques susvisés. Le contrôle interne n’est justifié le plus que dans les salles de marchés de par l’importance des volumes traités. amiables ou judiciaires. 2. du fait des fluctuations qui pourraient affecter les prix des instruments financiers.. Il s’agit. le caractère souvent instantané des prises de décision. de l’environnement des marchés et des techniques d’analyse. Les banques possèdent à intervalles de temps réguliers.

61 . afin d’informer l’ensemble des niveaux hiérarchiques. mesurer le risque de taux d’intérêt. Ce système exige la mise en place de limites internes pour l’ensemble des risques mesurables. clair et efficace. chaque échelon de surveillance doit disposer d’un système de reporting. elles sont généralement exprimées. Les limites opérationnelles : qui peuvent être exprimées en nominal. __________________________________________________________________________________________ appréhender quotidiennement les positions détenues en chaque instrument et en calculer les résultats. en tout état de cause. couvrir toutes les natures de risques et permettre leur agrégation : Les limites globales : accordées au niveau de la direction générale. Le système de surveillance et de maîtrise des risques. en termes d’exigences de fonds propres ou de Value At Risk. Le suivi des expositions doit être permanent.L’audit systémique bancaire. le risque de change et le risque sur titres de propriété liés à ces positions. s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces risques. Les résultats en sont communiqués au Directoire qui en informera le Conseil de Surveillance. Une distinction s'opère entre deux types de limites qui doivent. Elles doivent faire l’objet d’une revue au minimum annuelle et doivent être complétées par un système de déclaration de franchissement de seuil. elles devront avant tout faire l’objet de tests. procéder au moins une fois par mois au rapprochement des résultats comptables et des résultats de gestion et analyser les écarts constatés. réaliser un suivi quotidien et une évaluation au prix du marché de toutes les opérations de change ou de taux et mesurer l’adéquation des fonds propres de la Banque aux risques résultant des opérations portant sur le portefeuille de négociation (calcul d’une « Value At Risk » fondée sur la notion de perte potentielle maximale « worst case »). agréger sur une base homogène toutes les positions. en ce qui concerne les activités de marché. un outil d’efficacité du risk management. dans le respect des formats définis par écrit. de sensibilité…. Ces travaux doivent déboucher sur la prise de mesures correctrices qui devront être effectivement mises en œuvre. Ces limites permettent d’encadrer a priori les expositions et de vérifier a posteriori leur bonne utilisation. en terme de stop-loss. quels que soient les produits et les marchés. Tout manquement constaté aux règles doit être identifié et analysé. élaborer régulièrement des scénarios catastrophes ou de crise (« stress case ») mesurant les conséquences des situations exceptionnelles. cette mesure globale étant fondée elle aussi sur la notion de perte potentielle maximale « worst case ». Il faut que ces deux systèmes de limites soient cohérents.

évaluer. à partir de scénarios catastrophes «stress case» revus périodiquement. un outil d’efficacité du risk management. pour celles qui en disposent 62 . Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre. soit le débouclement des positions permettant le retour à l’intérieur des limites notifiées. du fait d’une évolution défavorable des taux d’intérêt. Les analyses de sensibilité de la marge d'intérêt en fonction des scénarii d'évolution des taux. 3. réexaminer périodiquement ces hypothèses pour s’assurer de leur cohérence et de leur validité au regard de l’évolution de la structure des activités exercées et des conditions du marché. entre autres de : s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif. les conséquences des situations exceptionnelles sur les résultats et les fonds propres de la banque. sont correctement mesurés et font l’objet d’une surveillance régulière et adéquate. Au niveau de la gestion du risque global de taux d'intérêt. Chose qui se révèle néanmoins inaccessible pour les banques marocaines vu que les outils mis en place pour appréhender le risque de taux. disposer d’une gestion actif/passif (ALM: Asset Liability Management) permettant d’appréhender les positions et les flux certains et prévisibles résultant de ces opérations ainsi que les différents facteurs de risques de taux d’intérêt global en découlant et d’évaluer l’impact des facteurs significatifs sur les résultats et les fonds propres de la Banque. Les résultats en sont communiqués au Directoire qui en informera le Conseil de Surveillance. __________________________________________________________________________________________ Les mesures correctrices pourront comporter soit l’octroi de limites supplémentaires accordées selon une procédure prédéfinie par la hiérarchie. du passif et du hors bilan de l’établissement de crédit. choisir des paramètres et des hypothèses pour l’évaluation du risque global de taux d’intérêt en tenant compte du niveau d’activité de l’établissement de crédit sur les différents marchés. Les indicateurs de mesure du risque de taux regroupent : L'assiette du risque est constituée des actifs et passifs à taux fixes et des actifs et passifs à taux variables. Les calculs de marges basés sur les encours précédents. de la duration et sensibilité ainsi que des écarts correspondants. Ces indicateurs nécessitent toutefois de connaître l'échéance de toutes les opérations. Le risque de taux d’intérêt global pour une banque se définit comme le risque encouru en cas de variation des taux d’intérêt du fait de l’ensemble de ses opérations bilan et hors bilan ainsi que celles de ses filiales.L’audit systémique bancaire. notamment les marges acquises sur les encours à taux fixe et variable ainsi que la marge totale en fonction du taux moyen de l'actif et du passif.

le jour où ses droits à prêt d'épargne-logement seront moins chers que les taux de crédit normaux. un risque de taux global persiste. se défaire de ses dépôts. et quelle serait sur plusieurs années l'attitude de ses clients ? Une bonne partie des difficultés à appréhender concernant le risque de taux structurel réside dans les innombrables options cachées vendues (implicitement ou non) aux clients : dépôts ou retrait des fonds sur les comptes à vue.L’audit systémique bancaire. C'est pourquoi. La position structurelle de taux recèle des risques majeurs surtout en cas de très forte et très durable variation des taux d'intérêt. la circulaire N°6 sépare le risque de taux des activités de marché du risque de taux global. Le risque de taux est évoqué généralement en tant que risque de marché. __________________________________________________________________________________________ déjà. toutes les couvertures d'option partent du principe que le client auquel on a vendu ces options aura un comportement financièrement rationnel. Un historique de quelques années décrit suffisamment des variations de marché pour se faire une bonne idée des risques futurs. et il est légitime d'envisager une exigence en fonds propres pour 63 . Mêmes parfaitement modélisées. il devrait immédiatement emprunter le maximum via ses droits. Or aucun. Les modèles de risque de marché sont fondés généralement sur trois principes : le portefeuille peut être valorisé à tout moment de façon incontestable (valeur de marché. Ce ci pourrait être partiellement vrai. modification des taux réglementés. Pour une banque de dépôt. ce qui est loin d'être un indicateur efficace d'une couverture parfaite contre le risque de taux global. ni même en dix mois. par exemple. mais. il serait tentant d'englober dans le même cadre le risque de taux global ou structurel et le risque de marché. le scénario fâcheux serait une forte baisse des taux suivie d'une longue période de taux bas. ces options ne pourraient pas être parfaitement couvertes. même après couverture éventuelle. options diverses de l'épargne logement…. aucun réseau bancaire ne pourrait raisonnablement. Si une forte baisse des taux advenait. remboursement par anticipation des crédits. En effet. Les positions peuvent être rapidement soldées. Compte tenu de ces difficultés. Aucun lien simple et objectif n'existe entre cette valeur du portefeuille bancaire et le niveau présent ou anticipé des taux d'intérêt. Par exemple. sont tenus sur des supports manuels et se révèlent impuissantes à opérer des modélisations de séries statistiques complexes. ni en dix jours. market-to-market). Quel historique indique aujourd'hui ce que pourrait être l'ampleur statistique d'un tel phénomène. Le stop Loss (variable statistique permettant de déterminer le montant maximum de perte tolérée) n'est pas un concept applicable aux réseaux bancaires. Rien n'implique qu'elle corresponde à la juste valeur actuarielle qui fait si souvent foi sur les marchés. volumineuses et multicritères. Il apparaît dès lors que la modélisation des options cachées passe par une modélisation comportementale des clients. un outil d’efficacité du risk management. des trois principes de marché n'est transposable au "portefeuille bancaire" des dépôts et crédits de la clientèle : la valeur du portefeuille bancaire est celle à laquelle on trouve un acquéreur.

Les bandes doivent être beaucoup plus étroites pour les prévisions à très court terme. en tenant compte notamment de l'incidence des fluctuations des marchés de capitaux. le suivi du risque de liquidité repose sur des analyses simplifiées menées pour certains établissements sur des prototypes ALM permettant le calcul des indicateurs de risque de liquidité. un outil d’efficacité du risk management.L’audit systémique bancaire. La méthodologie est proche de celle de la mesure du risque de taux d'intérêt par la construction d'un échéancier faisant ressortir les impasses. Le principe de mesure de la liquidité est basé sur un flux à recevoir et à payer sur le court terme pour identifier tout problème potentiel. durées. des hypothèses de déformation à venir du bilan (nouvelle production) ou autres considérations financières ou commerciales. Au niveau de la gestion du risque de liquidité. Le risque de liquidité se définit comme le risque de ne pas pouvoir faire face à ses engagements ou de ne pas pouvoir dénouer ou compenser une position en raison de la situation du marché. à tout moment. Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que l’établissement de crédit est en mesure de faire face. Mais l’échéancier doit être construit en tenant compte des échéances de remboursement et non des échéances de renouvellement de taux. __________________________________________________________________________________________ couvrir ce risque résiduel. La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à des échéances déterminées doivent être évaluées de manière correcte. les choix d'horizon de temps pour les couvertures sont moins évidents à établir. Si les montants ont vocation à ressembler à ceux des postes couverts. Les banques qui se sont dotées d'une gestion actif-passif ont eu à fixer les modalités de leur couverture (montants. en particulier les lignes de crédit ouvertes par les correspondants. notamment l'impasse de liquidité. Ils peuvent être étayés par des études statistiques (lois d'écoulement du passif à vue). 4. à ses exigibilités et d’honorer ses engagements de financement envers la clientèle. et si les instruments disponibles ne sont pas innombrables. les banques contrôlent leur aptitude à faire face à leurs exigibilités et à leurs engagements de financements envers la clientèle à travers le calcul et l'analyse du coefficient de liquidité. doivent être revues périodiquement afin de tenir compte des éventuels changements qui pourraient affecter la situation ou la renommée de l’établissement lui-même ou la situation financière ou juridique de ces correspondants. De manière générale. 64 . Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement. instruments utilisés). L'objectif d'une exigence en fonds propres est de couvrir un risque de perte extrême. A l'instar du calcul des indicateurs de risque de taux.

L’audit systémique bancaire. 5. notamment l'heure limite pour l'annulation unilatérale de l'instruction de paiement. 65 . 6. tels les bons du Trésor et les actions faisant partie d'un indice boursier. découverts. de manipulation ou de vol et à la documentation relative aux analyses. c'est-à-dire la fiabilité des informations et des traitements. Au niveau de la gestion du risque du système d’information. la confidentialité des informations. pour tenir compte de cette perte probable. pour faire face à une crise de liquidité. la piste d’audit ou la possibilité de contrôle et de preuve qui s’applique à la conservation des informations dans des conditions présentant le maximum de sécurité contre les risques de détérioration. c'est-à-dire la continuité du service et la mise en place de procédures d'urgence ainsi que du matériel et des logiciels de secours informatiques en cas de difficultés graves ou de dysfonctionnement du système d'information ou à la survenance d'événements pouvant le rendre inopérant. un outil d’efficacité du risk management. Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les différentes phases du processus de règlement sont identifiées et font l’objet d’une attention particulière. Le niveau de sécurité des systèmes d'information est évalué en fonction de : la disponibilité. Les actifs négociables sur un marché liquide. comptes d'épargnes etc. de même que le prix probable de vente sachant qu'une vente "forcée" ou "catastrophe". Leur degré de liquidité doit être soigneusement évalué. La conformité aux exigences réglementaires. risque fort de se traduire par une perte. peuvent être considérés comme des réserves de liquidités. Au niveau de la gestion du risque de règlement. à la programmation et à l'exécution des traitements. __________________________________________________________________________________________ La construction de cet échéancier va poser des difficultés liées à la date de remboursement de certaines créances et dettes : dépôts à vue de la clientèle. La problématique des options cachées va s'ajouter au remboursement anticipé des crédits et dépôts à terme. Il est d'usage. Le dispositif de contrôle des risques liés au système d’information doit assurer un niveau de sécurité jugé satisfaisant par rapport aux normes technologiques et aux exigences du métier. l'échéance de la réception effective des fonds relatifs à l'instrument acheté et le moment où la réception de ces fonds ou instruments est confirmée. l'intégrité. d'appliquer une décote à la valeur de marché des titres.

imprécisions ou lacunes. Les écarts significatifs constatés doivent être justifiés et portés à la connaissance de l’organe de direction. pour la banque. d'expliquer l'évolution des soldes d'un arrêté à l'autre par conservation des mouvements ayant affecté les postes comptables. Des évaluations régulières du système d'information comptable et de traitement de l’information doivent être effectuées en vue de s’assurer de sa pertinence au regard des objectifs généraux de prudence et de sécurité et de la conformité aux normes comptables en vigueur. du risque de tout litige avec une contrepartie résultant de toute imprécision. de justifier toute information par une pièce d'origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu au document de synthèse et réciproquement. __________________________________________________________________________________________ 7. qui permet : • • de reconstituer les opérations selon un ordre chronologique. Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats et les autres actes de nature juridique liant l’établissement de crédit à toute contrepartie sont rédigés et conclus dans le respect des dispositions légales et réglementaires en vigueur et sont soumis à un contrôle strict en vue de parer à toutes insuffisances. appelé piste d'audit. 8. 9. lacune ou insuffisance de nature quelconque susceptible d’être imputable à la banque au titre de ses opérations. Au niveau de la gestion du risque comptable. à un rapprochement entre les résultats calculés par les unités opérationnelles et les résultats comptables obtenus sur la base des règles d'évaluation en vigueur. • Les opérations qui comportent des risques de marché doivent donner lieu. Il s’agit. à tout le moins à la date d'arrêté de fin de mois. un outil d’efficacité du risk management. Le dispositif de contrôle de la comptabilité doit permettre aux établissements de crédit de s'assurer de la fiabilité et de l'exhaustivité de leurs données comptables et financières et de veiller à la disponibilité de l’information au moment opportun.L’audit systémique bancaire. Au niveau de la gestion du risque juridique. La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan comptable des établissements de crédit. Les modalités d’enregistrement comptable des opérations doivent prévoir un ensemble de procédures. C’est le risque qu’un emprunteur public ou privé d’un pays donné ne soit plus en mesure de remplir ses obligations en devises étrangères ou à l’égard de ses créanciers 66 . Au niveau de la gestion du risque pays.

informatique. pour la banque. d’organisation et de mise en œuvre des procédures d’enregistrement dans le système comptable ou d’information. ces risques se distinguent des risques générés normalement par l’activité (marchés. Le système d'information paraît dans ce sens jouer un rôle clé pour communiquer les objectifs de la banque en matière de risque. 10. des risques résultant d’insuffisances de conception... et ce quelle que soit son origine ou sa localisation. Ces événements doivent néanmoins être identifiés de manière exhaustive et 67 .). de leur durée et de la classification des pays. les risques opérationnels se sont révélés plus dangereux que prévus. Par définition. en est encore à ses débuts.) ou à caractère spécifique (juridique.. un outil d’efficacité du risk management. Il est évident que l'efficacité d'un bon contrôle interne dans ce domaine repose sur la fiabilité du système d'information pour maintenir une culture de contrôle et pour s'assurer que l'ensemble du personnel adhère à ces objectifs. Au niveau de la gestion des autres risques opérationnels. entre autres. de quelque ordre que ce soit. A travers plusieurs situations catastrophes dont on a cité quelques exemples. Il s’agit. suivre l’évolution de l’utilisation de ces limites. de l’ensemble des événements relatifs aux opérations des établissements bancaires. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances. surtout que les fonds propres de la banque peuvent ne pas permettre de couvrir des pertes démesurées dues à une déficience en matière de contrôle. L'organe délibérant doit de ce fait. être conscient que le risque opérationnel est une catégorie de risque à part entière. Des efforts ont été néanmoins entrepris par certaines banques marocaines en vue de se doter d'outils pertinents capables de renseigner sur la survenance de tout risque de nature opérationnelle. de: • • • mesurer le niveau du risque par pays en fonction de la nature des opérations. contreparties.L’audit systémique bancaire. La gestion des risques opérationnels aussi bien en interne que conformément aux exigences prudentielles.. pays . __________________________________________________________________________________________ étrangers ou que la valeur des actifs détenus par ces mêmes créanciers étrangers diminue soudainement et substantiellement. sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global de l’établissement. encadrer ces risques par un jeu de limites.. Ce nouveau système est en cours de mise en place et sa fiabilité ne pourrait toutefois être suffisamment appréciée qu'au cours des années ultérieures. Certaines banques ont eu l'idée de constituer une base de données interne incluant tous les événements de pertes occasionnées dans le cadre de l'exercice des activités de la banque.

processus.…) et de les rattacher aux éléments concernés du référentiel (tâche. __________________________________________________________________________________________ intègre.). Ce ci revient à définir dans un premier temps des modèles de cartographie des risques (de type famille. de qualifier ces risques (fréquence. Le système de collecte et de reporting doit être une partie intégrante des procédures opérationnelles. fonctions organisationnelles ou processus par catégorie de risque. système. Le risque opérationnel est intimement lié à l’organisation au sens large de l’entreprise.L’audit systémique bancaire. les acteurs (internes comme externes). la notion de contrôle de deuxième niveau devrait être bien développée et communiquée à tous les responsables opérationnels. Cartographie des risques opérationnels. Le système interne de mesure du risque opérationnel doit être étroitement associé à la gestion quotidienne des risques de l'établissement. L’intégration du risque opérationnel dans la cartographie des risques. sous-famille de risque).. Dans la mesure où les outils de modélisation des processus intègrent déjà les tâches.. L'exposition au risque opérationnel et les pertes subies doivent être régulièrement notifiées à la direction de la banque concernée. A cet effet. Cette photographie permet ensuite de s'attaquer à la réduction de l'exposition : on pourra par exemple croiser la cartographie des risques avec les polices d’assurance en vue d’optimiser la couverture ou encore y intégrer les actions préventives afin de mettre en évidence leur incidence sur le niveau de risque. un outil d’efficacité du risk management. Il était donc logique d'intégrer cette approche risque. acteur. Principes directeurs : Obligations des directions : chaque direction de la banque est tenue de produire et de tenir à jour la cartographie des risques opérationnels attachés à la mise en œuvre de ses activités ou processus. niveau de criticité. Les données produites doivent faire partie intégrante de ses processus de surveillance et de contrôle de son profil de risque opérationnel. Le Risk Manager est responsable de la réalisation et des résultats de sa 68 . à la direction générale et au conseil d'administration. Conformément aux pratiques issues des travaux du Comité de Bâle. D'où le rôle déterminant qu'aura à jouer aussi bien l'inspection générale et l'audit interne que les reporting en interne. étant donné qu'une bonne maîtrise de ce risque passe par la qualité de contrôle opéré à ce niveau. Ces exigences ne peuvent que renforcer le rôle indéniable du "risk manager" chargé du suivi et de l'analyse de tous les événements de pertes identifiés à travers le système interne d'information. les banques sont tenues de cartographier leurs unités métier. Un référentiel ou une cartographie de processus fournit une structure d’accueil naturelle à la cartographie des risques opérationnels. les moyens informatiques.

prévenir (réduire la fréquence). Finalités : La cartographie des risques opérationnels a pour objectifs de : Identifier les risques opérationnels par métiers. pour être autorisé à appliquer les méthodes avancées de calcul des fonds propres économiques. à évaluer l’exposition d’une entité à ses risques. et permet ainsi au management de l’entité de connaître ses principales zones de vulnérabilité et d’appliquer une gestion différenciée par nature de risque. Satisfaire aux critères qualitatifs d’éligibilité édictés par Bâle II. qu’il fait valider par le Comité des Risques Opérationnels ou le Comité de Contrôle Interne. un outil d’efficacité du risk management. Les risques rares à fort impact (risques exceptionnels “Unexpected Losses”). Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques. ou processus. Démarche Les résultats attendus : la cartographie fournit.L’audit systémique bancaire. Cartographie des risques opérationnels : élaborer une cartographie des risques opérationnels consiste. dans l’ensemble des métiers et fonctions (opérationnelles et support) exercés. processus par processus. Evaluer périodiquement et hiérarchiser les risques opérationnels portés par les processus au sein des métiers. par une approche essentiellement qualitative. Elle lui permet de décider des actions à mener pour gérer ces risques : assumer. Etablir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles. afin de focaliser les dispositifs de prévention et de surveillance sur les processus / fonctions les plus sensibles de l’entité. lesquels seront à surveiller à l’aide d’indicateurs des risques clés "Key Risk Indicators" (à définir par les Directions). destiné au management. 69 . Elle est une composante du Tableau de Bord Risques de la banque. __________________________________________________________________________________________ cartographie. selon deux natures : Les risques à fréquence importante et à faible impact (risques récurrents ou attendus “Expected Losses”). atténuer (réduire l’impact) ou transférer (assurance). l’exposition aux risques opérationnels pour chaque catégorie de risque de la typologie Bâle II. s’appuyant sur une méthodologie et des nomenclatures communes à l’ensemble de la banque. éviter. domaines. selon une approche structurée et formalisée.

12 le risque exceptionnel (fréquence faible. par le montant des pertes récurrentes attendues à horizon d’un an et / ou par le niveau de nuisance des impacts non financiers (risque d’image. ou attendu (fréquence élevée. en fréquence et en impact. impact élevé) : est évalué. amendes réglementaires majeures … 12 “Sound practices for the management and supervision of operational Risk” (février 2003) . faible impact unitaire): est évalué. Assessment. risque réglementaire. en tenant compte du niveau des contrôles permanents. pannes informatiques sérieuses.Risk Management : Identification.L’audit systémique bancaire. basée sur le niveau de perte potentielle. en cas de défaillance grave des contrôles permanents ou d’événement(s) externe(s) exceptionnel(s). un outil d’efficacité du risk management. __________________________________________________________________________________________ Composants de l’évaluation. dont la fréquence varie de moins d’une fois par an à une fois tous les dix ans. risque de fraude à la carte bancaire. par le montant de la perte potentielle maximale et / ou par l’importance de l’impact non financier. Elle est décrite par trois composants: le risque récurrent. Exemples : dissimulations de position. Cette exposition est évaluée par une cotation prospective des risques. sanctions pénales). départ de personne clé. intérêts de retard pour paiements tardifs. Monitoring and Mitigation/ Control… 70 . Exemples : risque d’erreurs de bourse.

Destiné notamment à préciser le profil de la queue de distribution de pertes. En effet. il ressort que ces banques ont toutes engagé. à la loi. le risque de non-conformité fait désormais l’objet d’une gestion plus formalisée et identifiée de la part des établissements15. un outil d’efficacité du risk management. à des degrés divers. une réflexion quant aux modalités d’organisation d’un dispositif permettant de s’assurer de la conformité de leurs activités à la réglementation. aux normes ou aux usages professionnels. un troisième type de risque opérationnel est à prendre en compte. Les banques. Il s’agit d’un risque particulièrement rare ou sévère. Au niveau de la gestion du risque de non-conformité. ont amélioré depuis plusieurs années leurs dispositifs de veille réglementaire afin d’approfondir la connaissance de la réglementation par leurs salariés et de formaliser davantage les procédures de contrôle de la conformité de leurs décisions à la réglementation ou aux lois. déontologue…). mais plausible. __________________________________________________________________________________________ analyse de scénario : pour être complet. 71 . Ce constat rejoint l’appréciation qui peut être portée sur la situation des banques à l’échelon international en la matière. 13 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 675 “Scenario analysis” 14 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 676« Business environment and internal control factor » 15 1 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques « Consultative Document on the Compliance Function in Banks ». ou transverse à un ensemble de métiers et de processus. Plusieurs de ces établissements ont élaboré des procédures précisant les modalités du suivi de ce risque. défaillance complète des systèmes de place. « Sound Practices for the Management and Supervision of Operational Risk » – « Saines pratiques de gestion et de contrôle du risque opérationnel » (février 2003) point 2. voire une charte de la conformité. … le niveau de maîtrise des risques 14 : est évalué par une appréciation de l’ensemble des dispositifs de contrôles permanents (1er et 2ème degré uniquement) que les établissements de crédit sont tenus de mettre en œuvre pour assurer la maîtrise de leurs risques. Les établissements de crédit apparaissent cependant avoir des définitions hétérogènes de la conformité. Comme le relève le Comité de Bâle.Les établissements de crédit ont d’ores et déjà pris des dispositions pour réduire le risque de non-conformité. La quasi-totalité des grands établissements se sont déjà dotés d’un responsable de la conformité (le titre étant variable selon les établissements : responsable de la conformité ou « compliance officer ».1 . Chez un certain nombre d’entre eux. 11. il est évalué par des professionnels expérimentés ou des groupes d’experts du risque à partir de méthode d’analyse de scénario 13 Exemple : terrorisme. 11. le champ d’intervention du responsable désigné de la compliance se limite à la supervision du dispositif de prévention du blanchiment et à la déontologie.L’audit systémique bancaire.

11. 16 formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003 72 . Ceci permet d’informer régulièrement les niveaux les plus élevés de l’établissement du niveau de maîtrise de ce risque ainsi que de tout événement significatif relevant de cette problématique. qui a pour objet d’identifier les meilleures pratiques dans ce domaine et d’en favoriser la diffusion. un outil d’efficacité du risk management.d’une fonction indépendante des activités opérationnelles. personnels et systèmes internes ou à des événements extérieurs. ont d’ores et déjà construit un état spécifique pour le suivi du risque de non-conformité. est de favoriser la diffusion.par nature . on peut considérer que le risque de non-conformité en relève. toutes les zones géographiques et tous les contextes réglementaires du groupe. quelques établissements. Si l’on reprend la définition du risque opérationnel « risque de pertes résultant de carences ou de défaillances attribuables à des procédures. L’objectif du Comité de Bâle. __________________________________________________________________________________________ Enfin. mais dont le fonctionnement est inclus dans le champ d’investigation de l’audit interne. Le Comité de Bâle a entrepris des travaux spécifiques sur la conformité.Un contexte international et réglementaire en évolution. à tout le moins en partie. Une contribution générale au renforcement d’une culture de la conformité. La supervision bancaire contribue fortement à la mise en œuvre d’une fonction interne de contrôle de la conformité dans le cadre du dispositif général du contrôle interne permanent des opérations. dont le rattachement hiérarchique doit être très élevé. À partir des travaux engagés par le Comité de Bâle et de la pratique de nombreux établissements bancaires en la matière. en publiant pour consultation un tel document.2 . au sein des établissements de crédit. 11. un groupe de travail consacré à la fonction de conformité dans les banques a été constitué et a publié en octobre 2003 un document consultatif. L’attention des établissements est attirée sur le fait qu’il s’agit .L’audit systémique bancaire. d’une «culture de conformité» afin qu’elle se traduise. plus avancés encore.3 . par une attention accrue portée à ce risque. Ce texte. il est possible de définir des pistes de réflexion sur les caractéristiques que pourrait présenter une fonction en charge de la mesure. Une activité de conseil et de contrôle ex ante. En effet. L’intention du Comité de Bâle est de veiller à ce que cette fonction soit bien assurée. Un champ exhaustif d’exercice de la fonction couvrant tous les secteurs. formellement (charte de conformité).Pistes possibles pour limiter le risque de non-conformité. de la maîtrise et du contrôle du risque de non-conformité. énonce onze principes concernant la conformité. y compris le risque juridique mais à l’exclusion des risques stratégiques et d’atteinte à la réputation »16.

Une fonction qui devra être adaptée à la nature de chaque établissement.L’audit systémique bancaire. un outil d’efficacité du risk management. Une fonction « auditable ». Une implication des plus hautes instances de l’établissement. Une indépendance à assurer. 73 . La fonction de conformité doit disposer de moyens suffisants. __________________________________________________________________________________________ La mise en œuvre d’une information interne fiable et synthétique afin de hiérarchiser les risques et de s’assurer que la politique de conformité mise en oeuvre permet de détecter les éventuelles anomalies et surtout de les prévenir.

L'élément nouveau est la complexité croissante qui la caractérise. La conjonction des niveaux estimés du risque inhérent et du risque de contrôle permet ensuite à l’auditeur de déterminer l’étendue. la mondialisation de la sphère financière et la rapidité croissante des modes de diffusion des informations ont eu comme conséquence une sensible augmentation de la volatilité des marchés. rendant ainsi le secteur plus vulnérable. en accord avec les principes de la profession. Les instruments classiques de couverture ne semblent par ailleurs plus adaptés face aux nouvelles donnes de l'environnement financier. la capacité de gérer ce risque se définit par le risque de contrôle. un outil d’efficacité du risk management. Ce constat suggère en outre. Depuis quelques années. Certes. les contreparties évoluent et la volumétrie des opérations s’est considérablement accrue. au développement sain des activités bancaires. la périodicité et les méthodes de vérification qu’il doit entreprendre.L’audit systémique bancaire. les efforts consentis jusqu'ici témoignent d'une volonté commune et sans équivoque visant à mieux cerner les risques bancaires. le secteur bancaire souffre encore de quelques lacunes qui pourraient témoigner d'une certaine fragilité de leur structure de contrôle et d'audit interne. Une fois que le niveau des risques inhérents a été ainsi estimé. Autrement dit. de l’économie réelle. Ainsi. la réglementation internationale a imposé un suivi spécifique des risques de marché. trois évolutions majeures : • Il y a quelques années. et par contagion. La gestion des risques n'est évidemment pas nouvelle : son existence coïncide avec celle de l'activité bancaire même. En 1995. Le Comité de Bâle demande aujourd’hui aux banques une démarche identique pour les risques opérationnels. la mise en place d’un audit systémique des multi risques bancaires est à tout point de vue reconnu comme un préalable. Si donc l’importance du risque se définit par le risque inhérent. En même temps. • • Dans l'ensemble. l’auditeur en collaboration avec le risk manager doit comprendre comment ceux-ci sont gérés et contrôlés. les risques bancaires sont devenus plus nombreux et leur nature a évolué : les produits bancaires sont de plus en plus diversifiés. cet effort ne sera vraisemblablement salutaire que s'il dépasse le stade de l'analyse statique des risques en portefeuille pour accéder à une vision plutôt dynamique et évolutive de la gestion des risques bancaires. il doit apprécier l’adéquation et l’efficacité des mesures prises par la banque en vue de minimiser les risques encourus. 74 . seul le risque de crédit faisait l’objet d’un véritable suivi par les autorités de contrôle. L’apparition de ce qu’on a appelé la « nouvelle économie ». __________________________________________________________________________________________ Conclusion du chapitre 1. entre autres.

L’audit systémique bancaire. __________________________________________________________________________________________ 75 . un outil d’efficacité du risk management.

L’audit systémique bancaire. un outil d’efficacité du risk management. __________________________________________________________________________________________ Chapitre 2 : Spécificités de l'audit bancaire. 76 .

ont favorisé l'épanouissement des activités de l'audit. d'examen. Ceci entraîne des particularités pour l’auditeur concernant la manière d’observer. Section1 : Principes d'audit en général. financier…). à la fois.audire signifie : écouter entendre. incluant un diagnostic et conduisant éventuellement à des recommandations. correspondra un type d’audit (comptable. par extension : donner audience. de contrôle. système d'information.L’audit systémique bancaire. c'est le sens de vérification et contrôle par une observation attentive et minutieuse qui domine. Introduction. d'origine anglaise. un outil d’efficacité du risk management. celles de vérification. est une activité dont la signification recouvre. et d’autre part parce que la nature et le type de l’audit sont diverses. Définitions de l’audit interne. Selon la nature de la situation. Dans l'utilisation anglaise du mot. Ce dernier aspect est en quelque sorte une extension de la notion puisque l’audit consiste en un éclairage sur une situation à risque. Nous allons tenter de cerner le contenu du concept d'audit en général. __________________________________________________________________________________________ Chapitre 2 : Spécificités de l'audit bancaire. De plus. sera présenté au chapitre suivant. un instrument d’aide à la décision. d'inspection et de révision et les dépasse même. un "commissaire aux comptes" qui. L'auditeur est. et. et celui d'audit bancaire en particulier. La notion d’audit est large. Le mot audit nous vient du latin par l'anglais ! En latin : audio . les risques bancaires sont des phénomènes complexes et difficiles à cerner. dans ce cas. Il en découle une pluridisciplinarité des champs observés : ressources humaines. l’interprétation des résultats et les difficultés d’élaboration d’un système de référence. 1. d’une part parce que la méthode est définie par l’auditeur lui même (la qualité repose sur le savoir-faire). de conseil. L'audit systémique quant à lui. au XIX siècle et dans le domaine de la comptabilité et de la gestion financière. sincère et 77 . "s'assure du caractère complet. Nous nous attacherons. La complexité de la gestion moderne. On peut ainsi définir l’audit comme une démarche spécifique d’investigation et d’évaluation à partir d’un référentiel. activités de marché … . dans ce chapitre à la présentation de l’audit bancaire qui présente quelques spécificités de part les particularités de l’environnement analysé. par des procédures adéquates. les exigences requises pour le maintien de la bonne organisation et le désir des dirigeants de s'assurer des vertus des systèmes de contrôle interne. décrivant la perception par le sens de l’ouie. comptabilité. Le vocable d'audit.

plus généralement. 78 . Garantir l’intégrité du patrimoine. Assurer la sincérité physique et comptable des opérations. Juger de l’efficacité des systèmes d’informations » « Réalisé par un service de l’entreprise. Audit ne signifie pas inspection : inspecter c’est observer. il peut aussi assumer une fonction de conseil». une marge d'extériorité par rapport à la chose examinée. « L’audit interne est un dispositif interne à l’entreprise qui vise à : Apprécier l’exactitude et la sincérité des informations notamment comptables. l’audit interne consiste à vérifier si les règles édictées par l’entreprise elle-même sont respectées ». « L’audit interne est à l’intérieur d’une organisation une fonction indépendante d’évaluation périodique des opérations pour le compte de l’organisation. Il aide cette organisation à atteindre ses objectifs par une approche systématique et méthodique d’évaluation et d’amélioration des processus de maîtrise des risques.L’audit systémique bancaire. assistant la direction de celle-ci pour le contrôle général de ses activités » (L’IFACI)17. __________________________________________________________________________________________ régulier des comptes d'une entreprise. Dès cet emploi. de contrôle et de gouvernement d’entreprise. un outil d’efficacité du risk management. et proposer ce qu’il faut faire ». identifier les cause de l’écart. et en faisant des 17 IFACI : Institut Français de l’Audit et du Contrôle Interne. examiner et rendre Compte. s'en porte garant auprès des divers partenaires intéressés de la firme et. on a trois caractéristiques de ce qu'est un audit quels que soient le domaine où il s'applique et l'évolution des pratiques : une activité spécialisée et comportant une certaine distance. « L’audit interne est le département d’une entreprise chargé d’examiner et d’évaluer le contrôle interne dans tous les domaines et à tous les niveaux. Gervais). « L’audit interne est une fonction d’expertise indépendante au sein de l’entreprise. Audit ne signifie pas contrôle : contrôler c’est inspecter par rapport à une norme imposée ou une règle non remise en cause. porte un jugement sur la qualité et la rigueur de sa gestion" (dictionnaire La rousse en cinq volumes). L’audit interne est une activité indépendante et impartiale menée pour produire de la valeur ajoutée pour une organisation en lui apportant assurance sur son fonctionnement et conseils pour l’améliorer. Au delà de ce rôle traditionnel. « C’est l’activité qui appliquée. en toute indépendance des procédures cohérentes et des normes d’examen en vue dévaluer l’adéquation et le fonctionnement de toute ou partie des actions menées dans une organisation par référence à des normes» (M. Auditer c’est : contrôler par rapport à une norme à (re)bâtir et justifier.

C'est. Ceci inclut la promotion du contrôle efficace à un coût raisonnable. des recommandations. l'audit interne fournit des analyses. évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Dans ce but. L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. doivent respecter la loi et les règles de la profession. ( Version française de la définition internationale. des appréciations. le respect des principes. diligence et responsabilité. 18 IIA : The Institute of Internal Auditors. approuvée le 21 mars 2000 par le Conseil d’Administration de l’Institut de l’Audit Interne). des avis et des informations concernant les activités examinées.L’audit systémique bancaire. la qualité et fiabilité des moyens. __________________________________________________________________________________________ propositions pour renforcer leur efficacité. Analyse de la définition de l’audit interne l’IIA. doivent respecter et contribuer aux objectifs éthiques de leur organisation. Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants: Intégrité. 79 . l’adéquation moyens-objectifs.18 Chaque responsable doit mettre en place une organisation qui doit permettre en permanence: la pertinence des objectifs. Les auditeurs internes doivent montrer le plus haut degré d’objectivité professionnelle en collectant. une activité indépendante d'appréciation du contrôle des opérations. Les auditeurs internes doivent évaluer de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui. Les auditeurs internes : • • • • doivent accomplir leur mission avec honnêteté. dans ce domaine. ne doivent pas prendre part à des activités illégales ou déshonorant la profession d’audit interne ou leur organisation. 2.A indique que : L'audit interne est à l'intérieur d'une entreprise. un outil d’efficacité du risk management. un contrôle qui a pour fonction d'estimer et d'évaluer l'efficacité des autres contrôles. la protection et sauvegarde du patrimoine. Principes Fondamentaux.I. Son objectif est d'assister les membres de l'entreprise dans l'exercice efficace de leurs responsabilités. politiques et règles. Objectivité. La déclaration des responsables de l'audit interne de l'I. la bonne mise en œuvre des moyens.

Les auditeurs internes utilisent et appliquent les connaissances. un outil d’efficacité du risk management. L’auditeur n’a pas d’autorité et de responsabilité à l’égard des activités auditées. ou d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation. la liberté d’action et d’investigation et la prise en compte de ses recommandations. doivent réaliser leurs travaux d’audit interne dans le respect des normes pour la pratique professionnelle de l’audit Interne19 . 3. 19 Standards for the Professional Practice of Internal Auditing 80 . Indépendance et impartialité. doivent toujours s’efforcer d’améliorer leur compétence. Positionnement de l’audit interne au sein de l’organisation. Ils ne divulguent ces informations qu’avec les autorisations requises. l’efficacité et la qualité de leurs travaux. le savoir faire et l’expérience nécessaires . __________________________________________________________________________________________ Confidentialité. Les auditeurs internes : • doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités . les savoir-faire et les expériences requis pour la réalisation de leurs travaux : • • • ils ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances. Il est indépendant mais autocratique et doit être rattaché à une personne ou une instance dont l’autorité lui assure la liberté de ses opinions. à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. Compétence. • ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel. Les auditeurs internes doivent respecter la valeur et la propriété des informations qu’ils reçoivent.L’audit systémique bancaire.

une appréciation sur la qualité du système d’information et de pilotage et un jugement sur la rigueur de gestion. un outil d’efficacité du risk management. l’audit interne doit : • • • évaluer le contrôle interne et proposer des améliorations. S’en tient aux faits et identifie les actions nécessaires pour les réparer et remettre en ordre. attend de l’audit interne l’assurance que le contrôle interne fonctionne correctement. de fiabiliser les informations. __________________________________________________________________________________________ La structure d’organisation des normes pour la pratique professionnelle de l’audit interne est composée des éléments suivants : • • • La déclaration des responsabilités de l’audit interne. dresser un pronostic pour la direction et préconiser une thérapeutique. Pour les Risk managers. Ainsi. qu’il remonte ses problèmes et ses contraintes et qu’il fasse preuve de pédagogie à son égard . Il en découle des attentes à deux niveaux : L’audité attend de l’audit interne une évaluation. l'audit interne joue un rôle d'assurance sur l’application des directives et politiques et sur la qualité du contrôle interne .…… Remonte aux causes pour Méthode et objectifs élaborer des recommandations pour éviter la réapparition du problème. Rôle de l'audit interne et son interaction avec les acteurs du système de contrôle interne. Audit interne Contrôle le respect des règles Régularité/ efficacité et leur pertinence. Afin de sécuriser les actifs. Le code de déontologie. 4. établir un diagnostic sur le fonctionnement de l’entreprise. Détermine les responsabilités : évalue le comportement des hommes. parfois leurs compétences et . Les normes pour la pratique professionnelle de l’audit interne. Considère que le responsable Evaluation est toujours responsable et donc critique les systèmes et non les hommes : évalue le Caractéristiques 81 Inspection Contrôle le respect des règles sans les interpréter ni les remettre en cause. La Direction. l'audit interne joue un rôle de conseil pour se contrôler et contrôler leurs entités et pour améliorer le fonctionnement de leurs entités.L’audit systémique bancaire.Lever la confusion : audit interne et inspection. quant à elle. caractère suffisant.1 . 4. L'audit interne joue un double rôle aussi bien pour le comité de direction que pour les Risk managers : Pour la direction. d'assurer l’efficacité des opérations et l’efficience de l’organisation.

L’audit systémique bancaire. 2ème : s’assure que les responsables maîtrisent leurs « Niveau» risques. Traitement des risques Identification. évaluer les risques afférents au gouvernement d’entreprise. règlements et contrats. démonstration. aux opérations et aux systèmes d'information de l'organisation au regard : de la fiabilité et l’intégrité des informations financières et opérationnelles . Investigations approfondies Sélection . un outil d’efficacité du risk management. Au cours des missions de conseil. 1er : détecte et traite (prévention. y compris ceux qui n’entrent pas dans le périmètre de la mission. Risques portant sur l’ensemble des ressources. détection et correction) les risques purs. Contrôle interne. L'audit interne doit : aider l'organisation en identifiant et en évaluant les risques significatifs et contribuer à l'amélioration des systèmes de management des risques et de contrôle interne.Lever la confusion : audit interne et risk management.police coopération avec les audités. de la protection du patrimoine . recommandation. Privilégie le conseil et donc la Privilégie le contrôle et donc Service . 4. Risk management Risques purs : aléatoires. propre initiative. __________________________________________________________________________________________ fonctionnement des systèmes. qualités. Chiffrage coût des mesures / fréquence (probabilité) et gravité (impact) des risques. sans espérance de gain. sur éventuellement sous sa mandat de la D.2 . pratique d’organisation communément Référentiel adoptées. les auditeurs internes considèrent l’ensemble des risques rencontrés. dans la mesure où ils sont significatifs. Identification. désordres inefficacités. du respect des lois. renforcer sa maîtrise. l’indépendance des contrôleurs. Caractéristiques Risques visés Audit interne Risques de dysfonctionne -ment : transgression des règles.sélectivité Répond aux préoccupations du manager soucieux de et contrôles très exhaustifs. de l’efficacité et l’efficience des opérations . 82 .G. accidentels. résolution. surveiller et évaluer l'efficacité du système de management des risques de l'organisation. Risques portant sur les biens et les personnes.

Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle et apprécier si les objectifs et les buts ont été atteints par le management. bien communiquer au sein de l’organisation. Cette évaluation doit porter sur les aspects suivants : • • • • la fiabilité et l’intégrité des informations financières et opérationnelles . À cet effet. le dispositif de contrôle interne dont ils ont eu connaissance lors de leurs missions de conseil. 4. aux auditeurs externes et au management. 4.3 – Interaction audit interne / contrôle interne. règlements et contrats. il détermine si le processus répond aux objectifs suivants : • promouvoir des règles et des valeurs d’éthique au sein de l’organisation . L'audit interne doit aider l'organisation à maintenir un dispositif de contrôle interne approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue. et assurer une coordination efficace de leurs activités. veiller sur la cohérence des objectifs des missions réalisées avec les valeurs et les objectifs généraux de l’organisation. Sur la base des résultats de l'évaluation des risques. les informations relatives aux risques et aux contrôles . évaluer la conception. un outil d’efficacité du risk management.L’audit systémique bancaire. L'audit interne doit évaluer le processus de gouvernement d’entreprise et formuler les recommandations appropriées en vue de son amélioration. 83 . la mise en œuvre et l’efficacité des objectifs. le respect des lois. __________________________________________________________________________________________ Les auditeurs internes doivent intégrer dans le processus d’identification et d’évaluation des risques significatifs de l’organisation (cartographie des risques) les risques révélés lors de missions de conseil. Les auditeurs internes doivent prendre en compte dans le processus d’identification et d’évaluation des risques significatifs de l’organisation. l’efficacité et l’efficience des opérations . l'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle portant sur le gouvernement d’entreprise.4 – Interaction audit interne / gouvernement d’entreprise. les opérations et les systèmes d'information de l'organisation. assortie d’une obligation de rendre compte . • • • • • garantir une gestion efficace des performances. fournir une information adéquate au Conseil. la protection du patrimoine . des programmes et des activités de l'organisation liés à l’éthique.

La démarche l’audit interne. La mission de l’audit c’est : • comparer les résultats et les objectifs pour faire apparaître des écarts. Alain Meignant.1 . Audit de conformité ou de régularité : il s’agit de contrôler la régularité par rapport aux règles internes de l’entreprise (normes et procédures) et la conformité avec les dispositions légales et réglementaires. analyser les causes et conséquences.2 . la vérification des données. L'audit de stratégie couronne l'édifice en permettant de vérifier que chacune des fonctions de l'entreprise est efficace dans la réalisation du résultat final. ce qui «devrait être» et «ce qui est» par rapport à un référentiel. Pour Raymond Vatier. • envisager la réalité de plusieurs points de vue complémentaires. Définir les objectifs opérationnels de l’audit. et l’explication des écarts éventuels ». Le travail de l’auditeur consiste à : • • • signaler les irrégularités.Objectifs opérationnels. 6.L’audit systémique bancaire. c’est expliquer sur quoi l’audit va porter. sur les risques qu’il encourt. c’est-à-dire la vérification qu’un système est bien conforme à ce qu’il est supposé être. consultant précise que « la spécificité de l’audit. Chaque audit particulier doit permettre de déboucher sur un audit de direction.Critères de l'évaluation. Il s’agit également de comparer la règle et la réalité. L’audit est un instrument de préparation aux décisions : il sert à l’information. c’est la comparaison et la mesure d’écarts entre une pratique et un référentiel. formuler les recommandations. L'audit s'oriente de plus en plus vers une approche intégrée globale de l'entreprise. sur les potentialités qu’il recèle et sur sa capacité d’anticipation ». 6. la pertinence des objectifs et la cohérence des actions entreprises par rapport à la stratégie de l’entreprise. 6. l’objectivation. au transfert de méthodes et d’outils de pilotage au responsable qui a un rôle pédagogique. Audit de d’efficacité et de management : permet d’évaluer : • • la pertinence de l’organisation et l’efficacité de son fonctionnement. 84 . un outil d’efficacité du risk management. Les différents niveaux de l’audit. l’objectif de principe c’est « se prononcer sur la qualité du système de gestion. __________________________________________________________________________________________ 5. et comment vont s’articuler les différentes actions ou degrés d’intervention.

l'acquisition des ressources doit être faite d'une qualité acceptable et au coût le plus bas possible. L'efficacité est définie comme étant "la mesure dans laquelle un programme atteint les buts visés ou les autres effets recherchés. et les ressources utilisées pour les produire. Par économie. Une réponse positive à la question " est-ce que l'objectif est atteint ? " souvent donne naissance à la question suivante : existe-t-il une autre alternative plus efficace. 85 . Notion d'économie. Pour qu'une opération soit économique. Dans une opération basée sur l'efficience. Notion d'efficacité. Notion de pertinence. pour tout ensemble de ressources utilisées le produit obtenu est maximum. Autrement dit. Objectifs Pertinence Efficacité Moyens Résultats 20 Par le "Bureau du vérificateur général du Canada". ou encore les moyens utilisés sont minimaux pour toute qualité et quantité données de produits ou de services. d'une part. pour atteindre les mêmes résultats ? L'efficacité examine le rapport entre l'effort et la performance. moyens et résultats. d'autre part. on peut schématiser par une représentation triangulaire les relations entre objectifs. un outil d’efficacité du risk management. on entend les conditions dans lesquelles on acquiert des ressources humaines et matérielles. notion d'efficience. on pourra admettre que la pertinence est la conformité des moyens et des actions mis en oeuvre en vue d'atteindre un objectif donné. on entend le rapport entre les biens ou les services produits. notion de pertinence et notion d’économie. La notion de pertinence reste très subjective et difficile à mesurer. 20 Notion d'efficience. Par efficience. être pertinent c'est atteindre efficacement et d'une manière efficiente l'objectif fixé. __________________________________________________________________________________________ L'audit devient alors un audit de la performance et les normes d'audit se situent dans la réalisation des quatre notions suivantes : notions d’efficacité. En résumé. Toutefois.L’audit systémique bancaire.

On peut les regrouper en 3 grands groupes selon Vatier. un outil d’efficacité du risk management. Degré de conformité aux règles : comparer les pratiques effectives avec les procédures prescrites (législation. La démarche méthodologique de l’audit doit suivre quelques consignes.3 . risques et préconisations. selon le degré d’exactitude et de conformité. • • • Degré de réalité ou d’exactitude : comparer les faits rapportés aux pièces existantes et vérifier que l’institution a bien réalisé ce qu’elle dit avoir fait. l’audit d’efficacité et l’audit stratégique ou de management. • • • Le regroupement des degrés d’intervention permet de construire des typologies d’audit. opérer des comparaisons susceptibles de mettre en évidence des écarts significatifs et d’en apprécier la valeur. l’audit doit être rigoureux et répondre à des exigences précises. 86 . __________________________________________________________________________________________ 6. les comparaisons dans le temps et l’espace (benchmarking). Ainsi. Quelle que soit l’approche adoptée. partir des faits pour remonter vers les causes : démarche inductive. Degré d’efficience : vérifier l’optimisation des moyens mis en œuvre. et enfin l’efficacité et l’efficience. 3 phases se distinguent : étude. Degré de cohérence et de pertinence : vérifier que l’institution est capable de faire ce qu’elle dit vouloir faire en comparant les objectifs visés avec les moyens mis en œuvre. Degré de potentialité et de flexibilité : savoir si l’institution peut connaître et estimer les risques et si elle peut anticiper sur son évolution et maîtriser les changements. Partie 2) . Cela exige des techniques et des outils qui vont permettre à la fois de préparer l’investigation et de formuler. impératifs techniques). Degré d’efficacité : comparer les objectifs visés avec les résultats atteints.Les différents degrés d’intérêt de l’audit. chaque audit suit le même déroulement : constat du fonctionnement et qualité de gestion. constituer les repères et les systèmes de référence. sachant que ces différents degrés ne sont pas toujours tous mis en œuvre. introduire la quantification.L’audit systémique bancaire. Ce qui aboutit sur l’audit de conformité. vérification et conclusion.4 – Démarche méthodologique. 6. quelque soit le type d’audit réalisé : constat-interrogation-hypothèse-constat . analyser et interpréter des constats. approche systémique et examen multidisciplinaire (Cf. Pour autant.

L’audit systémique bancaire. conclure. La prise de connaissance se fait suivant un plan d’approche organisé permettant de prévoir les moyens les mieux appropriés pour l’atteinte des objectifs. valider et prescrire Phase conclusion • • Valider l’ensemble et informer Obtenir des actions et dresser un bilan des progrès accomplis 6. Pour mener à bien cette étape. les faits et les phénomènes. de décomposer les symptômes. La prise de connaissance Son objectif est double. d’identifier les symptômes. Elle permet d'organiser et de planifier la mission en fonction des objectifs définis par l’auditeur et de renforcer l’image de l’auditeur chez les audités en tant que professionnel rigoureux. d’identifier les inter-relations. 87 . La finalité d'une telle phase est de former une vision d’ensemble de l’organisation objet de la mission et des contrôles internes mis en place. l'auditeur dispose de divers moyens tels que le questionnaire de prise de connaissance. l'identification des risques et la définition des objectifs. __________________________________________________________________________________________ LA DEMARCHE D’UNE MISSION D’AUDIT Phase étude • • Découvrir le sujet de l’entité à auditer Définir le champ de la mission Phase vérification • • • Programmer et spécifier les vérifications Vérifier. Cette phase permet d’observer. mesurer Analyser.4. la documentation collectée auprès de l’audité et les entretiens avec les responsables. La démarche adoptée durant cette phase est la prise de connaissance générale. évaluer. de les classer et de les situer par rapport à un référentiel. de concentrer l’attention sur les points essentiels pour ne pas perdre le temps sur les détails inutiles. Il s’agit.1. un outil d’efficacité du risk management. d'abord disposer de la culture nécessaire pour comprendre l’activité de l’organisation auditée et pouvoir « poser » les bonnes questions pour ensuite maîtriser le sujet audité. La phase étude. d’écouter. à travers l’analyse des risques.

4. net et facile à mémoriser : percutant. de mettre en évidence les dysfonctionnements et les solutions proposées. d'exprimer les objectifs à atteindre pour le donneur d’ordre et les audités.L’audit systémique bancaire. La supervision d’une FRAP. il s’agit de préparer l’audit à reconnaître le problème. Elle ne mentionne pas les travaux d’audit qui seront répertoriés dans le programme de vérification. Parmi les moyens dont dispose l'auditeur. le constat doit être : bref et directement compréhensible : synthétique. de conclure chaque section de travail de terrain et de communiquer avec l’audité. on trouve le découpage fonctionnel et géographique de l’entité à auditer et les entretiens et investigations. 88 . l’avertir en premier et l’associer activement pour l’élaboration de la recommandation : ainsi elle sera acceptée avant même d’être émise.2. __________________________________________________________________________________________ L’identification des risques Son objectif est d’identifier les risques potentiels à partir de données générales et de la connaissance préalable de l’entité auditée. Les conclusions dressées doivent répondre de manière précise. concise et contrôlable aux buts assignés à l’action. des priorités et des préoccupations du management. La note d’orientation permet de confirmer l’existence des forces et d’évaluer l’impact des faiblesses. à l’admettre. Elle doit reprendre le but de l’action prévue dans le programme de vérification et préciser les modalités d’exécution. Elle constitue la synthèse des forces et faiblesses de l'entité. complet et donc redondant avec la trouvaille : Autonome. à s’y faire. les objectifs spécifiques et le champ d’action. permettre à tout auditeur de comprendre et d’exécuter de manière fiable et objective les actions prévues. 6. La phase réalisation La feuille de révélation et d’analyse de problème (FRAP) : permet de formuler le raisonnement de l’auditeur. La validation de la FRAP. un outil d’efficacité du risk management. et de repérer les risques réels à partir d’un examen attentif de l’activité et des observations relevées. La prise de connaissance se fait suivant la "note d’orientation" qui définit les objectifs généraux. Définition des objectifs Elle permet de formaliser les axes d’investigation de la mission et de définir ses limites. permet de déterminer : l’énoncé du problème : est-il immédiatement compréhensible ? les conséquences : motiveront-elles les audités ? les recommandations : sont-elles réalisables ? La reformulation d'un constat en un « problème ».

Le débriefing doit être programmé dans le cadre du travail sur le terrain.L’audit systémique bancaire. Il est effectué à la fin du travail sur le terrain. La phase conclusion Ossature du rapport L’ossature du rapport élaborée à partir des « problèmes » figurant sur les FRAP et des conclusions figurant sur les feuilles de couverture pour les points satisfaisants. Le compte rendu final sur site répond au souhait légitime du principal responsable de l’entité auditée d’être informé. Comme l’activité bancaire est un secteur dynamique. un chef de projet évoluant dans un environnement complexe et un spécialiste du métier bancaire. appelé également mise au point ou débriefing. Principes édictés par le comité de Bâle en matière d’audit bancaire. les banques doivent en permanence surveiller et évaluer leurs systèmes de contrôle interne 89 . Le suivi des principaux risques devrait faire partie des activités quotidiennes de la banque de même que les évaluations périodiques effectuées par les secteurs d’activité et l’audit interne. est l’enchaînement des messages que l’auditeur veut livrer lors des présentations et dans le rapport concluant la mission.3. en cas d’irrégularité sans attente du rapport et peut être utilisé pour mettre en valeur la qualité de la démarche de l’audit. Compte rendu final. un outil d’efficacité du risk management. Sa préparation se fait en tenant une réunion de synthèse de l’équipe d’audit avant d’effectuer les dernières vérifications du travail sur le terrain. __________________________________________________________________________________________ 6. mise au point ou débriefing Le compte rendu final au site.4. Hier contrôleur de la régularité des traitements et des opérations. Le support de présentation. des observations les plus importantes. où tout évolue rapidement. l'auditeur bancaire est aujourd'hui un expert du diagnostic des processus opérationnels et de contrôle des risques. Il incite le responsable à agir immédiatement. Surveillance des activités et correction des déficiences. 1. Le guide de rédaction du résumé du rapport . L’efficacité globale des contrôles internes de la banque devrait être surveillée en permanence. est la présentation orale par le chef de mission. au principal responsable de l’entité auditée. Section2 : Particularités de l'audit bancaire. L’ossature du rapport constitue : Le guide de rédaction du rapport d’audit interne . Ce profil en fait également un acteur majeur en matière de gestion des risques et de création de valeur ajoutée pour la banque.

Les examens effectués à tous les niveaux devraient être étayés par une documentation adéquate et communiqués dans les meilleurs délais à l’échelon de la direction appropriée. Dans le cadre de la surveillance en continu figurent. elles permettent cependant à une organisation d’avoir un aperçu récent et global de l’efficacité du système de contrôle interne et des activités de surveillance. lorsque les personnes chargées d’une fonction précise déterminent le degré d’efficacité des contrôles pour leurs activités. La fonction d’audit interne constitue un élément majeur de la surveillance en continu du système de contrôle interne. En revanche. ainsi qu’à la direction générale. dont celui en charge des opérations ellesmêmes. 90 . en tant qu’élément de la surveillance du système de contrôle interne. un outil d’efficacité du risk management. au besoin. Surveiller l’efficacité des contrôles internes est une tâche qui peut être accomplie par du personnel de plusieurs secteurs différents. Un audit interne efficace et exhaustif du système de contrôle interne.L’audit systémique bancaire. le contrôle financier et l’audit interne. Les évaluations du système de contrôle interne prennent souvent la forme d’autoévaluations. Pour cette raison. Il est essentiel que la fonction d’audit interne soit indépendante du fonctionnement de la banque au quotidien et qu’elle ait accès à l’ensemble des activités conduites par l’organisation bancaire. Cet audit devrait être effectué par un personnel bien formé et compétent bénéficiant d’une indépendance opérationnelle. ou à son comité d’audit. La fonction d’audit interne. __________________________________________________________________________________________ en fonction des modifications des conditions internes et externes et les renforcer. parce qu’elle fournit une évaluation indépendante du caractère adéquat des politiques et procédures établies et du respect de la conformité à ces dernières. les évaluations spécifiques ne détectent généralement les problèmes qu’après coup. Un processus de surveillance en continu peut permettre de découvrir et de corriger rapidement les déficiences du système de contrôle interne. Les documents et résultats concernant les évaluations sont ensuite soumis à l’attention de la direction générale. Il atteint son efficacité maximale lorsque le système de contrôle interne est intégré à l’environnement opérationnel et donne lieu à des rapports réguliers qui font l’objet d’un examen. par exemple. il est important que la direction générale désigne clairement les auditeurs en précisant leurs fonctions de surveillance. l’examen et l’approbation des enregistrements courants ainsi que la consultation et l’approbation par la direction des rapports sur des faits exceptionnels. devrait rendre compte directement au conseil d’administration. y compris dans ses succursales et filiales. pour en garantir l’efficacité. La fréquence de la surveillance des différentes activités devrait être fonction des risques encourus ainsi que du rythme et de la nature des changements affectant l’environnement opérationnel. La surveillance devrait faire partie des activités quotidiennes de la banque mais commande également de procéder à des évaluations périodiques spécifiques de l’ensemble du processus de contrôle interne.

__________________________________________________________________________________________ En rendant compte directement au conseil d’administration ou à son comité d’audit ainsi qu’à la direction générale. la direction générale devrait être responsable de l’instauration d’un système destiné à suivre les faiblesses du contrôle interne ainsi que les actions destinées à y remédier. à leur rémunération ou aux affectations budgétaires les concernant soient traitées par le conseil ou par les niveaux de direction supérieurs plutôt que par des responsables qui sont affectés par les travaux des auditeurs internes. Notification par l’audit interne des déficiences des contrôles internes au conseil. un outil d’efficacité du risk management. 91 . Vers la généralisation des meilleures pratiques. sous un angle global.L’audit systémique bancaire. Les auditeurs internes doivent assurer un suivi ou toute autre forme appropriée de surveillance et informer immédiatement la direction générale ou le conseil de toute insuffisance non corrigée. La fréquence et l’ampleur des examens et tests des contrôles internes effectués au sein d’une banque par les auditeurs internes devraient correspondre à la nature et à la complexité des activités de l’organisation et aux risques associés. Les déficiences importantes devraient être signalées à la direction générale et au conseil d’administration. 2. Le conseil devrait également renforcer l’indépendance des auditeurs internes. par exemple. Vers la fin des années 80. permet à la gouvernance d’entreprise de s’exercer correctement. qu'il n'y ait pas de problèmes de sécurité ou de fiabilité. Le rattachement de la fonction d’audit interne au plus haut niveau de l’organisation bancaire. Le conseil bénéficie d’informations qui ne peuvent être aucunement adaptées par les niveaux de direction couverts par ces comptes rendus. devraient être notifiées dans les meilleurs délais au niveau de la direction appropriée et faire l’objet d’un traitement rapide. l’audit interne ou un autre personnel de contrôle. En raison de l’importance de cette fonction. on commence à parler beaucoup de contrôle interne : il s'agit de l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrôle bien ses opérations. Des points qui apparaissent peu importants lors de contrôles individuels peuvent fort bien révéler des tendances susceptibles. l’audit interne doit être assuré par un personnel compétent et bien formé ayant une parfaite compréhension de son rôle et de ses responsabilités. les auditeurs internes procurent des informations objectives sur les différentes activités. qu’elles soient détectées par un secteur d’activité. Pour faire en sorte que toutes les déficiences soient traitées au plus tôt. Les déficiences des contrôles internes. Des évolutions durables. Le conseil d’administration et la direction générale doivent recevoir périodiquement des rapports recensant les problèmes de contrôle décelés. de représenter une déficience de contrôle majeure si une action n’est pas entreprise à temps. en faisant en sorte que des questions ayant trait.

La pression du marché pour obtenir une information pertinente est permanente. les sujets auxquels s'intéresse l'auditeur évoluent et sont de plus en plus perçus comme stratégiques par ses clients en l'occurrence le top management et les risk managers. Les exigences croissantes des marchés financiers. L'information financière avait donc relativement peu d'importance.L’audit systémique bancaire.Contrôle interne et audit interne bancaires. au passage. le champ d'intervention de l'auditeur bancaire. etc. __________________________________________________________________________________________ Dans les années 90. Un autre phénomène a bouleversé le métier : ce qu'on appelle aujourd'hui l'exigence de création de valeur actionnariale. comme dans beaucoup d'autres pays. Auparavant. touche des domaines de plus en plus stratégiques de l'entreprise tels que le contrôle des risques. Une globalisation qui change tout. la situation s'est totalement inversée. Ils réclament des investissements plus intéressants et veulent pouvoir comprendre comment la banque gère sa rentabilité dans le temps et quels risques elle prend. 3 . on se cale alors sur les meilleures pratiques. la plupart des banques sont cotées et parallèlement. destiné à fournir l’assurance raisonnable 92 . les banques étaient nationalisées. Il leur faut donc se mettre à niveau. là encore. Parallèlement. Mais le système bancaire s'est mondialisé et les autorités de tutelle se sont regroupées dans le fameux Comité de Bâle. l'auditeur peut donc s'attacher.personne n'investissait dans leur action. Quand on maîtrise mieux ce qui se passe. Le périmètre de l'information fournie s'élargit donc. on connaît mieux ses clients. la répartition des fonds propres entre les différentes activités. Aujourd'hui. Auparavant. “ Le contrôle interne est le processus mis en œuvre par le conseil d’administration. Ce qui leur permet de se rendre compte. mais de plus en plus à effectuer un diagnostic du dispositif de contrôle et de pilotage sur lequel s'appuie la direction de la banque pour maîtriser ses risques. non plus uniquement à tester des soldes ou des transactions ou à valider des procédures courantes. on gaspille moins. et dans le même temps. Dans ce contexte plus sécurisé. les dirigeants et le personnel d’une organisation. les banques se retrouvent avec une règle commune beaucoup plus exigeante que les règles habituelles. qu'elles peuvent tirer avantage de ces contraintes nouvelles en termes de productivité et de compétitivité. Contrôle interne bancaire. les banques ne dépendaient que de la supervision des autorités nationales. on sait mieux définir ses prix etc. quelques faillites célèbres alertent les autorités de tutelle internationales. les problématiques de rentabilité ajustée des risques. pour édicter des règles générales valables pour tous les pays. qui. un outil d’efficacité du risk management. on a moins de sinistres. Et tout naturellement. Au Maroc. les investisseurs deviennent de plus en plus exigeants.

sur la fonction dite de compliance. en d’autres termes.L’audit systémique bancaire. l’efficacité et l’efficience du contrôle interne et ce compris la fonction de compliance. le système de contrôle interne doit prévoir quatre niveaux de contrôle : 21 [Définition du C. une connaissance et une maîtrise adéquate des risques en vue de protéger le patrimoine. sous la responsabilité de la direction de l’entreprise. Enfin. Un système de contrôle interne adéquat requiert un ensemble efficace de mesures intégrées. Une partie de ces mesures est axée sur la vérification et l’encouragement du respect. détecter et prévenir les risques auxquels les établissements bancaires sont confrontés. il constitue une composante essentielle de la gestion d’un établissement et un élément de la culture de celui-ci en faisant partager à l’ensemble du personnel l’importance du contrôle. Ainsi. mais repose aussi sur la qualité des dirigeants. de règlement. doivent assurer.O. Le contrôle interne est un système qui fonctionne en continu à tous les niveaux de la banque. une utilisation économique et efficace des moyens engagés. Ce contrôle ne se limite pas au seul examen du respect des normes quantitatives. Les principaux risques sont : le risque de crédit. __________________________________________________________________________________________ quant aux objectifs suivants : la réalisation et l’optimisation des opérations. plans d’actions et des procédures internes. l’intégrité et la fiabilité de l’information financière et de celle relative à la gestion. encadrée d’objectifs bien définis. des avis et des informations sur les activités examinées et contribue ainsi à une meilleure gestion de l’entreprise. adaptées à l’organisation et au fonctionnement de l’établissement et conformes aux principes d’une gestion prudente et saine. de réaction et d’adaptation lors de la survenance de risques. A ce titre. le respect des lois et règlements ainsi que des politiques générales. opérationnel et juridique. Dans le cadre de ses travaux. Le contrôle bancaire doit se concevoir à travers une approche préventive pour que l’établissement exerce ses activités de manière saine et sûre. des règles qui ont trait à l’intégrité de la fourniture de services financiers. de taux. L’objectif principal du contrôle interne est d’analyser. par l’entreprise. la conformité aux lois et aux réglementations en vigueur ”. la fonction d’audit interne est un instrument important pour vérifier le bon fonctionnement. un outil d’efficacité du risk management. la réalisation des éléments suivants : une conduite des affaires ordonnée et prudente. avec une certitude raisonnable. la fiabilité des opérations financières. 21 Le contrôle interne se définit généralement comme l’ensemble des mesures qui. 93 . surveiller. Le contrôle interne doit permettre à l’établissement de conserver sa capacité d’identification. sur la discipline de marché (par une meilleure transparence financière) et sur la qualité du contrôle et de la maîtrise des risques par les Etablissements bancaires. Elle porte. des recommandations. de liquidité. des évaluations.S. de marché.O. : committee of sponsoring organizations of the treadway commission. l’audit interne fournit à la direction de l’entreprise des analyses.

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

contrôles quotidiens réalisés par les exécutants (contrôle premier niveau, premier degré); contrôles critiques continus assurés par les personnes chargées du traitement administratif des opérations(contrôle premier niveau, deuxième degré) ; contrôles réalisés par les membres de la direction sur les activités ou fonctions qui tombent sous leur responsabilité directe (contrôle premier niveau, troisième degré); contrôles réalisés par le service d’audit interne (contrôle deuxième niveau).
Audit interne bancaire.

Rappelons que : « L’audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. » L'audit interne, chargé de veiller à la cohérence et à l’efficacité du contrôle interne, est au cœur du système de contrôle interne bancaire. Pour garantir son efficacité, des exigences doivent être vérifiées: Caractère permanent; Indépendance; Charte d’audit; Objectivité; Compétence professionnelle. Empruntant la démarche d'audit interne décrite supra pour l’exécution de ses travaux, l'audit bancaire repose en plus sur quelques particularités : Plan annuel d’audit; Programmes de missions; Documents de travail; Rapports de synthèse et détaillé; Suivi de missions. Le plan annuel d’audit est déterminé selon la méthodologie « ANA » (Audit Needs Assessment) en déterminant les priorités d’audit et la fréquence des audits qui doit être en fonction du degré de risque. Pour l'élaborer, un plan d’audit est déterminé en plusieurs étapes : Analyse des flux et activités; Hiérarchiser selon l’impact et la probabilité;

94

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Elaboration de la cartographie des risques. De ce fait, la cartographie des risques est considérée comme : Un outil de planification, de gestion et de monitoring des risques bancaires; Un instrument d'aide à la maîtrise adéquate des risques; Un outil pour gérer le système de contrôle interne. Ainsi pour mener à bien sa mission et contribuer à créer de la valeur ajoutée pour la banque, l'audit bancaire doit adopter une approche simple, pragmatique et efficace.
Dispositif de l'audit interne bancaire.

L’audit interne, directement rattaché au top management de l’établissement bancaire, est indépendant de toute entité, de tout métier et de toute unité opérationnelle. Il n’est donc, de quelque manière que ce soit, pas impliqué dans le fonctionnement au quotidien des activités qu’il contrôle. L’audit interne effectue périodiquement et autant que de besoin, des missions, surplace et ou sur pièces et dont l’objectif est la vérification : du respect des réglementations externes; du respect des règles internes; du respect des décisions du management et de la mise en place de moyens adaptés à leur application; de l’identification et de la maîtrise des risques de toute nature, tant avant qu’après l’initiation des opérations; de la fiabilité et de la pertinence des informations, mesures ou méthodes utilisées au niveau local à des fins de gestion financière ou de contrôle des risques; de la fiabilité et de l’exhaustivité des informations reportées au niveau central en vue de leur consolidation; de l’existence, de la pertinence et de la correcte application des procédures opérationnelles; de la qualité ainsi que de la juste évaluation et comptabilisation des éléments d’actif et de passif; de la mise en place des procédures et moyens suffisants pour assurer la continuité de l’activité; de la traçabilité des opérations et de leurs traitements; de l’efficacité et de la cohérence du dispositif de contrôle interne.

95

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

4 - Un périmètre d'intervention élargi.
Hier, l'auditeur se préoccupait d'un périmètre limité avec une démarche pour l'essentiel très proche des détails. Aujourd'hui, de fait, son champ d'intervention est beaucoup plus large : il est chargé de réaliser le diagnostic de systèmes de reporting et de dispositifs de pilotage très sophistiqués, des systèmes utilisés par la direction générale, ce qui signifie que les auditeurs sont en contact avec l'état-major de la banque, dans une approche qui n'a rien à envier à celle du consultant. Ainsi, pour mettre en œuvre cette démarche de manière efficace et crédible, il faut faire intervenir uniquement des auditeurs spécialistes et lorsque nécessaire, leur apporter l'appui d'experts très pointus pour les aspects les plus techniques.
Audit tous Risques.

Exemple parmi d'autres : les risques de marché, risques de système d'information et les moyens mis en œuvre pour y faire face. Aujourd'hui, on demande aux banques de maîtriser, de gérer et de contrôler ces risques. A partir du moment où elles entrent dans la cartographie des risques de la banque, cela signifie qu'il faut avoir les compétences nécessaires pour avoir un regard critique sur ces risques. Ce sont des horizons nouveaux pour le métier de l'audit bancaire, on doit donc avoir des équipes compétentes formées et de spécialistes qui peuvent comprendre en détail tout ce qu'il y a derrière et parler d'égal à égal avec les audités. Pour ce type de risques, on recrute notamment des ingénieurs financiers ayant des connaissances mathématiques extrêmement poussées, parfois complétées par une expérience de trading ou de contrôle des risques dans une banque.
Une démarche globale.

Un empilement de solutions techniques (informatiques mais aussi comptables, juridiques, fiscales, financières...) ne saurait assurer la sécurité d'un système d'information sans une cohésion d'ensemble de ces différents éléments. Celle-ci passe par la mise en place d'une véritable organisation efficace au sein de la banque. Pour l'audit bancaire, il s'agit donc de mettre en place une approche structurée intégrant les composantes stratégiques, organisationnelles et humaines mais aussi les facteurs risques, coûts et efficacité.

5 - Finalité, rôle et approche de l'audit bancaire.
Finalité de l'audit bancaire.

Les banques font face à un environnement socioéconomique de plus en plus difficile. Les risques auxquels elles sont confrontées sont devenus plus nombreux, plus significatifs et plus complexes. Dans le contexte économique actuel, les banques doivent plus que jamais disposer d’un système de gestion de risque efficace et élaboré, susceptible d’assurer une réaction
96

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

rapide face à l’apparition de nouveaux risques. La finalité d'un tel système serait de préserver leur solidité financière, de continuer de croître et d’apporter la confiance au marché. La fonction d’audit interne est un instrument important pour vérifier le bon fonctionnement, l’efficacité et l’efficience du contrôle interne, en ce compris la fonction de compliance. Dans le cadre de ses travaux, l’audit interne fournit au management de la banque des analyses, évaluations, recommandations, avis et informations sur les activités examinées et contribue ainsi à une meilleure gestion de la banque. Les autorités de tutelle, en l'occurrence BAM exige pour chaque banque l’existence d’une organisation interne adéquate par rapport à l’activité exercée et aux risques encourus. D’où la nécessité d’un système d’audit et de gestion de risques performant.
Rôle : vérification du bon fonctionnement du contrôle interne.

Pour tenir compte de l’importance de la gestion de risque dans une banque, un certain nombre de principes ont été clairement définis, notamment le rôle et les responsabilités du management (conseil d’administration et direction générale), les activités de contrôle et la séparation des fonctions, la nécessité de disposer des informations actualisées, fiables, cohérentes et accessibles. Le conseil d’administration doit veiller à la mise en place et au maintien d’un contrôle interne conséquent, établir des limites à l’intérieur desquelles les risques sont encourus et garantir la mise en place des mesures d’identification, d’évaluation, de surveillance et de contrôle des risques. Il appartient, par la suite, à la direction générale de mettre en œuvre ces principes et notamment de développer des procédures de contrôle y relatives. L'audit interne, cellule indépendante directement rattachée au conseil d’administration, a comme premier rôle de vérifier le bon fonctionnement du contrôle interne. En parallèle, on assiste à un développement des comités d’audit, émanation du conseil d’administration, composés de plus en plus de spécialistes dans les différents domaines concernés (comptabilité, réglementation, juridique, private banking, etc.). Le comité d’audit assure la communication régulière avec l’audit externe et l’audit interne, veille à la qualité et l’indépendance de leurs travaux et informe l’ensemble du conseil d’administration, par des rapports synthétisés sur les constats et recommandations majeurs relevés.
L’approche risque au centre de l’audit bancaire.

Dans le cadre du concept de surveillance dualiste au Maroc, BAM exerce une surveillance des établissements bancaires et ce de manière indirecte. C’est-à-dire en se basant sur les travaux des auditeurs internes et externes. Ainsi, dans son rôle d’organe de vérification du bon fonctionnement du contrôle interne, l'auditeur bancaire se voit attribuer un rôle beaucoup plus étendu. Il ne vérifie pas
97

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

seulement la régularité de traitement des opérations. Il doit également prendre position, dans un rapport adressé au conseil d’administration de la banque sur le respect des conditions d’autorisation d’une banque. Par ailleurs, il doit aussi constater le (non)-respect de la réglementation bancaire, se prononcer sur la situation financière et notamment présenter des indications quantitatives et qualitatives sur la situation des risques (adéquation de la politique des risques, gestion et contrôle). Pour remplir leur rôle, les auditeurs utilisent des méthodologies basées sur l’analyse de l’environnement, des risques existants ou potentiels et de l’organisation interne d’une banque.
• Compréhension de l’environnement. En premier lieu, un diagnostic est posé sur l’interaction de la banque dans son environnement. Quels sont les clients? Quels sont les produits proposés? Sur quels marchés et quelles régions géographiques la banque intervient-elle? Qui sont les stakeholders et quelles sont leurs attentes? Quelle est la conjoncture économique? Quels sont les changements réglementaires? etc.

Cette première étape permet d’identifier les risques découlant des activités bancaires (business risks), comme par exemple: sensibilité à l’évolution des indicateurs économiques (taux de change, taux d’intérêt, etc); concurrence; tendance et développement de l’environnement (par exemple, de la taxation de l’épargne, de la nouvelle ordonnance sur le blanchiment d’argent de BAM); technologie (e-business, fournisseurs informatiques, disponibilité et sécurité de l’information…).
• Appréciation de la culture de risque. La deuxième étape consiste à apprécier la culture de risque de la banque et le degré d’élaboration du système de gestion de risque et du contrôle interne. Son point de départ se situe au niveau de la politique de risque qui reflète la compréhension, la mesure et le contrôle de risque par l’établissement bancaire.

Face à chacun d’eux, les établissements adoptent certains comportements: éviter un risque (par exemple, ne pas rentrer sur un nouveau marché ou offrir tel type de services); réduire ou transférer un risque (par exemple, utilisation des dérivés de crédit), et enfin, accepter un risque. Une fois ce cadre posé, la banque doit identifier, définir et mesurer les risques et attribuer un risk owner pour chacun d’eux. Ensuite, il est nécessaire de fixer des tolérances aux risques (limites), puis d’établir un suivi et un reporting de l’évolution de l’exposition aux risques, et ceci de manière individuelle et globale.
• Appréciation et analyse de chaque risque. L’auditeur procède à une estimation des risques inhérents à chaque domaine d’activité (crédit, ressources humaines, système d'information, etc.). les risques peuvent être d'ailleurs classés en trois catégories (cf. chapitre 2) :

Une fois que le niveau des risques inhérents a été ainsi estimé, l’auditeur doit comprendre comment ceux-ci sont gérés et contrôlés.

98

la périodicité et les méthodes de vérification qu’il doit entreprendre. Dans le contexte économique actuel. la capacité de gérer ce risque se définit par le dispositif de contrôle interne mis en place. il doit apprécier l’adéquation et l’efficacité des mesures prises par la banque en vue de minimiser les risques encourus. qui va toutefois encore se renforcer avec l’introduction des nouveaux accords de Bâle II. en accord avec les principes de la profession. La gestion de risque et le contrôle interne doivent ainsi être entendus en tant que processus continu dont l’application doit être garantie en permanence. • Le respect des conditions d’autorisation. Quant à la transparence des informations déterminantes sur la situation des risques. La gestion des risques : un processus continu. un outil d’efficacité du risk management. Les autorités bancaires de surveillance doivent intégrer cette nécessité dans la réglementation en vigueur. elle contribuera à renforcer la confiance et améliorer la bonne gouvernance bancaire. Enfin. à l’image des fondements du contrôle interne récemment redéfinis par BAM. Le développement récent du corporate governance. 99 .L’audit systémique bancaire. Ces travaux permettent également de se prononcer sur le respect des conditions d’autorisation et des règles de comportement. La conjonction des niveaux estimés du risque inhérent et du risque de contrôle permet ensuite à l’auditeur de déterminer l’étendue. Ce processus doit assurer l’identification des déficiences et la prise de mesures de correction adéquates. L’analyse des risques et les approches d’audit bancaire en découlant doivent être communiquées et validées avec le conseil d’administration ou le comité d’audit. __________________________________________________________________________________________ Autrement dit. une gestion de risque efficace se révèle plus que jamais capitale. Il ne s’agit pas seulement d’une appréciation figée des risques à un instant donné. L’analyse des risques inhérents et les contrôles internes mis en place permet de s’assurer que les risques sont bien identifiés et correctement reflétés dans les comptes annuels. pour préserver la solidité financière d’une banque et apporter la confiance au marché. Si donc l’importance du risque se définit par le risque inhérent. La communication et la compréhension des rôles des différents acteurs dans la surveillance des banques s’en trouveront certainement facilitées et améliorées. L’analyse de ce processus dynamique est au cœur de l’approche et des travaux d’audit bancaire. l’application d’une telle méthodologie permet également d’identifier des opportunités d’amélioration et d’optimisation du système de contrôle interne et de les communiquer à la banque sous forme de recommandations ou de plans d’actions. gagne en importance dans la gestion de risque.

avec l'audit systémique qui sera présenté et développé en détail à la deuxième partie. Enfin. de leur formation. de rendre l'organisation existante plus performante et plus efficace. Des conditions sont à remplir pour que l'audit interne puisse être un véritable outil d'efficacité. de mission de conseil. Ainsi. Quoi qu'il en soit.L’audit systémique bancaire. l'attitude des dirigeants et le soutien qu'ils apportent à leur structure d'audit interne. dans le cadre de l’exercice de sa mission. de frais de déplacements. va tout à fait dans le sens de l'efficacité. conduit souvent à des systèmes inauditables.. mais aussi aux audités et à leur comportement ou à la remise en cause éventuelle de leur façon de travailler et de leurs habitudes. Dans un environnement changeant. est un gage majeur de réussite. outre les problèmes de contrôle. qui peuvent être classées en quatre grandes catégories. Il faut donc que l'équipe se rentabilise et il n'est pas toujours évident de mesurer concrètement sa productivité. L’exemple de l'informatique qui permet désormais de travailler en temps réel. L’auditeur peut également identifier les inefficacités des opérations et peut se voir charger. La troisième limite est liée au fait que la mise en place du contrôle interne vient souvent à l'encontre de l'efficacité immédiate. que chacun de ses critères aura pu être optimisé. et donc le résultat pour la banque. inefficaces et coûteux. l’auditeur est bien placé pour identifier. Une deuxième limite est constituée par le rapport efficacité/coût. apportant ainsi une contribution significative à l'ensemble. le seront désormais avec la méthodologie présentée. l'existence d'une structure d'audit interne au sein d'une banque traduit la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter les risques. L'existence d'une structure performante d'audit coûte cher en termes de salaires. L’audit interne peut jouer un rôle non négligeable en matière d’efficacité de la banque. Le quatrième type de limite concerne l'évolution rapide des techniques et des méthodes de travail. L'efficacité. Cette optimisation a toutefois ses limites. aux auditeurs bien sûr. seront d'autant plus grands.. compte tenu de leurs aptitudes à assumer la fonction. __________________________________________________________________________________________ Conclusion du chapitre 2. mais par contre. de leurs connaissances. un outil d’efficacité du risk management. • • • Par ailleurs. selon leur nature : • Une première limite est liée aux hommes. nous verrons que des systèmes réputés auparavant comme inauditables pour l' auditeur bancaire. les domaines dans lesquels les contrôles sont inutiles. 100 . de frais de structure. de leurs qualités intrinsèques. l'auditeur interne peut jouer un rôle dépassant largement celui de "contrôleur" pour devenir un "catalyseur" encourageant les dirigeants d'entreprise à agir. au-delà de sa mission habituelle. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission qu'on lui a assignée.

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

101

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur efficience : enquête sur le terrain

102

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur efficience : enquête sur le terrain Introduction.
L’enquête sur l’efficience de l’audit interne au sein du système bancaire marocain a été réalisée avec les inspecteurs généraux et les responsables d’audit interne de cinq banques privées de la place. Elles ont été choisies parmi celles les plus représentatives de l'activité bancaire à l'échelon national à savoir : 3 filiales de banques françaises : Banque Marocaine pour le Commerce et l'Industrie, BMCI (BNP- Paribas); Société Générale Marocaine de Banques, SGMB (Société Générale); Crédit du Maroc, CDM (Crédit Agricole). 2 banques marocaines : Attijariwafa Bank (AWB); Banque Marocaine du Commerce Extérieur - BMCE BANK. Nos interlocuteurs ont répondu favorablement aux entretiens sollicités, donnant ainsi aux résultats de l’enquête la légitimité que nous voulons. Le guide d'entretien s'est articulé autour de la sensibilité du management à l'audit intenre, le positionnement et rôle des départements de contrôle et le dispositif d'audit adopté pour les quatre métiers choisis à savoir le système d’information, les activités de marché, la gesion des ressources humaines et la comptabilité.

Section 1 : Le guide d'entretien.
Le guide d'entretien adopté lors de l’enquête sur l’efficience de l’audit interne au sein du système bancaire marocain avait comme objectif d’identifier : Le degré de sensibilité du management à toutes les catégories de risques: opérationnel, financier et de réputation; Le rôle des risk - managers dans la gestion et le contrôle des risques; L'indépendance et l'efficacité de l'audit interne dans la mesure et la prévention des risques; L'efficience du système d'audit interne existant et l’étendue de ses travaux; L'exhaustivité de la cartographie des risques et du périmètre d'audit; La réalisation de missions spécifiques pour les lignes métiers : Direction du Système d'Information, Salle Des Marchés, Direction des Ressources Humaines et Direction de la Comptabilité;

103

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

L'existence au sein de l'audit interne de pôles de compétence aptes à mener des missions d'audit dans ces lignes métiers; La disponibilité de manuels de procédures ou des modes opératoires pour piloter les missions d’audit réalisées et particulièrement celles citées cidessus ( DSI, DRH, DC et SDM); L'exhaustivité des points de contrôle par ligne métier formalisés par le mode opératoire d’audit.

1. Sensibilité du management à l'audit interne.
Le management est-il sensible à tous les risques : opérationnels, financiers et de réputation ? Quelles dispositions pratiques a-t-il pris face à ces risques ? Comment le management a-t-il réparti les rôles entre les divers acteurs de son entité (Risk management, Audit interne et Compliance) en terme de prévention de ces risques? Comment est-organisée la supervision de la prévention des risques opérationnels et la remontée de l’information ?

2. Positionnement et Rôle des départements de contrôle.
2.1 - Risk Management.

Le positionnement des Risk managers dans l’organigramme assure-t-il l’indépendance nécessaire à l’accomplissement de leur mission ? Leur mission est-elle définie par une lettre de mission et celle-ci est-elle émise par une autorité appropriée ? Le risk manager est-il consulté lors de la mise en place de nouveaux produits et procédures, pour rendre un avis sur les risques induits ?
2.2 - Audit interne.

L’audit interne est-il rattaché hiérarchiquement au Top management (voir au Conseil d’Administration, Directoire) de la banque ? L’audit interne est-il mobilisé et soutenu par le comité de direction ? Les recommandations de l’audit interne sont-elles suivies par le management en terme de prévention des risques ? Les rapports de missions d'audit sont-ils transmis directement à cette hiérarchie ? Le périmètre ou champs d’audit est-il exhaustif et couvre-t- il tous les risques et toutes les entités (réseau, directions centrales, filiales, succursales et fonctions dont le contrôle interne et la compliance) ? Le plan annuel d'audit des 3 dernières années listant les missions menées couvre-t- il la totalité des risques (crédit, marché, opérationnels) et des unités (opérationnelles et fonctionnelles)?

104

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Existe-t- il une cartographie des risques ? est-elle fiable et exhaustive? Est elle constamment mise à jour ? Inclut-elle les risques financiers (crédit, marché, liquidité), les risques opérationnels (Système d’Information, Ressources Humaines, Comptable, non conformité, fiscal, ..) et le risque de réputation (ou d’image) ? Les missions réalisées couvrent-elles l'ensemble de ces risques ? Si oui, quelle est leur fréquence dans le plan triennal d'audit ? Dans quelle mesure les recommandations formulées par les missions d’audit ont participé à l'amélioration des processus de gestion et à la prévention des risques ? L'audit interne dispose -t- il de compétences spécifiques aptes à mener des missions à haute technicité (Direction des Systèmes d’Information, Salle Des Marchés, Direction des Ressources Humaines, Direction de la Comptabilité) ? Y a -t- il un auditeur par pôle de compétence ou bien des auditeurs « polyvalents » ? Y a -t- il des manuels de procédures ou des modes opératoires pour piloter les missions d’audit réalisées? Ces manuels de procédures intègrent-ils des missions d’audit (Direction des Systèmes d’Information, Salle Des Marchés, Direction des Ressources Humaines, Direction de la Comptabilité) ? Si oui, sont-ils exhaustifs explicites et conformes à la réglementation en vigueur ?
2.3 - Compliance et Déontologie.

Un « Compliance Officer » a-t-il été désigné ? Si oui, quel est son poids réel dans l’organigramme et quelle est son indépendance ? Travaille-t-il avec des outils fiables et exhaustifs ? Existe-t-il un code de déontologie spécifique à la banque ? Est-il diffusé à l’ensemble des collaborateurs ? Les collaborateurs ont-ils signé un engagement au respect du secret bancaire, à la lutte contre le blanchiment et ont-ils pris connaissance de leurs devoirs rappelés dans le Règlement intérieur de l’entité ?

3. Dispositif d'audit par ligne métier.
Dans une mission de la Direction du Système d'Information, les 4 domaines sont-ils couverts : Organisation et management, Sécurité, Etudes et développements, Exploitation informatique ?

105

Formation. 106 . Back Office ? Les risques qui en découlent sont ils également couverts : opérationnels. les domaines relevant de l'activité comptable et financière sont-ils couverts : Structure et organisation générale. Connaissance et respect des règles de déontologie. Recrutement. les tendances convergentes et les spécificités apparentes. de sécurité ? Dans une mission de la Direction des Ressources Humaines. d’autant que la deuxième partie de ce mémoire présente en détail les bonnes pratiques en la matière à travers l’approche de l’audit systémique. Contrôles exerces par le service comptable. de contrepartie. Séparation des fonctions. Reportings réglementaires. Consolidation ? Section 2 : Les conclusions de l'enquête. Elle met en lumière les éléments marquants qui s’en dégagent. un outil d’efficacité du risk management. Relations Sociales ? Dans une mission de la Direction Comptable. juridique. les 3 fonctions sont-elles couvertes : Front Office. Cette section présente l’analyse des résultats et restitue dans les grandes lignes les pratiques d’audit interne bancaire. Gestion des carrières.L’audit systémique bancaire. les cinq domaines d’activité du métier sont-ils couverts : Administration. Risques fiscaux. Ceux-ci viennent corroborer nos constats à travers notre exercice sur le terrain du métier d’auditeur des multi métiers bancaires et confirmer aussi les enjeux et les évolutions majeures de la profession au niveau du système bancaire marocain. Middle Office. Cette enquête constitue ainsi un support d’analyse qualitatif auquel tout responsable d’audit interne ou risk manager est invité à se reporter. Les outils de pilotage. __________________________________________________________________________________________ Dans une mission de la Salle Des Marchés.

sur l’audit externe des établissements de crédit et par la refonte des textes de base relatifs à la loi bancaire et les statuts de BAM. notamment par les circulaires de BAM sur le contrôle interne des établissements de crédit. de traitements opérationnels. l’audit interne apparaît de plus en plus comme un outil puissant de détection des risques mais se limite toutefois aux risques classiques (de contrepartie. Ce faisant.. rares sont les dispositions pratiques adoptées pour y faire face. prenant acte des attentes renouvelées des organisations. La présente étude a été menée dans un contexte marqué notamment par l’entrée en vigueur des normes bâloises. Les réflexions relatives aux structures de Risk management 107 . les risques du système d’information. les risques liés aux ressources humaines. En particulier.L’audit systémique bancaire. Afin d’améliorer la gouvernance au sein des banques marocaines. Les responsables d’audit interne affirment tous la prise de conscience par le management de la banque de l’ensemble des risques opérationnels. Dans le même temps. __________________________________________________________________________________________ Cette enquête reflète l’image d’un audit interne indépendant au service tant de la direction générale que du comité d’audit mais non parfaitement à même de prévenir correctement avec le risk management toutes les familles de risques. Principaux enseignements et réflexions. financiers et de réputation mais à part la diligence de missions classiques (respect des procédures de traitements opérationnels et de crédit). la non maîtrise de certains risques peut induire à la destruction de valeur au sein de l’organisation et de limiter le rôle essentiel de l’audit interne. Quels en sont les impacts pour les pratiques de l’audit interne ? Quel est le niveau de participation de l’audit interne avec le Risk Management au processus de gestion des risques ? 1 . de nombreuses dispositions ont été adoptées..) sans pour autant se focaliser sur d’autres risques tels que les risques marché. un outil d’efficacité du risk management.. Le rattachement direct de l’audit interne au top management de la banque confirme l’importance du positionnement de l’audit interne dans l’organisation.Sensibilité du management à l'audit interne. . la profession. a défini de nouvelles normes professionnelles qui centrent l’activité de l’audit interne sur l’évaluation des processus de management des risques. réforme qui n’est pas sans conséquences pour l’audit interne bancaire.. de la nouvelle loi bancaire et des nouveaux statuts de BAM. de contrôle interne y compris ceux de la conformité et de gouvernement d’entreprise. à savoir d’apporter une contribution déterminante à la bonne gouvernance de l’établissement bancaire. Ces dispositions se limitent par la création de cellules pour la gestion du chantier Bâle 2 ou celui de la Compliance.

L’audit systémique bancaire. __________________________________________________________________________________________ et de prévention des risques opérationnels. En termes de prévention de ces risques. ne semblent pas être encore à l’ordre du jour. en est encore à ses débuts.1 . renseigné et validé par le responsable de chaque entité. La supervision de la prévention des risques par le management se limite au suivi des rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée pour piloter l’évolution de tous les risques par ligne métier et par entité. 108 .Positionnement et rôle des départements de contrôle. ne semblent pas être encore dans l’ordre du jour. Il est évident que l'efficacité d'un bon contrôle interne dans ce domaine repose sur la fiabilité du système d'information pour maintenir une culture de contrôle et pour s'assurer que l'ensemble du personnel adhère à ces objectifs. Ce nouveau système est en cours de mise en place et sa fiabilité ne pourrait toutefois être suffisamment appréciée qu'au cours des années ultérieures. La remontée de l’information sur le dispositif du contrôle interne par métier est centralisée au niveau de la Direction de Contrôle Interne. Seule une banque (filiale française) dispose d’un progiciel d’autoévaluation du système de contrôle interne sur une périodicité trimestrielle. il n’y a pas une claire répartition des rôles entre les différentes structures à savoir : le Risk management. un outil d’efficacité du risk management. Le système d'information paraît dans ce sens jouer un rôle clé pour communiquer les objectifs de la banque en matière de risque. La désignation des Risk Managers par métier est pratiquée dans une seule banque de la place.Risk Management. Ces événements doivent néanmoins être identifiés de manière exhaustive et intègre. sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global de l’établissement bancaire. D'où le rôle déterminant qu'aura à jouer aussi bien l'audit interne que les reporting en interne. 2. Un système de risk management doit être mis en place pour s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances. excepté pour les filiales des banques françaises. La gestion des risques ou le risk management aussi bien en interne que conformément aux exigences prudentielles. A titre d’exemple la BMCE et la SGMB ont eu l'idée de constituer une base de données interne incluant tous les incidents ou les événements de pertes occasionnées dans le cadre de l'exercice des activités de la banque. l’Audit interne et la Compliance. de quelque ordre que ce soit. excepté pour les filiales françaises. Des efforts ont été néanmoins entrepris par deux banques marocaines en vue de se doter d'outils pertinents capables de renseigner sur la survenance de tout risque de nature opérationnelle. et ce quelle que soit son origine ou sa localisation. 2 . Les réflexions relatives aux structures de Risk management et de prévention des risques opérationnels.

un regard impartial sur les risques de la banque et son contrôle interne. c’est l’évolution de la gestion des risques qui doit être repensée au sein des banques. En cela. voire totale. l’audit interne participe grandement à l’amélioration du gouvernement d’entreprise.2 . Les contacts avec la direction générale sont d’ailleurs nombreux : la quasi-totalité des banques sondées confirment avoir au moins une réunion formelle par mois. Par conséquent. Les responsables d’audit interne assistent à toutes les réunions du comité d’audit. un outil d’efficacité du risk management. En apportant à la direction générale et aux administrateurs. Au delà de cette prise de conscience. __________________________________________________________________________________________ Le système de collecte et de reporting doit être une partie intégrante des procédures opérationnelles. deux d’entre elles ont cependant opté pour une hiérarchie interne souple. Les recommandations de l’audit interne sont suivies par le management qui reçoit systématiquement les rapports de missions d'audit.Audit interne. La part des missions classiques relatives au contrôle de conformité aux procédures internes (traitements opérationnels et procéduraux et risques de crédit) et à la 109 . avec moins de niveaux et des rotations au poste de chef de mission. La plupart des banques ont adopté une structure hiérarchique semblable à celle des cabinets d’audit . un pré -requis s’impose : la fonction de l’audit interne doit contribuer à la prévention des risques bancaires à travers l’identification des risques et l’évaluation de l’efficacité du dispositif de contrôle interne mis en place. pour la réalisation de leurs missions. par l’intermédiaire du comité d’audit. L’audit interne doit pouvoir exercer sa mission de sa propre initiative et s’exprimer librement. Les banques sont munies de comités d’audit et les relations de l’audit interne avec ces comités sont étroites et permanentes. Ces exigences ne peuvent que renforcer le rôle indéniable du "risk manager" chargé du suivi et de l'analyse de tous les événements de pertes identifiées à travers le système interne d'information. Ce rattachement donne à une grande majorité d’auditeurs internes une liberté importante. Ceci confirme le positionnement de la fonction d’audit interne et son importance dans l’organisation. la prise de conscience des dirigeants apparaît insuffisante à ce jour. Le rattachement de l’audit interne au plus haut niveau de l’organisation (président du Conseil ou du directoire) favorise son indépendance et réduit les risques d’interférences implicites ou explicites sur le choix des missions ou la formulation des recommandations. Même si les banques utilisent des moyens préventifs contre l’exposition aux risques. L’audit interne largement tourné vers les missions classiques au dépend des missions complexes. les résultats de l’enquête mettent en évidence l’insuffisance de ces moyens. 2.L’audit systémique bancaire.

même si plus de la moitié des responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce type. Par ailleurs . des activités de marché ou de la gestion des ressources humaines restent peu significatifs. le plan d’audit est désormais construit en s’appuyant fortement sur une analyse des risques. En matière d’activités « de conseil ». Les audits de conformité aux lois et réglementations et les audits des systèmes d’information. Pour les filiales françaises disposant d’une cartographie des risques. Deux seulement ont hiérarchisé les risques en fonction de leur impact possible et de leur fréquence (probabilité de survenance).. les risques opérationnels cités par Bâle II et le risque de réputation restent quasiment absents. la pratique de la cartographie des risques ne concerne pas toutes les banques. 110 . Salle des marchés. est à l’origine de ce constat. La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits systémiques comptables et financiers reste minoritaire. En revanche. L’audit interne se professionnalise mais sur une cadence variée. Sa fréquence de mise à jour reste aléatoire. un outil d’efficacité du risk management. Les missions s’exercent en priorité autour de l’analyse du contrôle interne de tous les processus opérationnels puis autour de l’évaluation du contrôle interne des processus financiers et comptables. Cette approche par les risques reste toutefois non généralisée et représente le critère cité en deuxième lieu par les responsables d’audit pour élaborer le plan d’audit. L’évaluation des processus de management des risques est quasiment absente mais tend à prendre une part significative avec la prise de conscience progressive du rôle déterminant de cette fonction au sein de la banque. L’analyse des évolutions particulières de l’environnement de la banque est également un critère de poids dans l’établissement du plan annuel d’audit. bien qu’elle soit inscrite dans la définition de l’audit interne. les missions d’assurance restent toujours majoritaire. __________________________________________________________________________________________ réglementation est largement prédominante par rapport à des missions à expertise élevée (Système d’Information.).) ou à des audits systémiques. l’évaluation du processus de gouvernement d’entreprise reste également absente en comparaison avec les autres missions et ceci. cette dernière n’est toutefois pas exhaustive et ne concerne que quelques risques classiques (des traitements opérationnels. Plan annuel d’audit et cartographie des risques : Même si le critère majeur reste les demandes spécifiques de la direction générale. des risques de crédit et parfois des risques marché. actions de formation et apporte sa contribution à des projets de l’entreprise.. Toutefois.. Il est probable que la mise en oeuvre souvent récente de ce processus.L’audit systémique bancaire. l’audit interne réalise des missions classiques : conseil en organisation.

le contrôle de gestion. la gestion Actifs Passifs (ALM). le système d’information. le contrôle interne. activités de bourse) s’avèrent très peu fréquents. pour des raisons de compétences principalement. Les métiers les moins audités sont : la salle des marchés. n’est prévu pour faire en sorte que la direction remédie immédiatement aux déficiences relevées. Dans d’autres cas. DC ( Direction Comptable). qu’elles soient internes ou externes à la banque. La mise à jour de ces manuels reste une pratique non systématique. __________________________________________________________________________________________ Le périmètre d’audit n’est pas très exhaustif et ne couvre pas toujours toutes les entités d’une banque.L’audit systémique bancaire. les audits effectués ne sont pas suffisamment rigoureux pour déceler et notifier les insuffisances du contrôle dans les banques. SDM (Salle des Marchés). Auditeurs internes. confirment que sont exclues de leur périmètre d’intervention certaines missions exigeant une expertise pointue et une haute technicité telles que l’audit des systèmes d’information ou l’audit de la salle des marchés et ce pour le manque de compétences en audit interne aptes à mener ce genre de missions. des banques offshore reste peu fréquent voire absent pour certaines entités. ALM22. DRH. Compliance. L’audit du réseau d’agences occupe le premier rang (70% du budget temps alloué au plan annuel d’audit) en se focalisant sur le risque des traitements opérationnels et le risque de crédit. L’une des conséquences probables de ces difficultés est le recours à des ressources extérieures au service. Très souvent. DC. excepté celui de suivi des recommandations par l’audit interne. SDM. Pour piloter les missions d’audit réalisées. DRH (Direction des Ressources Humaines). Même si l’audit interne apparaît comme une fonction plutôt attractive. aucun mécanisme. les responsables d’audit interne rencontrent des difficultés à recruter. les directions d’audit interne disposent en général de manuels de procédures mais se limitant aux procédures internes de traitement et du risque de contrepartie. gestion d’actifs. 22 DSI (Direction du Système d’Information). Les modes opératoires d’audit (DSI. ALM (Asset Liability Management) 111 . Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou inefficaces. l’audit des filiales. même si les auditeurs ont fait part des problèmes détectés. les ressources humaines. un outil d’efficacité du risk management. des services centraux. Par ailleurs. Manuels de procédures d’audit. la compliance… L’examen du plan annuel d'audit des 3 dernières années de certaines banques listant les missions menées ne couvre pas la totalité des risques des unités opérationnelles et fonctionnelles même s’il est approuvé parfois par le comité d’audit. Les entretiens menés auprès des responsables d’audit interne. pour rechercher certaines compétences et de l’expertise complémentaire en faisant notamment appel à des prestataires externes.

de chaque auditeur sont essentielles pour le bon fonctionnement du service d’audit interne. Le niveau de qualification des auditeurs internes reste très disparate d’une banque à une autre avec une prédominance d’équipes hétérogènes dont une partie est issue des grandes écoles de commerce avec une expérience professionnelle ne dépassant pas les deux ans et un autre lot composé de profils ayant déjà eu une expérience opérationnelle dans la banque. La compétence. celle de l’audit des opérations et des procédures et enfin celle chargée d’auditer le risque de crédit. outils élaborés d’audit) pour aborder ces missions. Lors de la sélection de ces personnes il sera tenu compte également de la nature et de la diversité des activités conduites par l’établissement. La pratique des pôles de compétence en audit interne ne semble en général pas être pratiquée du fait de la nature des profils généralistes pour les auditeurs. L’audit interne dispose généralement de moyens humains adéquats ce qui est révélateur de la prise de conscience de l’importance de cette fonction par le management des banques. un outil d’efficacité du risk management. Par ailleurs. Lorsque dans des domaines spécifiques. les banques marocaines recourent aux prestations d’experts externes ou de cabinets spécialisés d’audit. __________________________________________________________________________________________ Dans ce cadre. La volonté de former des cadres à haut potentiel ayant une vision sur l’ensemble des processus pour l’organisation semble être prioritaire par rapport à la fidélisation des auditeurs au sein du service. La compétence professionnelle doit aussi être appréciée au niveau du service d’audit interne dans son ensemble. les filiales des banques françaises font appel à l’audit interne de leurs maisons mères ayant l’expertise et les outils adéquats (modes opératoires spécifiques. il peut recourir aux services d’un expert externe.L’audit systémique bancaire. qui doit avoir en son sein toute la gamme des compétences techniques nécessaires pour pouvoir examiner l’ensemble des domaines dans lesquels l’établissement opère. Il est important que le service d’audit interne dispose de personnes ayant reçu une formation de niveau élevé et disposant de compétences techniques adéquates. Le service d’audit interne doit maintenir à jour les connaissances acquises et assurer une formation continue et actualisée à chacun des auditeurs. et en particulier les connaissances et l’expérience. le service d’audit interne ne dispose pas d’une compétence suffisante pour procéder à un audit. 112 . Une seule distinction a toutefois été relevée entre l’équipe chargée du volet inspection. sous condition toutefois que l’expert soit placé sous la dépendance du chef du service d’audit interne qui conserve la supervision de l’opération.

non généralisée et ne jouit pas encore de l’autonomie nécessaire. 113 . pour mener cette mission. l’inspection générale ou l’audit interne. leur évolution. l’opinion publique. d'intégrité. __________________________________________________________________________________________ 2.3 . d’une manière générale. des réflexions dans ce sens sont entamées pour quatre banques sondées. et l’avancement des plans d’actions correcteurs. elle reste en général diluée avec d’autres fonctions telles que le contrôle interne.L’audit systémique bancaire. couvert tous les domaines de la fonction informatique : l'Organisation et le management. Les outils mis à la disposition de l’entité conformité ne permettent pas encore d’avoir une vision exhaustive et fiable sur tous les traitements réalisés. Les autres banques affirment ne pas avoir les compétences nécessaires pour mener une telle mission. les opérateurs et. L’une est une filiale française ayant bénéficié de l’expertise d’une mission diligentée par l’inspection générale de sa maison mère ayant l’expertise et les outils adéquats (modes opératoires spécifiques. la déontologie. L'audit des Systèmes d’Informations dans son ensemble a fait l’objet d’une mission au sein de deux grandes banques de la place. progiciels élaborés d’audit) pour aborder cette mission. L’audit du Système d’Information devra mesurer le niveau des risques. la Sécurité. un outil d’efficacité du risk management. de confidentialité. La désignation d’un « Compliance Officer » reste une pratique peu fréquente.Compliance & Déontologie. Cette mission a en effet. les Etudes et développements et l'Exploitation informatique. elle ne concerne que deux banques ce qui ne nous a pas permis d’apprécier le poids réel de cette fonction dans l’organigramme. 3 . L’autre banque. la mission d’audit du Système d’Information devrait apprécier comment sont couverts les risques liés à la fonction Système d'information principalement les risques d'efficacité. de conformité. 3. Chaque banque dispose d’un code de déontologie spécifique ayant pour principal objectif de doter celle-ci d’un texte de référence visant à promouvoir en son sein une forte rigueur déontologique et à renforcer ainsi la confiance et la crédibilité qu’elle doit en permanence inspirer à l’ensemble de ses partenaires à savoir les pouvoirs publics. d'efficience. de disponibilité. a compté sur son propre audit interne mais elle n’a pas couvert que deux domaines à savoir la sécurité et les développements informatiques.Mission de la Direction du Système d’Information.Dispositif d'audit par ligne métier. La création de la fonction de conformité ou « compliance » reste récente. la clientèle. référentiel COBIT. Dans ce cas. Juridique et d'image.1 .

__________________________________________________________________________________________ 3. de compliance et opérationnels. commerciaux et juridiques. Le mode d'élaboration des résultats comptables et de gestion. la Direction des Ressources Humaines est une fonction rarement auditée au sein des banques. transverses à plusieurs fonctions. CIMR. Elles n’ont pas analysé : La totalité des risques liés à l’activité de marché à savoir les risques de gestion. trois banques (dont 2 françaises et une marocaine) ont réalisé une mission d’audit de la Salle Des Marchés mais sans pour autant en couvrir les 3 fonctions du Front Office. . Les missions n’ont pas procédé au recoupement avec les travaux des autres missions (système d’information. 114 . le recrutement.2 . de fraude. L'inventaire des différents états de reporting et de leur mode d'élaboration.L’audit systémique bancaire. un outil d’efficacité du risk management. du Middle Office et du Back Office ainsi que tous les risques qui en découlent opérationnels. juridiques. déontologiques. juridique et de sécurité. 3. sur des sondages. de déclarations sociales (CNSS.Mission de la Salle des marchés. Parmi les familles de risques n’ayant pas été abordées. comptabilité. de crédit.). d’image. Les missions menées se sont en effet limitées à couvrir les risques de traitements administratifs. Les missions réalisées se limitent à : L'examen des principales procédures de traitement (Back office). la gestion des carrières et les relations sociales. on trouve les risques de management. Seulement deux banques ont mené une mission d’audit Ressources Humaines ces trois dernières années mais n’ont toutefois pas couvert les cinq domaines de la gestion des ressources humaines à savoir : l’administration. fiscales (IGR) et d’assurance et parfois le volet formation (OFPPT). Se trouvent ainsi exclus le recrutement. L'inventaire des applications de gestion et de traitement de ces activités et instruments.. des positions prises et de leur rentabilité tant en interne qu'en externe. De part l’importance des risques inhérents à l’activité de marché. L'ensemble des activités. la gestion des carrières. de contrepartie.3 . la formation et les relations Sociales. sur un ou plusieurs échantillons d’opérations. ainsi que la procédure de rapprochement de ces deux résultats. La qualité de la maîtrise des risques financiers et les techniques générées par les opérations. L'analyse du respect dispositif de contrôle interne . stratégies et instruments traités par la salle auditée.Mission de la Direction des Ressources Humaines. opérationnels. La qualité et la fiabilité des informations véhiculées sur la nature des opérations traitées. Les risques.…). de déontologie. De part la sensibilité du domaine à auditer.

l’analyse des risques transverses à plusieurs fonctions. un nombre de zones à risques n’ayant pas été couverts tels que : Les règles de confidentialité (paie. 3. Le provisionnement des engagements sociaux (retraites. les risques fiscaux et la consolidation. C’est pourquoi une mission d’audit de la fonction comptable doit mettre l’accent sur : l’identification des risques et le recoupement avec les travaux des autres missions (système d’information . réglementaire et fiscale. les reportings réglementaires. Les objectifs d’une mission d’audit de la Direction Comptable sont les suivants : S’assurer de la fiabilité de l’information financière et de sa conformité aux normes définies par les autorités de tutelle.. On entend par information financière à la fois les comptes sociaux. La gestion des avantages annexes. Le processus d’appréciations annuelles . leur évolution. Par ailleurs.L’audit systémique bancaire. Apprécier la fiabilité du système d’information comptable.visés sont atteints par les cinq banques sondées.) concernant les « clignotants comptables ». __________________________________________________________________________________________ De ce fait. consolidés et fiscaux ainsi que les états réglementaires. S’assurer de la connaissance et du respect des règles de déontologie. rares sont les missions comptables ayant abordé les trois autres objectifs. indemnités) . dossiers personnels) et de sécurité (back up). La sensibilisation du personnel aux risques de fraude interne et externe (consignation du code de déontologie). un outil d’efficacité du risk management. Les deux premiers objectifs sus . Le processus de révision des rémunérations individuelles . prévoyance. La rationalisation des mouvements sociaux. ressources humaines. et l’avancement des plans d’actions correcteurs.4 . Cette mission doit couvrir quatre domaines : l’audit systémique du service comptable (appréciation du contrôle interne). de non fiabilité des comptes et des états financiers. de non qualité et de non fiabilité de l’information comptable. Différents de ceux des auditeurs externes ayant un caractère légal.Mission de la Direction Comptable. Identifier les dysfonctionnements éventuels du dispositif de contrôle interne. l’examen des risques de non exhaustivité. les objectifs de cette mission sont étendus et ne peuvent être atteints qu’avec une analyse approfondie des zones les plus risquées. La mesure du niveau des risques. de non fiabilité de l’information financière consolidée. 115 . . sur un ou plusieurs échantillons d’opérations . Porter une appréciation sur les résultats et la rentabilité de l’entité auditée.

L’audit systémique bancaire. L’évaluation des processus de management des risques comptables est quasiment absente mais tend à prendre une part significative avec la prise en conscience progressive du rôle déterminant de cette fonction dans la gestion des risques. __________________________________________________________________________________________ Les missions comptables au sein des banques sondées s’exercent en priorité autour de l’analyse du contrôle interne de tous les processus de traitements comptables et financiers. même si plus de la moitié des responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce type. un outil d’efficacité du risk management. 116 . La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits systémiques comptables et financiers reste minoritaire.

le risk management et la conformité. son objectivité et son impartialité . cet audit doit aller dans le sens de l’importance accrue conférée par les autorités de contrôle bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de contrôle interne dans une organisation bancaire. Très souvent.. sans exception. __________________________________________________________________________________________ Conclusion du chapitre 3.. comme un outil majeur de détection. de prévention et de maîtrise des risques. un outil d’efficacité du risk management. n’est prévu pour faire en sorte que la direction remédie immédiatement aux déficiences relevées. accroître sa professionnalisation par : 117 . Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou inefficaces. Les résultats de cette enquête permettent d’entrevoir les contours de l’audit interne de demain et de définir les défis et les enjeux futurs de la profession : affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la faveur d’un rattachement hiérarchique à la direction générale et de liens fonctionnels avec le comité d’audit. relève encore quelques insuffisances. Il importe de souligner qu’il incombe au conseil d’administration et à la direction générale de s’assurer de l’existence d’un audit interne adéquat et de promouvoir un environnement dans lequel les individus comprennent et assument leurs responsabilités dans ce domaine. lorsqu’il existe . Nous avons relevé des insuffisances dans la surveillance de certains risques et une absence d’une forte culture de contrôle et/ou de risque particulièrement au sein des banques marocaines. Ces cas révèlent également l’absence d’incitations appropriées pour que l’audit interne exerce une surveillance hiérarchique rigoureuse et maintienne un niveau élevé de conscience du contrôle au sein du système bancaire. compliance. L’audit interne n’a pas achevé sa mutation et continuera d’évoluer pour apporter aux banques toujours plus de valeur ajoutée. une orientation et une surveillance insuffisantes de la part du conseil d’administration et de la direction générale ainsi que l’absence d’un exercice clair des responsabilités de la direction dans l’attribution des rôles et des tâches entre l’audit interne. Dans d’autres cas. aucun mécanisme.). L’audit interne tel que pratiqué actuellement dans de nombreuses grandes banques marocaines. maintenir son indépendance. Les cas de pertes importantes reflètent tous. excepté celui de suivi des recommandations par l’audit interne.L’audit systémique bancaire. en coordination avec toute autre fonction concernée (Risk management. La supervision de la prévention des risques par le management se limite au suivi des rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée pour piloter l’évolution de tous les risques par ligne métier et par entité. un manque d’attention et de rigueur de la direction envers la culture de contrôle dans la banque. plus encore que par le passé. En outre. même si les auditeurs ont fait part des problèmes détectés. se positionner. les audits effectués ne sont pas suffisamment rigoureux pour déceler et notifier les insuffisances du contrôle dans les banques.

l’audit interne apportera aux banques encore plus de valeur ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation bancaire.L’audit systémique bancaire. __________________________________________________________________________________________ une formation permanente. 118 . une méthodologie et des outils adaptés et performants basés et sur les risques et sur les systèmes (l’Audit Systémique). En relevant ces défis. un outil d’efficacité du risk management.

119 .L’audit systémique bancaire. un outil d’efficacité du risk management. __________________________________________________________________________________________ Partie 2 : L'audit systémique. un nouvel outil au service du risk management pour maîtriser davantage les risques des métiers.

L’audit systémique bancaire. un outil d’efficacité du risk management. __________________________________________________________________________________________ Chapitre 1 : Les particularités de l'approche d'audit systémique. 120 .

ont généré de nouvelles variantes de risques et modifié les facteurs de fragilité financière susceptibles d'affecter la qualité de la situation des acteurs bancaires. L'approche par les systèmes ou l'approche systémique.L’audit systémique bancaire. il devient de plus en plus impératif de développer des outils d'analyse spécifiques dans le but de prévenir. Introduction. « Bâle II » impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit. L'approche par les risques. Il leur est donc difficile d’obtenir une vision d’ensemble fiable et cohérente des multiples risques rencontrés et d’en mesurer le niveau de criticité. de temps. Par conséquent. du risque de marché et du risque opérationnel. Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel. demande beaucoup d’implication. __________________________________________________________________________________________ Chapitre 1 : Les particularités de l'approche d'audit systémique. tout en répondant aux exigences réglementaires. un outil d’efficacité du risk management. qualitatives voire systémiques. De nombreux établissements bancaires ont encore un mode de fonctionnement compartimenté. il est de plus en plus pressant que les établissements bancaires puissent s'investir dans le développement d'instruments complémentaires d'analyse fondés sur des méthodes à la fois quantitatives. avec des silos d’informations. Ainsi. les établissements bancaires disposent d'un outil précieux pour mieux gérer et contrôler leurs risques. Avec l'audit systémique. Les évolutions des métiers bancaires. d’efforts et de ressources de la part des banques. de détecter et de couvrir le plus rapidement possible les risques susceptibles d'engendrer une défaillance bancaire qui ne pourrait être que préjudiciable à la stabilité du secteur financier dans son ensemble. Disposer de cette visibilité globale sur le risque. d’analyses et d’hypothèses parfois incohérents entre les entités de la banque. trois aspects méritent d'être développés : Approches de l'audit du système de contrôle interne. 121 .

Ce travail exige en revanche un personnel hautement qualifié car il se fera essentiellement à base d'entretiens. ce pour la simple raison que le contrôle interne est un élément incontournable de la sécurité des opérations financières. L'audit. d'analyse de l'organisation. l'approche systémique permet d'avoir une vision plus globale et maîtrisée des risques et d’optimiser ainsi l’efficacité de l’audit. on distingue. un outil d’efficacité du risk management. Un système de contrôle interne faible conduira à renforcer les tests. l'approche par les risques et l'approche par les systèmes. Un contrôle interne défaillant ne saurait être compensé par des tests étendus. l'auditeur pourra établir son diagnostic soulignant les forces et les faiblesses du système de contrôle interne et ses recommandations pour en améliorer l'efficacité. profondeur des contrôles. de la complexité et de la diversité des métiers et de la taille des établissements financiers dotés généralement d'une organisation largement décentralisée. L'auditeur s'appuiera sur un système de contrôle interne dont il aura vérifié l'efficacité. Par ailleurs. Un questionnaire. ou la revue du système de contrôle interne. ce travail constitue un préalable à sa mission générale car la qualité du contrôle interne conditionnera son programme de travail : étendue des contrôles. (Cf. Plusieurs approches sont possibles pour réaliser cette revue du système de contrôle interne. Pour l'auditeur bancaire. il y a une tendance à privilégier davantage l'approche par les risques. __________________________________________________________________________________________ Section 1 : Approches de l'audit du système de contrôle interne. Cette alternative demeure toutefois difficilement applicable pour le cas spécifique des établissements de crédit. les sondages et les contrôles pour pallier cette faiblesse. L'audit du système de contrôle interne est une nécessité éprouvée par les différents acteurs.L’audit systémique bancaire. L’auditeur bancaire doit se poser les questions suivantes avant de définir sa démarche d'audit : 122 . A l'issue de cette revue. un guide de contrôle interne. Plusieurs approches complémentaires sont possibles dont une approche par les risques. Ainsi. ou un mode opératoire d’audit par ligne métier peut constituer un outil précieux pour mieux "encadrer" la mission. quelle que soit la complexité des organisations ou des processus à auditer. Actuellement. budget temps. qui se complète d'ailleurs avec une approche par les systèmes. d'une banque peut constituer une mission spécifique mandatée par la direction générale ou le conseil d'administration qui éprouve le besoin d'avoir un diagnostic sur la qualité du système de contrôle interne et des recommandations pour en améliorer l'efficacité. compte tenu du volume des opérations. d'examen des rapports et documents importants et éventuellement de quelques tests destinés à vérifier la réalité et l'efficacité des dispositifs et des procédures existantes. Le contexte. 2ème Partie).

123 . des engagements et des opérations des différentes fonctions. Prendre en compte les améliorations rapides des outils et du contrôle des processus du client. Renforcer l'analyse de l'activité. est conceptuellement simple et logique. __________________________________________________________________________________________ Comprenons-nous les implications des engagements pris par la banque vis-à-vis des marchés financiers? Comprenons-nous pleinement le modèle économique de la banque et les risques qui y sont attachés? Le Conseil d'Administration lui-même les appréhende-t-il ? Les équipes ont-elles les compétences nécessaires au vu des activités ou opérations de la banque ? Avons-nous recours aux expertises requises? Prenons-nous bien la mesure des impacts potentiels de pratiques comptables "agressives" ? Appréhendons-nous vraiment la substance des opérations réalisées au delà de leur forme? Avons-nous une communication transparente avec le Conseil d'Administration ou le Directoire et/ou le Conseil de Surveillance? Les outils de reporting de la banque sont-ils adaptés pour une bonne appréciation des risques? … Pour une meilleure appréhension des risques d'un établissement financier. Elargir son champ d'investigation. Renforcer la qualité et l'efficacité de l'audit. Identifier et évaluer également ce qui n'est pas dans les comptes . répondant aux préoccupations du management. Elle s'inspire dans sa conception de l'approche COSO (Committee of Sponsoring Organizations of the Treadway Commission) qui représente un référentiel international en matière de contrôle interne.L’audit systémique bancaire. Evaluer la qualité du pilotage de l’entreprise et les impacts éventuels de l'activité sur les comptes. un outil d’efficacité du risk management. Renforcer l'utilisation dans son approche des indicateurs de pilotage de l'activité utilisés par le management. Le référentiel de contrôle interne : COSO Cette approche. Ne pas se cantonner à la fonction financière. L’auditeur bancaire est tenu de : Améliorer la compréhension de l'activité et de la performance de la banque et de son environnement/marché. Accroître sa capacité à produire des conclusions à forte valeur ajoutée.

Délégations de pouvoir et domaines de responsabilité. Chaque individu à tous les niveaux de l'organisation a une responsabilité en terme de contrôle interne . 124 . déontologie et éthique). identifier et réagir aux événements significatifs. Evaluation des risques Processus d'évaluation des risques. Le contrôle interne est une composante essentielle d'une bonne gouvernance d'entreprise. Compétences. Alignement des systèmes d'information et de communication avec la stratégie de la banque. Le contrôle interne ne peut pas fournir une assurance absolue. métier et de contrôle interne. un outil d’efficacité du risk management. Eléments à considérer pour chaque domaine : Environnement de contrôle Code de conduite (intégrité. Politique en matière des ressources humaines. __________________________________________________________________________________________ Quelques concepts clés du COSO : Les contrôles sont plus efficaces quand ils sont intégrés aux activités opérationnelles. Informations et communication Production de rapports de performance répondant aux critères définis par l'entreprise. Processus et procédures pour identifier les changements dans les pratiques comptables. Mécanismes pour anticiper. Gouvernement d'entreprise : conseil d'administration. Philosophie et style de management des dirigeants. comité d'audit.L’audit systémique bancaire.

Une forte implication des organes délibérant et exécutifs. Des systèmes de mesure. __________________________________________________________________________________________ Engagement de l'entreprise pour développer. La deuxième étape consiste à répondre à la question : quel est le degré de maîtrise de ce risque? Il conviendra pour répondre à cette question d'examiner soigneusement les dispositifs de contrôle interne. Définition précise des activités de contrôle intégrant une supervision active. les moyens. Des procédures qui mettent en application la politique de contrôle interne. Plan de secours et plan de continuité informatique. Approche d'évaluation du système de contrôle interne. Procédures d'autorisation. Une organisation cohérente des organes de contrôle. l’audit interne doit détecter rapidement les faiblesses pour y porter remède. Le système de contrôle interne ne doit pas être confondu avec l'audit interne qui est l'organe dont la mission est de s'assurer en permanence que le dispositif de contrôle interne est efficace. enlever ceux que n'encourent pas l'établissement et de les hiérarchiser selon leur typologie. Une stricte séparation des fonctions et des tâches. Un système comptable fiable pour traduire une image fidèle. Il conviendra ensuite de l'affiner pour l'adapter au profil spécifique de l'établissement : ajouter de nouveaux risques. les procédures. Elle peut également s'appuyer sur un inventaire. Pilotage Evaluation périodique des contrôles internes. Fonction d'audit interne structurée pour superviser les activités de contrôle. Mise en place des recommandations pour amélioration. de limites et de surveillance des risques rigoureux.L’audit systémique bancaire. Dans le cas contraire. 125 . un outil d’efficacité du risk management. établi par l'établissement lui-même (via le risk management). Mise en place de procédure de sauvegarde des documents et des actifs. il fait partie intégrante du système de contrôle interne. Activité de contrôle Existence de procédures et de normes. La première étape consistera à identifier les risques majeurs et la deuxième à analyser les dispositifs en vigueur pour maîtriser ces risques. Ebauche d'une démarche d'évaluation du système de contrôle interne. Un système de contrôle interne efficace est caractérisé par : Des objectifs clairement exprimés et des moyens appropriés. Le contrôle permanent des opérations et la supervision. tester et superviser les systèmes d'information. A ce titre. ou "cartographie". les outils de mesure et de gestion. Séparation des tâches. Intégration des activités de contrôle à l'évaluation des risques. L'identification des risques peut s'appuyer sur l'inventaire des risques traditionnels et bien connus tels que présentés dans le 1er chapitre de la première partie.

Des travaux mieux répartis sur l'exercice. cut-off. Les grandes étapes de cette démarche peuvent être résumées comme suit : Phase I : Identification des principaux risques pouvant menacer le bon fonctionnement de l'établissement. etc). La prise en compte des risques d'audit traditionnels (exhaustivité. Evaluer l'appropriation du contrôle interne par les responsables opérationnels. Une analyse progressive de l'assurance d'audit. Une démarche organisée autour des business units et business processes. Section 2 : L'approche par les risques. L'auditeur devra dans ce cas précis faire appel à ses connaissances approfondies du secteur bancaire et particulièrement de l'établissement audité. Une entité d’audit interne forte et indépendante. __________________________________________________________________________________________ Un système d'information performant et sécurisé. Des produits finis davantage centrés sur les zones de préoccupation du management. un outil d’efficacité du risk management. Une gestion de mission en mode projet Une analyse de "l'assurance" d'audit à intervalles réguliers en regard des travaux réellement effectués et non de façon théorique au moment de la définition de la stratégie. Les principales catégories de risques qui seront analysées sont les suivantes : 126 . exactitude. Toute démarche de revue du système de contrôle interne viserait les objectifs suivants: Etablir une vue à la fois précise et globale de l'ensemble des risques de la banque. Identifier les contrôles mis en place afin d'assurer une couverture des risques. L'approche d'audit est en générale basée sur les risques et peut être résumée comme suit : Approche par les risques Changements dans la mise en œuvre Application renforcée des principes Une approche partant de l'activité du client pour mieux comprendre et valider les comptes. Discuter et valider avec tous les responsables impliqués dans le processus d'identification des risques. Final).L’audit systémique bancaire. disparition des phases traditionnelles (intérim. droits et obligations. le niveau de risque associé à chaque activité.

__________________________________________________________________________________________ risque de crédit . l'évaluation des risques. les activités de contrôle . risques informatiques. risque commercial. risque de règlement. Pour ce qui concerne l'identification des principaux risques. il y a lieu d'étudier avec la direction de l’entité et les principaux responsables opérationnels quels sont les systèmes de contrôle existants au sein de la banque et qui couvrent les principaux risques identifiés lors de la phase précédente. risque de liquidité . l'écart entre les risques les plus importants auxquels s'expose la banque et les systèmes de contrôle existants et d'élaborer d’autre part. un outil d’efficacité du risk management. l'information et la communication. Cette phase s'appuie dans un premier temps sur une prise de connaissance de la politique de gestion des risques au sein de la banque au travers des cinq composants (reconnus par le COSO Report comme étant les cinq piliers du contrôle interne) suivants: l'environnement de contrôle interne . Phase II : Mise en évidence des principales faiblesses du système de contrôle interne de la banque. Ensuite. Cette phase aura pour objectif de prioriser les actions qui devront être initiées et d'évaluer les moyens à mettre en œuvre pour atteindre un niveau de risque acceptable par la Direction. 127 . Cette phase fait appel à un cumul de connaissances assez important qui pourrait être constitué à travers des bases de données internes comprenant les meilleures pratiques dans le domaine des systèmes de contrôle. le monitoring du système de contrôle. risque juridique. Cette phase débouchera sur la rédaction d'un document d'identification des principaux risques pouvant menacer les processus de la banque. Lors de ces entretiens. un document présentant les principales faiblesses du système de contrôle interne. Phase III: Elaboration d'un plan d'actions nécessaire à la banque pour maîtriser ses principaux risques et être en conformité avec la réglementation.L’audit systémique bancaire. risque de marché . risque de taux d'intérêt . L'objectif étant de ressortir d’une part. il est question de revoir avec eux la probabilité de survenance et l'impact potentiel de ces risques sur les objectifs de l’entité. Cette deuxième phase mettra en évidence les faiblesses les plus importantes dans le dispositif du système de contrôle interne. ceux-ci devraient être revus avec les principaux responsables de services de chaque entité lors d'entretiens individuels. risques opérationnels. risque humain.

il est aussi question de déterminer également quelles sont les procédures qui doivent être élaborées. Au cours de cette phase. en précisant la priorité et les ressources devant être engagées. Un ensemble des parties coordonnées en vue d'atteindre un ensemble de buts (W. HALL et R. Sa mise en place permettra de couvrir les principaux risques qui menacent les objectifs de la Direction et de répondre aussi aux exigences de Bank Al Maghrib. un système est organisé. des valeurs. un système est un tout non réductible à ces parties. Sa coalition dominante : petit nombre de décideurs (organes d'administration) ou managers (risk managers) avec des propositions de pouvoir et d'influence avec : une personnalité. évaluation. La grille d'analyse de la banque permet de répertorier les variables pertinentes et leurs liaisons. un outil d’efficacité du risk management. FAGEN). __________________________________________________________________________________________ Les recommandations seront détaillées et regroupées sous forme de projets. L'approche systémique permet d'appréhender le fonctionnement d'une entité complexe qu'est la banque. un système est finalisé. Le plan d'actions proposé est présenté pour validation à la Direction. Il ressort de ces différents éléments que : un système est constitué d'éléments et de relations entre ces éléments. Les caractéristiques principales d'un système.L’audit systémique bancaire. Les paramètres du modèle d'analyse de la banque sont : Sa structure : allocation stable des tâches et des rôles créant un cadre d'activité inter-relié et permettant à la banque de mener et de coordonner ses activités. organisés en fonction d'un but (J. ROSNAY). des expériences professionnelles. Elle permet de comprendre la banque comme un ensemble de variables en interaction ayant un certain degré de finalité. prise de décision. CHURCHMAN). Les différentes définitions d'un système : Un système est un ensemble d'objets réunis par la relation entre les objets et leurs attributs (A. Ses systèmes de gestion : éléments qui donnent vie à l'organisation (système d'information. Un ensemble d'éléments en interaction dynamique. 128 . contrôle). Section 3 : L'approche systémique. Cette phase débouchera sur la rédaction d'un plan d'actions priorisés comprenant les recommandations détaillées (systèmes de contrôle à améliorer ou à mettre en place) pour maîtriser les principaux risques qui menacent les objectifs de la banque.

techniques. A travers l’approche systémique. Une stratégie : avec des choix de domaine d'activité. comme suit. de croyances et de règles plus ou moins reconnues par les acteurs de l'organisation. non pas isolément mais globalement. un outil d’efficacité du risk management. Le principe d'homéostasie caractérise un système auto-régulé. économiques. réglementaire. plus ou moins formelles ou informelles qui indiquent le chemin à suivre (ce qui est attendu. __________________________________________________________________________________________ Un environnement à dimensions multiples : caractérisé par la complexité et l'incertitude. La systémique envisage les éléments d'une conformation complexe. Une technologie : c'est à dire un ensemble de moyens matériels et immatériels nécessaires à la réalisation de l'activité. Le principe d'équifinalité indique qu'un même résultat peut être obtenu par des voies et conditions initiales différentes. d'objectifs et de paramètres concurrentiels. différentes formes La prise en compte conjointe de ces différentes variables permet d'analyser l'ensemble des interactions existant dans la banque. L'approche systémique a modifié profondément les pratiques utilisées jusqu'alors pour aborder l'étude et la conception des systèmes.L’audit systémique bancaire. ce qui est récompensé). ce qui est admis. des faits. d'origine interne ou externe. des qualités. en tant que parties intégrantes d'un ensemble dont les différents composants sont dans une relation de dépendance : Le principe de totalité exprime l'idée que les interactions entre les différents éléments d'un système ne peuvent s'appréhender qu'au niveau de la totalité et non au niveau des éléments pris séparément. L'analyse systémique engendre une démarche inductive. humaines). socio-culturel… Les individus : ou ressources humaines venant d'horizons différents (des compétences. des attentes. Son introduction dans l'audit a imposé une remise en cause profonde de l'approche utilisée s'accompagnant d'une modification de la nature des outils sur lesquels se fait son application. Le principe d'interaction implique que chaque élément peut s'informer et agir sur l'état des autres. les différentes composantes du système de contrôle interne seront analysées. des besoins). Application de l'approche systémique dans l'audit bancaire. Il concerne les volets : commercial. Des performances : résultats de la banque sous (organisationnelles. Une culture : c'est à dire un ensemble de valeurs. L'approche systémique. pour en apprécier l'efficacité : 129 . risque. pour revenir à son état initial. c'est à dire capable de réagir à toute modification. technologique.

pour toutes les principales catégories de risques encourus. Rôle de la direction générale : s’assurer que la direction générale est impliquée dans le système de contrôle interne et remplit son rôle qui est de définir les stratégies et d'en suivre la réalisation. du fonctionnement. nombre de réunions tenues décisions prises durant ces réunions. Les procès verbaux de ses réunions permettent de s'imprégner de son implication dans ce processus. En fonction de leur taille et de la complexité de leurs activités. les établissements de crédit devraient mettre en place des systèmes de gestion du risque à savoir les processus de détection. Des entretiens avec les différentes unités de la banque permettront d'apprécier dans quelle mesure la direction générale donne les impulsions nécessaires pour imposer ses objectifs de contrôle.L’audit systémique bancaire. Le degré avec lequel l'ensemble du personnel est conscient des risques qu'il assume au quotidien et la manière de les gérer peuvent alors être évalués. Des entretiens avec certains membres du conseil d'administration sont un facteur important pour permettre à l'auditeur de se forger une opinion sur ce degré d'implication. Sa large diffusion et la référence permanente à ce document sont des facteurs complémentaires indispensables. __________________________________________________________________________________________ Définition des objectifs de contrôle interne : s’assurer que l'établissement a défini ses objectifs en matière de contrôle interne et que ceux-ci sont cohérents par rapport aux normes professionnelles. de mesure et de contrôle des expositions aux risques . L'existence d'un document souvent intitulé « charte de contrôle interne ». Les points suivants sont révélateurs de l'efficacité de son rôle : composition. de l'organisation. Audit systémique : audit multidisciplinaire du processus. approuvé par le conseil d"administration est un point positif. Ce travail pourra être réalisé avec les membres de la direction générale. 130 . un outil d’efficacité du risk management. existence et contenu de la charte de contrôle interne. Notamment avec les membres faisant partie du comité d'audit. recommandations qu'il a émises. Distinguer notamment les résolutions purement formelles destinées à se mettre en conformité avec les textes réglementaires des résolutions qui mettent en évidence ses préoccupations réelles d'imposer ses objectifs en matière de contrôle interne. Culture de contrôle interne : la culture de contrôle interne se constatera également tout au long de la mission par les entretiens avec les différents responsables opérationnels et fonctionnels. des procédures. rapports qu'il a soumis au conseil d'administration. … Dans l’exercice de leurs activités. etc. Rôle du conseil d'administration : s'assurer qu'il assume pleinement ses responsabilités en matière de contrôle interne. Rôle du comité d'audit : son rôle peut être examiné essentiellement par des entretiens avec ses membres et l'examen des procès-verbaux ou des documents qu'il a émis ou approuvé. Les moyens dont dispose le système de contrôle interne permettent de vérifier que l'établissement est résolument engagé dans la réalisation de ses objectifs. les établissements de crédit supportent différents types de risques. pouvoirs.

comptabilité et ressources humaines) dans la deuxième partie. Dans ce contexte. Le management des risques concerne toutes les fonctions support ou opérationnelles existantes de la banque (contrôle interne. incidents opérationnels et pertes consécutives à leur survenance). Audit systémique : outil de maîtrise et de prévention des risques pour le Risk manager.L’audit systémique bancaire. partant. en particulier. L’audit systémique tente de répondre aux besoins de connaissance et de modélisation préparant à la conception de systèmes complexes (projet et dispositif) ainsi qu’à leur pilotage par le commandement et la gestion des décisions (management). contractuel. Le Risk Manager d’une unité coordonne et supervise les différents travaux constitutifs d’un dispositif de surveillance et de maîtrise des risques encourus par cette unité. Tout établissement bancaire est confronté à ces risques susceptibles de porter atteinte à la qualité des services apportés à ses clients. indicateurs de veille et de suivi. la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers qui bénéficieront notamment des retours d’expériences et de répondre aux exigences du marché (actionnaires. Une telle approche . Cette approche permet d'avoir une vision globale et maîtrisée des risques et d’optimiser l’efficacité de la mission d’audit. Il s’agit d’une approche globale du risque avec un ensemble de composants modulaires complets permettant de vérifier l'efficacité du dispositif de contrôle interne par ligne métier. Il vise également à améliorer et à coordonner les processus de gestion existants en intégrant. réglementaire ou autres). L'audit systémique aboutit notamment à mieux connaître le profil de risque des activités exercées (cartographie des risques). à développer et alimenter les outils nécessaires au pilotage de ces risques (référentiel de risques par activité. __________________________________________________________________________________________ Les risques bancaires sont liés aux processus de distribution des produits et services. à son développement dans la rentabilité. à sa performance commerciale et. une méthodologie d’approche globale des risques serait indispensable pour en étudier les principales causes et conséquences. prospective. les problématiques de contrôle interne. cognitive. Une démarche détaillée d'évaluation du système de contrôle interne par l'audit systémique est développée pour quatre lignes métiers (système d'information. analystes financiers et agences de notation) et du régulateur. au traitement des opérations. de déontologie et de plans de continuité des activités dans le cadre d’un dispositif de maîtrise globale des risques. salle des marches. quelle que soit la complexité des organisations ou des processus à auditer. il permettra d’accroître la responsabilité. ainsi que les mécanismes de propagation.appelée audit systémique permettra de déterminer les indicateurs et mesures de gestion puis les plans d’actions les mieux adaptés pour les maîtriser. 131 . ressources humaines. système d’information. de sécurité des systèmes d’information. Enfin. aux systèmes d’information ou à des modifications de l’environnement dans lequel opère la banque (juridique. fiscal. mais qui peut aussi être intégrée individuellement pour compléter un système existant. experte et éco systémique des dispositifs complexes. un outil d’efficacité du risk management. L’audit systémique est une approche descriptive.

4.. comptabilité). Il maintient dans ce cadre les référentiels du périmètre de la banque / ligne métier (processus. __________________________________________________________________________________________ front office. amélioration des procédures. fiscalité.déontologie. 132 . le Risk Manager s’assure en liaison avec l'auditeur bancaire que leurs caractéristiques ont été examinées par les spécialistes compétents sous l’angle des risques opérationnels (déontologie.. Le Risk Manager fait recenser auprès des responsables des activités concernées les incidents importants et les pertes liées à la survenance d'un risque dans son entité. sécurité des systèmes d’information. un outil d’efficacité du risk management. d'un Back Office. 1. L'audit interne promeut et coordonne avec les autres fonctions risques (crédit et marché) et les fonctions support (organisation. Il fait mettre à jour la cartographie de son périmètre pour en tenir compte. Cette analyse passe par l'auto-évaluation des risques et des contrôles permanents de chaque processus métier ou support par les responsables d'activités (ex : responsables d'un desk. 2. Le Risk Manager met à jour cette cartographie annuellement ou après chaque changement significatif dans l’organisation de son périmètre. de surveillance et de maîtrise desdits risques.comptabilité. Le Risk Manager contribue à développer l’implication des responsables de son entité dans la gestion de leurs risques et promeut les bonnes pratiques en matière de Risk management.. Mesure et suivi du coût des risques (pertes et alertes). conformité . de prévention et de réduction de leurs impacts et enfin. juridique. Le Risk Manager surveille l’évolution des risques à travers un tableau de bord trimestriel rassemblant au minimum les éléments suivants : faits marquants de la période. systèmes d’information. Identification et évaluation des risques. coût du risque et actions majeures (prévues ou en cours). Surveillance et maîtrise des risques.…). 3. Le Risk Manager fait établir avec le concours des responsables concernés de son unité la cartographie de risques de son périmètre. entités …). Lors du lancement de nouvelles activités et / ou nouveaux produits.L’audit systémique bancaire. Prévention et réduction des risques. middle office. indicateurs clé mis en place. back office.) les mesures de prévention et de réduction des risques (optimisation contrôles/risques.). sécurité financière). de mesure et de suivi du coût de ces risques. automatisation des processus. L'audit systémique permet au Risk Manager de mener à bien sa mission en matière d'identification et d'évaluation des risques. risques sensibles (processus à surveiller). La démarche cartographique permet aux unités de détecter les risques dans les activités ou processus de chaque domaine de leur périmètre et de les hiérarchiser. Il est responsable de la réalisation de la cartographie et la fait valider par le Comité de Contrôle Interne ou de risques de la banque. finance .

les mesures prises ou prévues pour soit atténuer l’impact financier et/ou de réputation. leur (s) cause(s) (défaillance ou insuffisance du dispositif de contrôle interne en termes d’efficacité ou de pertinence) et enfin. En relation avec l’audit interne. le Risk manager établit. cerner la taxinomie et la particularité de chacun des risques inhérents à l'activité bancaire et prendre les dispositions nécessaires pour prévenir et maîtriser ces risques . …) et favoriser la coordination et la synergie entre ces acteurs . la compliance. les polices d’assurance. Adhésion du top management : une condition sine qua none pour l’efficacité de l’approche d’audit systemique. le risk management. suit et coordonne le plan d’actions global d’amélioration du Contrôle Interne. leur sévérité. un outil d’efficacité du risk management. le top management se doit de : répartir clairement les rôles et les responsabilités entre les divers acteurs intervenant dans le processus de maîtrise des risques (l'audit interne. de faire automatiser la collecte et le traitement des données nécessaires à son alimentation. Ce plan d’actions global est suivi par le Comité de Contrôle Interne. prévoir la mise en place des dispositifs de contrôle interne correctifs en cas de production ou de manifestation des risques tels que le Plan de Continuité d'Activité(PCA). soit réduire la probabilité de survenance de ces risques.L’audit systémique bancaire. la structure managériale de l’établissement bancaire doit être suffisamment sensibilisée par rapport à l’apport indéniable de cette approche et de sa valeur ajoutée en termes d’outil de pilotage de la stratégie risques. Il appartient à l’entité. rapports de missions de l’audit interne). leur occurrence. le cas échéant. et de l’analyse des dysfonctionnements significatifs. le contrôle interne. la déontologie. puis communiqué à la Direction Générale. indicateurs des risques clés « KRI ». 133 .… instaurer un système de pilotage stratégique des risques en étant destinataire via un système de reporting périodique (cartographie consolidée des risques. Ainsi. des recommandations des auditeurs et des régulateurs. rapports sur le contrôle interne. des événements à risques et des incidents survenus en mettant en relief leur criticité. __________________________________________________________________________________________ Ce tableau de bord est revu par le Comité de Contrôle Interne. la refonte du dispositif de contrôle interne. d’efficacité et de sécurité des traitements opérationnels. d’efficience du risk management et de la bonne gouvernance en général. Les actions d’amélioration de la maîtrise des risques proviennent des résultats de la cartographie. Pour garantir l’efficacité de l’approche d’audit systémique.

Enfin. l'auditeur bancaire devient ainsi un acteur incontournable dans la prévention des risques bancaires.L’audit systémique bancaire. Au delà de sa responsabilité de donner un avis indépendant sur la fiabilité des dispositifs de contrôle interne. Parallèlement au développent en interne d'outils et techniques de contrôles et de gestion des risques bancaires. la gestion et la prévention des risques. Ainsi. une démarche opératoire d'audit systémique est développée pour quatre lignes métiers (système d'information. de vérifier l'efficacité du dispositif de contrôle interne par ligne métier. 134 . un outil d’efficacité du risk management. L'audit systémique a modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire. Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un système existant. quelle que soit la complexité des organisations ou des processus à auditer. l'auditeur interne apparaît de plus en plus incontournable dans le processus de supervision bancaire architecturé par les organes de tutelles. ressources humaines et comptabilité) dans la deuxième partie illustrant parfaitement l'originalité et la pertinence de l'approche. __________________________________________________________________________________________ Conclusion du chapitre 1. d’accroître la responsabilité. une telle approche permet : d'avoir une vision globale et maîtrisée des risques. salle des marches. la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers dans la maîtrise.

un outil d’efficacité du risk management. __________________________________________________________________________________________ Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information. 135 .L’audit systémique bancaire.

ces quatre thèmes seront déclinés plus ou moins formellement. juridique et d'image. Parmi les familles de risques recensées. dans chacun des 4 domaines. procédures.L’audit systémique bancaire. seront principalement concernés les risques d'efficacité. la sécurité. des progiciels ou des systèmes existants ayant été modifiés. Il conviendra de couvrir chacun des quatre domaines lors de chaque phase. L'efficacité. La maîtrise de la fonction système d'information. les objectifs. un outil d’efficacité du risk management. une phase d’investigation (entretiens systémiques 23 et sondages) et une phase de rédaction. leur évolution. L’audit des systèmes d’information devra mesurer le niveau des risques. de disponibilité. Introduction. d'efficience. de confidentialité. sécurité physique. L'exhaustivité des procédures d’exploitation du SI : indicateurs de qualité. Il a été divisé en quatre domaines correspondant à un découpage logique des axes d’analyse de ladite fonction : l'organisation et le management. pour la phase d’investigation. __________________________________________________________________________________________ Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information. l'efficience et l'intégrité des développements d’applications (en interne ou en externe). la mission aura pour objet d’apprécier comment sont couverts les risques liés à la fonction SI. les points de contrôle. planification et contrôle des travaux. une mission d’audit SI comprendra une phase de préparation (collecte de documents et entretiens préparatoires). Selon l’importance de la banque auditée. les études et développements et l'exploitation informatique. Ce chapitre couvre l'audit de la fonction système d’information (SI) dans son ensemble. d'intégrité. de conformité. Comme pour toutes les fonctions. passe notamment par la maitrise des quatre domaines à savoir : Une organisation claire et un management adéquat avec des procédures générales en place visant à maîtriser la fonction SI dans son ensemble. performance. la liste des documents à recueillir et des entretiens à mener. fonctionnement. 23 Audit de processus : organisation. Dans tous les cas. … 136 . au sein de toute banque commerciale comme ailleurs. les familles de risques associées et les natures des risques et enfin les sondages et les documents requis. et l’avancement des plans d’actions correcteurs. Le présent chapitre reprend : pour la phase de préparation. La maîtrise de la sécurité par une analyse régulière des risques pesant sur le système d'information de l'entité (sécurité logique. et la continuité des services).

derniers rapports mensuels / trimestriels. back-up. Rapports de synthèse d’activité récents de la DSI diffusés à la Direction Générale / aux Directions utilisatrices … (ex : rapport annuel.…) . avec indication de la nature et de l’importance (quantitative/qualitative) des services rendus . production. En cas de besoin pour les membres de la mission de disposer d’un répertoire partagé. Accès au système d’information de la banque auditée. En cas de besoin d’accéder au réseau local de la banque pour des investigations. Préparation. Documents de synthèse de présentation des architectures matérielles. __________________________________________________________________________________________ Pour la phase de synthèse.…). notes d’orientation stratégique. demander la mise à disposition d’un tel répertoire. archivage. Documents budgétaires de synthèse des exercices N et N-1 chiffrées et dossiers d’accompagnement validés) . les auditeurs remettent à la Direction des Systèmes d’Information (DSI) une liste de documents à leur envoyer et/ou à tenir à leur disposition : Organigramme de la DSI .…) et des principaux sites « utilisateurs » . Description des missions / rôles / responsabilités des principaux départements de la DSI . Comptes-rendus récents (ex : 6 derniers mois) des principaux Comités informatiques (internes DSI / inter-Directions / de Direction Générale) .L’audit systémique bancaire. Dès le début de la phase préparatoire de la mission. Liste des comités auxquels participe le responsable SI . Pour les systèmes de production centraux. demander l’attribution d’un ou plusieurs comptes utilisateurs ayant toutes les fonctions de consultation et d’impression sur les 137 . une liste de sondages qui pourraient être repris dans le rapport. Ne pas oublier de « nettoyer » ce répertoire en fin de mission avant de quitter la banque. un outil d’efficacité du risk management. (données Documents de synthèse récents relatifs aux grandes orientations stratégiques / schémas directeurs / principaux projets informatiques (exemple : plan triennal. Liste des sites informatiques (développement. demander que les ordinateurs des auditeurs de la mission soient connectés avec des droits d’accès en lecture uniquement (et pour la durée de la mission) sur les répertoires de production des serveurs du réseau local. Liste des principales sociétés externes prestataires de services informatiques. logicielles et réseaux (incluant les principales interconnexions avec l’extérieur). Documents de synthèse de la cartographie applicative et de présentation des principales applications sur les différentes plates-formes . sur un serveur de fichier de la banque.

1 . Existe-t-il un organigramme hiérarchique et fonctionnel de la fonction informatique. Sous-thèmes : libellé du sous-thème appartenant au thème audité.L’audit systémique bancaire. Efficacité. Efficience 138 . un outil d’efficacité du risk management. moyen et long terme formalisée des évolutions des systèmes d'information. Organisation et management. la formalisation des relations avec les utilisateurs et leurs maîtrises d’ouvrage. 1. une planification à court. 1. est-il mis à jour régulièrement ? La définition de la fonction Informatique est-elle clairement établie (missions et responsabilités) et la position de la fonction au sein de l'entité lui permet-elle d'exercer ses missions de façon satisfaisante ? L'organisation de la fonction Informatique est-elle adaptée aux rôles et responsabilités qui lui ont été attribués par la Direction Générale de la banque ? Risques. Investigation. Ce domaine concerne l'organisation et les procédures générales en place visant à maîtriser la fonction SI dans son ensemble à travers : une organisation claire et des définitions de responsabilités précises. Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. __________________________________________________________________________________________ programmes et données de production. Demander expressément de n’avoir aucune possibilité de création ou de mise à jour des données et programmes de production. la mise en oeuvre de procédures internes formalisées. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Mission d'audit de la Direction des Systèmes d'Information. Risques : risques inhérents au thème/sous-thème audité. Objectifs/points de contrôle.Structure et organisation générale Organisation et responsabilités de la fonction. notamment en matière budgétaire et de suivi d’activité. la mise en œuvre de dispositifs de pilotage et de contrôle. Approches d’audit et sondages : approches d’audit et de sondages à réaliser. Thème : libellé du thème à auditer.

Approches d’audit & sondages. Pour un certain nombre de postes de la Direction informatique. Confidentialité. 139 . __________________________________________________________________________________________ Approches d’audit & sondages.L’audit systémique bancaire. efficience. Analyser les relations hiérarchiques. Efficacité. rôles et responsabilités. le pouvoir décisionnel et le positionnement par rapport aux autres fonctions. conformité. Le rattachement de la fonction informatique doit être le plus élevé possible (en principe à la Direction Générale de la banque). en le rapprochant des missions et responsabilités définies par la Direction Générale de la banque. Séparation des tâches. vérifier que la description de poste comporte les éléments suivants : objet du poste. vérifier que le titulaire effectif du poste au sein de la Direction informatique correspond bien à la personne en charge du poste sur l'organigramme. Approches d’audit & sondages. S'assurer notamment de la formalisation des autorisations pour les embauches. missions. Pour quelques postes figurant sur l'organigramme informatique. Consulter l'organigramme et déterminer la séparation des tâches en vigueur. Analyser la structure de la Direction informatique au travers de son organigramme. le lancement des projets. intégrité. Objectifs/points de contrôle. la définition de l'organisation interne. Efficacité. De plus. Rôles et responsabilités des différents postes. et est-elle appliquée dans les faits ? Existe-t-il une procédure formalisée précisant les responsabilités des personnes au sein de la Direction informatique concernant les délégations de signature ? Risques. efficience. L'organisation et le fonctionnement effectif de la fonction informatique respectent-ils une correcte séparation des tâches incompatibles? Risques. Prendre connaissance de la définition des missions et des responsabilités relatives à l'exercice de la fonction. les achats et le recours à des prestations externes. principales relations avec d’autres postes internes et externes à la Direction informatique. interroger la personne qui occupe le poste pour s'assurer qu'il connaît sa description et qu'il l’applique. rattachements hiérarchiques et fonctionnels. Existe-t-il une définition de poste précisant les rôles et responsabilités pour chaque poste figurant sur l'organigramme de la Direction informatique. Objectifs/points de contrôle. un outil d’efficacité du risk management.

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Par analyse des travaux effectués par quelques personnes, vérifier qu'elles ne réalisent pas dans la pratique des tâches d'autres personnes, à l’encontre d’une correcte séparation des tâches.
Stratégie informatique Objectifs/points de contrôle. Une stratégie claire et cohérente a-t-elle été définie et formalisée en matière de systèmes d'information, et est-elle respectée ? Les décisions clés en matière de systèmes d'information sont-elles soumises à un Comité réunissant la Direction Générale, les maîtrises d'ouvrage et les maîtrises d'œuvre de la banque ? Risques. Efficacité, efficience. Approches d’audit & sondages. Consulter les documents décrivant cette stratégie. S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas d’orientations importantes apparaissant comme incohérentes avec la stratégie. S'assurer que ces orientations stratégiques sont respectées et que les maîtrises d’ouvrage sont consultées à l’occasion des orientations prises par la banque. Se faire communiquer la note ou l'instruction de la Direction Générale de la banque instituant le Comité décisionnel en matière de stratégie informatique. Examiner par rapport à la structure générale de la banque la représentativité de ce Comité. Examiner les procès-verbaux ou les comptes rendus des réunions les plus récentes de ce Comité et vérifier si les principales décisions stratégiques en matière d'évolution des SI ont bien été prises dans le cadre de ce Comité. Schéma directeur / plan informatique : Objectifs/points de contrôle. Les orientations stratégiques, en matière de systèmes d’information, approuvées par la Direction Générale de la banque, sont-elles déclinées sous la forme d'un schéma directeur / plan informatique, périodiquement mis à jour, reprenant ces orientations et recensant les projets envisagés à court et moyen terme dans le cadre de leur mise en œuvre ? Les préconisations du schéma directeur des systèmes d'information font-elles l'objet d'un suivi (avec un reporting) de mise en oeuvre périodique et formalisé à l'intention de la Direction Générale de la banque ? Risques. Efficacité, efficience. Approches d’audit & sondages. Récupérer le schéma directeur / plan informatique. Analyser son processus d'élaboration et de mise à jour, et notamment le lien avec les orientations stratégiques approuvées par la Direction Générale de la banque. Sélectionner quelques projets et s'assurer qu’ils sont en ligne avec ces orientations stratégiques.

140

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

S'assurer que ce suivi est effectué, soit dans le cadre d'un Comité réunissant les principaux responsables de la banque, y compris la Direction Générale, soit par un reporting formalisé à ces responsables.

1.2 - Conduite des activités.
Objectifs/points de contrôle. La fonction informatique est-elle dotée des moyens permettant un pilotage efficace de son fonctionnement et de son évolution ? La fonction informatique dispose-t-elle des moyens financiers adaptés à sa mission et ceux-ci sont-il gérés et contrôlés de façon adéquate ? Un budget informatique est-il élaboré en conformité avec le processus budgétaire global de l'entité, recense-t-il l'ensemble des dépenses et des recettes associées aux systèmes d'information, et fait-il l'objet d'un suivi formalisé ? Risques. Efficacité, efficience. Approches d’audit & sondages. Se procurer le budget informatique. Vérifier en particulier que l'élaboration de ce budget fait l'objet d'une concertation suffisante entre les Directions de l'entité afin de tenir compte des orientations des Directions "utilisatrices" de l'informatique. Se procurer les documents de suivi du budget informatique. Vérifier en particulier l’adéquation de l’analyse des écarts entre le budgété et le réalisé, et de la justification du prévisible. Plans de travail. Objectifs/points de contrôle. Le plan informatique à long terme est-il régulièrement traduit en plans de travail à court terme qui prévoient l’affectation des ressources humaines et matérielles ? Ces plans sont-ils périodiquement réexaminés et mis à jour ? Les plans de travail sont-ils cohérents par rapport aux budgets informatiques ? Risques. Efficacité, efficience. Approches d’audit & sondages. Demander la communication des versions successives des plans informatiques à court terme et vérifier leur cohérence avec le plan à long terme. S'assurer que ces plans incluent les développements, la maintenance, et qu'une marge de manœuvre est conservée afin de réaliser des travaux exceptionnels et urgents. S’assurer que les travaux prévus aux plans de travail sont cohérents par rapport aux lignes budgétaires approuvées par la Direction Générale de la banque.

141

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Pilotage et suivi de l'activité. Objectifs/points de contrôle. Des instances permanentes ou ponctuelles permettent-elles de piloter de manière adéquate les activités conduites par la fonction informatique de la banque ? Des tableaux de bord de gestion, comportant un ensemble pertinent et complet d'indicateurs, sont-ils élaborés et exploités pour le pilotage de la fonction informatique au sein de la banque ? Un reporting périodique de l'activité de la fonction informatique de la banque est-il effectué auprès de la Direction Générale de la banque ? Risques. Efficacité, efficience. Approches d’audit & sondages. Recenser les instances existantes et analyser leurs modalités de fonctionnement. Récupérer les traces formelles des réunions de ces instances et vérifier que des décisions y sont prises et suivies d'effet. Collecter les différents tableaux existants et analyser leur contenu. Vérifier qu'ils contiennent des indicateurs relatifs aux différentes activités de la fonction informatique, y compris les principales évolutions de la structure (effectifs / organisation...), les principaux développements, la volumétrie en exploitation, les principaux incidents, et des éléments de suivi budgétaire. Déterminer si ces tableaux de bord sont utilisés pour des décisions de gestion. Prendre connaissance de ce reporting et vérifier qu'il reprend fidèlement les principaux indicateurs relatifs à l'activité de la fonction informatique. Moyens techniques. Objectifs/points de contrôle. Dispose-t-on d'un inventaire à jour de tous les équipements24 avec leur emplacement et leurs connexions ? Des inventaires physiques périodiques sont-ils effectués et existe-t-il un rapprochement périodique avec la comptabilité ? Existe-t-il une gestion de la performance et de la capacité des équipements ? Risques. Efficacité, efficience. Approches d’audit & sondages. Apprécier l'exhaustivité, la lisibilité, et les procédures de mise à jour de cet inventaire. Obtenir les résultats du dernier inventaire physique : apprécier les procédures mises en oeuvre, y compris l’analyse des écarts et le rapprochement avec la comptabilité. Obtenir le reporting correspondant : apprécier la couverture des équipements concernés, et déterminer si ce reporting permet d’anticiper correctement des modifications de configuration pour améliorer les performances et la capacité de traitement.

24

Equipements concernés: serveurs, postes de travail, imprimantes, équipements réseau (routeurs, multiplexeurs, concentrateurs, modems...)

142

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Gestion des ressources humaines Objectifs/points de contrôle. La fonction Informatique dispose-t-elle des ressources humaines adaptées à ses missions ? La durée moyenne de formation (interne/externe) du personnel est-elle suffisante par rapport aux besoins et aux évolutions technologiques ? La fonction SI gère-t-elle ses ressources à partir d'un plan de gestion formalisé? Le turn-over des collaborateurs est-il limité (de l’ordre de 5 à 15% par an) ? Des mesures ont-elles été prises de manière à éviter que toute fonction essentielle dépende de la présence d'une personne clé unique (back-up des compétences) ? A-t-on le sentiment que le climat social est correct et qu'il n'y a pas à redouter d'action bloquante pour l'exploitation informatique ou d'action interne malveillante? Risques. Efficacité, efficience. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Recenser le personnel de la fonction informatique. Analyser pour les différents responsables et catégories de personnel, leur formation initiale et complémentaire, ainsi que leur expérience vis à vis des postes occupés. S'assurer que la durée de formation est suffisante (supérieure à 5 jours par an et par personne), notamment dans les domaines évolutifs (net, réseaux / telecom ...) et dans la conduite de projets,... S'assurer que la planification de la fonction informatique intègre la gestion des ressources. Vérifier que le personnel peut évoluer en fonction de ses aptitudes au sein de la fonction informatique. Identifier les raisons d'un éventuel turnover important. S'assurer que des mesures ont été prises pour le réduire : prime, formation, évolution de carrière, ... Identifier les personnes clés de la fonction sur lesquelles reposent des responsabilités ou connaissances importantes (ex: chef de projet, responsable de l'exploitation, ...). Vérifier l'existence d'une personne susceptible de les remplacer en cas d'absence temporaire ou définitive.

1.3 - Gestion des projets.
Objectifs/points de contrôle. La banque a-t-elle établi une structure générale de gestion de projets qui définit la méthodologie à appliquer pour chaque projet entrepris ? Cette méthodologie couvret-elle, au minimum, l’attribution des responsabilités entre la Maîtrise d’Ouvrage (MOA) et la Maîtrise d’œuvre (MOE), le jalonnement des tâches, l’établissement et le suivi du budget temps et ressources, les points de contrôle et de validation ? La MOA des départements utilisateurs participe-t-elle systématiquement à la définition et à l’autorisation d’un projet de développement, de mise en œuvre ou de modification ? La méthodologie de gestion de projet prévoit-elle l’approbation d’un projet par la Direction Générale de la banque et l’approbation des différents lots et des différentes phases par la MOA ?
143

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

La méthodologie de gestion de projet prévoit-elle une méthode et un contrôle du suivi des charges de travail et des dépenses engagées tout au long de son développement ? Tout projet fait-il l'objet d'une démarche méthodologique et de l'utilisation d'outils de suivi normalisés ? Le suivi des projets se fait-il de manière rigoureuse pour éviter tout dérapage non contrôlé en termes de délais et de coûts ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Se faire communiquer et apprécier la méthodologie de gestion de projet retenue par la banque. Sélectionner un échantillon de projets en fonction de leur taille et de leur criticité. Pour chacun des projets de l’échantillon, étudier la cohérence et la pertinence de la méthodologie effectivement appliquée. Se faire communiquer les documents attestant de la participation de la MOA des départements utilisateurs (note de cadrage, cahier des charges, avant-projet,...). Vérifier sur l’échantillon sélectionné que les projets ont été formellement autorisés par la Direction Générale de la banque et que la MOA approuve chaque lot et chaque phase du cycle de développement des projets. Contrôler les documents de suivi des projets (contrôle de gestion). Vérifier l’existence d’une méthodologie et d’outils de suivi de projet normalisés. Vérifier sur l’échantillon sélectionné que les projets sont suivis par une instance adaptée, à partir d'un reporting adéquat des travaux effectués, et vérifier l’utilisation effective de la méthodologie et des outils de suivi. Analyser les différences entre les plannings et coûts initialement prévus et effectivement constatés en fin de projet.

1.4 – Gestion de la qualité.
Objectifs/points de contrôle. Une personne est-elle en charge de la qualité interne, ou vis-à-vis des tiers, des prestations de la fonction informatique de la banque ? Des niveaux de services ont-ils été définis et sont-ils régulièrement mesurés pour évaluer la qualité des prestations fournies à ses clients (internes / externes) par la fonction informatique de la banque ? Risques. Efficacité, efficience. Approches d’audit & sondages. Prendre connaissance de la définition de fonction de la personne en charge de la qualité. Vérifier que ce poste dispose de moyens nécessaires à la réalisation de ses objectifs. Recenser les domaines dans lesquels existent des conventions de services. S’assurer que les indicateurs sont pertinents et mesurables de manière objective, et qu’il y a eu concertation entre la fonction informatique et ses clients pour leur détermination.

144

6 – Conformité aux lois / règlements et aux normes. et cohérents par rapport à la stratégie d’assurance de la banque. etc . d'ordre électrique ou mécanique. __________________________________________________________________________________________ Vérifier que des mesures régulières des niveaux de services sont effectuées à l’aide de ces indicateurs. les frais supplémentaires de transport et de main d'œuvre. Vérifier que le montant et la nature des risques couverts ont été déterminés par une étude précise portant notamment sur le matériel (configuration centrale.. Pertes d'exploitation. non redondants.. 1. et que des actions d’améliorations sont engagées le cas échéant à partir de ces mesures. Responsabilité civile. la couverture du back-up. etc.L’audit systémique bancaire. Objectifs/points de contrôle.Assurances. utilisation et diffusion illicites de logiciels). Le choix des garanties en matière informatique correspond-il à une stratégie résultant d'une étude spécifique. Des mesures ont-elles été prises pour faire respecter la législation concernant la protection de la propriété des logiciels 26 ? 25 26 Il s'agit des moyens de stockage de type "unité disques" contenant programmes et données utilisés pour le fonctionnement des systèmes informatiques Il s'agit essentiellement de la protection contre le piratage informatique (copie. Efficacité. Vérifier que les risques suivants sont bien mentionnés : la détérioration d'origine externe mais aussi interne.) ? Risques. Objectifs/points de contrôle. réseaux. les phénomènes naturels. 1. Vérifier que les risques couverts par les différents contrats sont complémentaires. les coûts de reconstitution de supports. les pertes d'exploitation éventuelles.5 .). Approches d’audit & sondages.. 145 . S'assurer que le contrat couvrant les frais de reconstitution des médias concerne les programmes développés pour les besoins spécifiques de l'entreprise et les adaptations des progiciels aux besoins particuliers de l'entreprise. les biens et services de remplacement.. pour rendre possible la mise en jeu de la garantie. efficience. les risques de fraude ou de détournement. un outil d’efficacité du risk management.. S'assurer que le contrat d'assurance prend bien en charge les frais supplémentaires d'exploitation. c'est-à-dire ceux qui sont mis en œuvre au moment du sinistre. Vérifier que les sauvegardes correspondantes existent et sont effectuées régulièrement. le vol ou la tentative de vol de matériel (s'assurer que le contrat inclut une garantie de vol sans effraction). validée par la Direction Générale de la banque ? Le système informatique est-il couvert par un contrat d'assurance couvrant les dommages matériels ? La banque a-t-elle souscrit un contrat couvrant les frais supplémentaires d’exploitation en cas de sinistre ? La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de médias25? La banque a-t-elle souscrit d'autres contrats liés aux précédents (Globale informatique..

Juridique. Une fonction de « veille technologique » a-t-elle été définie ? Quels sont ses objectifs et les moyens qui lui sont alloués ? Les travaux effectués font-il l’objet d’une formalisation ? La fonction informatique élabore-t-elle et diffuse-t-elle des normes / standards pour l’ensemble des domaines placés sous sa responsabilité ? Risques.L’audit systémique bancaire. Vérifier qu'en cas de non respect. Conformité. s'assurer du caractère systématique de cette procédure sur un échantillon. et vérifier que ces standards sont respectés. Vérifier notamment que les logiciels font l’objet d’une licence. de conduite de projet. de micro-informatique. disponibilité. image. d’architecture technique / fonctionnelle.Ethique et déontologie. confidentialité. 146 . un outil d’efficacité du risk management. Si un document est signé par les nouveaux arrivants. Se procurer ces documents (ex : moyens mis en oeuvre par l’entreprise pour contrôler l’utilisation des services Internet mis à la disposition du personnel). Approches d’audit & sondages. vérifier qu’elle dispose de suffisamment de moyens pour être réellement opérationnelle. Recenser ces standards en matière de sécurité. Si cette fonction existe. d’exploitation. S'assurer qu'il existe une définition claire et précise des droits et devoirs auxquels sont soumis les intervenants sur le système d'information. Approches d’audit & sondages. Efficacité. Objectifs/points de contrôle. efficience. Objectifs/points de contrôle. Intégrité. Conformité. __________________________________________________________________________________________ Risques. Approches d’audit & sondages.8 – Veille et standards technologiques. des sanctions sont prévues et appliquées. Se procurer et analyser les documents produits et diffusés.7 . et que ces éléments sont dûment communiqués aux personnes concernées. 1. 1. Le règlement intérieur comporte-t-il des dispositions spécifiques en matière d'éthique et de déontologie concernant l'usage du système d'information ? Remet-on des documents ad hoc aux nouveaux arrivants dans l'entité et leur fait-on le cas échéant signer des documents relatifs à leurs obligations en matière d'usage du système d'information ? Risques. de développement.

Chaque prestation confiée en externe est-elle contractualisée et régulièrement suivie et contrôlée par un responsable de la banque clairement identifié ? Les contrats avec les prestataires de services informatiques font-ils l'objet d'une validation par le département juridique et/ou la Direction des Achats avant signature ? Les contrats incluent-ils systématiquement une clause d'auditabilité des prestations fournies. d’un responsable du suivi de la prestation et de procédures de suivi et de contrôle effectives (en principe sur la base de conventions de service). S’assurer que le périmètre de ces missions couvre l’ensemble de la fonction informatique (absence de « sanctuaire »). Identifier les principales prestations externes. 1. conformité.Contrôle indépendant de l’activité informatique. Existe-t-il une évaluation régulière des risques informatiques qui pourraient mettre en péril la réalisation des objectifs de la banque ? Cette évaluation constitue-t-elle une base afin de déterminer comment gérer les risques pour les réduire à un niveau acceptable ? Existe-t-il un plan d’actions visant à mettre en œuvre des contrôles et des mesures de 147 .L’audit systémique bancaire. Disponibilité.11 . Efficacité.9 . 1. Objectifs/points de contrôle. précisant les modalités de reprise en interne des prestations ? Risques. précisant les modalités d’audit ? Les contrats de sous-traitance incluent-ils systématiquement une clause de réversibilité. intégrité. Objectifs/points de contrôle. et vérifier pour chacune d’elles l'existence d’un contrat. Recenser les contrats de sous-traitance et vérifier l'existence d'une telle clause et son applicabilité effective. Recenser ces audits et vérifier que les recommandations ont fait l’objet de plans d’actions correctrices. Approches d’audit & sondages. un outil d’efficacité du risk management. Objectifs/points de contrôle. efficacité.10 . Conformité. __________________________________________________________________________________________ 1. Interroger le département juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont) été consulté(s) sur des contrats récemment signés par la fonction informatique avec des tiers. conformité. Recenser les contrats et vérifier l'existence d'une telle clause et sa portée effective. confidentialité. juridique.Gestion des services assurés par des tiers. efficience. Approches d’audit & sondages. Des audits internes et externes de la fonction informatique sont-ils effectués de manière régulière. efficience.Evaluation des risques. et donnent-ils lieu à des plans d’actions correctrices ? Risques. Vérifier sur un échantillon que les avis émis sont formalisés.

de la politique organisationnelle. Efficacité. Prendre connaissance des résultats des analyses récentes des risques informatiques. Déterminer si les risques résiduels sont clairement identifiés et formellement acceptés par les responsables de la banque. Disponibilité. Déterminer si ces plans d’actions adressent les principaux risques identifiés. juridique. confidentialité..1 . Approches d’audit & sondages. __________________________________________________________________________________________ sécurité pour diminuer l’exposition aux risques et ce de façon permanente ? Une mise à jour des analyses et des actions et est-elle périodiquement effectuée en tenant compte notamment des résultats des audits.Cadre de la sécurité Objectifs/points de contrôle. Sécurité. permettant la maîtrise effective des risques auxquels se trouve exposée la banque en matière d'organisation informatique et de systèmes d'information ? Les aspects de sécurité informatique sont-ils intégrés dans les politiques et procédures de la banque 27? Risques. efficience. un outil d’efficacité du risk management. intégrité. communication. efficacité. 27 Ressources humaines. de procédures et d'outils adaptés. La sécurité du système d'information est-elle une préoccupation effective au sein de la banque ? Cette préoccupation s'est-elle traduite par la mise en place d'une organisation. 2. efficience. sur des bases objectives. .L’audit systémique bancaire. Disponibilité. 148 . S’assurer que l’évaluation des risques se fait de manière intégrée au niveau général des activités de la banque et au niveau spécifique des systèmes d’information de la banque. et des incidents constatés ? Existe-t-il une acceptation formelle des risques résiduels (après mise en oeuvre des plans d’actions correctrices) par le management. déontologie. Prendre connaissance des plans d’actions existants visant à réduire les risques identifiés.. Interroger des membres du personnel de la banque à tout échelon hiérarchique sur le sujet. 2. intégrité. confidentialité. gestion des risques. en fonction de l’estimation des risques. Rechercher dans les politiques et procédures de sécurité informatique de la banque des éléments accréditant le caractère effectif de cette préoccupation. de l’incertitude inhérente à l’approche même de l’évaluation des risques et du rapport coût / efficacité de la mise en œuvre des mesures de protection et de contrôle ? Les risques résiduels sont-ils compensés par une couverture d’assurance adéquate ? Risques. Déterminer si les risques résiduels sont correctement couverts par des assurances. Approches d’audit & sondages. conformité.

. réglementation. Approches d’audit & sondages. une méthodologie. Analyser l’exhaustivité et la périodicité de ces missions sur le périmètre de la sécurité de la banque et leur degré d’approfondissement et de pertinence. Intégrité. intégrité. Preuve 149 . sabotage 31 Audit interne et externe. flux…). Se procurer les rapports de ces missions. Procéder par interview et/ou par examen des procédures existantes. Confidentialité. ainsi que les droits et devoirs. confidentialité. par une étude de vulnérabilité et/ou l’utilisation d’une classification32 déterminée par les propriétaires des processus / des informations).2 . conformité. Vérifier que ce travail a été effectué par les propriétaires ou par des responsables utilisateurs représentatifs et ayant une bonne connaissance de leur activité. etc Les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. indiscrétion. Se procurer. 32 Disponibilité. un outil d’efficacité du risk management. et vérifier le niveau de couverture des différents types de risques au travers de ces outils. fraude. erreurs. Faire de même pour les exigences légales et réglementaires en matière de sécurité des systèmes d'information. notamment dans les domaines transverses (gestion des clients.. Une cartographie des risques de la banque liés à la sécurité des systèmes d’information a-t-elle été réalisée/mise à jour depuis moins d’un an ? La banque a-t-elle déterminé le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de ses métiers ? La banque a-t-elle effectué une classification – selon les critères de la sensibilité / criticité des processus et des informations en fonction de l’impact qu’un « sinistre » touchant ces processus et ces informations aurait sur la banque ? Des missions périodiques de contrôle visant spécifiquement la mise en œuvre de la sécurité des systèmes d’information sont-elles réalisées ? Existe-t-il au sein de la banque des tableaux de bord / indicateurs périodiques de mesure et de pilotage des risques liés à la sécurité des systèmes d’information ? 28 29 30 31 Risques. de chaque type d’intervenants de la banque vis à vis de la sécurité. et le plan d’actions pour traiter ces risques. 2. une évaluation des différents types de risques liés à la sécurité informatique. Vérifier que leurs conclusions servent à mettre à jour la cartographie des risques au travers de l’appréciation du contrôle interne. __________________________________________________________________________________________ Rechercher la présence d'une charte sécurité définissant les rôles et responsabilités. Analyser la pertinence de cette étude qui doit comprendre un périmètre. contrôles du responsable sécurité. 28 29 30 Technologie. Disponibilité.Analyse des risques Objectifs/points de contrôle.. continuité de service. sécurité. quand ils existent les tableaux de bord / indicateurs existants.L’audit systémique bancaire. S’assurer de la couverture de l’ensemble des processus et des informations de la banque. Prendre connaissance de la manière dont ce niveau a été défini (par exemple. Incidents.

distincts du responsable sécurité . avec un rattachement hiérarchique élevé assorti d'une définition de fonction et d'un budget spécifique ? Existe-t-il des administrateurs de sécurité. Objectifs/points de contrôle. un budget annuel de la sécurité. S'assurer notamment que les micro-ordinateurs (autonomes ou connectés au réseau) et l'I*net34 sont couverts par le plan. Extranet. il est recommandé que le responsable sécurité n'administre pas lui-même la sécurité. un outil d’efficacité du risk management. Etudier les modalités de mises à jour du plan : évolution des configurations matérielles et logicielles / applicatives. une définition des risques intolérables (en liaison avec les utilisateurs). responsabilités et instances. Existe-t-il un Comité chargé d'étudier tous les problèmes liés à la sécurité. Efficience.Organisation. le planning et les priorités. Objectifs/points de contrôle. Analyser le contenu du plan sécurité33. se réunissant périodiquement et dont les travaux sont formalisés ? La sécurité informatique dispose-t-elle au sein de la banque d'un poste spécifique (Responsable de la Sécurité des Systèmes d'Information) sur l'organigramme.L’audit systémique bancaire.. Intranet 35 Pour les entités de taille importante. ceux à mettre en place. Disponibilité. Approches d’audit & sondages.4 . 150 . Confidentialité. Vérifier le niveau de couverture des systèmes d’information à partir de l’inventaire disponible. ainsi que les responsabilités et dates prévues de mise en oeuvre 34 Internet..Plan sécurité. Efficacité.). les principes et règles de sécurité à mettre en place. procédures et autorisations d'utilisation des processus et des informations dont ils ont la charge ? Existe-t-il au sein de la banque une sensibilisation et une information régulière de l'ensemble des utilisateurs concernant les problèmes de sécurité ? Les règles de sécurité informatique à respecter sont-elles intégrées dans les contrats /Conventions de services signés par les prestataires externes ? L'utilisation des postes de travail (autonomes ou connectés à un réseau local) fait-elle l'objet de procédures de sécurité particulières dont la mise en œuvre est contrôlée ? 35 33 Il doit comprendre une évaluation quantitative des risques. les moyens de sécurité existants. . responsable sécurité. Vérifier que l'élaboration du plan s'est effectuée à partir d'une évaluation des risques ou d'audits sécurité. __________________________________________________________________________________________ 2. chargés de la gestion quotidienne de la sécurité et des accès ? Existe-t-il des propriétaires nommément désignés des processus / traitements et des informations / données.3 . 2. Intégrité. responsables des règles. Existe-t-il au sein de la banque un plan sécurité des systèmes d'information remis à jour périodiquement et dont la mise en œuvre est suivie régulièrement ? Ce plan a-t-il été établi à partir d'éléments objectifs ? Ce plan couvre-t-il bien l'ensemble des systèmes informatiques de la banque ? Risques. S'assurer de la correcte mise en œuvre des actions du plan en termes de contenu et de délais (consulter notamment les comptes rendus des instances de pilotage et de suivi de la sécurité). recommandations faites sur la sécurité (audit interne ou externe.

Intégrité. S’assurer que les contrôles mis en place a priori (identification / authentification. Vérifier notamment qu'ils précisent que toutes les règles37 et procédures de la banque relatives à la sécurité doivent être respectées et qu'elles ont été portées au préalable à la connaissance des prestataires. Prendre connaissance des rôles et responsabilités des propriétaires et de la réalité de leur action. confidentialité. logiciels.) Clause de confidentialité. L’intégrité des informations enregistrées dans (et restituées par) les systèmes informatiques est-elle préservée par les dispositifs de sécurité logique mis en place ? De même. budget. Objectifs/points de contrôle. Approches d’audit & sondages. S'assurer de l'existence de supports pour la sensibilisation / l'information36.. Prendre connaissance de la définition de fonction du responsable sécurité... formation / action de sensibilisation (journal interne. Disponibilité.) par ces propriétaires. dans la manière de travailler du personnel. S'assurer qu'il dispose de véritables moyens pour assumer sa fonction (temps.. compétences. efficacité. . règles d'accès aux matériels. Approches d’audit & sondages. analyse des logs. __________________________________________________________________________________________ Risques.. que la sécurité est une préoccupation permanente. un outil d’efficacité du risk management. Prendre connaissance de leur définition de fonction. 2. Se procurer le document décrivant les objectifs et le fonctionnement du Comité. S'assurer de la couverture de l'ensemble des activités de l'entité notamment dans les domaines transverses (gestion des fichiers clients. Vérifier. Vérifier que le rattachement du poste se fait au moins au niveau du responsable informatique et de préférence directement à la Direction Générale de la banque (pour garantir son indépendance). Examiner quelques contrats / conventions.5 – Sécurité logique. Analyser sa composition. données et documentations en plus des procédures applicables à l'ensemble du personnel 151 . efficience. 36 37 Par exemple: charte de sécurité. confidentialité.). …) et a posteriori (revue périodique des habilitations. la confidentialité des informations sensibles est-elle préservée ? Risques.L’audit systémique bancaire. récupérer les derniers comptes-rendus et évaluer la réalité de son rôle dans le domaine de la sécurité. habilitations. Interroger des membres du personnel de la banque à tous les échelons hiérarchiques et évaluer leur degré de sensibilisation et d'information.. S'assurer que leurs travaux sont correctement tracés et contrôlés périodiquement par le responsable sécurité. flux. …) sont complémentaires et permettent de préserver l’intégrité et la confidentialité des informations. intégrité. .

Vérifier que les mécanismes d’identification et d’authentification couvrent tous les points d’accès39 aux systèmes informatiques. confidentialité. …) effectivement utilisées et conditionnant l’accès aux systèmes d’information et à leurs données ? Risques.6 . Approches d’audit & sondages. serveurs décentralisés. un outil d’efficacité du risk management. que chaque utilisateur dispose de son propre identifiant (le partage au travers d’identifiants génériques étant à proscrire) pour y accéder.. Confidentialité. La gestion des droits d'accès est-elle prise en charge par un logiciel spécifique et/ou un composant du système de base ? L'accès aux fonctions de gestion / d'administration des habilitations et des paramètres de sécurité est-il strictement limité ? Risques. S’assurer que des procédures sont en place afin de préserver l’efficacité des mécanismes d’authentification par mot de passe. Intégrité. S'assurer que cette liste est limitée aux personnes en charge de l'administration de la sécurité. réseaux. réseau local ou messagerie. Approches d’audit & sondages.8 . 2. Objectifs/points de contrôle. 2. intégrité. Existe-t-il une procédure de gestion des profils et des habilitations des utilisateurs.Dispositifs / outils de sécurité logique. Disponibilité.. S’assurer. clé ou carte personnelle. S'assurer qu'elle couvre tous les systèmes : serveurs centraux (mainframe).Procédure de gestion des habilitations.7 – Identification et authentification. Objectifs/points de contrôle. pour quelques systèmes / données sensibles sélectionnés. Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse.L’audit systémique bancaire. micro-ordinateurs connectés ou connectables. 38 39 Pour les utilisateurs et les informaticiens (interne et externes) Connexion par le réseau commuté et les autres voies d'entrée sur le système (réseau local principalement) 152 . Lister les utilisateurs ayant accès à ces fonctions. Analyser l'architecture de la sécurité d'accès et les systèmes de sécurité en place38 pour accéder aux traitements et données informatiques. __________________________________________________________________________________________ 2. Disponibilité.. Objectifs/points de contrôle. incluant une approbation formelle pour l'octroi des droits d'accès ? Chaque utilisateur n'a-t-il accès qu'aux systèmes et aux données qui lui sont nécessaires à la réalisation des tâches propres à sa fonction ? Des précautions sont-elles prises pour la protection de l'accès aux données confidentielles conservées sur ordinateur personnel.

Tous les systèmes informatiques / serveurs de la banque accédés depuis l’extérieur sont-ils correctement sécurisés ? Dans le cadre d’échanges ou de transactions électroniques entre la banque et l’extérieur. Sur quelques systèmes sensibles. la détection et la correction ? L’utilisation des services Internet par le personnel de la banque est-elle effectuée dans des conditions sécurisées ? Si la banque a mis en œuvre des sites Internet. ajout. Pour cela. réglementaires et prudentiels ? 40 41 42 40 Pare-feu: Mécanisme employé pour protéger le réseau interne d’une entreprise des accès ou usages non autorisés tout en permettant aux utilisateurs locaux d’accéder à l’Internet. __________________________________________________________________________________________ Risques. un outil d’efficacité du risk management. Intranet ou Extranet. Pour quelques utilisateurs sur quelques systèmes sensibles. prendre la liste les derniers départs et mutations au sein de l'entité. vérifier l'existence des demandes et leur validation formelle. S'assurer également que les ajouts d'accès font l'objet d'une demande et que la suppression / modification des profils / habilitations est rapide après le départ / la mutation d’un collaborateur.L’audit systémique bancaire. ont-ils été correctement sécurisés –par le biais de l’utilisation de pare-feu (Firewall ) et de DMZ . Vérifier si la procédure traite l'ensemble des événements de la gestion des habilitations (création. de garantir l’authenticité et la non-répudiation et des échanges ou des transactions ? L’intégrité des échanges ou des transactions électroniques entre la banque et l’extérieur est-elle garantie par des dispositifs adaptés ? Les procédures permettent-elles de garantir la protection des clés de chiffrement (clés SWIFT notamment) ? Face aux virus. une étude est-elle soumise au service juridique compétent afin de s’assurer du correct traitement des aspects juridiques. Disponibilité. des mesures adéquates ont-elles été mises en œuvre pour la prévention. fiscaux. 2.Interconnexions avec l’extérieur. l'intégrité et en principe l'authentification des parties et la non-répudiation des transactions par l'usage de la cryptographie à clés publiques. comme les connexions des utilisateurs à ceux-ci. 42 Secure Socket Layer (SSL): protocole de sécurisation des transactions assurant la confidentialité. intégrité. et de protocoles tels que SSL pour les connexions ? A-t-on recours à des sociétés de services informatiques pour simuler des attaques externes (tests d’intrusions) afin d’évaluer et d’améliorer le cas échéant le niveau de sécurité en place ? Avant de rendre opérationnel un site. les procédures en place permettent-elles de vérifier l’authenticité de la contrepartie extérieure. Approches d’audit & sondages. DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systèmes informatiques (réseau interne) de l'entité et le réseau externe (Internet). fondé sur le contrôle d'intégrité et le chiffrement des données 41 153 .9 . confidentialité. faire un sondage principalement pour quelques utilisateurs ayant des accès privilégiés (très étendus). suppression) incluant une demande écrite et sa validation formelle. modification. des études de sécurisation de ces sites ont-elles été menées ? Ces sites. Objectifs/points de contrôle. modification ou suppression) qui lui sont nécessaires. S'assurer que chaque utilisateur n'a que les accès (en consultation.

. qui permet de détecter toute altération du texte en clair. Approches d’audit & sondages. intégrité. Recenser les échanges ou transactions électroniques effectués par la banque avec l’extérieur.... certificats émis par des tiers de confiance. Les contrôles de niveau 1 sont contenus dans le traitement des opérations (contrôles informatiques. 44 Objectifs/points de contrôle. Vérifier que les accès / tentatives provenant de l’extérieur sont enregistrés dans des logs analysés régulièrement (les tentatives d’accès infructueuses doivent en principe être analysées au jour le jour).L’audit systémique bancaire. S’assurer qu’ils sont sécurisés par des procédures de « call-back » ou d’accès dûment sécurisés.) en place.. périodique et centralisé des événements journalisés? Certains types de violation d'accès sont-ils remontés en temps réel au responsable sécurité pour contrôle ? Les opérations effectuées par les administrateurs de la sécurité sur les systèmes de sécurité sont-elles journalisées sans possibilité d'altération ? Ces traces sont-elles revues périodiquement par un responsable sécurité distinct des administrateurs de sécurité ? Risques. un outil d’efficacité du risk management.Contrôle a posteriori des accès (niveaux 1 et 2 ). confidentialité.10 . contrôles manuels) et ceux du niveau 2 sont effectués par la hiérarchie qui supervise le traitement des opérations. Apprécier les dispositifs de protection (sécurité physique et logique. Disponibilité. Obtenir l’inventaire des points d’accès à distance aux systèmes informatiques de la banque.. Vérifier auprès du service juridique de la banque la nature du travail effectué sur ce point pour les sites mis en oeuvre. Une revue périodique des profils utilisateurs est-elle effectuée par un responsable afin de vérifier le respect des procédures et de confirmer les droits d’accès existants ? A-t-on instauré des règles de journalisation45 d'évènements liés à la sécurité informatique? Existe-t-il un contrôle systématique. S’assurer que le paramétrage des firewalls a été effectué par des spécialistes de la sécurité Internet et qu’une DMZ est utilisée. horodatage. 43 44 Technique de représentation d’un texte en clair en un équivalent symbolique (« hash code » / sceau) indécodable. Vérifier que des règles de sécurisation ont été suivies. vérifier l’existence d’un mécanisme d’authentification fiable (mot de passe. clé de chiffrement.). Pour chacun d’entre eux.. S’assurer que des mécanismes de contrôle d’intégrité adaptés (hash coding / scellement43 par exemple) sont utilisés. Recenser les sites déployés par la banque. 2.. Se procurer les rapports de ces prestations et vérifier que les faiblesses relevées ont été corrigées rapidement et/ou qu’un plan d’actions a été établi. et que d’éventuelles consultations auprès de spécialistes extérieurs à la banque ont eu lieu si en interne les compétences n’étaient pas suffisantes. __________________________________________________________________________________________ Risques.. 45 Trace d'enregistrement 154 . et les études de sécurisation existantes.). de non-répudiation (signatures électroniques. séparation de fonctions.

la refaire sur un échantillon et confronter les résultats avec ceux (oraux) obtenus par le responsable. et qu’elles sont effectivement contrôlées. Examiner par sondage les supports de ces revues afin d’évaluer le caractère effectif et la pertinence des contrôles effectués. humidité. groupes électrogènes.. S'assurer que les violations remontées sont les plus pertinentes et risquées. 2. Sur ce point de contrôle. intégrité.. S'assurer la formalisation de ces contrôles et des actions qui en sont issues.. S'assurer que les consignes sont affichées. 46 Equipements de contrôle d’accès. Approches d’audit & sondages. dégâts des eaux.)? Les différents équipements de sécurisation des locaux informatiques et de son environnement sont-ils sous contrat de maintenance et vérifiés / testés périodiquement? Existe-t-il des consignes de sécurité générale affichées. protection environnementale. Interroger sur ce sujet les membres du personnel et se faire communiquer les consignes et les comptes-rendus de tests. un outil d’efficacité du risk management.L’audit systémique bancaire. une visite des différents locaux hébergeant les équipements informatiques est indispensable pour constater par observation les dispositifs en place (visite à effectuer avec le responsable du centre de production informatique et/ou celui des services généraux / logistiques). Interroger les administrateurs ou le responsable sécurité pour savoir si ces opérations sont journalisées et revues de manière indépendante. les comptes-rendus de tests.. S'assurer de l'existence d'une telle revue par un responsable sécurité et/ou un responsable hiérarchique. connues et testées? 46 Risques. détection et extinction incendie. climatisation. incendie. Approches d’audit & sondages. détection humidité. __________________________________________________________________________________________ Disponibilité. Les moyens et procédures mis en œuvre permettent-ils d'assurer la sécurité physique du système d'information (contrôle d'accès physique. onduleurs. Vérifier que les logs mis en place sur les firewalls sont analysés fréquemment par une personne compétente. .Sécurité physique. les comptes-rendus d'intervention de maintenance préventive / curative. Se procurer les contrats de maintenance des matériels. Objectifs/points de contrôle. S'assurer que les principaux événements liés à la sécurité sont enregistrés et conservés sur une période suffisante. et consulter les éléments qui la supportent. ont fait l'objet d'une information / formation et sont testées périodiquement. Disponibilité. coupures électriques.11 .. S'assurer que l'ensemble des équipements sont couverts par des contrats et que des interventions préventives périodiques (une à deux fois par an) ont lieu. En l'absence de formalisation de la revue. Se faire communiquer les types d’opérations concernées et demander la justification d'éventuelles modifications abaissant le niveau de sécurité. chaleur. batteries. 155 . confidentialité. intégrité.

dispose-t-on de disjoncteurs séparés par matériel informatique important. Déterminer si ce voisinage se traduit par des facteurs de risque spécifiques49. intégrité. Approches d’audit & sondages. stockage de matières inflammables. menaces chimiques. Des études ont-elles été réalisées sur les dangers présentés par des facteurs externes sur les locaux informatiques renfermant des équipements informatiques sensibles et les recommandations prescrites ont-elles été suivies d'effet ? Le bâtiment a-t-il été spécialement construit pour l'informatique et/ou est-il à l'usage exclusif de l'informatique ? Le site informatique est-il peu connu et peu repérable ? Le transformateur alimentant les locaux informatiques est-il correctement sécurisé? Existe-t-il une régulation électrique (contre les pannes électriques et les variations de extension) comportant au moins un onduleur complété de batteries garantissant une autonomie suffisante ? Ses caractéristiques répondent-elles aux prescriptions des constructeurs de matériels informatiques ? Est-elle testée régulièrement et dispose-t-elle d'un secours? Existe-t-il un groupe électrogène pouvant être rapidement opérationnel en cas de coupure de l'alimentation électrique ? Pour les salles ordinateurs.. sources et nappes phréatiques).12 . 48 156 .. Objectifs/points de contrôle. vérifier que le responsable informatique a conscience de ces risques. zone sismique. S'assurer que le transformateur est protégé contre les risques d'incendie.Sécurité de l'environnement. . de dégâts des eaux et d'accès non autorisés.L’audit systémique bancaire. Disponibilité. examiner la liste et la nature d'activité des autres services et départements s'y trouvant. 49 Allers et venues de personnes extérieures. orages/foudre (paratonnerre). Vérifier si le bâtiment renferme uniquement les locaux et installations informatiques. 47 Il s'agit d'un disjoncteur permettant d'arrêter l'alimentation de l'ensemble des équipements en une seule opération d'un "coup de poing" d'où le nom de la commande. qualité/stabilité du terrain. inondation (cours d'eau. En l'absence d'étude particulière. poussière) est-il installé et opérationnel ? Ses caractéristiques répondent-elles aux prescriptions des constructeurs des matériels informatiques utilisés ? Est-il testé régulièrement et dispose-t-il d'un secours? Risques. un outil d’efficacité du risk management. Si le bâtiment n'est pas à l'usage exclusif de l'informatique. d'un tableau électrique d'accès facile et d'une coupure générale "coup de poing"47 ? La conformité des installations électriques a-t-elle été vérifiée par un organisme agréé ? Un système de climatisation (température. S'assurer que ces études ont bien pris en compte les principales menaces liées à l'environnement extérieur48. etc mais également le voisinage à risques pollution. __________________________________________________________________________________________ 2. voisinage ou stockage de matières inflammables. S'assurer que des dispositifs spécialisés sont installés pour surveiller et contrôler l'environnement. coulée de boue. S'assurer qu'aucun panonceau n'indique la présence du site informatique et qu'aucun matériel du site n'est visible et facilement accessible de l'extérieur. Menaces liées à l'environnement extérieur: phénomènes météo. hygrométrie.

soit de tenir jusqu'à la fin de la montée en puissance du groupe électrogène. S'assurer que lors de la mise en place des installations électriques et lors de changements importants leur conformité est vérifiée. Vérifier que la capacité de l'onduleur est suffisante pour les matériels branchés.13 . Vérifier que la réserve de carburant est située dans un endroit sécurisé. S'assurer que l'installation de climatisation est systématiquement réétudiée à l'occasion d'aménagement des locaux. intégrité. à température régulée et suffisante pour tenir environ 48 heures. __________________________________________________________________________________________ S'assurer que les équipements/matériels nécessaires50 au fonctionnement de la salle informatique sont branchés sur l'onduleur et sur le groupe électrogène.L’audit systémique bancaire. Disponibilité. 2. . S'assurer que la capacité réelle (testée) des batteries (généralement 20 minutes) permet. Relever les indications portées par les instruments de mesure et vérifier qu'elles sont conformes aux plages préconisées par les constructeurs des matériels informatiques. soit l'arrêt "propre" des systèmes informatiques.. S'assurer que la commande "coup de poing" ne puisse pas être actionnée malencontreusement.. Vérifier qu'il est prévu une sécurité de démarrage du groupe par redondance ou mode de secours (air comprimé. hygromètres et leur emplacement. essence. S'assurer que le groupe est testé au moins une fois par mois.). Prendre connaissance des procès verbaux d'inspection et s'assurer de la mise en conformité de l'installation avec les recommandations formulées. 50 Il ne suffit pas d'avoir les serveurs sur onduleurs mais également les équipements de communication et les consoles de pilotage des systèmes informatiques 157 . un outil d’efficacité du risk management. L'ensemble des bâtiments renfermant les locaux informatiques (y compris les salles de marchés) et les locaux attenants sont-ils protégés par une installation de détection et d'extinction automatique ? Des extincteurs mobiles sont-ils conservés dans les locaux informatiques et les locaux attenants ? Ces extincteurs sont-ils périodiquement vérifiés ? Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle respectée? Les salles informatiques sont-elles vierges de tout stock de papier ou matériaux inflammables ? A-t-on fait des études sur les dangers présentés par l'eau dans les locaux informatiques et les locaux attenants ? A-t-on vérifié qu'il n'existe pas de canalisations apparentes ou traversant les fauxplanchers ? Les blocs de climatisation sont-ils à l'extérieur des salles ordinateurs ? Les faux-planchers sont-ils dotés d'un système de détection d'eau ou d'humidité. batterie.). périphériques. et en cas de besoin existe-t-il un dispositif garantissant l'évacuation de l'eau ? Risques. mais reste cependant aisément accessible.Sécurité incendie et dégâts des eaux. ou de mise en place de nouveaux matériels (serveurs. ... le cas échéant. Objectifs/points de contrôle. Vérifier que la capacité du groupe électrogène est suffisante pour les matériels branchés. Vérifier la présence de thermomètres.

Etudier l'implantation géographique des locaux informatiques au sein du bâtiment (risque moindre si la salle est située dans les étages supérieurs). gaz. S'assurer que le système de détection d'eau (ou d'un taux d'hygrométrie anormalement élevé) est suffisamment sensible... et qu’ils ne disposent pas d’un accès permanent aux salles. ballons d'eau. S'assurer que les faux planchers sont protégés contre le risque incendie par l'existence d'un détecteur et d'une bonbonne de gaz d'extinction sous le faux plancher. Existe-t-il un système de contrôle d'accès aux salles contenant des équipements sensibles tels qu'unités centrales et périphériques.. . Vérifier la présence de panneaux d’interdiction de fumer. s'assurer que les codes sont périodiquement changés. de manière à se déclencher suffisamment tôt. S'il existe des canalisations apparentes. Contrôler la date de dernière vérification. et un registre des visiteurs est-il tenu et revu périodiquement ? Risques.Contrôle d'accès physique. terminaux dédiés aux transactions sensibles (SWIFT. S'assurer que les impressions sont effectuées dans un local annexe. __________________________________________________________________________________________ Approches d’audit & sondages. 2. vérifier qu'elles concernent exclusivement le système de climatisation. un outil d’efficacité du risk management. Vérifier que l'accès aux salles contenant des équipements sensibles est limité par un dispositif de type digicode. intégrité. Disponibilité. Vérifier que les types d'extincteurs (eau. S'assurer qu'il n'existe pas de points d'accumulation d'eau situés à proximité ou au dessus de la salle informatique (toit-terrasse. Consulter le registre des visiteurs. halon / CO2 gaz dangereux-. Approches d’audit & sondages. S'assurer de la correcte gestion de ces systèmes d'accès.). lecteur de badges ou commande d'ouverture à distance. Vérifier que ces derniers sont systématiquement accompagnés pendant leur séjour dans les locaux. Dans le cas d'un digicode. S'assurer de l'éventuelle existence d'un système d'évacuation d'eau dans les locaux (plancher incliné ou pompes)..14 . salles des marchés. Vérifier que les consignes d'utilisation des appareils sont correctement lisibles. télex.. sanitaires. confidentialité. serveurs. S'assurer du nombre suffisant d'extincteurs dans les locaux et de leur accès facile. équipements de communication.). 158 . s'assurer qu'il est complet et revu périodiquement et formellement par un responsable informatique et/ou logistique. Vérifier leur implantation. poudre) correspondent aux types de matériel à protéger. Contrôler la liste des personnes auxquelles a été remis ou communiqué le code ou un badge.) ? Les visiteurs internes ou externes à la banque sont-ils accompagnés par une personne habilitée à accéder aux salles informatiques. FM200 -poudre-. Interroger les personnes habilitées à accéder aux salles informatiques sur la procédure en place pour les visiteurs. Se faire décrire les systèmes de détection et d'extinction (sprinklers -eau-. Objectifs/points de contrôle.L’audit systémique bancaire...

efficacité. conformité. __________________________________________________________________________________________ 2. Prendre connaissance des procédures de sauvegarde. Examiner les comptes-rendus de tests éventuels. Vérifier l’existence d’une procédure permettant d’intégrer les fichiers et programmes des nouveaux développements et maintenances.16 – Sauvegardes. S’assurer que ces deux types de sauvegardes existent et que leur exhaustivité est garantie. efficience. Se procurer les plans de continuité / reprise d'activité et les plans de back-up (secours informatique).15 . La banque s’est-elle dotée des moyens lui permettant de disposer de copies de ses données aisément utilisables en cas de perte des données d’exploitation d’origine ? A-t-on pris en compte la nécessité d’élaborer des sauvegardes de type production d’une part et de type recours d’autre part ? Les cycles de sauvegarde et les durées de rétention sont-ils compatibles avec les caractéristiques des informations sauvegardées ? Existe-t-il une sauvegarde systématique de l’ensemble des informations des serveurs décentralisés et Bureautiques ? La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des données résidant sur les postes de travail connectés ? Contrôle-t-on régulièrement qu’une reprise ou un redémarrage sont effectivement possibles à partir des sauvegardes ? Sait-on relire les supports ? Est-on assuré de l’exhaustivité des données relues (restaurées) ? 51 52 Risques. S’assurer que les sauvegardes de recours sont stockées dans un lieu distinct de la salle informatique. 2. Examiner les contrats éventuels avec les fournisseurs de services de secours. Vérifier que les procédures sont correctement appliquées. efficience. Approches d’audit & sondages. Approches d’audit & sondages. Disponibilité. Objectifs/points de contrôle. La banque s'est-elle dotée des moyens et de l'organisation lui permettant de maintenir son activité même après un incident majeur ou un sinistre générant une indisponibilité prolongée (partielle ou totale) du système d'information ? Risques. 51 52 Après incident d'exploitation Après sinistre majeur 159 . un outil d’efficacité du risk management.L’audit systémique bancaire. Objectifs/points de contrôle. Disponibilité.Continuité de service. Prendre connaissance des éventuels incidents majeurs ou sinistres déjà survenus et des dispositions prises à ces occasions pour y remédier. disponibilité. efficacité.

Interroger les utilisateurs et les informaticiens sur les possibilités de sauvegardes offertes sur un espace serveur dédié et personnel de leurs fichiers résidant sur microordinateurs. en cas d'interruption de traitement. efficacité. …) ? Une étude sur la vulnérabilité de la banque face à différents types de risques physiques ou non (pas nécessairement informatiques) a-t-elle été réalisée et a-t-elle entraîné la mise en place d’un Plan de Continuité des Activités de la banque ? A-t-on réalisé une étude préliminaire. une panne grave ou une grève ? Existe-t-il des locaux et/ou des coffres de sécurité permettant de stocker dans des conditions de sécurité acceptables les supports informatiques contenant des informations dont la perte serait préjudiciable à la banque ? Le PCA contient-il bien les procédures alternatives de traitement à mettre en place par les utilisateurs jusqu’à ce que la fonction informatique soit en mesure de restaurer entièrement ses services après un sinistre ? Un plan de communication a-t-il été défini pour permettre la mise en œuvre des actions de communication adaptées tant en interne qu’en externe en cas de survenance d’un sinistre ? Une cellule de crise a-t-elle été organisée pour gérer un sinistre éventuel ? Le PCA est-il testé périodiquement dans des conditions les plus proche possibles de la réalité de la production ? Risques. 53 Le plan de continuité est l'outil de contrôle interne qui assure la gestion des ressources et des données informatiques sensibles. stations de travail.L’audit systémique bancaire.17 – PCA (Plan de Continuité des Activités ). Existe-t-il un Plan de Continuité des Activités de la banque remis à jour au moins chaque année ? Le PCA est-il remis à jour en cas d’évolutions qui le nécessiteraient ? Existe-t-il un PCA. efficience. 2. S’assurer de la mise à jour périodique du PCA en fonction des évolutions de l’organisation de la banque et de son système d’information. Disponibilité. 53 Objectifs/points de contrôle. __________________________________________________________________________________________ Recenser ce type de serveurs et vérifier que des sauvegardes périodiques sont réalisées en fonction de leur criticité / de la criticité des données qu’ils contiennent. Pour les sauvegardes de recours. un outil d’efficacité du risk management. Approches d’audit & sondages. pendant « utilisateurs » du plan de secours informatique ? Une coordination entre les deux plans (informatique et utilisateurs) existe-t-elle afin d’éviter tout déphasage ? Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs « autonomes » (fixes et portables) et les micro-ordinateurs « en réseau » (serveurs. S’assurer que dans le cas de plantages ou d’incidents informatiques. intégrité. 160 . qui permette de classer les processus et/ou les applications dans l’ordre décroissant des pertes ou préjudices qui surviendraient après un sinistre physique (total ou partiel). Le plan de continuité des activités comprend les éléments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up et le plan de reprise d'activités qui intègre les schémas fonctionnels et organisationnels complétant les moyens matériels. seul un test du back-up peut prouver leur qualité. Seuls des tests de restauration peuvent permettre d’être sûr de la qualité des sauvegardes. les sauvegardes utilisées ont pu permettre la reprise des traitements.

Vérifier que les procédures de reprise couvrent les différentes étapes du déroulement du plan de secours informatique. S’assurer que les sauvegardes sont stockées sans délai dans un lieu sécurisé une fois leur création effectuée. Se procurer les comptes-rendus de tests et vérifier que les problèmes rencontrés ont fait l’objet d’adaptations dans le PCA. S’assurer qu’il a été élaboré avec des professionnels de la communication et les parties prenantes dans le P. peuvent se substituer à des procédures automatisées utilisées en mode normal d’exploitation. ou des procédures automatisées de contournement. Vérifier que l’étude a été formalisée et validée par les principaux responsables de la banque. Analyser la composition de la cellule. S’assurer que les modalités de la réunion rapide de la cellule sont formalisées et communiquées aux participants (coordonnées. l'exploitation n'assure que partiellement les services habituels. communication). Recenser les nouvelles applications ou activités sensibles de la banque (ou des modifications significatives récentes). pour organiser la reprise et la continuité des activités à partir du déclenchement du sinistre et jusqu’au retour à la normale.A. Prendre connaissance des conditions de tests.L’audit systémique bancaire. …). Vérifier que l’étude est mise à jour en cas de nouveau processus / application ou de modification importante. S’assurer que cette étude est assez récente pour être pertinente. et vérifier que les plans les prennent bien en compte. En général. __________________________________________________________________________________________ S’assurer que des procédures ont été élaborées par les départements utilisateurs. un outil d’efficacité du risk management. 161 . 2. de priorités de reprise. Analyser ce document et vérifier son exhaustivité .18 – Plan de back-up / de secours.… S’assurer que les évolutions de systèmes et procédures à la fois côté informatique et côté utilisateurs font l’objet de mises à jour des plans. y compris personnelles. Vérifier que les cibles des actions de communication ont été identifiées et les « messages » adaptés.C. Vérifier qu’elle regroupe les parties prenantes du PCA (informatique. en collaboration avec le service informatique. y compris les principaux responsables de la banque . Existe-t-il un plan de secours de l’exploitation informatique (éventuellement en mode dégradé54 et/ou éclaté sur plusieurs sites) ainsi que des documents permettant la mise en œuvre rapide des procédures de secours en cas de sinistre ? Le plan de secours prend-il en compte les évolutions prévues dans le plan informatique / schéma directeur ? Une étude a-t-elle été menée pour déterminer le choix des moyens de secours / de backup pour le système d’information de la banque ? 54 En mode dégradé. S’assurer que l’on a pris en considération dans cette étude les interdépendances entre processus / applications. Objectifs/points de contrôle. Des procédures manuelles. seules les fonctions indispensables à la continuité des traitements sont assurées. Analyser ce document. utilisateurs. Vérifier la cohérence des deux plans en termes de déroulement. S’assurer que les processus / applications couvrent bien l’ensemble des activités de la banque. lieu de regroupement.

…) de manière régulière ? Les activités nécessitant une haute disponibilité des systèmes informatiques (par exemple les activités de salles de marchés. efficacité. __________________________________________________________________________________________ Les ressources informatiques critiques pour la continuité des activités ont-elles été identifiées et effectivement secourues ? A-t-on effectué une étude de sécurité pour le choix des liaisons de télécommunications entre le site de secours et l’ensemble des sites connectés (internes / externes) ? L’exhaustivité des sauvegardes de recours garantit-elle la reprise de l’activité dans les conditions définies par la banque ? Le plan de secours est-il testé périodiquement dans des conditions les plus proches possible de la réalité de l’exploitation ? Le plan de secours est-il remis à jour (évolutions matérielles et logicielles. S’assurer que le plan est mis à jour notamment lors des modifications des configurations matérielles. S’assurer que les lignes principales sont doublées. Approches d’audit & sondages. les systèmes d’échanges interbancaires (SWIFT. les systèmes d’exploitation et les logiciels de base. claires et détaillées. maintenance. S’assurer que les impacts sur le plan de secours des évolutions contenues dans le plan informatique ont été prises en compte. efficience. un outil d’efficacité du risk management. Prendre connaissance des conditions et des résultats de tests. 55 Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallèle. S’assurer que les trois possibilités offertes ont été étudiées (mutualisation de moyens chez un prestataire. Vérifier que préalablement à cette étude.L’audit systémique bancaire. et les fournitures. un recensement des liaisons au(x) sites d’exploitation a été effectué. des solutions de haute disponibilité (de type mirroring / clustering55) sont mises en œuvre pour permettre de basculer de manière quasi-transparente (« à chaud ») d’un système informatique défaillant à un autre. …)) bénéficient-elles de solutions de secours en temps réel ? Risques. S’assurer que ces ressources comprennent les traitements et données d’applications critiques. configurations réseau. Vérifier que les hypothèses de reprise sont cohérentes avec la « fraicheur » des données des sauvegardes. secours externe dédié à la banque. S’assurer que les procédures sont complètes. Analyser ce document. Disponibilité. secours interne) et que les moyens mis à disposition sont conformes aux choix stratégiques de la banque. logicielles (nouveau développement. Vérifier que pour les systèmes sensibles concernés. 162 . les équipements de télécommunications. Se procurer les comptesrendus de tests et vérifier que les problèmes rencontrés lors des tests ont donné lieu à des mises à jour du plan de secours. Vérifier que toutes les parties prenantes disposent d’un exemplaire à jour du plan. S’assurer qu’une procédure garantit l’exhaustivité des sauvegardes de recours. …) et réseau. La panne d'une ressource étant transparente pour le déroulement des traitement par le passage à la ressource en miroir / cluster.

Approches d’audit & sondages. disponibilité. par exemple). Ce domaine concerne les développements d’applications (en interne ou en externe). 3. __________________________________________________________________________________________ 3. 3. Sur l’échantillon sélectionné.1 – Expression des besoins. efficience. la banque réalise-t-elle une analyse des risques qui comprend : l’identification des menaces de sécurité. Les objectifs. confidentialité. les classer par ordre d’importance et de criticité pour déterminer un échantillon représentatif de systèmes sensibles. étudier la note de cadrage pour en vérifier le contenu. mais aussi ceux directement réalisés par les utilisateurs à l’aide de logiciels bureautique (Microsoft Access ou Excel. La note de cadrage doit replacer le projet dans son contexte. Objectifs/points de contrôle. progiciels) existants. Etudes et développements. Il concerne non seulement les développements effectués par le département informatique.2 – Choix des systèmes. Efficacité. La méthodologie de développement des systèmes prévoit-elle une analyse des solutions alternatives susceptibles de satisfaire les demandes des utilisateurs ? La méthodologie de développement prévoit-elle une étude de faisabilité technologique et économique de chacune des solutions envisagées pour répondre aux besoins de la banque ? Dans le cadre de l’analyse des solutions alternatives. en définir les grandes lignes fonctionnelles et les avantages / gains attendus au travers d’une étude économique (retour sur investissement). un outil d’efficacité du risk management. ceux auxquels doit répondre le nouveau système (ou la modification du système existant) pour les besoins fonctionnels et opérationnels ? La banque a-t-elle défini une méthodologie lui permettant d’assurer la prise en compte des exigences de sécurité et de contrôle interne dans les projets de développement ou d’acquisition de nouveaux logiciels ? Les exigences de sécurité sont-elles prises en compte lors de l’élaboration du cahier des charges ? Risques. Vérifier que le cahier des charges / la description fonctionnelle traite des aspects de sécurité et de contrôle interne. L’auditeur doit se faire communiquer la liste des développements (applications. S’assurer de la prise en compte du système d’habilitation lors de la conception d’une application. la nature et le périmètre couvert par un projet sont-ils formalisés dans un document écrit préalablement à son lancement ? Ce document définit-il clairement les besoins de la banque déjà satisfaits. intégrité. l’acquisition de progiciels ou la modification de systèmes (applications. les développements effectués par les services utilisateurs à l’aide de logiciels bureautique. Objectifs/points de contrôle.L’audit systémique bancaire. des points 163 . progiciels) terminés ou en cours par le département informatique avec la charge de travail des équipes informatiques.

modification) aux chaînes de traitement. intégrité. efficacité. Analyser la documentation des projets pour s’assurer que des solutions alternatives ont été étudiées. Pour l’étude de faisabilité économique. d’intégrité. Efficacité. de confidentialité des informations et de piste d’audit font partie intégrante des critères de choix. intégration de systèmes). Objectifs/points de contrôle. Approches d’audit & sondages. suppression. celle-ci doit inclure une analyse des coûts et des bénéfices induits par les solutions envisagées. Pour les projets qui requièrent des services fournis par des tiers (par exemple. réalisé en sous-traitance ou par évolution du logiciel existant ? Pour les services fournis par des tiers. fourniture d’un progiciel. production de la documentation. avec une partie réservée aux demandes inopinées non prévues ? Une méthodologie générale est-elle suivie et une étude particulière est-elle réalisée. la banque fait-elle une évaluation des besoins et définit-elle les spécifications de l’appel d’offre ? La méthode de choix des fournisseurs de progiciels permet-elle d’intégrer les aspects de sécurité ? Préalablement au développement ou à l’achat d’un progiciel. Vérifier que cette analyse des risques a été menée et qu’elle a conduit à éliminer ou à réduire les risques identifiés. Se faire communiquer le document reprenant la stratégie d’acquisition de logiciel. générateur de jeux d’essai. 3. Analyser la documentation des projets sélectionnés pour contrôler que ces études ont effectivement été menées. confidentialité. un outil d’efficacité du risk management.3 – Développement et maintenance.L’audit systémique bancaire. si cette étude existe. générateur de code. contrôler que les besoins ont été quantifiés et qu’un appel d’offre a effectivement été formalisé. …) ? Existe-t-il une séparation effective entre les environnements de développement et d’exploitation ? Les droits d’accès du personnel des équipes de développement interdisent-ils l’accès permanent en écriture (ajout. efficience. Le plan de travail de développement est-il élaboré et mis à jour périodiquement et couvre-t-il le développement et la maintenance (évolutive et corrective). développé en interne. __________________________________________________________________________________________ de vulnérabilité et des mesures de sécurité et de contrôle à envisager ? La banque a-t-elle défini une stratégie d’acquisition / de développement de logiciel définissant s’il peut être acquis dans le commerce. Atelier de Génie Logiciel. lors de la conception des applications. la banque fait-elle une analyse des besoins de piste d’audit et de confidentialité ? Risques. Vérifier que le choix d’un progiciel n’est pas uniquement effectué sur sa capacité à couvrir les besoins fonctionnels et techniques de la banque et que les aspects de disponibilité. prend-elle en compte le niveau de sensibilité des données ? La banque a-t-elle défini des normes concernant l’utilisation d’outils de développement (langage. sur le choix des contrôles programmés / automatisés et des contrôles utilisateurs en amont et en aval du traitement de l’information et. disponibilité. programmes et données de l’environnement d’exploitation ? Des mesures spécifiques sont-elle prévues pour limiter l’accès en lecture aux données sensibles / confidentielles de l’environnement de production ? 164 .

données de test. Le plan de travail doit non seulement couvrir le développement de nouvelles applications. Vérifier que le secteur Etudes utilise des outils de développement homogènes et en respect des normes définies par la banque. un outil d’efficacité du risk management. de groupes de programmes ou de l’ensemble d’une application) ? Chaque projet de développement fait-il l’objet d’un plan de tests (tests unitaires de programmes. documentation et conservation des tests unitaires.) ? Cette procédure inclut-elle les applications développées par les utilisateurs ? Les contrats passés avec les fournisseurs de progiciels définissent-ils les modalités de transfert de propriété et les conditions d’accès aux programmes sources. disponibilité. Leur description et leur mise en oeuvre doivent faire l’objet de procédures écrites. …). etc. __________________________________________________________________________________________ Le département informatique a-t-il défini des normes pour la documentation des développements d’applications ? Le département informatique a-t-il défini des normes de tests (vérifications. décrites et documentées ? Des manuels utilisateurs avec les supports adéquats sont-ils élaborés ? Un manuel de mise en exploitation est-il établi par les équipes de développement avant la mise en production d’une application ? Les demandes de modification ou d’évolution sont-elles standardisées et soumises à des procédures formelles de gestion des changements ? La documentation est-elle mise à jour à l’occasion des modifications des applications ? Le stockage et l’accès aux programmes sources sont-ils sécurisés ? Utilise-t-on un outil de gestion des sources ? Existe-t-il un contrôle périodique de l’exhaustivité des sources et de la correspondance entre les sources et les exécutables ? Existe-t-il une procédure de sauvegarde périodique des environnements de développement (sources de programmes. L’étude particulière doit être fondée sur l’analyse des schémas de traitement et de circulation des informations et des risques d’erreur ou de malveillance. tests de capacité et de performance et tests de recette…) ? Les aspects de sécurité et de contrôle interne sont-ils pris en compte dans les tests effectués ? Une documentation complète est-elle tenue à jour pour l’ensemble des applications utilisées par la banque ? La documentation est-elle correctement recensée et archivée ? Les interfaces internes et externes sont-elles correctement identifiées. tests d’intégration. Efficacité. mais aussi prévoir des plages de temps réservées à la maintenance corrective des applications ainsi qu’à à la prise en compte de demandes urgentes d’évolution des systèmes (par exemple. sécurité. 165 . Evaluer la pertinence de la méthodologie. intégrité. Approches d’audit & sondages. Ceci s’applique également aux applications développées directement par les services utilisateurs.L’audit systémique bancaire. confidentialité. en particulier en cas de défaillance du fournisseur ? Risques. efficience. réglementation. Les contrôles utilisateurs sont les contrôles manuels opérés par les utilisateurs gestionnaires dans un processus fonctionnel.

La bonne pratique requiert. l’existence de deux environnements distincts : celui de développement et de tests (unitaires et d’intégration) et celui de production. Vérifier la teneur (nature. Il décrit les procédures qui doivent être suivies pour assurer le bon fonctionnement de l’application. Vérifier les droits d’accès de quelques membres du personnel des études et développements pour s’assurer qu’ils n’ont pas d’accès permanent en écriture à l’environnement d’exploitation. __________________________________________________________________________________________ Prendre connaissance de la configuration des environnements et s’assurer que les équipes de développement ont leurs environnements de développement et de tests distincts de l’environnement de production / exploitation. journaux. Contrôler la pertinence de ces mesures. les sauvegardes. fichiers. Le manuel de mise en exploitation est un document rédigé par les équipes de développement à destination de l’exploitation informatique.56 Chaque système développé localement ou acquis à l’extérieur doit disposer. Effectuer un sondage pour s’assurer que la documentation existe. Vérifier que les manuels utilisateurs et les procédures / supports sont élaborés en collaboration avec la MOA et/ou le département en charge de l’organisation. Vérifier que dans la documentation des tests. états ou listes. ainsi que la piste d’audit. 166 . au minimum. la documentation et la conservation des tests afin de garder la traçabilité des tests effectués. au minimum. la documentation des programmes. des sorties et des données gérées. l’exhaustivité et l’autorisation des entrées. Il doit contenir une description générale des traitements et de leur enchaînement. la documentation des tests. Il doit également prévoir les contrôles effectués par l’exploitation pour s’assurer de la bonne fin des traitements. La description des interfaces doit permettre de comprendre l’enchaînement des processus / traitements et les flux d’information entre les différents systèmes. Les équipes de développement ainsi que les MOA des départements utilisateurs doivent avoir des instructions précises pour la réalisation. l’estimation de la taille des fichiers et des temps de traitement. des tests sont prévus sur les sécurités et contrôles développés dans les applications pour garantir l’exactitude. Contrôler que les modifications et évolutions effectuées par le département informatique font l’objet d’une demande formalisée de la part des départements utilisateurs et sont 56 la piste d’audit consiste en des documents. exhaustivité) des tests effectués préalablement à la mise en production des systèmes pour garantir un fonctionnement correct des traitements concernés. une description des fichiers en entrée et en sortie.L’audit systémique bancaire. un outil d’efficacité du risk management. Vérifier les droits d’accès des membres du personnel des études et développements pour s’assurer que ces mesures sont respectées. des dossiers de conception et d’exploitation pour la partie informatique et d’un manuel opératoire pour les utilisateurs. retrouver les transactions à l’origine d’un traitement). qui permettent de suivre pas à pas une transaction introduite dans le système pour en reconstituer le traitement (et inversement. le dossier d’exploitation et la documentation d’utilisation de l’application. l’analyse organique. qu’elle est adéquate et qu’elle est correctement mise à jour en fonction de l’importance du système et des évolutions / modifications. Les normes doivent inclure l’analyse fonctionnelle. Contrôler que les tests font l’objet d’un planning et que les ressources nécessaires à leur réalisation ont été définies. l’archivage. et des procédures de reprise et de fonctionnement en mode « dégradé » en cas d’incident d’exploitation. des traitements.

…).4 . Utilisateurs. un outil d’efficacité du risk management. priorisation. soit des sous-traitants. Efficacité. Les fournisseurs peuvent être soit des éditeurs de logiciels. l’étendue et le stockage des sauvegardes des programmes et des données de développement. Un procès verbal de recette doit être co-signé par le responsable du projet / de l’application informatique et les responsables des départements utilisateurs (ou la MOA). intégrité. la méthode de développement prévoit-elle la conversion / migration / reprise des données de l’ancien système. efficience. Vérifier que la documentation est régulièrement mise à jour en fonction des évolutions et des modifications apportées aux applications. des nouvelles applications ou des modifications aux applications existantes ? Le dossier de recette des utilisateurs définit-il les règles de gestion et les scénarios à tester qui en découlent ? La recette finale est-elle prononcée après une évaluation et une approbation formalisées des résultats des tests par les départements utilisateurs (ou la MOA) et les services informatiques ? Lorsque nécessaire.L’audit systémique bancaire. De même. Exploitation). 3. vérifier que le contrat prévoit une clause de transfert de propriété du logiciel développé au profit de la banque. __________________________________________________________________________________________ intégrées dans un processus de gestion du changement formalisé (analyse et chiffrage de la demande. et vérifier que les demandes de mise en exploitation sont formalisées sur un document adéquat et qu’elles intègrent l’approbation des départements concernés (Etudes. Contrôler l’existence des Procès Verbaux de recette. recette. les sources et la documentation des programmes doivent normalement être déposé chez un tiers agréé (par exemple un notaire). disponibilité. La bonne pratique veut que les sources des programmes soient conservées dans l‘environnement de production. La sauvegarde des sources des programmes doit être incluse dans le plan de sauvegarde des systèmes informatiques. conformément à un plan prédéfini ? Existe-t-il une procédure formalisée de mise en exploitation de toute nouvelle application ou modification aux systèmes existants ? Cette procédure sépare-t-elle clairement les fonctions de développement et d'exploitation ? Risques. approbation par le département demandeur. Dans le cas de sous-traitance. Approches d’audit & sondages. La méthodologie de développement prévoit-elle une procédure de recette (préalable à la mise en exploitation) par les départements utilisateurs. Vérifier la fréquence. Objectifs/points de contrôle. 167 . Pour permettre la traçabilité et la piste d’audit des traitements. les versions successives des sources des programmes doivent être conservées en fonction des besoins internes et/ou réglementaires.Protocole de recette et de mise en exploitation. Pour garantir cet accès. Contrôler que le dossier de recette identifie correctement les règles de gestion et les scénarios de tests correspondants. contrôler que les conditions d’accès aux sources des programmes sont définies de manière à ce que l’entité y ait accès en cas de défaillance du fournisseur.

4. 168 . Vérifier que la mise en exploitation des applications et des modifications aux programmes n’est jamais effectuée directement par les équipes de développement. transmissions de fichiers. évolutions ou corrections dans les programmes existants).1 – Suivi de l’exploitation. efficience. Exploitation informatique. Contrôler l’existence de cette procédure et vérifier la séparation des responsabilités entre les secteurs Etudes et Exploitation. un outil d’efficacité du risk management. impression.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la disponibilité. 4. __________________________________________________________________________________________ Vérifier l’existence d’un plan de conversion / migration / reprise des données des anciennes applications avec une estimation des ressources (humaines et matérielles) nécessaires à ces travaux. Vérifier l’existence de contrats de service entre le département informatique et les utilisateurs. Efficacité. le nombre d’incidents et leur délai moyen de résolution. Vérifier que toutes les applications et plates-formes / systèmes informatiques sont effectivement couverts par ces procédures. Prendre connaissance des procédures existantes (documentation disponible). la performance. le support aux utilisateurs. les temps de réponse. conformité. intégrité.L’audit systémique bancaire. Approches d’audit & sondages. les mises en place des changements (nouveaux programmes. disponibilité. Vérifier sur quelques applications ayant nécessité une reprise des données que la méthodologie a été appliquée et que les procédures de reprise ont été correctement formalisées et planifiées. la fiabilité. exécution correcte de tous les programmes. Objectifs/points de contrôle. Les niveaux de service doivent être des données facilement quantifiables. Existe-t-il des procédures d’exploitation du système informatique ? Ces procédures décrivent-elles l’exploitation des systèmes centraux et des systèmes décentralisés / distribués (par exemple : les systèmes installés sur des serveurs du réseau local) ? L’Exploitation Informatique a-t-elle défini des contrats de service avec les utilisateurs ? Ces contrats ont-ils été formalisés et signés par les parties ? Le secteur tient-il un tableau de bord reprenant les indicateurs de qualité / performance prévus dans les contrats de service ? Les travaux d’exploitation sont-ils correctement planifiés pour utiliser au mieux les ressources et atteindre les objectifs cités dans les contrats de service ? Les travaux non planifiés (ou exceptionnels) sont-ils analysés et approuvés préalablement à leur inclusion dans le plan de travail ? Existe-t-il des journaux (logs) d’exploitation permettant de vérifier l’exécution et la bonne fin des traitements ? La bonne fin des travaux est-elle contrôlée (réception des fichiers. la résolution des incidents et la mise en place des changements. le respect des horaires de production. par exemple : le taux de disponibilité du système pour les utilisateurs. Vérifier l’existence d’une documentation qui recense les diverses tâches d’exploitation (par exemple : manuel opérateur). façonnage) ? Risques.

4. Vérifier que cet inventaire existe et qu’il est régulièrement mis a jour lors des transferts. la puissance machine utilisée. des systèmes d’exploitation et des outils bureautique sont-ils conservés dans un lieu sécurisé ? Le département informatique tient-il un inventaire des matériels et logiciels pour les systèmes informatiques centraux et pour l’informatique distribuée (serveurs de réseau local et postes de travail) ? Un inventaire physique des matériels et des logiciels est-il régulièrement effectué ? Les anomalies relevées lors d’un inventaire sont-elles corrigées dans les meilleurs délais. disponibilité. qu’il est possible de retracer facilement les incidents d’exploitation. Efficacité. Vérifier que les licences de logiciel et les supports sont regroupés et correctement stockés dans un endroit à accès restreint. Vérifier. Se faire communiquer le relevé de contrôle et d’analyse des journaux d’exploitation. etc. S’assurer que les contrôles des journaux (logs) d’exploitation permettent de suivre l’exécution et la bonne fin des travaux informatiques. l’utilisation de la mémoire. périodiques et exceptionnels.2 – Gestion des systèmes d’exploitation et des réseaux. les temps de traitement. Contrôler que les éléments de charge et de performance sont régulièrement mesurés et analysés. Approches d’audit & sondages.3 – Gestion des incidents et du support aux utilisateurs. Existe-t-il une organisation et des outils / procédures adaptés pour identifier et 169 . un outil d’efficacité du risk management. Par exemple : les volumes des données traitées. à partir de ces documents. Vérifier que les heures de mise à disposition des applications ne perturbent pas les activités des utilisateurs. Vérifier que ce catalogue résulte d’une analyse technique et économique des solutions disponibles.L’audit systémique bancaire. de l’inventaire informatique et comptable ? L’inventaire des progiciels est-il également confronté au stock des licences pour s’assurer de l’adéquation du nombre de licences ? Risques. des nouvelles acquisitions ou des mises au rebut. La capacité et la performance des différents composants du système sont-elles régulièrement mesurées ? Quelle utilisation est faite de ces mesures ? Les achats d’équipements d’informatique distribués (matériels et logiciels) sont-ils effectués sur la base d’un « catalogue » élaboré conjointement par le département des achats et le département informatique ? Les supports originaux et les licences des progiciels. 4. Objectifs/points de contrôle. l’utilisation des imprimantes. __________________________________________________________________________________________ Contrôler que les équipes d’exploitation disposent en permanence d’un plan de travail incluant les travaux journaliers. Contrôler que l’inventaire est réalisé sur une base périodique (au minimum annuelle) et que les différences sont justifiées. conformité. efficience. Objectifs/points de contrôle. l’espace disque utilisé. avec mise à jour appropriée (après analyse). intégrité. la charge du réseau et des lignes de télécommunications.

les périodes de rétention 170 . Objectifs/points de contrôle. et se faire communiquer le reporting relatif aux incidents afin d’en apprécier l’adéquation. en tenant compte de la gravité des problèmes et de leur priorité de résolution. une fonction d’assistance / support aux utilisateurs ? Le personnel en charge de cette fonction travaille-t-il en étroite collaboration avec le personnel en charge de la gestion des incidents ? Toutes les demandes d’assistance / requêtes des utilisateurs sont-elles correctement enregistrées par la cellule d’assistance ? Existe-t-il une procédure d’escalade au sein du département informatique pour les demandes des utilisateurs qui ne peuvent pas être résolues immédiatement par l’équipe de support de premier niveau ? Le management du département informatique exerce-t-il un suivi périodique pour s’assurer que le traitement des demandes des utilisateurs s’effectue en temps voulu ? Risques. Vérifier l’existence de cette organisation et de ces outils / procédures. Vérifier que les causes des incidents sont analysées au travers des documents de suivi / reporting des incidents. Se faire communiquer le registre des demandes d’assistance / requêtes afin d’évaluer l’adéquation de leur enregistrement. A partir du registre. disponibilité. Approches d’audit & sondages. __________________________________________________________________________________________ journaliser les incidents d’exploitation par nature et pour suivre les actions engagées en vue d’y remédier ? La direction du département informatique a-t-elle défini une procédure d’escalade (remontée) des problèmes afin de s’assurer qu’ils sont résolus de la manière la plus efficace ? Les procédures de gestion des incidents prévoient-elles de rechercher les causes originelles des incidents (par exemple : changement de système d’exploitation ou mise en production d’une nouvelle application) ? Existe-t-il des procédures de reprise des traitements et de restauration des données à partir des sauvegardes et des procédures de mise en œuvre d’un fonctionnement en mode dégradé en cas d’incident ? Existe-t-il. conformément à la politique de sauvegarde de la banque ? Ces procédures décrivent-elles les cycles de sauvegarde. dans les dossiers d’exploitation. Efficacité. Vérifier dans l’organigramme que cette fonction est effectivement couverte et que les ressources sont suffisantes par rapport à la population des utilisateurs. contrôler que les demandes sont résolues dans les plus brefs délais et que les procédures d’escalade entre les différents niveaux de support sont respectées. 4. Des procédures de sauvegarde des données ont-elles été prévues pour les différentes applications et les différents systèmes. un outil d’efficacité du risk management.4 – Procédures de sauvegarde et d’archivage.L’audit systémique bancaire. Vérifier que cette procédure prévoit les critères et modalités d’escalade aux niveaux hiérarchiques et d’expertise successifs pour la résolution des problèmes. au sein de l’exploitation. Vérifier l’existence. intégrité. de procédures de reprise / restauration et de mise en œuvre d’un mode dégradé en cas d’incident. efficience. Sonder quelques utilisateurs à cet égard pour évaluer leur niveau de satisfaction.

sensibilité) et les besoins internes et réglementaires ? Ces procédures sont-elles appliquées ? En cas de modification majeure de l’application. intégrité. disponibilité. procéder à un inventaire physique par sondage et le rapprocher de l’inventaire informatique. pour chaque type de sauvegarde cité ci-dessus. environnements de développement / de tests. le département informatique s’assure-t-il que les supports d’archivage antérieurs peuvent être relus et consultés ? 57 58 Risques. Efficacité. En cas de doute sur la lisibilité des supports de sauvegarde. légaux et réglementaires). ces éléments ont été définis et qu’ils sont pertinents par rapport aux besoins exprimés en terme d’activité (notamment vis à vis de la nature des données sauvegardées et de leur durée de conservation). environnements du réseau local (y compris les serveurs de fichiers et de messagerie et les postes de travail des utilisateurs. un outil d’efficacité du risk management. 59 57 58 Après sinistre majeur Cette fonction ne doit pas être confondue avec la sauvegarde. qui vise à permettre une reprise des traitements après un incident . Se faire communiquer les documents de gestion de la médiathèque : mouvements en entrée et sortie. L’archivage représente le besoin de conservation pour des buts fonctionnels liés à l’activité de l’entreprise (besoins internes. inventaire périodique. Vérifier que ces procédures couvrent l’intégralité des sauvegardes. Sources. 171 . à savoir (pour les systèmes centraux et décentralisés) : Systèmes d’exploitation et configurations système (y compris les SGBD ). Vérifier que les sauvegardes de recours sont transférées vers un site extérieur dans les meilleurs délais. Approches d’audit & sondages. efficience. __________________________________________________________________________________________ (conservation) et les lieux de conservation pour chaque type de sauvegarde ? Les sauvegardes de recours sont-elles systématiquement conservées dans un lieu différent du centre informatique pour permettre une mise en œuvre du plan de secours en cas de sinistre majeur dans le bâtiment ? L’identification externe des supports magnétiques. de la structure des données ou d’un matériel. correction des anomalies. faire éventuellement effectuer un test par sondage pour s’assurer qu’ils sont lisibles et qu’ils contiennent effectivement les données prévues par le plan de sauvegarde. Vérifier que. le contrôle de leurs mouvements et de leur stockage sont-ils correctement effectués ? Les supports contenus dans la médiathèque sont-ils régulièrement inventoriés ? Les anomalies relevées suite à un inventaire physique sont-elles corrigées en temps voulu ? Les supports magnétiques sont-ils périodiquement testés pour s’assurer qu’ils sont lisibles et que les données qu’ils contiennent sont exhaustives ? Existe-t-il des procédures d’archivage qui prennent en compte la nature des données (fréquence de mise à jour. exécutables et données de production des applications. Vérifier que la documentation fait également l’objet de procédures de sauvegarde. 59 SGBD : Système de Gestion des Bases de Données.L’audit systémique bancaire. Vérifier que les procédures d’archivage ont été élaborées en tenant compte des besoins propres à l’activité et des besoins légaux et réglementaires. Si les documents de suivi et d’inventaire sont inadéquats. Se faire communiquer les comptes-rendus des tests et analyser les actions qui sont prises suite à la détection d’anomalies.

disponibilité...6 . un outil d’efficacité du risk management. avec une description de fonction détaillée.5 – Mise en exploitation des modifications. Existe-t-il des procédures formalisées pour la mise en production de modifications aux systèmes applicatifs existants ? Risques. effectuer un sondage sur des applications récemment modifiées. de non régression et de préproduction éventuellement (en cas de modifications importantes ou complexes) préalablement à la mise en exploitation effective. Objectifs/points de contrôle. Approches d’audit & sondages. disponibilité.Administration des logiciels système. des réseaux et des bases de données Objectifs/points de contrôle. qui a la responsabilité de leur installation. 4. des tests d’intégration. de leur suivi et de la gestion de leurs évolutions? Existe-t-il une fonction d'administration des réseaux / télécommunications. les outils et les applicatifs sont en mesure d’interpréter ces informations.L’audit systémique bancaire. A partir des demandes de mises en exploitation. Existe-t-il une fonction d'administration des logiciels système (systèmes d’exploitation. Efficacité. Vérifier l’existence de cette fonction dans l’organigramme du département informatique. Contrôler que les supports d’archives peuvent être physiquement lus sur les matériels actuels et que les systèmes d’exploitation. __________________________________________________________________________________________ Vérifier que ces procédures prévoient également le désarchivage quand la durée de conservation des informations est échue. de leur suivi et de la gestion de leurs évolutions? Risques. qui a la responsabilité de leur installation. 172 . Vérifier que ces procédures incluent la mise à jour éventuelle des programmes d’enchaînement des applications. Efficacité. efficience. intégrité.). Approches d’audit & sondages. 4. intégrité. efficience.

L’audit systémique bancaire. un outil d’efficacité du risk management. 173 . __________________________________________________________________________________________ Chapitre 3 : Mission d'audit de la Salle des Marchés.

Le présent chapitre s'applique à l'audit de la Salle des Marchés. L'analyse du mode d'élaboration des résultats comptables et de gestion. En fonction de l’analyse des risques. Comme pour toutes les fonctions. contrôle des risques et contrôle interne) à cette maîtrise. L'examen des principales procédures comptables. La qualité de la maîtrise des risques financiers et techniques générés par les opérations qu'elle traite . Les objectifs généraux de cet audit sont d'évaluer : La qualité et la fiabilité des informations véhiculées sur la nature des opérations traitées. sur un ou plusieurs échantillons d’opérations à déterminer. procédures. L'inventaire des différents états de reporting et de leur mode d'élaboration. le middle office. stratégies et instruments traités par la salle auditée. Un tel audit couvre cinq domaines : le front office (trading & ventes). Les orientations majeures de la mission à accomplir se basent sur : Le recensement de l'ensemble des activités. 60 Audit de processus : organisation. back office. transverses à plusieurs fonctions. en théorie. des positions prises et de leur rentabilité. Introduction. le risque de contrepartie. __________________________________________________________________________________________ Chapitre 3 : Mission d'audit de la Salle des Marchés. middle office. une mission d’audit de la salle des marchés comprendra une phase de préparation (collecte de documents et entretiens préparatoires). une phase d’investigation (entretiens systémiques 60 et sondages) et une phase de rédaction. La contribution des différents services concernés (front office. … 174 . ainsi que la procédure de rapprochement de ces deux résultats. La revue des procédures de traitement. sur des sondages. Il conviendra. L'inventaire des applications de gestion et de traitement de ces activités et instruments. Sur les liens avec l’audit des autres fonctions concernant les activités de marché en phase d’investigation. le back office.L’audit systémique bancaire. de couvrir chacun des 6 domaines lors de chaque phase. tant en interne qu'en externe. un outil d’efficacité du risk management. fonctionnement. C’est pourquoi ce chapitre met l’accent : Sur l’identification des risques et le recoupement avec les travaux des autres auditeurs en phase de préparation. le risque juridique et la sécurité physique.

etc. Objectifs/points de contrôle. politique. un outil d’efficacité du risk management. Risque de gestion : une stratégie doit être élaborée et doit être en phase avec celle de la banque.1 . d’image. Risques : risques inhérents au thème/sous-thème audité. L’audit de la salle des marchés devra mesurer le niveau des risques.2 . Budget. Objectifs/points de contrôle.Stratégie. Plan triennal.L’audit systémique bancaire. leur évolution. Examiner la procédure budgétaire en lisant les courriers. Mission : Salle des Marchés. budget. de crédit. les notes.Organisation de l’activité. Thème : libellé du thème à auditer. Parmi les familles de risques recensées. notes internes. L’activité a-t-elle été clairement définie et mise en place ? Les tâches des employés sont-elles clairement définies? n’y a-t-il pas de chevauchements ? La hiérarchie des teneurs de livres comptabilisés en mark-to-market est-elle différente de ceux comptabilisés en couru ? 175 . Approches d’audit & sondages. déontologiques. seront principalement concernés les risques de gestion. Front-Office Trading & ventes. __________________________________________________________________________________________ La mission aura pour objet d’apprécier comment sont couverts les risques liés à l'activité de marché. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Sous-thèmes : libellé du sous-thème appartenant au thème audité. de fraude. 1. Ces documents permettront plus probablement de mieux comprendre les activités de la banque que de trouver des anomalies ou dysfonctionnements. Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. commerciaux et juridiques. Approches d’audit et sondages : approches d’audit et de sondages à réaliser. opérationnels. les projets. 1. Une stratégie a-t-elle été définie? Cette stratégie est-elle en phase avec celle de la banque? La stratégie prend-elle en ligne de compte tous les risques inhérents à l’activité ? Un budget a-t-il été élaboré? La direction de la banque est-elle impliquée dans la procédure budgétaire? Risques. 1. et l’avancement des plans d’actions correcteurs.

Analyser l’affectation des traders par rapport aux besoins de la force de vente. Risque commercial : des cotations trop longues pourraient entraîner la perte de client.L’audit systémique bancaire. Risque de fraude : les gains ou les pertes pourraient être basculés d’un livre à l’autre. aux différentes devises au moyen des statistiques (nombre d’opérations. Analyser le courant d’opérations pour voir si les vendeurs peuvent à un moment quelconque prendre des positions ouvertes sans les déclarer. Objectifs/points de contrôle. __________________________________________________________________________________________ Sinon. notes internes. 1. La stratégie en matière de trading pourrait être trop risquée. Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors de leur délégation en matière de risque de marché. aux différents produits. un outil d’efficacité du risk management. les opérations internes entre des desks animés par la même hiérarchie sont-elles interdites ? La répartition des traders coïncide t’elle avec celle des vendeurs ? Tous les vendeurs peuvent-ils effectuer des opérations avec les clients ? Sont-ils dûment autorisés ? Les vendeurs prennent-ils des positions non couvertes ? Risques. Analyser particulièrement les positions des jours qui ont enregistré les plus gros gains ou les plus grosses pertes et demander des explications. Analyser l’affectation des traders et des vendeurs aux clients. Examiner le livre des positions de trading et vérifier que son évolution correspond effectivement à cette stratégie.Stratégie de trading. Examen des positions du book de trading. Organigramme. Risque opérationnel : les traders pourraient passer plus de temps à coter des opérations qu’à négocier. organigramme. Risque financier. volumes) et en fonction des résultats. Risque de gestion. 176 . Approches d’audit & sondages. Définition de poste. Point de contrôle difficile à vérifier.3 . Le contrôle le plus important est celui effectué lors de la réception par un secteur indépendant des confirmations et des réclamations des clients. Risque déontologique : les vendeurs pourraient conclure des opérations en dehors de leur délégation. L’explication pourrait se trouver dans des risques non pris en ligne de compte (effet smile …) plutôt que dans la stratégie de trading. Vérifier la délégation de chaque vendeur et la comparer avec les produits traités. Une stratégie a-t-elle été définie pour les activités de trading ? Risques. liste des livres de trading avec le plan de comptes. Approches d’audit & sondages.

engagements ? La contribution des vendeurs est-elle clairement identifiée (marge.Comité de gestion. rémunération des vendeurs. Risque de gestion : une mauvaise coordination entre les secteurs pourrait entraîner des pertes financières ou des occasions perdues. Risque déontologique.L’audit systémique bancaire. Examen des analyses sur le marché envoyées aux clients. Ils doivent veiller à ce qu’ils soient correctement remplis et visés. middle office. mauvaise qualité des traitements. Quelques points peuvent y être évoqués et servir aux investigations : problèmes de partage des gains. Objectifs/points de contrôle.Avis d’opéré.5 . Approches d’audit & sondages. Approches d’audit & sondages.4 . Les analyses envoyées au client sont-elles réalisées par des membres du personnel autorisés et qualifiés ? Risques.Informations relatives au marché. un outil d’efficacité du risk management. 1. mid-market) et calculée par un secteur indépendant ? Risques. Examiner les procès verbaux des réunions.6 . etc Vérifier par un examen ou par des interrogations dans le système l’exactitude de la contribution des vendeurs 1. la validité de ces annulations/modifications est-elle contrôlée de façon indépendante ? Des heures limites de traitement des opérations ont-elles été fixées ? sont-elles respectées ? 61 62 Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs sont responsables des informations renseignées sur les tickets d’opérés. Risque d’image. Les avis d’opéré contiennent-ils toutes les informations nécessaires au traitement des opérations ? 61 Les opérations sont-elles pré-affectées à un secteur déterminé ? Existe-t-il une piste d’audit pour chaque ticket ? Les tickets de transaction sont-ils horodatés ? 62 Existe-t-il une piste d’audit en cas d’annulation ou de modification? Dans le cas où le Front Office peut annuler ou modifier des opérations (et particulièrement les opérations échues) dans les systèmes FO et BO. Quels sont les différents comités auxquels le responsable du trading participe ? Quelle est la nature des relations qui existent entre le front office et les autres secteurs : back office. __________________________________________________________________________________________ 1. Risque financier : un calcul erroné de la contribution pourrait entraîner le paiement de primes injustifiées. Objectifs/points de contrôle. comptabilité. 177 . Principes de déontologie spécifiques aux activités de marchés financiers : Les ordres de la clientèle sont enregistrés chronologiquement dés leur réception (horodatage). et transmis dans les meilleurs délais aux services de traitement. Objectifs/points de contrôle.

solde. de telle sorte que les modalités d’intervention assurent la sécurité requise. Risque de mauvaise interprétation des ordres par le back office. En cas de contrôle. Risque opérationnel.7 . Risque de fraude : le FO pourrait modifier les opérations sans que les secteurs administratifs en soient informés. et contrôles par le Middle Office respectés. Examiner les tickets de transaction.64 ? La position (position de change. un outil d’efficacité du risk management. Chaque opérateur tient-il un état récapitulatif des opérations soit manuellement soit par l’intermédiaire d’un système FO? Les opérations sont-elles enregistrées dans l’ordre chronologique sur cet état. La modification d’une opération échue peut changer le résultat. Dans le cas d’un système informatique intégré. Approches d’audit & sondages. la piste d’audit de chaque ticket doit être étayée. …) de chaque trader est-elle toujours disponible et constamment mise à jour ? Le périmètre de la position du trader couvre-t-il exactement ce qu’il est censé couvrir ? 63 Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs susceptibles de réaliser une transaction sur un instrument financier en dehors des horaires et de leur lieu de travail habituels doivent préalablement obtenir une habilitation spécifique de leur hiérarchie. transmis et exécutés. 64 Les négociateurs veillent aussi à l’enregistrement chronologique des ordres reçus. impasse en taux.L’audit systémique bancaire. Risque financier : certaines opérations pourraient être effectuées à l’insu de la banque. Procéder par sondage sur les tickets d’opéré pour s’assurer de leur exactitude. Risque financier : une affectation a posteriori pourrait amener à un transfert de gains d’un secteur à un autre. Examiner les annulations/modifications. Vérifier que la procédure assure ce contrôle. visée par le déontologue. S’assurer que ces opérations sont effectuées dans les conditions de sécurité voulues. Les traders chargés de plusieurs desks/portefeuilles devraient faire l’objet d’une attention toute particulière. justificatif de l’opération. 1. Lorsque les opérations ne sont pas matérialisées par un ticket mais saisies directement dans un système. Vérifier les procédures relatives aux opérations hors site. 178 . examiner les fonctionnalités pour vérifier qu’une piste d’audit est conservée pour les opérations annulées ou modifiées. Risque opérationnel : des opérations peuvent avoir été initiées et non traitées. Risque opérationnel et financier. Procédures internes. Examen des tickets de la salle. Des procédures particulières devraient s’appliquer pour ces personnes. Objectifs/points de contrôle. les traders ont-ils obtenu préalablement l’autorisation de la direction et l’aval du déontologue ? Ces opérations sont-elles effectuées dans les conditions de sécurité voulues ? 63 Risques. examiner l’heure de saisie des différentes opérations afin de mettre en lumière d’éventuelles concentrations inhabituelles. __________________________________________________________________________________________ Les opérations hors site sont-elles autorisées ? Dans l’affirmative. delta. sensibilité.Gestion des positions. : séparation des fonctions. S’assurer que l’autorisation a été donnée par la direction et le déontologue.

elle été testée ? Dans le cas où le client a des positions ouvertes avec la banque (opérations de gré à gré). Risque commercial et financier : en cas d’évolution défavorable du marché. Risque financier : le trader peut ne pas être informé des positions (trésorerie. les vendeurs doivent être en mesure de conseiller le client. Risque opérationnel : l’absence d’une piste d’audit rend impossible tout contrôle de second niveau. une solution de secours de suivi des positions est-elle en place et a -t. Vérifier le type des rapprochements effectués sur les positions et s’assurer de leur efficacité. La banque pourrait faire l’objet de poursuites pour soutien illégal ou pour évasion fiscale. Risque Financier : la position doit être disponible en cas de panne du système. __________________________________________________________________________________________ Les avis de positions provenant d’autres secteurs sont-ils envoyés en temps opportun et en bonne et due forme ? Toutes les positions du FO sont-elles rapprochées avec celles du BO ? Toutes les positions prises par les autres secteurs sont.elles bien prises en ligne de compte dans le rapprochement? Dans le cas d’un système FO automatisé. s’assurer que les opérations sont saisies immédiatement en vérifiant les heures de saisie des opérations pour mettre en évidence d’éventuelles concentrations inhabituelles ou des opérations tardives. Approches d’audit & sondages. Examiner l’état pour s’assurer que les opérations sont enregistrées dans l’ordre chronologique. Des positions non communiquées à temps pourraient être mises en évidence au cours du rapprochement des positions entre le FO et le BO.L’audit systémique bancaire. vérifier la codification du portefeuille/périmètre de la position. …) prises par d’autres secteurs. …). Examiner les positions provenant des autres secteurs pour s’assurer qu’elles sont communiquées en temps voulu. Autrement des pertes peuvent être encourues. Risque de crédit : le client peut dissimuler des pertes ou des gains. tout particulièrement dans le cas des produits volatils (dérivés). un outil d’efficacité du risk management. Risque financier : les positions non communiquées ou non réconciliées sont responsables de positions inexactes qui peuvent générer des pertes. la banque ne sera pas en mesure de réduire la position. signée par le niveau N+1 de la hiérarchie de l’interlocuteur habituel pour les reports de terme à cours historiques ? Risques. changes. Dans le cas d’un système FO. commercial. Risque opérationnel : le cambiste pourrait surveiller une position qui ne couvre pas le périmètre qu’elle devrait couvrir (notamment lorsque cette position est suivie à l’aide d’un système FO). les vendeurs ont-ils accès en temps réel à la position du client réévaluée ? Dispose-t-on d’une lettre de décharge. Risque financier. Autrement. 179 . Vérifier les états récapitulatifs du trader ou s’assurer que le système FO assure cette fonction. Dans le cas d’un système FO. Examiner les positions communiquées aux traders par les autres secteurs (production. La position du trader doit pouvoir être connue à tout moment. S’assurer que ces rapprochements sont effectués régulièrement. S’assurer que l’état récapitulatif du trader est bien disponible. en cas d’évolution défavorable du marché et d’absence du trader.

sauf obligation nationale différente. Risque de crédit : le FO peut initier des opérations avec des clients sans que des lignes de crédit soient disponibles ou dans le cadre de lignes de crédit non autorisées. 66 Ces enregistrements sont conservés dans un endroit dont l’accès est strictement réservé aux personnes autorisées. peut être effectuée par le déontologue à des fins de preuve en cas de litiges ou à des fins de contrôle. La durée de conservation obligatoire des enregistrements est fixée à 6 mois et ne peut en aucune façon excéder cinq ans. Approches d’audit & sondages. S’assurer que le FO a les moyens matériels pour suivre ses limites de risques de contrepartie. __________________________________________________________________________________________ Vérifier les solutions de secours ainsi que les tests réalisés.Suivi des limites de risque. Objectifs/points de contrôle. S’assurer que le FO dispose des moyens matériels pour suivre ses limites de risques de marché.8 . Le FO est-il en mesure de suivre ses risques de marché ? Le FO est à même de suivre ses risques de contrepartie ? Risques.Matérialisation des opérations. leur conformité aux instructions des donneurs d’ordres et la résolution d’éventuels litiges. 1. s’assurer que l’utilisation n’est pas proche de la limite. en tenant compte de l’appréciation du déontologue concerné et des montants et risques en cause. Vérifier que pour tous les produits volatils. le personnel concerné est-il autorisé à entendre la conversation incriminée ? 66 65 les SDM ont l’obligation de procéder à l’enregistrement des conversations téléphoniques de tous les négociateurs d’instruments financiers et des collaborateurs qui sans être négociateurs participent à la relation commerciale avec les donneurs d'ordres. 1. Risque financier : le FO peut ne pas être à même de suivre ses risques de marché. Ces enregistrements ont pour fin de faciliter les contrôles de la régularité des opérations .L’audit systémique bancaire. un outil d’efficacité du risk management. Existe-t-il des contrôles permettant de s’assurer que toutes les opérations initiées par le FO sont matérialisées ? 65 Existe-t-il une procédure d’enregistrement des conversations téléphoniques ? Les enregistrements sont-ils conservés dans un endroit dont l’accès est limité aux personnes dûment autorisées et interdit aux membres du FO ? Les enregistrements sont-ils conservés pendant une durée minimum de 6 mois conformément aux réglementations locales ? Les personnes habilitées à écouter les conversations ont–elles été approuvées par le déontologue ? Lorsqu’une conversation téléphonique est écoutée. Il peut dépasser la limite (dans le cas d’une variation brusque sur le marché par exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans les limites. les vendeurs suivent la position du client à l’aide d’un système en temps réel.9 . Vérifier que toutes les opérations avec report au cours historique effectuées avec l’autorisation préalable du client. L’audition des enregistrements des conversations téléphoniques. Si le déontologue ne procède pas lui même à l’audition. Examiner les utilisations afin d’identifier tout dépassement de limites de ce fait. Objectifs/points de contrôle. celle ci ne peut intervenir 180 . Dans l’éventualité où le FO n’a pas de moyen pour suivre les limites et prétend que les limites sont suivies au “feeling”. Passer en revue les utilisations pour identifier tout dépassement de limites de ce fait.

telles que l’émission ou la réception et le traitement d’opérations par câble ou par courrier. Ces fonctions relèvent d’organisation et de hiérarchie différentes.L’audit systémique bancaire. Vérifier que les enregistrements sont conservés au moins six mois et conformément aux réglementations locales. communication par Reuter …). __________________________________________________________________________________________ Risques. S’assurer que l’accès au système d’enregistrement de conversations téléphoniques est protégé. Est-il interdit aux traders et à leurs assistants d’effectuer les tâches suivantes : 67 rédiger. des effets ou des lettres de change ? recevoir les confirmations des contreparties et les marier avec les contrats ou les avis de courtiers. Approches d’audit & sondages. suivre les confirmations en suspens et corriger les erreurs qui s’y rapportent et autres fonctions de traitement similaires ? gérer et rapprocher les comptes Nostri et autres comptes débiteurs et créditeurs concernés par les activités de trading ? préparer. tenir les livres de positions et des échéanciers. 67 Principes de déontologie spécifiques aux activités de marchés financiers – “La sécurité des transactions est notamment assurée par le respect du principe de séparation des fonctions de négociation (« front office ») et de traitement (« middle et back office »).10 . préparer des rapports d’activité quotidiens et des états de positions (à l’exception des notes pour informer les traders sur les positions prises) ? réévaluer les positions régulièrement et déterminer les gains ou les pertes pour les comptes officiels ? dénouer les opérations ou effectuer d’autres fonctions de paiement ou de réception de fonds. approuver et enregistrer toute autre écriture comptable ? Le personnel du FO est-il exclu des listes de signatures autorisées et des personnes habilitées à : ouvrir des comptes au nom de la Banque auprès de confrères ou de courtiers ? initier des transferts ou des mouvements sur ces comptes? Une unité indépendante de la salle est elle chargée de revoir les rapports quotidiens pour détecter les dépassements de limites de trading autorisées ? qu’avec son accord ou l’accord d’une personne désignée par lui. S’assurer que la salle dispose des moyens nécessaires pour enregistrer toutes les conversations téléphoniques ou les communications par Reuter ou pour fournir tout autre justificatif des opérations. Le collaborateur dont les conversations sont enregistrées dispose du droit d’écouter l’enregistrement en cause en cas d’audition. Elles ne doivent en aucun cas être assumées par la même personne.Séparation des tâches. Objectifs/points de contrôle. S’assurer que le déontologue a bien donné son accord sur les personnes habilitées à écouter les conversations téléphoniques. Risque opérationnel : la contrepartie pourrait contester une opération qui ne serait pas étayée par un justificatif (communication téléphonique. 1.” 181 . Risque opérationnel : la preuve d’opérations pourrait ne pas être suffisamment protégée. un outil d’efficacité du risk management. valider et envoyer des confirmations ou des contrats de trading ? enregistrer les opérations de trading.

S’assurer que les traders n’ont pas accès aux systèmes (Swift. telex …) ou aux moyens de paiement (lettres de change). Les traders peuvent dissimuler des irrégularités dans les Nostri occasionnées par des opérations effectuées à l’insu de la banque. Les traders peuvent manipuler les écritures comptables pour générer des gains fictifs. Existe-t-il un programme de visites aux clients ? 182 . Il conviendrait d’éviter que des télécopies. S’assurer qu’aucune écriture comptable n’est saisie directement par les traders. Vérifier la liste des signatures autorisées et des pouvoirs pour s’assurer que tous les traders et leurs assistants en sont exclues. telex. Des positions. Si un telex ou un télécopieur est nécessaire dans la salle. S’assurer que la comptabilité effectue ces tâches indépendamment sans intervention du FO. Tous les chiffres utilisés par le secteur comptabilité doivent préalablement être validés par le BO (ou par un secteur administratif). Risque de fraude. S’assurer que le secteur comptabilité saisit ces écritures lui-même sans aucune intervention du FO. Les traders peuvent initier des paiements à l’insu de la banque. S’assurer que les traders ne reçoivent aucune confirmation. Risque de fraude : les dépassements de limites peuvent ne pas être signalés et ainsi générer des pertes supérieures aux « stop-loss » officiels. S’assurer que toutes les personnes rattachées au FO sont exclues de la liste des signatures autorisées et des mandataires.Politique commerciale. des gains ou des pertes peuvent être cachés à la banque. Les traders peuvent manipuler les livres de manière à générer des gains fictifs ou à dissimuler des pertes.L’audit systémique bancaire. Les traders peuvent confirmer des transactions sans en informer le BO. Objectifs/points de contrôle. Examiner les contrats et les confirmations pour s’assurer qu’aucun(e) n’est signé(e) ni envoyé(e) par des traders ou par quiconque leur soit rattaché. S’assurer qu’aucune écriture comptable n’est saisie directement par les traders et qu’aucune position n’est tenue par eux. Vérifier que le secteur comptabilité est indépendant du FO dans le cadre de ses réévaluations et de ses calculs de pertes et profits. S’assurer que les comptes Nostri et autres comptes débiteurs et créditeurs sont rapprochés par un secteur indépendant du FO. Approches d’audit & sondages. Les traders peuvent ouvrir des comptes à l’insu de la Banque afin de dissimuler des pertes ou des gains et de les virer sur d’autres comptes. Des positions peuvent être prises à l’insu de la banque. il y a lieu de s’assurer qu’aucune confirmation ne peut être reçue exclusivement dans la salle. Les traders peuvent manipuler les réévaluations pour gonfler les gains artificiellement. 1. S’assurer que ces fonctions sont physiquement séparées. un outil d’efficacité du risk management. __________________________________________________________________________________________ Risques. etc ne soient reçus dans la salle. S’assurer que les points de contrôle suivants sont respectés.11. S’assurer que la fonction suivi de limites n’est pas rattachée au FO.

Risque de gestion : des renseignements relatifs au client peuvent être perdus. S’assurer qu’il existe bien un planning de visites.Séparation des tâches. S’assurer que les cadres de la banque commerciale sont informés des positions prises par les clients et qu’elles sont suivies. Demander à voir les comptes rendus de visites. Middle-Office. les risques sont-ils 68 Chaque jour. le MO vérifie-t-il que le rapprochement des stocks est correctement effectué (contrôle de deuxième niveau) ? Les opérations en suspens sont-elles prises en compte dans les calculs de risques du MO ? Lorsque la salle ne négocie pas sur une amplitude de 24 heures. à partir des positions arrêtées le soir précédent et validées par le back office. Objectifs/points de contrôle.1 . les états des positions des clients. un outil d’efficacité du risk management. __________________________________________________________________________________________ Chaque réunion avec un client fait-elle l’objet d’un compte rendu ? Les vendeurs coordonnent-ils leur action avec le secteur commercial de la banque des entreprises ? Risques. 2. Examiner les comptes rendus de visite.L’audit systémique bancaire. Risque commercial : une mauvaise coordination entre les secteurs peut être préjudiciable à la relation avec le client. Risque commercial : certains clients peuvent ne pas recevoir la visite d’un exploitant. S’assurer que les visites aux clients sont effectuées conjointement avec le secteur commercial. la tâche du middle office est de : valider les paramètres de marché utilisés dans les calculs de risques et de résultats en contre-vérifiant auprès de sources extérieures . Risque financier : la non-séparation des tâches pourrait être source de conflits d’intérêts et occasionner des pertes financières. Approches d’audit & sondages. 2. Vérifier à l’aide de l’organigramme que les lignes hiérarchiques sont bien distinctes. Approches d’audit & sondages. Passer en revue les visites rendues aux clients pour s’assurer que le planning est respecté. Objectifs/points de contrôle. 2. La ligne hiérarchique du middle office est-elle différente de celle des traders et des marketers ? Risques. Le MO calcule-t-il les risques et les résultats sur un stock validé chaque jour par un secteur (BO) indépendant du FO ? 68 S’il existe deux systèmes (FO et BO). Des opportunités d’affaires peuvent ne pas être détectées en l’absence de visites régulières chez les clients. 183 .Stocks.2 .

Risque opérationnel : les prix de marché pourraient ne pas être saisis correctement.) et l’heure de saisie. S’assurer du respect de la procédure. Dans le cas d’un système unique. y compris celles réalisées après l’heure limite du BO ? Risques. vérifier que le MO calcule les risques et les résultats postérieurement à la validation du stock par le BO. courtier …. S’assurer que le MO est toujours informé des différences entre les stocks du FO et du BO. Risque financier : il se peut que toutes les opérations ne soient pas prises en compte. Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des stocks ce qui peut affecter les calculs de risques et de résultats. vérifier que le BO ou un secteur indépendant du FO effectue un rapprochement entre les deux stocks avant le calcul du MO. contrôle interne. courtier. un outil d’efficacité du risk management. Existe-t-il une procédure de contrôle et de validation des prix de marché ? Cette procédure précise-t-elle : la référence indépendante des prix de marché (page Reuter. Lorsqu’il existe deux systèmes (FO et BO). …) ? Cette procédure est-elle respectée ? En cas de saisie manuelle des prix de marché. Risque financier : en l’absence de procédure les prix pourraient être manipulés en cas de désaccord entre le MO et le FO. Vérifier que cette procédure a été validée par toutes les personnes concernées. Vérifier la procédure en matière d’opérations en suspens. Approches d’audit & sondages. 184 . qu’elle précise la source des données (source. Risque financier et risque de fraude : les calculs des risques et des résultats peuvent ne pas être indépendants du FO ce qui impliquerait des risques de positions cachées. S’assurer que le MO vérifie régulièrement les rapprochements des stocks. 2. BO. __________________________________________________________________________________________ calculés sur toutes les opérations réalisées pendant la journée. Vérifier que les prix de marché saisis sont correctement contrôlés. Vérifier qu’une procédure existe. Saisie des paramètres de marché Objectifs/points de contrôle.3 . la saisie est-elle vérifiée ? Risques. ce qui peut entraîner une estimation erronée des risques de marché. Cette procédure devrait assurer un calcul des risques sur toutes les opérations effectuées au cours de la journée écoulée. …)? l’heure de saisie ? Cette procédure a-t-elle été validée par toutes les parties concernées (MO.Prix de marché. Approches d’audit & sondages.L’audit systémique bancaire. FO.

Contrôler que les données de marché sont vérifiées pour s’assurer que les alimentations incomplètes sont détectées avant toute évaluation de stocks.) est doublement vérifiée. S’assurer que la saisie de toute nouvelle source d’un paramètre de marché (page Reuter ….L’audit systémique bancaire. Approches d’audit & sondages. S’assurer qu’il existe un contrôle et qu’il est efficace en consultant les prix de marché sur une certaine période et détecter ceux qui seraient incohérents. Risque financier : des prix de marché incohérents pourraient être utilisés. Modifications. ce qui pourrait donner un résultat incorrect. un outil d’efficacité du risk management. En cas de chargement automatique. aucun contrôle de second niveau ne peut être assuré. Risque financier : des alimentations incomplètes pourraient être la cause de résultats incorrects. S’assurer que les états d’anomalies sont bien vérifiés et que cette vérification est documentée. Objectifs/points de contrôle. Risque opérationnel : la codification pourrait être incorrecte et par conséquent des prix de marché erronés pourraient être chargés. la codification des paramètres de marché est-elle vérifiée ? Les prix de marché utilisés pour les ré-évaluations sont-ils soumis à un contrôle de cohérence? Un contrôle est-il effectué pour détecter des alimentations incomplètes ? Risques. S’assurer que toutes les modifications des références des prix de marché sont documentées. nouveaux marchés) sont traités comme il se doit. __________________________________________________________________________________________ Vérification des prix de marché. Vérifier que les changements de source (fusion d’actions. Risque financier : en l’absence d’une piste d’audit appropriée. 185 . Objectifs/points de contrôle. Approches d’audit & sondages. Il existe par conséquent un risque de manipulation des prix de marché. Chaque modification dans la référence d’un prix de marché est-elle justifiée et documentée ? Les modifications des prix de marché sont-elles documentées? Les prix de marché sont-ils modifiés et validés par un secteur indépendant du FO? Existe-t-il une piste d’audit pour chaque paramètre de marché ? Risques. Risque financier : les références pourraient être modifiées afin de manipuler les prix de marché Risque financier : les prix de marché pourraient être manipulés.

Approches d’audit & sondages. Risque financier : les paramètres de marché pourraient être inexacts ou manipulés ce qui pourrait entraîner des résultats inexacts. S’assurer que les calculs sont bien conformes à la documentation. L’accès aux prix de marché et aux références des prix de marché est-il protégé ? Le FO peut-il forcer les données de marché ? Les calculs de la courbe des taux. les limites peuvent être obsolètes (trop faibles ou trop élevées). __________________________________________________________________________________________ S’assurer que toute modification ou intervention sur les prix de marché est étayée par un document qui n’émane pas du FO. 186 . Limites. La direction de la banque (le directeur de la banque ou le conseil d’administration) et les responsables de desks sont-ils impliqués dans la fixation des limites globales de la banque ? Les limites globales tiennent-elles compte des exigences en matière de fonds propres ? Les limites globales sont-elles revues aussi souvent que nécessaire et au minimum une fois par an ? Le responsable de la salle a-t-il fixé et décomposé des limites de risques de marché opérationnelles en phase avec les limites globales ? Risques. des coefficients d’actualisation et les autres paramètres utilisés sont-ils clairement documentés ? L’accès aux calculs est-il interdit au FO ? Risques. Vérifier que le FO ne peut pas forcer les prix de marché et les références que s’il le fait. Vérifier que la documentation existe et qu’elle est à jour. Pour chacun. un contrôle approprié garantit qu’il ne peut pas y avoir de manipulation. la source (page Reuter par exemple) et l’heure de chargement ou de saisie devrait être disponible. Risque opérationnel : les traders peuvent ne pas avoir à respecter une limite individuelle les limites globales pourraient par conséquent être dépassées. Examiner les prix de marché. les méthodes d’interpolation.L’audit systémique bancaire. Objectifs/points de contrôle. Risque financier : la limite peut ne pas être opérationnelle (parce que trop basse) ou inutilisée parce que trop importante (dans ce cas du capital serait alloué inutilement). Risque financier : les limites de certaines unités peuvent être trop élevées et exposer la Banque à un risque financier (faillite). Protection des accès. un outil d’efficacité du risk management. Objectifs/points de contrôle. Vérifier que l’accès aux prix de marché et aux références est protégé. Risque financier : le FO pourrait dissimuler des pertes en manipulant les prix de marché. S’assurer que le FO ne peut avoir accès aux calculs et les modifier. Risque financier : du fait des fluctuations sur le marché.

2. devises. un outil d’efficacité du risk management.2 . la position dominante sur un marché donné (importantes positions sur les instruments financiers à terme par exemple)… S’informer sur des perturbations de marché récentes qui ont affecté l’activité de trading de la banque. Risque financier : le FO pourrait prendre des positions non autorisées.Méthodologie Objectifs/points de contrôle.L’audit systémique bancaire. S’attacher à la validité des modèles mathématiques. Vérifier au moyen de notes internes. la mission des suivis d’activité est de : mesurer les niveaux d’exposition en risques de marchés en appliquant la méthodologie en vigueur et contrôler le respect des limites octroyées et des règles spécifiques de gestion spécifiées dans les délégations. Risque financier : les risques de marché pourraient être sous-évalués. La méthodologie élaborée par la SDM pour le suivi des risques de marché est-elle respectée ? Les limites globales couvrent-elles l’ensemble des risques de marché auxquels la banque est exposée ? Risques. S’assurer que les pertes ont été contenues dans les limites prévues. S’assurer que la méthodologie est bien respectée S’assurer qu’elle couvre l’ensemble des risques de marché inhérents à l’activité. __________________________________________________________________________________________ Approches d’audit & sondages. Approches d’audit & sondages.Risques de marché. les produits. alerter immédiatement par écrit les hiérarchies front et middle offices concernées. les risques de liquidité. de courriers.4 . Objectifs/points de contrôle. 187 . 69 Quotidiennement. marchés) au FO sont-elles suivies par un secteur indépendant ?69 Les limites sont-elles suivies au jour le jour? Les dépassements de limites sont-ils signalés conformément à la procédure ? 70 Les actions correctives sont-elles suivies de près par le MO ? Risques. Vérifier que le capital à risque (si vous pouvez le calculer) est inférieur au capital de la banque. le marché. S’assurer que les limites ont été ré-examinées. maturités. Toutes les limites fixées (produits. sur la base des positions front office arrêtées la veille au soir et validées par le back-office. Demander le document détaillant les limites fixées à chaque trader. 70 En cas de franchissement de limites.Suivi des limites. Vérifier que les limites ont été fixées en tenant compte du capital de la banque et vérifier également que la fixation de ces limites est documentée. Vérifier les utilisations pour estimer si les limites semblent appropriées. etc … que la direction locale et le responsable du desk sont formellement impliqués dans la fixation des limites.4.4. Vérifier que la méthodologie mise en œuvre fixe des limites spécifiques pour : les échéances. de procès verbaux de réunion. 2. 2. les devises.1 .

Examiner par sondage les états de risques afin de trouver tout dépassement de limite. ? Un plan de secours/une sauvegarde a-t-il(elle) été mis(e) en place et testé(e) ? Le périmètre (desk. Demander à voir tous les états de risque et vérifier par sondage que tous les dépassements de limites ont bien été signalés. 2. Objectifs/points de contrôle. rapports. états. Si les limites sont calculées par un système : Les calculs du système ont-ils été validés par un secteur indépendant du FO et du MO ? Le périmètre (desk. en ce sens qu’il utilise des données vérifiées par un secteur indépendant. Une action corrective inadaptée ou trop laxiste pourrait affecter la crédibilité et l’efficacité des contrôles. portefeuille) du calcul de risque est-il vérifié régulièrement pour s’assurer que toutes les opérations sont prises en compte ? Risques. De trop nombreux dépassements pourraient indiquer un manque de crédibilité dans le contrôle des limites. portefeuille) des états de risque est-il vérifié régulièrement pour s’assurer que toutes les opérations sont bien prises en ligne de compte ? L’accès à la codification du système de calcul et d’édition des états de risques est-il interdit au FO ? Si les limites ne sont pas calculées par un système : L’outil utilisé peut-il calculer correctement les risques de marché ? L’outil utilisé (Excel. etc.3 – Calcul des limites.…) est-il fiable ? Est-il indépendant du FO. restrictions relatives aux produits. Risque financier : les risques de marché pourraient être mal calculés. La limitation de l’accès à la codification du système de calcul des risques met la Banque à l’abri des risques de fraude (manipulations des risques de marché). Les limites pourraient être calculées sur un périmètre incorrect à cause d’une mauvaise codification des systèmes. Risque financier : les risques de marché pourraient être mal calculés.L’audit systémique bancaire. Vérifier que les actions correctives entreprises augmentent la crédibilité du contrôle. 188 . Risque financier : détecter les dépassements sans suivre les actions correctives peut inciter le FO à dépasser continuellement les limites. Vérifier pour quelques dépassements quelles actions correctives ont été prises et de quelle manière elles ont été suivies : courrier.4. rapports. Approches d’audit & sondages. un outil d’efficacité du risk management. S’assurer que le MO assure le suivi de toutes les limites fixées au FO (échéances maximum. __________________________________________________________________________________________ Risque financier : les dépassements de limites qui ne sont pas signalés pourraient entraîner une exposition à des risques excessifs et par conséquent à des pertes potentielles supérieures aux prévisions. notes. etc …) S’assurer que le MO est doté d’outils appropriés pour assurer ce suivi.

ce qui pourrait exposer la Banque à des pertes potentielles supérieures aux prévisions. Vérifier que l’outil utilisé a des droits d’accès appropriés.4 – Limites intrajour. Vérifier les documents justificatifs des calculs de risques. Objectifs/points de contrôle. Approches d’audit & sondages. Risque financier : les résultats doivent être calculés par un secteur indépendant afin d’éviter toute dissimulation de perte et les risques de fraude. même si le résultat est en couru. son périmètre et les calculs.Résultats/Réévaluation au cours du jour. Objectifs/points de contrôle. 2. S’assurer que le MO a les moyens de réévaluer toutes les positions au cours du jour. Vérifier si le périmètre du calcul englobe toutes les opérations et si le MO procède à des contrôles réguliers. Risque financier : l’absence de contrôle sur les opérations en cours de journée pourrait entraîner un dépassement de limites par le FO. Vérifier l’accès au système pour s’assurer que le FO ne peut pas modifier les états de risques. Vérifier que l’outil utilisé est à même de calculer les risques de marché.4. Vérifier que le MO effectue des contrôles a posteriori par sondage. Approches d’audit & sondages.5 . Vérifier si le périmètre de l’état couvre l’ensemble des transactions et si le MO procède à un contrôle régulier. existet-il un contrôle a posteriori par sondage pour s’assurer que les positions en cours de journée ne dépassent pas les limites de marché ? Ces contrôles sont-ils documentés ? Risques. 189 .L’audit systémique bancaire. Vérifier que l’outil utilisé est doté d’un système de secours qui a été testé. 2. La banque est-elle en mesure de procéder à une évaluation au cours du jour de toutes ses positions indépendamment du FO ? La banque a-t-elle mis en place une procédure permettant de calculer quotidiennement les gains ou les pertes comptables indépendamment du FO ? Risques.4. Vérifier que les données utilisées pour les calculs sont validées par un secteur indépendant du FO. un outil d’efficacité du risk management. __________________________________________________________________________________________ Approches d’audit & sondages. Vérifier que ces vérifications sont documentées. Si les systèmes ne permettent pas un suivi en temps réel des limites de marché. Vérifier que les calculs ne sont pas sujets à des erreurs de traitement (dans le cadre d’une utilisation d’un fichier Excel par exemple). Risque financier : la banque doit être en mesure d’évaluer au cours du jour ses positions pour déterminer son résultat latent.

qu'ils soient évalués en couru ou en marked to market.4. Risque financier : le risque de change sur les résultats pourrait ne pas être couvert. …) est-il sûr ? Est-il indépendant du FO.4. risques de garantie et risques émetteurs. Risque financier : les résultats pourraient être mal calculés. les résultats en devises sur opérations courantes. 2. Objectifs/points de contrôle. indépendance des paramètres de marché. Vérifier que les calculs sont effectués par un secteur indépendant. un outil d’efficacité du risk management. en ce sens qu’il utilise des données vérifiées par un secteur indépendant ? Une procédure de secours a-t-elle été mise en place ? testée ? Le périmètre (desk. coût de la liquidité. 2. portefeuille) des calculs de résultats est-il vérifié régulièrement pour s’assurer que toutes les opérations sont bien prises en compte ? Tous les éléments constitutifs du résultat ont-ils été pris en compte : trésorerie interne résiduelle. doivent être cédés au moins mensuellement contre monnaie locale auprès de la salle des marchés.L’audit systémique bancaire.6 . S’assurer que ce secteur a les moyens d’assurer l’indépendance de la production : stock validé par le BO. 190 . Vérifier que le résultat sur opérations de change est couvert auprès de la salle au moins une fois par mois. etc? Risques. ou auprès de la Gestion Actif-Passif de la banque. provisions. portefeuille) de l’état de résultats est-il vérifié régulièrement pour s’assurer que toutes les opérations sont prises en compte ? L’accès à la codification du système de calcul et d’édition des états de résultats est-il interdit au FO ? Si les résultats ne sont pas calculés par un système dédié : L’outil utilisé est-il capable de calculer correctement les résultats ? L’outil utilisé (Excel. états. Les limites pourraient être calculées sur un périmètre incorrect du fait d’une mauvaise codification des systèmes.Calcul des résultats.Couverture du risque de change sur les résultats en devises Objectifs/points de contrôle. Limiter l’accès à la codification du système dans le cadre des calculs de résultats 71 Dans chaque unité. Les résultats sur opérations de change (relatifs à la banque) sont-ils couverts auprès de la salle des marchés au moins une fois par mois ? 71 Risques. __________________________________________________________________________________________ S’assurer que le MO a ses propres outils pour procéder à ces ré-évaluations ainsi que des données validées et qu’il est par conséquent indépendant du FO. Approches d’audit & sondages. Si les résultats sont calculés par un système : Les calculs effectués par le système ont-ils été validés par un secteur indépendant du FO ? Le périmètre (desk.7 .

Vérifier le rapprochement et s’assurer que tous les écarts sont expliqués et documentés.8 . Le financement de l’activité de chaque desk par exemple devrait être pris en compte. Vérifier s’il y aurait lieu de facturer le coût de la liquidité. Risque financier : des résultats mal calculés pourraient donner des informations incohérentes sur la rentabilité de l’activité et l’affectation des primes.Réconciliation des résultats. Risque financier : le rapprochement est une garantie de la validité des résultats. Vérifier que les données utilisées dans les calculs sont validées par un secteur indépendant du FO.1 . Le calcul des résultats comptables est-il soumis à la validation des traders par le biais d’un rapprochement formel avec les résultats du FO ? Les résultats du MO sont-ils rapprochés régulièrement des résultats comptables? 72 Risques. 191 . 3. S’assurer que l’outil utilisé dispose des droits d’accès appropriés. Qui est chargé de contrôler la productivité ? Avec quelle périodicité la qualité de la productivité est-elle évaluée ? La direction dispose-t-elle de processus et d’outils spécifiques pour mesurer et améliorer 72 Quotidiennement. Approches d’audit & sondages. un outil d’efficacité du risk management. Objectifs/points de contrôle. Vérifier que les calculs ne sont pas sujets à des erreurs de traitement (dans l’utilisation d’un fichier Excel par exemple). sur la base des positions front office arrêtées la veille au soir et validées par le back-office.4.L’audit systémique bancaire. Back Office.Structure et gestion de l’activité. Objectifs/points de contrôle. Vérifier que l’outil utilisé dispose d’une sauvegarde et d’une procédure de secours et que les deux ont été testées. la mission des suivis d’activité est d'effectuer des rapprochements périodiques avec la comptabilité générale de la banque. leur périmètre et les calculs. S’assurer que l’outil utilisé est capable de calculer les résultats. Vérifier les documents de validation des résultats. Vérifier que tous les éléments constitutifs des coûts et des produits sont bien pris en compte. Il permet de s’assurer également que les opérateurs FO sont d’accord avec les résultats. Vérifier que le périmètre des états englobe toutes les opérations et que le MO procède régulièrement à des contrôles. __________________________________________________________________________________________ protège la Banque des risques de fraude (manipulation des résultats). 3. Approches d’audit & sondages. 2. Vérifier que le périmètre du calcul englobe toutes les opérations et s’assurer que le MO procède régulièrement à des vérifications. Vérifier l’accès au système pour s’assurer que le FO ne peut pas modifier les états de résultats.

2 . 3. S’assurer que les documents vérifiés par la hiérarchie sont correctement visés.Procédures et organisation. 3. Elles ne doivent en aucun cas être assumées par la même personne. le BO (qui saisit les opérations dans les systèmes de gestion). Demander les plans d’actions. Objectifs/points de contrôle.L’audit systémique bancaire. les notes de projet ou les statistiques relatives à la productivité tenues par la direction. les personnes chargées des règlements et le 73 La sécurité des transactions est notamment assurée par le respect du principe de séparation des fonctions de négociation (« front office ») et de traitement (« middle et back office »). L’activité pourrait ne pas être correctement suivie. S’assurer que les membres du personnel connaissent parfaitement les procédures en vigueur. __________________________________________________________________________________________ la productivité et la qualité du service ? Existe-t-il des statistiques détaillées par produit sur le nombre d’opérations ? le nombre d’erreurs ? le nombre de réclamations ? Les contrôles effectués par la hiérarchie sont-ils formalisés ? Risques. Des zones de non-productivité pourraient ne pas être mises en lumière. Demander des statistiques portant au moins sur les deux dernières années afin d’analyser l’évolution. 192 . Objectifs/points de contrôle. Approches d’audit & sondages.3 . Ces fonctions relèvent d’organisation et de hiérarchie différentes. Des erreurs de traitement peuvent survenir dans le cas d’un non respect des procédures. Des procédures formelles existent-elles au niveau de la banque ? Ces procédures sontelles mises à jour régulièrement et communiquées aux membres du personnel concernés ? L’application correcte des procédures au niveau de la banque fait-elle l’objet de vérifications régulières ? Risques. La direction pourrait prendre des décisions inappropriées faute d’une bonne connaissance de l’activité. un outil d’efficacité du risk management. Demander à consulter les procédures les plus récentes et vérifier qu’elles correspondent à l’activité actuelle. Approches d’audit & sondages.Séparation des tâches. La remise de procédures précises aux membres du personnel permet de réduire les risques opérationnels par une intervention rapide et de garantir la poursuite de l’activité dans le respect des procédures en cas de départ ou d’absence d’un employé occupant un poste clef. Le BO est-il hiérarchiquement indépendant du FO ? Existe-t-il une véritable séparation des tâches entre le FO / BO / le secteur règlement?73 Des contrôles spécifiques sont-ils mis en œuvre pour s’assurer qu’il existe une indépendance totale entre le FO (qui initie les opérations).

Une opération conclue par le FO pourrait ne pas être enregistrée par le BO. ce qui empêcherait le contrôle de deuxième niveau.L’audit systémique bancaire. les définitions de postes. Objectifs/points de contrôle. Des opérations frauduleuses peuvent être conclues et traitées en l’absence d’un contrôle approprié et d’une véritable séparation des tâches. 3. identifier les personnes chargées de ces différentes fonctions. Les tickets d’opéré sont-ils pré-affectés aux opérateurs ou aux desks ? Les tickets d’opéré sont-ils différents selon le type d’instrument ? Les horodateurs sont-ils à jour ? Les tickets d’opéré sont-ils correctement et complètement remplis ? (exactitude des données).4 . S’assurer par exemple que les systèmes BO ne permettent pas de saisir des opérations dans les positions tenues par le FO. Vérifier de même que les systèmes FO ne permettent pas le traitement et le règlement des opérations. Par le biais d’entretiens. un outil d’efficacité du risk management. Les opérations peuvent être saisies de manière incorrecte. Les tickets d’opéré contiennent-ils toutes les informations requises par les règles de marché (cela vaut aussi pour les opérations internes) ? Les tickets d’opéré sont-ils signés par les traders ? Les opérations sont-elles saisies au fil de l’eau et correctement ? Les fonctions de saisie et de validation des opérations sont-elles effectivement séparées ? Si les traders utilisent Reuters. Les tickets d’opéré pourraient être incorrectement saisis. __________________________________________________________________________________________ secteur comptabilité ? Les fonctions de rapprochement et de confirmation sont-elles assurées par des personnes différentes au sein du BO ? Risques.Saisie des opérations. ce qui peut être utile dans le cas d’une réclamation clientèle. L’horodatage permet de connaître précisément l’heure à laquelle une opération a été conclue. 193 . les conversations sont-elles imprimées au BO ? Les impressions de conversations Reuters sont-elles régulièrement vérifiées par le BO ? Les opérations internes sont-elles formalisées par un ticket d’opéré ? Un rapprochement est-il effectué entre les tickets d’opéré et les saisies dans le système? Risques. Il pourrait y avoir un transfert de résultat par une affectation a posteriori. Une même personne pourrait être chargée de l’ensemble du processus. Approches d’audit & sondages. Demander les organigrammes. Les opérations peuvent être saisies avec un certain retard ou incorrectement. Les tickets d’opéré font-ils l’objet d’un horodatage ? (vérification pour s’assurer que les tickets sont correctement et régulièrement transmis au BO : exhaustivité des opérations enregistrées) . Il pourrait en résulter une mauvaise évaluation du risque ou une dissimulation de postions.

La protection des dossiers pourrait ne pas être suffisamment assurée. Vérifier au FO que les horodateurs indiquent les bonnes date et heure. ordres de paiement. __________________________________________________________________________________________ L’évaluation des positions pourrait être inexacte si le stock de position est lui-même inexact. Une comptabilisation incorrecte des opérations pourrait cacher des pertes financières éventuelles. Prendre un échantillon de tickets d’opéré et vérifier qu’ils sont complètement remplis et qu’ils ne comportent pas de mots rayés ou effacés. Les dossiers sont-ils conservés dans un endroit sûr ? l’accès à ce local est-il protégé? Les dossiers des opérations sont-ils correctement conservés ? sont-ils complets (ticket d’opéré. archivage …). Le contrôle de deuxième niveau pourrait ne pas être assuré. la date de valeur. S’assurer que les tickets d’opéré contiennent des informations relatives au desk. fiches de saisie. un outil d’efficacité du risk management. Prendre de façon aléatoire quelques opérations et comparer la date d’opération avec la date de saisie. Vérifier la cohérence entre les tickets / les telex / les impressions Reuters. Vérifier les signatures apposées sur les tickets d’opéré. Vérifier que tous les tickets d’opéré précisent l’heure de conclusion de l’opération.5 . rechercher les causes et analyser les conséquences. la date de paiement. Vérifier que les tickets d’opérations sont bien horodatés au moment ou l’ordre client est reçu et au moment ou l’exécution est achevée.L’audit systémique bancaire. les droits d’accès aux systèmes et les noms des utilisateurs utilisés pour la saisie. Objectifs/points de contrôle. s’il y a lieu …) ? Les différents types d’opérations peuvent-ils être aisément individualisés ? opérations en cours ? opérations échues ? Risques. Prendre un échantillon de tickets d’opéré par type d’instrument et vérifier qu’ils sont différents. Vérifier que les tickets d’opéré relatifs aux opérations internes sont correctement remplis. Les opérations internes pourraient ne pas être documentées et par conséquent difficiles à identifier. documentation légale. 3. Tous les tickets d’opéré pourraient ne pas être enregistrés dans les systèmes de gestion. confirmations. Approches d’audit & sondages. Le suivi des opérations peut être difficile faute d’une documentation correcte. messages telex et description de produits complexes. S’assurer qu’ils peuvent être facilement identifiés par le BO (numéros spécifiques. Vérifier que les contrôles relatifs aux conversations Reuters sont documentés et formalisés. Déterminer le nombre d’opérations saisies de façon incorrecte. Cette vérification peut être menée de pair avec celle des retards de saisie. Certaines transactions pourraient être dissimulées par le FO et certaines opérations pourraient être omises. 194 .Archivage des dossiers.

Gestion des opérations en dehors des heures d'ouverture. Demander à consulter la procédure relative aux négociations en dehors des heures d’ouverture. La sécurité des opérations pourrait ne pas être assurée . Objectifs/points de contrôle. Tester les droits d’accès au local dans lequel les dossiers sont conservés. Existe-t-il une procédure spécifique pour les opérations hors site ? Risques.6 . Les opérations pourraient être modifiées ou annulées par les membres du personnel sans que ces annulations ou modifications soient documentées.8 . Identifier les opérations effectuées en dehors des heures d’ouverture et analyser de quelle manière elles ont été traitées.Modification / annulation d’une opération. Approches d’audit & sondages.Gestion des opérations hors site. Choisir quelques opérations et s’assurer que les fichiers peuvent être facilement trouvés et qu’ils sont correctement documentés. 195 . 3. Approches d’audit & sondages. Approches d’audit & sondages. un outil d’efficacité du risk management. Existe-t-il une procédure pour la modification ou l’annulation d’une opération ? Existe-t-il une piste d’audit en cas d’annulation ou de modification d’une opération (registre spécifique. 3. Objectifs/points de contrôle.L’audit systémique bancaire. autorisées par la hiérarchie et documentées ? Des états d’anomalie spécifiques sont-ils édités en cas de modification des opérations ? Risques. Un horaire butoir a-t-il été défini en ce qui concerne l’activité de trading (l’heure limite d’envoi des derniers tickets d’opéré et pour arrêter la journée comptable) ? Existe-t-il une procédure formalisée en ce qui concerne le traitement des opérations conclues en dehors des heures d’ouverture ? Risques. Demander à consulter la procédure relative aux négociations hors site. Prendre un échantillon d’opérations modifiées et annulées et analyser le processus. Objectifs/points de contrôle. 3.) ? Toutes les modifications/annulations sont-elles expliquées. La sécurité des opérations pourrait ne pas être assurée. classement des tickets d’opéré correspondants …. __________________________________________________________________________________________ Approches d’audit & sondages.7 .

3.9 . Si le rapprochement est automatisé. Objectifs/points de contrôle. Vérifier que les stocks sont régulièrement rapprochés (selon quelle fréquence ?) et que ces rapprochements ne mettent pas en évidence des suspens. Analyser au moins trois rapprochements de stocks : identifier le seuil de signification des écarts constatés. __________________________________________________________________________________________ Identifier des opérations effectuées hors site et analyser de quelle manière elles ont été traitées. Les écarts dans les stocks pourraient signifier que certaines opérations n’ont pas été enregistrées dans les systèmes FO ou BO.Contrôle de position. un outil d’efficacité du risk management. Les stocks enregistrés dans les applications BO sont-ils constamment rapprochés avec les systèmes FO ? Risques. Approches d’audit & sondages. Approches d’audit & sondages. Choisir certaines opérations et rapprocher les saisies / la récapitulation des saisies / les tickets d’opéré ou demander à voir des rapprochements effectués par le BO.Rapprochement des stocks. Vérifier que l’état contient toutes les positions à rapprocher. Objectifs/points de contrôle. 196 . … Vérifier que des rapprochements sont régulièrement effectués entre le FO et le BO. le niveau de détail. Vérifier que toutes les positions du BO sont bien enregistrées dans le système comptable. Demander à consulter au moins trois rapprochements et identifier toute opération en suspens. vérifier qu’il n’y a pas de suspens ou s’il y en a. Le BO procède-t-il périodiquement (l’idéal étant une périodicité quotidienne) à un rapprochement entre les positions FO et BO ? Sinon de quelle manière les positions à vérifier sont-elles choisies ? Les positions du BO et de la comptabilité sont-elles rapprochées périodiquement (au moins à chaque date d’arrêté comptable)? Risques. analyser les états d’anomalie.10 . 3.L’audit systémique bancaire. entraînant des évaluations incorrectes. qu’ils sont identifiés et documentés. Les suspens doivent être expliqués et documentés. En cas de déversement automatique en comptabilité. L’exactitude de la position de la banque n’est pas assurée en l’absence d’un rapprochement des stocks approprié. Les résultats de la Banque pourraient être inexacts en l’absence d’une position exacte des stocks.

temps nécessaire à leur règlement… Demander à consulter la procédure interne relative au règlement des suspens ou toute note d’information. au telex . des opérations pourraient être dissimulées par le FO. FED Trading and Capital Markets Activities Manual Feb 1998 197 . Approches d’audit & sondages.Processus de confirmation.11 . est-il suffisamment sécurisé (accès à swift. Existe-t-il une procédure spécifique pour liquider les suspens ? Cette procédure est-elle correctement appliquée ? Les anomalies sont-elles numérotées. un outil d’efficacité du risk management.Suspens.L’audit systémique bancaire. Objectifs/points de contrôle. Les suspens peuvent suggérer des erreurs de traitement par le BO et peuvent entraîner des pertes financières. les confirmations envoyées et les confirmations reçues de contreparties et les saisies dans le système? Ce rapprochement est-il fait manuellement ou automatiquement ? Les signatures apposées sur les confirmations sont-elles vérifiées ? (FED)75 74 Risques. En l’absence d’une véritable séparation des tâches. Des opérations frauduleuses peuvent être conclues dans un environnement non 74 75 FED Trading and Capital Markets Activities Manual. Objectifs/points de contrôle. 3. __________________________________________________________________________________________ 3. Le BO est-il le seul secteur chargé de l’envoi et de la réception des confirmations? La réception ou l’envoi de confirmations par le FO est-il strictement interdit(e) ? Le processus de confirmation est-il automatisé ? Dans l’affirmative.elles approuvées par la direction ? Risques.12 . enregistrées dans un registre interne et signalées à la direction ? Les suspens sont-ils détectés et réglés ponctuellement ? Une piste d’audit est-elle assurée lorsque le suspens implique la modification ou l’annulation d’une opération ? Une analyse des suspens est-elle faite à l’attention de la direction : origine. demander à le consulter et procéder à un examen détaillé . explications. Vérifier que le BO est au courant de tous les suspens et qu’il en assure le suivi : si les suspens sont mis dans un fichier spécifique. nombre des suspens. conséquences financières ? Cet impact financier est-il systématiquement affecté au desk responsable du suspens ? Quelles actions correctives sont entreprises ? Sont .) ? Les confirmations sont-elles envoyées à l’extérieur en temps opportun (un jour ouvrable au plus tard après la date d’opération) ? (FED) Les confirmations sont-elles vérifiées avant d’être envoyées ? Ces confirmations sont-elles signées par des signataires dûment autorisés ? Existe-t-il un suivi formalisé des confirmations non reçues ? ou non signées ? Est-il procédé à un rapprochement formel entre les tickets d’opéré.

Des confirmations incorrectes peuvent être la cause de réclamations des contreparties. Prendre quelques comptes et analyser le processus de gestion de la trésorerie en liaison avec la fonction FO. 3. Vérifier que toutes les irrégularités sont envoyées pour règlement à un cadre indépendant de la fonction trading.Gestion de la trésorerie. Les mouvements sont-ils cumulés et enregistrés par date de valeur ? par devise ? par correspondant ? La banque dispose-t-elle d’un système de gestion de trésorerie fiable ? La banque dispose-t-elle d’un outil fiable de gestion de prévisions des flux ? La prévision de liquidité et les soldes comptables sont-ils rapprochés quotidiennement ? Les opérateurs sont-ils informés des nouvelles prévisions de position? Comment? Risques. Vérifier que les confirmations ne peuvent être effectuées que par des personnes autorisées. Feb 1998. Vérifier si toutes les différences entre les confirmations envoyées par les contreparties et les états de la Banque sont enregistrées dans un registre des anomalies. Approches d’audit & sondages. et qu’il existe une piste de connexion. Approches d’audit & sondages. Prendre quelques confirmations et s’assurer qu’elles contiennent toutes les informations utiles relatives à l’opération et qu’elles sont signées par des personnes autorisées. La Banque pourrait ne pas être l’abri en cas de différend avec la contrepartie. Des anomalies pourraient ne pas être détectées. choisir certaines opérations et réaliser le test. Demander à consulter le recueil des signatures autorisées des contreparties conservé par le BO et le comparer à quelques confirmations. Feb 1998 198 . 76 77 78 FED Trading and Capital Markets Activities Manual. examinés et réglés en temps opportun. FED Trading and Capital Markets Activities Manual. __________________________________________________________________________________________ sécurisé. (FED) 77 Vérifier que tous les suspens nécessitant une action corrective sont rapidement identifiés. un outil d’efficacité du risk management. Feb 1998 FED Trading and Capital Markets Activities Manual. L’absence de confirmation ou une émission tardive peut entraîner des saisies incomplètes. Vérifier que toutes les confirmations sont directement envoyées par le BO et qu’elles sont conservées par ce secteur. Si ce rapprochement n’est pas formalisé.13 . Vérifier que le FO ne peut pas avoir accès au processus de génération des confirmations. Examiner les états récapitulatifs des confirmations pour identifier les opérations dont les confirmations sont en suspens depuis plus de 15 jours (FED)76.L’audit systémique bancaire. (FED)78 Analyser les états d’anomalies éventuels. Objectifs/points de contrôle. Une opération pourrait être mal enregistrée. Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en évidence.

la solution apportée …) ? Ce registre est-il régulièrement soumis à l’audit interne ? Est-il visé par la direction de la banque ? Les réclamations non réglées sont-elles soumises à la direction pour décision ? dans quel délai ? Chaque réclamation de client est-elle étudiée d’un point de vue financier ? l’incidence est-elle affectée en analytique au desk “responsable” ? Des pénalités de retard sont-elles systématiquement demandées et payées ? La personne chargée d’étudier les réclamations est-elle différente de celle qui initie ou traite les opérations ? Est-ce que les conversations téléphoniques sont enregistrées ? Risques. Risque de crédit : La demande de lignes pour les opérations de marché insuffisamment documentée et motivée. En cas de litige la piste d’audit peut ne pas être assurée. 4. Risque de contrepartie. Vérifier que les conversations sont enregistrées. S’il existe un registre. Objectifs/points de contrôle. l’examen de l’organigramme). Vérifier que la fonction examen des réclamations est assurée par des personnes indépendantes (par des entretiens. La banque peut avoir à payer des pénalités pécuniaires. Il existe un risque de fraude du fait que des réclamations peuvent ne pas être suivies. Analyser de quelle manière les réclamations sont traitées par le BO. Approches d’audit & sondages. peut conduire à une sous-estimation du risque sur un client.14 .L’audit systémique bancaire. la date de règlement. Risque de crédit : L’absence de la documentation affaiblit la position de la banque en 199 .Octroi des lignes de Crédit. 4. un outil d’efficacité du risk management.Analyse des réclamations. Existe-t-il une procédure formalisée pour traiter les réclamations des clients ? Toutes les réclamations sont-elles consignées dans un registre ad hoc ? Ce registre estil à jour ? est-il correctement tenu (indique-t-il la nature de la réclamation. Est-ce que les lignes pour les opérations de marché font partie de la demande globale de lignes de risque pour la contrepartie ? Est-ce que le département des engagements dispose des « master agreements » signés avec chacun des clients utilisant des produits dérivés ? Est-ce que les lignes de risque sont accordées par le Comité de Crédit ? Est-ce que le département commercial est informé des lignes de risque pour les activités de marché sur les clients accrédités ? Risques. __________________________________________________________________________________________ 3. Objectifs/points de contrôle. La séparation des tâches pourrait ne pas être assurée ce qui fait obstacle à un contrôle approprié.1 . l’examiner.

2 . Séparation des tâches : Le Front Office peut dissimuler des pertes si c’est lui qui procède aux réévaluations des positions Risque de crédit : le système peut ne pas être assez sécurisé et pour diverses raisons mal évaluer le risque de contrepartie. __________________________________________________________________________________________ cas de conflit avec un client. 4. de sauvegarde et de backup ? Est-ce que les paramètres de marché servant à la réévaluation pour le calcul du risque de contrepartie sont validés par un département indépendant ? Risques.L’audit systémique bancaire. Objectifs/points de contrôle. Dans le cas où le système n’est pas intégré. Vérifier que le département commercial est bien informé des demandes de lignes pour les opérations de marché.3 – Réévaluation. Vérifier que l’ensemble des produits traités sont pris en compte par le système de gestion des risques de contrepartie. 200 . Risque de crédit : Le risque de contrepartie peut être mal calculé. Existe-t-il un système de gestion du risque de crédit pour les opérations de marché ? Est-il en temps réel ? Couvre-t-il l’ensemble des produits ? Risques.Système de gestion du risque de crédit. notamment des produits comme les instruments à départ dans le futur. Risque de crédit : l’absence de système de gestion peut conduire à une sousévaluation du risque de contrepartie. Vérifier. Ce point doit être vérifié avec les fonctions commerciale et engagements afin de vérifier que le processus global intègre bien les trois départements. Objectifs/points de contrôle. Risque de crédit : Les lignes pour les opérations de marché ne doivent être données que par le Département des engagements et validées par le Comité de Crédit. un outil d’efficacité du risk management. Approches d’audit & sondages. est-ce que les réévaluations des positions clients sont réalisées par un service indépendant du Front Office ? Si le système n’est pas intégré : Est-il maîtrisé (qu’il soit développé en interne ou acheté à un fournisseur) ? Est-il sécurisé en terme de droit d’accès. Risque de crédit : Le département commercial doit être informé des lignes de risque attribuées pour les opérations de marché de manière à avoir une vue globale de la relation. par sondage. Vérifier que les lignes sont bien accordées par le Département des Engagements. 4. que les contrats cadres sont bien signés avant/pendant que la banque entre en transaction avec un client. Approches d’audit & sondages.

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Approches d’audit & sondages. Vérifier que les réévaluations sont faites par un service indépendant du Front Office. Il faut vérifier que le système de gestion du risque de contrepartie est suffisamment sécurisé, il faudra veiller à vérifier que les paramètres de marché servant au calcul des positions soient fournis par un service indépendant du Front Office. Vérifier que les paramètres de marché sont validés par un département indépendant du Front Office. Pour plus de précision vous pouvez vous reporter à la section consacrée au Middle Office.

4.4 - Suivi du risque de crédit.
Objectifs/points de contrôle. Est-ce que les risques de contrepartie sont suivis par un service indépendant du Front Office ? Est-ce que les positions sont suivies sur une base continue (temps réel) et contrôlées par un service indépendant du Front Office ? Est-ce que les dépassements de limites sont notifiés au responsable du desk avec copie au management ? Est-ce que les notifications de dépassement sont suivies ? Risques. Risque de Crédit :Le Front Office ne doit pas être impliqué dans le suivi du risque de contrepartie. L’indépendance du contrôle garantit que les dépassements seront notifiés. Risque de crédit : Les franchissements de limites non signalés peuvent conduire à augmenter le risque de crédit sur un client. Risque de crédit : Les dépassements doivent être signalés et corrigés sinon le rôle du département de contrôle sera diminué. Approches d’audit & sondages. Vérifier qu’un département réellement indépendant contrôle le risque de contrepartie. Vérifier que pour chaque dépassement une notification est envoyée au responsable du desk avec copie à sa hiérarchie. Vérifier que pour chaque dépassement, les actions correctrices ont été prises à partir des mails, des mémos etc…

5. Risque Juridique.
5.1 - Capacité légale des personnes. Objectifs/points de contrôle. Est-ce que l’interlocuteur possède la capacité à engager son entreprise sur des opérations de marché? Est-ce que l’interlocuteur est habilité à traiter pour tous types d’opérations (options, swaps de taux etc…) et de montants ? Est-ce que les employés de la banque sont autorisés à traiter avec les contreparties, pour quels types de montants et de produits ? Risques. Risque Juridique : La banque peut se voir reprocher des opérations au motif que la

201

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

personne qui a traité n’avait pas le pouvoir de le faire. Risque Juridique et financier: Une transaction initiée par une personne non autorisée peut conduire à des pertes en cas de contestation
Approches d’audit & sondages. Vérifier dans le dossier client la ou les personnes autorisées à traiter. Vérifier que seuls les employés réguliers sont autorisés à traiter. 5.2 - Contrat cadre. Objectifs/points de contrôle. Est-ce que les contrats cadres sont signés avec les contreparties traitant des produits dérivés ? Avant de traiter le premier deal, s’il manque des contrats signés, existe-t-il un suivi ? Est-ce que la personne qui a signé avait le pouvoir de le faire ? Est-ce que les contrats cadres sont signés avec les contreparties travaillant en repo et prêt/emprunt de titres avec la banque ? Risques. Risque Juridique : le contrat cadre doit être juridiquement valable. Risque Juridique : l’absence des contrats cadres affaiblit la position de la banque en cas d’action en justice. Approches d’audit & sondages. Demander la validation officielle du Département Juridique. Vérifier que le contrat cadre est signé avant de réaliser la première transaction et que la signature a été authentifiée. 5.3 - Confirmations. Objectifs/points de contrôle. Est-ce que le contenu des confirmations a été validé par un département juridique? Risques. Risque Juridique : la confirmation doit être juridiquement valable pour les produits sensibles. Approches d’audit & sondages. Vérifier que les confirmations envoyées aux clients sur les produits dérivés non standards ont été validées par le département Juridique. 5.4 - Conversation téléphonique. Objectifs/points de contrôle. Est-ce que le système d’enregistrement des conversations fonctionne correctement ? Risques. Risque Juridique et Commercial : Même si un enregistrement n’est pas une preuve forte, ce système aide en cas d’erreur sur une opération.

202

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Approches d’audit & sondages. Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la conservation des enregistrements.

6. Sécurité Physique.
6.1 - Accès. Objectifs/points de contrôle. Est-ce que l’accès à la salle des marchés est réservé aux personnes autorisées ? Risques. Fraude : Un accès réservé est la première étape pour éviter les opérations frauduleuses. Approches d’audit & sondages. Vérifier que les portes sont fermées et que l’accès est réservé aux membres du FrontOffice. 6.2 - Systèmes. Objectifs/points de contrôle. Est-ce que les PC et autres systèmes de dealing sont déconnectés en dehors des heures de travail ? Est-ce que le système d’enregistrement des conversations fonctionne correctement ? Risques. Risque de fraude : Ces systèmes sont protégés par des « user » et des « password ». Une utilisation frauduleuse de ces systèmes est impossible lorsque ces systèmes sont déconnectés. Risque juridique et commercial : Même si un enregistrement n’est pas une preuve forte, cet appareil aidera sur d’éventuels litiges. Approches d’audit & sondages. Vérifier que les systèmes informatiques sont bien déconnectés en dehors des heures de travail. Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la conservation des enregistrements. 6.3 - Back-up. Objectifs/points de contrôle. Est-ce que la solution de back-up de la salle est opérationnelle ? Risques. Risque de continuité d’activité. Approches d’audit & sondages. Pour ce contrôle il faudra s’associer avec l’auditeur en charge de la fonction informatique.
203

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

204

L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________

Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.

205

dans chacun des cinq domaines.L’audit systémique bancaire. procédures. juridiques. l’administration du personnel. seront principalement concernés les risques de management. points de contrôle. Comme pour toutes les fonctions. Garantir la continuité du fonctionnement de l’entreprise (le dialogue social. familles de risques associées et natures des risques. … 206 . la paie). Pour la phase de synthèse. 79 Audit de processus : organisation. l’environnement du travail). Elle a. la formation. La fonction Ressources Humaines couvre cinq domaines : l’administration. L’audit RH devra mesurer le niveau des risques. les Ressources Humaines (RH) seront plus ou moins structurées . fonctionnement. le contrôle de gestion). le recrutement. Répondre aux besoins. Parmi les familles de risques recensées. ces cinq thèmes seront déclinés plus ou moins formellement. la mission aura pour objet d’apprécier comment sont couverts les risques liés à la fonction Ressources Humaines. la motivation). Selon l’importance de la banque auditée. la gestion des carrières. la formation et les relations sociales. Optimiser les coûts des ressources humaines (les rémunérations. __________________________________________________________________________________________ Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines. de déontologie et de compliance. une mission d’audit de la Direction des Ressources Humaines comprendra une phase de préparation (collecte de documents et entretiens préparatoires). Il conviendra. Le présent chapitre reprend : Pour la phase de préparation. quatre missions essentielles à assurer : Administrer (les classifications. un outil d’efficacité du risk management. une liste de sondages qui pourraient être repris dans le rapport et une indication sommaire des domaines les plus sensibles. la liste des documents à recueillir et des entretiens à mener. Selon la taille de la banque. une gestion directe par le management assisté d’un secrétariat administratif dans les petites unités. leur évolution et l’avancement des plans d’actions correcteurs. au sein de toute banque commerciale comme ailleurs. en fournissant les ressources humaines adaptées (le recrutement. Introduction. une Direction des Ressources Humaines (DRH) importante dans les plus grandes. Pour la phase d’investigation. les objectifs. en théorie. une phase d’investigation (entretiens systémiques 79 et sondages) et une phase de rédaction. opérationnels et fiscaux. cependant. Dans tous les cas. de couvrir chacun des cinq domaines lors de chaque phase. l’orientation. sondages et documents.

salaire. plans sociaux des cinq dernières années. ancienneté. Les règles de prise de congés sont-elles respectées (prise de tous les congés. liste des bonus ou primes des trois dernières années. Les règles de confidentialité (paie. dossiers personnels) et de sécurité (back up) sont-elles respectées ? 3. Y a-t-il des tableaux de bord fiables à l’intention du Responsable de la banque ? 4. Règlement intérieur. un outil d’efficacité du risk management. niveau hiérarchique. Formation. Recrutement. indemnités. emploi temps complet – partiel). Principaux éléments de la réglementation du travail. Parmi la documentation spécifique demandée à la banque au cours de la phase de préparation. __________________________________________________________________________________________ Les points de contrôle essentiels. durée d’absence minimum. Liste des comités auxquels participe le responsable RH. diplômes. des activités ou des équipements pourraient-ils être bloqués ? Préparation. Y a-t-il un système de rémunération objectif et connu ? 6. Documentation spécifique à demander à la banque. Programme de formation des trois dernières années (budget – réalisé). avantages annexes. Liste des organisations syndicales représentées. Système de salaires et de bonus. fonction. Liste du personnel en activité (âge. Comment sont gérés les avantages annexes ? 7. 207 . Le provisionnement des engagements sociaux (retraites. Les cinq fonctions RH sont-elles couvertes (Administration. …) ? 10. Relations Sociales) ? 2. En cas de mouvements sociaux. les documents suivants concernent plus particulièrement la fonction Ressources Humaines : Organigramme de la DRH. Au cours de la mission. statut. prévoyance. Le personnel est-il sensibilisé aux risques de fraude interne et externe ? 9. Liste des absences hors congés annuels au cours des trois dernières années. Le cas échéant. Gestion. Existe-t-il un plan de formation ? Est-il suffisant et respecté ? 11. Le processus de révision des rémunérations individuelles est-il formalisé ? 5. les points de contrôle essentiels seront les suivants : 1.L’audit systémique bancaire. Liste des heures supplémentaires par département au cours des trois dernières années. …) est-il adéquat ? 8.

comment peut-on apprécier la qualité du climat social… Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. quelle est la politique de gestion des compétences. 1. Responsable RH (DRH). Entretiens préalables Top management. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Définitions de fonctions du personnel RH. La fonction RH est une fonction support. Les investigations auront donc pour objet de s’efforcer de répondre à deux types de préoccupations : Celles relatives à l’audit de conformité : conformité avec les accords sociaux.L’audit systémique bancaire. Approches d’audit et sondages : approches d’audit et de sondages à réaliser. Thème : libellé du thème à auditer. Supports de communication de la DRH. un outil d’efficacité du risk management. Non suivi ou suivi imparfait de certaines fonctions RH. Investigations. __________________________________________________________________________________________ Charte des contrôles (au Secrétariat du Personnel). Thème : Structure de la DRH Objectifs/points de contrôle Existe-t-il un organigramme détaillé de la DRH ? Les 5 fonctions sont-elles couvertes (voir supra) ? L’organisation est-elle adéquate ? La répartition des responsabilités au sein de la ligne-métier RH est-elle claire et efficace ? Risques. Organisation générale de la fonction RH. Approches d’audit & sondages. Sous-thèmes : libellé du sous-thème appartenant au thème audité. Celles relatives aux audits stratégiques : quelles sont les pratiques de rétribution. Organigramme RH. avec les aspects juridiques et fiscaux. 208 . les freins à la mobilité interne. Risque opérationnel. Risques : risques inhérents au thème/sous-thème audité. avec les budgets et avec l’organisation. la formation est-elle efficace.

acquisition de moyens. Qualité. Participation du Directeur des Ressources Humaines à la fixation des objectifs (notes. … 209 . sur le suivi de la formation. un outil d’efficacité du risk management. Stratégie. Risque opérationnel.L’audit systémique bancaire. budget de la banque. existence d’une communication institutionnelle. Approches d’audit & sondages. Des objectifs sont-ils fixés annuellement par ligne-métier ? Sont-ils accompagnés de plans d’actions ? La synergie avec le management est-elle suffisante ? La DRH est-elle associée à la détermination des objectifs ? La procédure budgétaire intègre-t-elle les objectifs RH ? Les objectifs annuels généraux de la banque sont-ils communiqués aux différents responsables de la banque ? Risques. Risque lié au management.). Y a-t-il une démarche qualité au sein de la DRH ? Risques. Objectifs/points de contrôle. etc. Approches d’audit & sondages. de visites régulières. la satisfaction des stagiaires. de formation. Non application des décisions prises. gestion individuelle. Communication écrite aux responsables sur les objectifs. Etudes statistiques sur les délais de traitement des demandes (de congé. Non respect du budget. Risque opérationnel. de règles écrites. instructions en matière de recrutement. __________________________________________________________________________________________ Nombre de personnes dédiées à chaque fonction par rapport à la taille de la banque (en particulier pour l’administration de personnel : Formation du personnel RH (passée et prévue). Non prise en compte des impératifs de la banque. mails…). Objectifs/points de contrôle. Participation du DRH à la procédure budgétaire. Communications avec le management (courriers. formation. Efficacité non mesurée. Plans d’actions. mails…). sur les couvertures de postes.

Objectifs/points de contrôle. les dossiers personnels dans un local fermant à clé. Suivi non homogène selon les personnes. Objectifs/points de contrôle. Risque opérationnel. Objectifs/points de contrôle. __________________________________________________________________________________________ Audit. vérification de leur respect (sondage). risque lié au management. risque de déontologie et de compliance. Approches d’audit & sondages. Divulgation d’informations sensibles. Les recommandations de l’Audit Interne et/ou de l’Inspection Générale sont-elles prises en compte ? Risques.L’audit systémique bancaire. Risque juridique. Approches d’audit & sondages. Réponses de la DRH aux rapports d’Audit Interne. La banque a-t-elle défini des procédures pour le fonctionnement du département RH ? Risques. Déontologie. Procédures. Vérifier que le règlement intérieur et le code de déontologie ont été remis à chaque collaborateur. La réglementation interne et la déontologie sont-elles respectées ? Les règles de confidentialité sont-elles respectées au sein de la DRH ? Risques. la distribution des fiches de paie sous pli fermé. risque opérationnel. Risque opérationnel. Procédures existantes. Approches d’audit & sondages. Le marché local de l’emploi est-il connu ? Risques. Risque lié au management. Information externe. respect des délais de mise en œuvre. Objectifs/points de contrôle. Vérifier la sécurité et la confidentialité du système de paie et de bonus. 210 . notes internes. Risque lié au management. et lus (sondage). un outil d’efficacité du risk management.

les embauches. systèmes d’information. Risque opérationnel. formation. Objectifs/points de contrôle. comparaison entre budget proposé et budget adopté. Systèmes d’information Objectifs/points de contrôle. Copie des tableaux de bord remis à la DG et à la DRH. Dossiers du personnel. avec indicateurs quantitatifs et qualitatifs (turn-over. __________________________________________________________________________________________ Approches d’audit & sondages. Approches d’audit & sondages. budgétaires (formation. entre besoins exprimés et ressources obtenues. Existe-t-il des tableaux de bords pour la Direction Générale.L’audit systémique bancaire. abonnements. les contrats de travail. départs. Les dossiers sont-ils complets ? A jour ? Correctement classés ? Confidentiels ? Qui assure le secrétariat du personnel et la gestion des dossiers ? Existe-t-il un système d’habilitation pour les personnes qui ont accès aux dossiers ? Qui signe les augmentations de salaire. Budget des RH. Y a-t-il un pilotage centralisé de la fonction RH ? Risques. Ressources. Mode d’enregistrement et de suivi des absences. Risque lié au management. Information interne. Administration. Risque lié au management. …) sont-elles adaptées ? Risques. risque opérationnel. Approches d’audit & sondages. Information récente disponible. Approches d’audit & sondages. démissions. matérielles. Les ressources humaines. … 2. Objectifs/points de contrôle. embauches. Inadéquation des moyens. …) ? Pour le responsable de la banque ? Pour la DRH ? Risques. Objectifs/points de contrôle. les 211 . un outil d’efficacité du risk management. Information incomplète ou insuffisante.

(Voir annexe 3). Suivi quotidien. un outil d’efficacité du risk management. risque juridique. Risque opérationnel. Connaissance incomplète de la formation. Traitement de la paie. appréciations trop anciennes. risque lié au management. Non confidentialité. Approches d’audit & sondages. Liste des absences par service. stagiaires. Objectifs/points de contrôle. __________________________________________________________________________________________ lettres d’observations ou de sanctions ? Risques. Absences injustifiées. Liste quotidienne des absences (causes). autorisées et effectuées dans les délais ? Risques. externe) ? Par qui (en interne ? par un sous-traitant externe ?) Y a-t-il des contrôles ? Un back-up ? Une séparation des tâches ? Le processus d’établissement de la paie permet-il de s’assurer que les opérations et données traitées sont complètes. heures supplémentaires systématiques. risque juridique. Respect des règles de confidentialité. Comment la paie est-elle traitée (interne. Dans les points de vente recevant du public.… Approches d’audit & sondages. Risque opérationnel. …) 212 . des congés. Idem pour heures supplémentaires. Objectifs/points de contrôle. Voir en annexe 2 le contenu standard d’un dossier. Risque lié au management. Sondage sur dossiers individuels dans plusieurs directions ou départements. fiabilité et délai de traitement. Réglementation. personnel temporaire. retards. … Approches d’audit & sondages. Sondage sur les états édités par le système traitant la paie et vérifier leur exhaustivité.L’audit systémique bancaire. La DRH a -t-elle une bonne connaissance de la réglementation ? (droit du travail. heures supplémentaires. risque opérationnel. sondage sur exactitude de cette liste sur quelques jours. Contrôle sur présences minimum dans points de vente recevant du public. fraude interne. Objectifs/points de contrôle. les règles de présence minimum sont elles respectées ? Risques. exactes.

y compris heures supplémentaires) de rémunérations variables (y compris heures supplémentaires) et des listings de gestion de ces éléments variables. Possession et utilisation d’un code du travail à jour.L’audit systémique bancaire. Objectifs/points de contrôle. le marché du travail dans le secteur bancaire ? Risques. Bilan social s'il existe. Non adaptation au marché. Risque opérationnel. Comptabilisation des écritures. Risque juridique. Risque de fraude. Non respect des règles locales. Informations générales sur le marché du travail local. __________________________________________________________________________________________ Risques. Appréciations. Risque opérationnel. Approches d’audit & sondages. 3. Objectifs/points de contrôle. Gestion des carrières. rémunération. Objectifs/points de contrôle. Statistiques. Existe-t-il des statistiques à jour sur : les effectifs (répartition. La saisie des écritures est-elle faite par les personnes en charge d’établir la paie ? Y a-t-il des contrôles établis par la Comptabilité ou un autre secteur (autre que DRH) ? Y a-t-il des rapprochements entre les écritures comptables et les états de gestion ? Risques. Documents statistiques établis par la DRH (et sondage sur fiabilité). qualification. Approches d’audit & sondages. Comment fonctionne le système d’appréciation ? Les différents délais (appréciation 213 . classes d’âge. Comparaison des listings comptables des écritures (paie et rémunérations variables. connaissance insuffisante des données de base pour gestion à moyen terme des effectifs. risque lié au management. Approches d’audit & sondages. taux de rotation). ancienneté. Abonnements aux sources d’information de mise à jour de la réglementation. un outil d’efficacité du risk management. Comparaison des listings comptables des écritures de paie et du listing du personnel en gestion.

Objectifs/points de contrôle. Démotivation du personnel. temps de réponse par l’intéressé) sont-ils respectés ? Le personnel a-t-il un droit de réponse ? Le système d’appréciation est-il pris en compte pour la détermination des rémunérations ? Pour la détermination des besoins de formation ? Risques. la cohérence entre la période prévue et effective de notation d’une part et la date des mesures individuelles d’autre part. Comment sont décidés les changements de poste ? Rôles respectifs de la hiérarchie. Gestion des carrières. Entretiens (toutes fonctions). Si le recensement existe : critères ? Conséquences ? 214 . de la DRH . __________________________________________________________________________________________ annuelle. Vérifier leur cohérence d’une année sur l’autre. Approches d’audit & sondages. Risque lié au management. Vérifier la prise en compte des points faibles éventuels dans le plan de formation individuel. Existe-t-il un recensement et un suivi spécifique des cadres à fort potentiel ? Risques. Mutations. Entretien avec le responsable de la banque. Pour chaque département. Procédures formalisées sur les changements de postes. par sondage dans différents départements. Copie de la Bourse de l’emploi. Risque opérationnel. consulter les notations des années n et n-1 de quelques collaborateurs. Gestion non optimale et mécontentement du personnel.L’audit systémique bancaire. Approches d’audit & sondages. Risque lié au management. Conflit entre intérêt individuel des hiérarchiques et intérêts du Groupe. Approches d’audit & sondages. Vérifier. Mécontentement de cadres à potentiel. Objectifs/points de contrôle. de la DG ? Y a-t-il une Bourse de l’emploi ? Y a-t-il des entretiens de gestion réguliers ? Comment les collaborateurs font-ils remonter leurs desiderata ? Quels sont les délais pour les mouvements de personnel entre une décision et sa mise en œuvre ? Risques. Risque opérationnel. Mauvaise adéquation possible entre le personnel et les fonctions exercées. un outil d’efficacité du risk management.

Procédure budgétaire. un outil d’efficacité du risk management. Objectifs/points de contrôle. __________________________________________________________________________________________ Rémunérations. Recrutement. avantages indus. Objectifs/points de contrôle. Vérifier que les décisions DRH sont appliquées sans modifications dans la banque. Règles relatives à l’intéressement. Comment sont définis les besoins ? Comment sont données les autorisations ? Qui a le pouvoir de recruter ? Risques. Voir avec le responsable de la banque et la DRH les modalités écrites et pratiques de rémunération. Risque opérationnel. La détermination de la partie variable est-elle objective ? Ses critères sont-ils prédéfinis et acceptés formellement par l’intéressé ? Les objectifs individuels sont-ils fixés a priori et non a posteriori ? Quelles sont les modalités de rémunération des cadres supérieurs ? Existe-t-il des systèmes d’intéressement aux résultats ? Comment fonctionnent-ils ? Le personnel du département RH est-il sensibilisé aux risques de fraude interne et externe en matière de rémunérations ? Des dispositions sont-elles prises pour prévenir la fraude ? Risques. 215 . Procédure budgétaire. Politique de recrutement. Vérification de la date de fixation des objectifs individuels. Approches d’audit & sondages. non respect du budget. Quel est le système de rémunération de la banque ? Mesures collectives et individuelles. Accord d’entreprise le cas échéant. Démissions de cadres dirigeants. Autorisations spécifiques écrites pour recrutements hors budget. Existence d’un contrôle interne sur l’application des accords (modalités de calcul). Salaires fictifs. risque lié au management. Risques de fraude.L’audit systémique bancaire. 4. Absence de maîtrise de la masse salariale. Risque lié au management. calcul de rémunérations variables à partir des critères prédéfinis. Approches d’audit & sondages. comptes-rendus de réunions sur mesures individuelles. Par sondage. règles de rémunération variable communiquées au personnel. de la politique de rémunération. Démotivation du personnel. rémunération fixe et variable.

sur l’utilisation de la micro-informatique ? Risques. Objectifs/points de contrôle. Existe-t-il une fiche de besoin précise pour chaque poste ? Risques. Approches d’audit & sondages. Inadaptation des postes. de la DRH et du responsable de la banque sont-ils clairement définis ? Risques. Objectifs/points de contrôle. Approches d’audit & sondages. systématique. Contrat avec prestataire extérieur. un outil d’efficacité du risk management. Risque de fraude. Profil de poste. sur les règles déontologiques. Fiches de besoins. la DRH distribue-t-elle un document sur le secret professionnel. Document contractuel général. salaire proposé décrit par le département demandeur.L’audit systémique bancaire. revu par le service juridique ? A l’embauche. Sélection. (Règles spécifiques pour les métiers sensibles). Existe-t-il un contrat de travail ? Est-il standard. Risque de déontologie et de compliance. Non utilisation du meilleur mode de recrutement. Approches d’audit & sondages. Comment sont sélectionnées les candidatures ? Les modes sont-ils différents selon les niveaux ? Les rôles respectifs du département demandeur. Risque opérationnel. Documents remis aux nouveaux embauchés. demandes de personnel mal formulées. Méconnaissance des règles de base de la banque. Risque juridique. copie des annonces d’offre d’emploi. Risque opérationnel. 216 . Appel d’offres. Embauche. Objectifs/points de contrôle. Perte de temps. __________________________________________________________________________________________ Besoins.

Approches d’audit & sondages. Y a-t-il un suivi formalisé et systématique des jeunes embauchés ? Y a-t-il des statistiques sur les démissions ? Des entretiens avec les démissionnaires ? Risques. Formation inadaptée ou non coordonnée. Mesurer les délais entre expression des besoins. Plan de formation. Modalités de suivi des jeunes embauchés. Qualité. Plan de formation. Mauvaise adéquation entre besoins et ressources. __________________________________________________________________________________________ Suivi. les obligations légales ? Des besoins sont-ils exprimés ? Sont-ils pris en compte ? Risques. Comptes-rendus d’entretiens avec les démissionnaires. 217 . Risque opérationnel. Mode de détermination des besoins. Formation insuffisante ou coûteuse. 5. Inscriptions aux actions de formation. Formation. Démotivation du personnel. le budget. Objectifs/points de contrôle. Objectifs/points de contrôle. entretiens annuels de formation. Le recrutement répond-il de manière satisfaisante et dans les délais acceptables aux besoins (profil et niveau de compétence) ? Risques. remontée formalisée des besoins). entretiens. mode d’élaboration (entretiens de formation. Objectifs/points de contrôle. Approches d’audit & sondages. Risque opérationnel. un outil d’efficacité du risk management. Existe-t-il un plan de formation ? Est-il respecté ? Est-il cohérent avec les moyens. les besoins. suivi par la DRH. Objectifs/points de contrôle. Approches d’audit & sondages. Comparer les profils demandés et les profils des candidats présentés et recrutés.L’audit systémique bancaire. Coût de la formation. propositions de dossiers et embauche des candidats.

prévoyance. Tableau de résultats des élections. Provision pour retraites : vérifier l’adéquation des ressources et provisions du régime de retraite par rapport aux engagements vis-à-vis des ayants-droits. Formation inutile ou insuffisante. Risque opérationnel. Objectifs/points de contrôle. Sous ou sur-représentation du personnel. Risque opérationnel. Syndicats. institutionnelles. Engagements sociaux. risque juridique.L’audit systémique bancaire. Risque opérationnel. Relations et activités sociales. retraites. La banque a-t-elle connu des mouvements sociaux ? Ont-ils été suivis ? Des activités ou des équipements pourraient-ils être bloqués suite à des mouvements sociaux ? Existence de relations sociales 218 . Approches d’audit & sondages. Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids respectifs ? Risques. 6. Pourcentage de la masse salariale consacré à la formation (budget et réel). Mouvements sociaux. médaille du travail etc…) sont-ils couverts par une provision adéquate ? Risques. Régime de retraite de la banque.00%). Objectifs/points de contrôle. réunions formelles. entretiens avec les représentants. Y a-t-il un système de retraite propre à la banque ? Est-il conforme à la législation (code du travail) ? Les engagements pris à l’égard du personnel en matière d’indemnités et de gratifications (départs. un outil d’efficacité du risk management. Approches d’audit & sondages. Retraites insuffisamment provisionnées. Vérifier si le calcul a été confié à des professionnels (type actuaires). Tracts. (La moyenne pour le secteur est de 5. Approches d’audit & sondages. __________________________________________________________________________________________ Le coût de la formation en % de la masse salariale est-il acceptable ? Risques. Objectifs/points de contrôle. risque fiscal.

Risque financier et juridique. Risque opérationnel. Sécurité du travail. Existence de plans de secours. Approches d’audit & sondages. Existe-t-il un suivi des accidents du travail ? Risques. Y a-t-il des prêts au personnel à la consommation. Contrôle de la DRH sur les prêts à taux bonifiés. Mauvais climat social. Rumeurs fondées ou infondées. mauvais climat social s’ils sont trop élevés. immobiliers ? Existe-t-il des règles écrites ? Les taux sont-ils attractifs ? Y a-t-il des impayés ? Les prêts sont-ils remboursables en cas de démission ? Risques. Règles écrites pour prêts au personnel. un outil d’efficacité du risk management. Objectifs/points de contrôle. Taux d’absentéisme pour grève. __________________________________________________________________________________________ Risques. 219 . Prêts au personnel. Approches d’audit & sondages. Mauvais climat social. Objectifs/points de contrôle. Risque de crédit.L’audit systémique bancaire. Mode de décision. Objectifs/points de contrôle. impayés. Approches d’audit & sondages. Limitations. Journaux internes. Approches d’audit & sondages. risque opérationnel. Risque opérationnel. Instruments d’évaluation du climat social. entretiens avec les rédacteurs. Communication interne. Suivi au travers du bilan social ou de tout autre indicateur. Coût si les taux sont trop bas. Risque opérationnel. Répartition des prêts consentis en fonction des niveaux hiérarchiques. Existe-t-il un ou des journaux d’entreprise ? Qui les rédige ? Risques.

L’audit systémique bancaire. cohérence d’une année sur l’autre. confidentialité du traitement de la paie. Existence et suivi d’un plan de formation. comprendra l’élaboration des constats. un outil d’efficacité du risk management. Sur ces domaines sensibles. cohérence entre notation et mesures individuelles. une appréciation claire sera portée dans la synthèse de la fonction RH. Domaines les plus sensibles (doivent faire l’objet d’une appréciation dans la synthèse de la fonction RH) Respect des règles de déontologie et de confidentialité. mais également l’établissement d’une liste de sondages. Existence de procédures écrites dans la fonction RH. s’agissant des constats. et. Liste des sondages possibles Nombre de codes de déontologie remis comparé au nombre de collaborateurs de la banque (à travers des accusés de réception). volet Administration. autant que possible. Sécurité. impayés ou retards. La phase de synthèse. Contenu des dossiers personnels. 220 . et pour information. Pour mémoire. on rappellera ci-dessous quels sont les sondages qui peuvent être effectués et listés dans le rapport. Sont-ils complets ? Liste des absences comparée aux absences réelles sur quelques jours. Appréciations annuelles : établies à la date prévue. __________________________________________________________________________________________ Synthèse. consacrée à la rédaction du rapport d’audit. Liste des heures supplémentaires comparée aux heures supplémentaires réelles sur quelques jours. Prêts au personnel : respect des règles. Rémunération variable : cohérence du montant avec les règles de calcul préétablies. les domaines les plus sensibles. Volet Gestion.

__________________________________________________________________________________________ Chapitre 5 : Mission d'audit de la Direction Comptable. 221 . un outil d’efficacité du risk management.L’audit systémique bancaire.

assurance. les travaux des autres auditeurs externes. Les objectifs de cet audit sont les suivants : S’assurer de la fiabilité de l’information financière et de sa conformité aux normes définies par les autorités de tutelle. une analyse des risques. consolidés et fiscaux ainsi que les états réglementaires. En conséquence. Ces objectifs sont donc différents de ceux des auditeurs externes. __________________________________________________________________________________________ Chapitre 5 : Mission d'audit de la Direction Comptable. les reportings réglementaires.. C’est pourquoi ce chapitre met l’accent sur : l’identification des risques et le recoupement avec les travaux des autres auditeurs en phase de préparation. Apprécier la fiabilité du système d’information comptable. refus de certification). sur un ou plusieurs échantillons d’opérations à déterminer. Un tel audit est plus particulièrement applicable dans le cadre d’une banque ayant une comptabilité propre. On entend par information financière à la fois les comptes sociaux.L’audit systémique bancaire. Porter une appréciation sur les résultats et la rentabilité de l’entité auditée. ces derniers ont une mission légale à l’issue de laquelle ils doivent donner une opinion sur les comptes (certification avec ou sans réserve. transverses à plusieurs fonctions. En effet. et des autorités de tutelle. S’assurer de la connaissance et du respect des règles de déontologie. afin d’adapter le programme de travail à la dimension de la mission tout en le centrant sur les zones les plus risquées. Identifier les dysfonctionnements éventuels du dispositif de contrôle interne. Ces missions sont étendues et ne peuvent être atteintes par le seul audit de la fonction comptable. Il ne couvre pas les spécificités comptables liées à certaines activités (crédit-bail. l’audit de cette fonction doit impérativement s’appuyer sur : les travaux des auditeurs des autres missions (DSI. 222 . les liens avec l’audit des autres fonctions (« clignotants comptables ») en phase d’investigation. Il couvre quatre domaines : l’audit systémique du service comptable (appréciation du contrôle interne). SDM. les risques fiscaux et la consolidation. gestion d’actifs). Introduction.). Le présent chapitre s'applique à l'audit de la fonction Comptabilité. un outil d’efficacité du risk management. affacturage.. des sondages.

Office des changes). Balance générale des comptes du dernier arrêté annuel ou trimestriel. mensuelle. Documentation sur les contraintes légales ou réglementaires (ratios prudentiels. Documentation générale : Organigramme général de la Direction Financière et comptable. __________________________________________________________________________________________ Comme pour toutes les fonctions. L’audit comptable devra mesurer le niveau des risques. Dernier rapport des autorités de tutelle (BAM. Il conviendra. Liasses de consolidation des trois derniers exercices et détail des retraitements éventuels entre la liasse de consolidation et la comptabilité. Documentation spécialisée : Comptabilité : Descriptif de l’architecture des systèmes comptables et de reporting. Liste des procédures comptables existantes.L’audit systémique bancaire. Documents à collecter. de non fiabilité de l’information financière consolidée. une mission d’audit de la fonction comptable comprendra une phase de préparation (collecte de documents et entretiens préparatoires). de non qualité et de non fiabilité de l’information comptable. 80 Audit de processus : organisation. un outil d’efficacité du risk management. Liste des états de contrôle et d’anomalies édités régulièrement (fréquence quotidienne. Préparation. et l’avancement des plans d’actions correcteurs. … 223 . Programme annuel d’audit interne de la banque sur les trois derniers exercices et cartographie des risques de la banque. trimestrielle). Reporting réglementaire local des trois derniers exercices. Tableau de bord des risques opérationnels. Administration fiscale. procédures. leur évolution. en théorie. Définitions de fonctions des principaux responsables. de non fiabilité des comptes et des états financiers. 80 La mission aura pour objet d’apprécier comment sont couverts les risques liés à la fonction comptable. etc…). réglementaire et fiscale. Rapports émis par les auditeurs externes au cours des trois derniers exercices : notes de synthèse et lettres de recommandations sur le contrôle interne. une phase d’investigation (entretiens systémiques et sondages) et une phase de rédaction. Parmi les familles de risques recensées. Plan de Comptes des Etablissements de Crédit (PCEC). seront principalement concernés les risques de non exhaustivité. fonctionnement. de couvrir chacun des quatre domaines lors de chaque phase.

Entretiens préparatoires. Annexe 5 ) : 224 .L’audit systémique bancaire. dès la phase préparatoire.…). connaître leur plan de travail sur les dernières années et sur l’année à venir (thèmes de revues de procédures). Budget et commentaires. Return Of Weighted Assets. Return On Equity. Direction du contrôle interne : obtention des rapports des auditeurs externes. apprécier les performances financières de la banque. Direction Juridique et Fiscale : identification des risques juridiques ou fiscaux éventuels. Ces performances doivent être évaluées à la fois par rapport aux objectifs fixés (budget) mais aussi par comparaison avec la concurrence. A titre indicatif. nous dressons une liste d’entretiens préparatoires avec certaines entités concernées par la mission d’audit comptable : Direction comptable et financière : s’informer sur les spécificités comptables de la banque auditée. __________________________________________________________________________________________ Contrôle de gestion (documents à utiliser notamment pour l’analyse financière) : Reporting de gestion destiné au Management de la banque et commentaires. Travaux préparatoires : Analyse financière et appréciation des performances de la banque. L’objectif de cette analyse financière est double : identifier les principales activités et les variations significatives sur les dernières périodes afin de dégager des zones de risques et d’orienter les travaux de la phase d’investigation. Auditeurs externes: dysfonctionnements et zones de risques déjà identifiés lors des précédentes missions. à adapter en fonction de l’activité) : • Compte de résultat : ( cf . Elle s’appuie également sur l’annexe. Ce travail est à réaliser. du hors bilan et du compte de résultat. Informations chiffrées : Les rubriques suivantes doivent être renseignées dans un tableau (liste indicative. tableaux de bord du contrôle de gestion et commentaires associés. de préférence. en s’appuyant sur les documents de la banque auditée : états financiers. au vu d’un certain nombre de ratios (coefficient d’exploitation. L’analyse porte sur les postes du bilan. un outil d’efficacité du risk management.

Rapports sur la situation fiscale. analyser également la formation du Résultat Brut d’Exploitation par produit. Gestion du Fonds de Roulement. Effectuer. puis. Groupes . Rapports spécifiques. Décomposer également le bilan et le hors bilan par produit. Expliquer les principales variations d’une année sur l’autre. Exploitation des travaux des auditeurs externes. Dérivés. Si l’information est disponible. Analyser l’évolution du portefeuille de créances douteuses et les mouvements de provisions sur les derniers exercices. Change. pour chaque secteur. Documents à exploiter : Notes de synthèse des auditeurs externes des trois dernières années. annuels et semestriels s’il en existe. Cette analyse pourra servir lors de l’audit des frais généraux. Entreprises. tous secteurs confondus. __________________________________________________________________________________________ Détail de la formation du Résultat Brut d’Exploitation (PNB. PME. frais généraux) par secteur (Commercial. Annexe 6 ) : Décomposition détaillée des postes d’actif. Trésorerie. etc…). Trésorerie : Trading. Points à analyser / informations pertinentes / liens avec les autres fonctions : • • Mettre en évidence la part de chaque activité dans le PNB. Apprécier l’étendue de leurs travaux et notamment les thèmes d’intérim (revues de procédures). de passif et de hors bilan sur les trois dernières années.…). 225 . par métier (Commercial : activités Particuliers. • • • L’objectif est de relever les zones considérées comme risquées par les auditeurs externes. Regarder notamment l’évolution des ratios suivants : créances douteuses / total créances et provisions / portefeuille de créances douteuses. mettre en évidence et expliquer les variations importantes. et les intégrer à la démarche d’identification des risques (comprenant notamment la cartographie). en mettant notamment en évidence la variation des marges et des commissions (s’aider des commentaires du Contrôle de Gestion). Lettres de recommandations ou rapport sur le contrôle interne. en date d’arrêté (soldes comptables) et en capitaux moyens. un outil d’efficacité du risk management. • Bilan et hors bilan : ( cf .L’audit systémique bancaire. Sales. une analyse détaillée de la variation des frais généraux sur les trois derniers exercices. A partir de l’analyse du bilan.

Structure et Organisation Générale.1 .L’audit systémique bancaire. 1. un outil d’efficacité du risk management. Objectifs/points de contrôle. Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. Sous-thèmes : libellé du sous-thème appartenant au thème audité. Audit systémique du service comptable. La norme prévoit que le responsable comptable soit rattaché au responsable de la banque ou au directeur financier. Missions. Risque de non exhaustivité. __________________________________________________________________________________________ Investigation. Thème : libellé du thème à auditer. Existe-t-il une définition des missions et responsabilités du service comptable ainsi que des règles de fonctionnement qui lui sont applicables ? Les missions du service comptable ont-elles été déclinées au niveau de chaque collaborateur par l’intermédiaire d’une définition de fonction signée par le responsable hiérarchique et le collaborateur ? Risques. Risques : risques inhérents au thème/sous-thème audité. Risque de non exhaustivité. de non qualité et de non fiabilité de l’information comptable. 1. Organisation et rattachement hiérarchique. Approches d’audit et sondages : approches d’audit et de sondages à réaliser. Objectifs/points de contrôle. de non qualité et de non fiabilité de l’information comptable. 226 . Approches d’audit & sondages. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Obtenir l’organigramme de la banque et analyser le positionnement hiérarchique du service comptable et le pouvoir décisionnel du responsable. L’organisation de la fonction comptable de la banque permet-elle de satisfaire les contraintes ou besoins de la banque et d’assurer la remontée des informations nécessaires à la production des comptes ? Le rattachement hiérarchique du service comptable est-il conforme à son rôle et à l’indépendance nécessaire à la fonction? Risques.

les plans de formation des trois dernières années. la mise à jour du plan de comptes de la banque. Repérer les zones de fragilité du système : délai et qualité des reportings. Objectifs/points de contrôle. Approches d’audit & sondages. Vérifier que les missions et les responsabilités ainsi que les champs d’intervention du service comptable ont été définis par une structure hiérarchique compétente (Direction Générale ou comité exécutif). __________________________________________________________________________________________ Approches d’audit & sondages. qualification et niveau de compétence du personnel. les mouvements et la rotation du personnel. Risque de non exhaustivité. non blocage du système informatique sur les mois et les exercices précédents (attention aux écritures manuelles rétroactives). Objectifs/points de contrôle. Risque de non exhaustivité. de non qualité et de non fiabilité de l’information comptable. les évaluations annuelles.L’audit systémique bancaire. Approches d’audit & sondages. le contrôle et la justification des comptes. la validation du paramétrage des états financiers sur la comptabilité. nature et nombre d’écritures comptables saisies manuellement par le service comptable. mauvaise qualité (ou absence) de l’interface entre les différents sous-systèmes. Se faire décrire par le responsable comptable le système d’information. un outil d’efficacité du risk management. S’assurer de l’adéquation qualitative et quantitative des ressources avec la charge de travail : nombre de personnes. la rédaction des procédures comptables conformément aux lois et règlements en vigueur. vérifier : les dossiers du personnel. Pour cela. de non qualité et de non fiabilité de l’information comptable. Systèmes d’information. 227 . Le service comptable dispose-t-il des ressources humaines adaptées à ses missions ? La formation des collaborateurs du service comptable est-elle suffisante et adaptée aux besoins du service comptable ? Le service comptable a–t-il une documentation suffisante et mise à jour ? Risques. Ressources humaines et Moyens. Le service comptable dispose-t-il des outils adaptés à l’exercice de ses missions ? Risques. Vérifier que le service comptable est en charge des missions suivantes : la production des reportings et des états réglementaires.

la périodicité et la nature des contrôles mis en œuvre. Il convient de vérifier que le service comptable a : réparti les comptes par département. le calendrier d’arrêté des comptes. Ressources Humaines. de traitement et de restitution des informations. Approches d’audit & sondages. de non qualité et de non fiabilité de l’information comptable. __________________________________________________________________________________________ Normes et Procédures comptables Objectifs/points de contrôle. la justification des soldes comptables et le rapprochement du solde comptable avec les documents internes (détail des écritures composant le solde comptable). Approches d’audit & sondages. un outil d’efficacité du risk management. Existe-t-il des normes et procédures comptables adaptées au fonctionnement du service comptable ? Sont-elles mises à jour en fonction des évolutions de la réglementation ? Sont-elles connues des membres du personnel et accessibles à tous ? Risques. les principes comptables en vigueur et la réglementation. l’exhaustivité des schémas comptables utilisés. 228 . de non qualité et de non fiabilité de l’information comptable. Définition des responsabilités de saisie et de contrôle des comptes Objectifs/points de contrôle. les saisies comptables sont décentralisées dans les différents départements de la banque auditée (Back Offices. Vérifier que les procédures comptables de la banque sont produites et validées par le service comptable et incluent principalement : le plan de compte. Moyens Généraux. Les responsabilités de saisie et de contrôle des comptes ont elles été définies pour l’ensemble du plan de compte ? Risques. listé les contrôles de premier niveau qui comprennent principalement : le pointage des opérations passées en compte. En règle générale.L’audit systémique bancaire. etc…). les modalités d’enregistrement. Risque de non exhaustivité. la régularisation des écritures. édité une « balance par service gestionnaire » qui doit être justifiée par chaque département concerné. établi une fiche de fonctionnement documentée par compte (schémas comptables). Risque de non exhaustivité.

2 . L’accès au système comptable est-il contrôlé. Approches d’audit & sondages. le contrôle et l’analyse ? Risques. La banque respecte-t-elle le principe de séparation des fonctions entre la production. 1.2 . S’assurer du respect du principe de séparation des fonctions au sein comptable (stricte séparation entre la saisie. c’est à dire : seul un nombre restreint d’opérateurs a accès au système comptable (le personnel des back offices et de la comptabilité).Séparation des Fonctions. Approches d’audit & sondages. S’assurer du respect de ce principe dans tous les services en charge comptables (travail à réaliser par les auditeurs en charge des autres production. les habilitations accordées à ces personnes sont elles mêmes limitées aux besoins de leur poste. Risque fiscal.Accès aux guides de saisie et habilitations. Approches d’audit & sondages.1 Respect du principe de séparation des fonctions. Risque de Fraude. engagements. un outil d’efficacité du risk management. __________________________________________________________________________________________ Archivage des données comptables Objectifs/points de contrôle. Vérifier que les profils utilisateurs des collaborateurs correspondent aux besoins de leur poste. Risque de fraude. Objectifs/points de contrôle. Objectifs/points de contrôle.2. du service le contrôle de saisies fonctions : 229 . Risques. S’assurer que les accès aux guides de saisie « ouverts » (permettant de mouvementer n’importe quel compte) sont strictement limités au service comptabilité (travail à réaliser en liaison avec l’auditeur informatique). des comptes).2 . 1. marchés. Le service comptable a-t-il mis en place une procédure d’archivage des documents comptables selon les normes en vigueur? Risques. 1. la validation informatique. Vérifier l’existence de cette procédure et sa conformité aux normes. gestion des moyens).L’audit systémique bancaire.

un outil d’efficacité du risk management. Ces contrôles doivent être matérialisés.. Vérifier que le service comptable : • effectue périodiquement (par exemple tous les mois) un contrôle des interfaces entre les systèmes opérationnels et la comptabilité générale.) et disponibles pour tout contrôle des auditeurs internes et externes. Le responsable comptable a-t-il mis en place une procédure de suivi et de contrôle des opérations saisies par la comptabilité ? Risques.3. Approches d’audit & sondages. compte pivot.L’audit systémique bancaire.Opérations saisies par la comptabilité. Le service comptable effectue-t-il un réel contrôle sur les comptabilités décentralisées dans les B/O ? Risques. __________________________________________________________________________________________ 1. conservés dans un dossier (classé par nature de compte. 1. • identifie et analyse les écarts éventuels. contrôle de la piste d’audit par sondage en allant du solde de la balance générale jusqu’à l’écriture d’origine. Risque de fraude et de non fiabilité de l’information comptable. Risque de fraude.1 .3 . comptes nostri)..Contrôles de second niveau exercés.3. Objectifs/points de contrôle.3. mise sous surveillance de certains comptes plus risqués (comptes de passage. S’assurer que le contrôle de second niveau effectué par la comptabilité comprend les points de contrôle suivants : vérification mensuelle des justifications de compte. Objectifs/points de contrôle. suivi et analyse de la régularisation des suspens comptables.Contrôles exercés par le service comptable. et s’assure que les corrections adéquates on été apportées par les Back Offices. 1. par type d’opération. 1. Recenser les opérations saisies comptabilisées.Interfaces entre les systèmes opérationnels et la comptabilité générale. Le service comptable vérifie-t-il régulièrement le bon déroulement des interfaces entre les systèmes opérationnels et la comptabilité générale ? Risques. Risque de fraude et de non fiabilité de l’information comptable.3 . Approches d’audit & sondages. 230 .2 . par devise. Approches d’audit & sondages. Objectifs/points de contrôle.

1.Contrôle des comptes. établir une procédure propre au service comptable pour procéder à l’ouverture.Les outils de pilotage. fermeture et modification) ? Risques. __________________________________________________________________________________________ Etudier le processus de comptabilisation de ces opérations : Qui définit le schéma de comptabilisation ? Qui effectue la saisie ? Qui valide la saisie ? Quels sont les contrôles de second niveau exercés ? 1. 1.L’audit systémique bancaire. Vérifier la fréquence des rapprochements entre les informations comptables et de gestion (au minimum mensuelle) ? Obtenir les derniers états de rapprochement.1 . Le Responsable Comptable dispose-t-il d’indicateurs ou de tableaux de bord permettant de recenser et de quantifier les suspens sur une liste déterminée de comptes sensibles (nostri. Objectifs/points de contrôle. Vérifier que le service comptable fait un suivi rigoureux de son plan de compte. Le service comptable a-t-il la responsabilité de la gestion du plan de compte interne (ouverture. Objectifs/points de contrôle.5 . les fermer s’ils sont non utilisés depuis un certain délai à fixer dans la procédure. Approches d’audit & sondages. éditer régulièrement le plan de compte et vérifier formellement toutes les modifications intervenues. Le service comptable s’assure-t-il en liaison avec le contrôle de gestion de la correspondance entre les états financiers et les états de gestion ? Risques.3. la fermeture et la modification de comptes. Il doit : être l’unique service à avoir les habilitations pour procéder à l’ouverture. Risque de non fiabilité des comptes et des états financiers. Risque de fraude. identifier les comptes dormants et en faire un suivi régulier. un outil d’efficacité du risk management.Ouverture.4. la fermeture et la modification des comptes internes. Objectifs/points de contrôle. Les écarts sont-ils identifiés et analysés ? 1.3. fermeture et modification des comptes.4 . analyse 231 . etc…) ? Le Responsable Comptable utilise-t-il ces tableaux de bord ? En particulier.Rapprochement comptabilité / gestion.4 . Approches d’audit & sondages. débiteurs et créditeurs divers.

Dispose-t-il d’autres indicateurs de productivité (temps passés. __________________________________________________________________________________________ t-il l’ancienneté des suspens ? S’assure-t-il que ses collaborateurs suivent correctement les écritures anciennes non régularisées (demandes de justifications complémentaires. relances des services concernés) ? Le Responsable Comptable (en liaison avec le Directeur Financier) analyse-t-il les variations des différents postes du bilan. 1. Examiner le planning de production des états et situations comptables.L’audit systémique bancaire. productivité) sontelles également communiquées au Directeur Financier (ou autre hiérarchie de 232 .4 . on pourra établir des comparaisons dans le temps entre le nombre d’Unités Temps Plein et le nombre d’écritures.3 . Risque réglementaire. 1. Objectifs/points de contrôle.Supervision hiérarchique. Approches d’audit & sondages.4. Points d’attention : Quelle est la fréquence de ces tableaux de bord ? Sont-ils exhaustifs (liste des comptes suivis : s’assurer de la présence des comptes les plus sensibles) ? Les informations qui y figurent sont-elles pertinentes (par exemple date d’enregistrement comptable) ? Le contrôle du chef comptable est-il matérialisé sur ces états ? 1. pour la production des différents états de reporting réglementaires) ? Risques. Discuter de ce point avec le Responsable Comptable. du hors bilan et du compte de résultat ? Risques. Risque d'efficience. Objectifs/points de contrôle. Approches d’audit & sondages.2 . en jours / homme. Les indicateurs du Responsable Comptable permettent-ils de s’assurer du respect des délais de production et d’envoi des travaux de reporting réglementaire ? Risques. un outil d’efficacité du risk management. Par ailleurs.4. reporting réglementaire.Reporting réglementaire. Examiner quelques tableaux de bord récents du Responsable Comptable sur le suivi des comptes sensibles. Objectifs/points de contrôle. Risque de fraude. Risque de non fiabilité des comptes.Productivité. Ces informations (contrôle des comptes. Approches d’audit & sondages.4.

2. risque de non fiabilité des comptes. Consulter les tableaux de bord mis à la disposition du Directeur Financier par le service comptable. risque réglementaire. Audit systémique : Quel est le mode de production de la liasse : alimentation automatique ou saisie manuelle ? Quels sont les contrôles exercés au sein du service comptable : rapprochement systématique de la liasse avec la comptabilité générale. __________________________________________________________________________________________ rattachement du service comptable) ? Sous quelle forme (même format de reporting ou information plus synthétique préparée par le Responsable Comptable) ? Sont-elles exploitées par le Directeur Financier ? Risques.Connaissance et respect des règles de déontologie. un outil d’efficacité du risk management. 2.Liasse de consolidation. validation par le Responsable Comptable ? A partir de la liasse de consolidation du dernier arrêté trimestriel : 233 .L’audit systémique bancaire.5 . Approches d’audit & sondages. Vérifier la diffusion et la prise de connaissance du code de déontologie de la banque. le droit et devoir d’appel. Approches d’audit & sondages. La liasse de consolidation est-elle alimentée correctement ? Les informations qui y figurent sont-elles rapprochées de la comptabilité générale ? Les normes comptables appliquées sont-elles conformes aux normes réglementaires ? Risques. Les membres du service comptable ont-ils connaissance des règles de déontologie de la banque? Ont-ils déjà eu à appliquer ces règles ? Risques. Objectifs/points de contrôle. Risques associés : mise en cause de la banque pour non respect de la réglementation. Les deux points suivants doivent plus particulièrement être soulignés dans le cas d’un personnel comptable : le respect du secret professionnel. Risque de fraude. divulgation d’informations confidentielles. Les reportings réglementaires. Non fiabilité de l’information financière servant de base à la production des comptes consolidés. 1. Approches d’audit & sondages. Objectifs/points de contrôle.1 .

effectués sur la liasse ? La liasse définitive est-elle contrôlée et validée par le département des engagements ? Test sur un échantillon d’engagements : Sélectionner quelques dossiers dans la liste des dossiers d’engagement revus lors de l’audit de cette fonction. 2.2 . Objectifs/points de contrôle.3 . Non fiabilité de l’information financière communiquée à la Banque Centrale et servant de base au calcul du ratio de solvabilité. Vérifier pour ces opérations qu’elles sont correctement prises en compte 234 . lignes octroyées pour des opérations de marché.L’audit systémique bancaire. Non fiabilité de l’information financière servant de base à la production des comptes consolidés.Intra-groupes. analyser et contrôler les éventuels retraitements. Approches d’audit & sondages. Auditer la procédure de réconciliation des opérations intra-groupes : Le service comptable échange-t-il des confirmations avec ses contreparties sur les opérations intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec l’ensemble des contreparties) ? Les écarts sont-ils analysés et expliqués ? 2. manuels ou automatiques. Objectifs/points de contrôle. La banque identifie-t-elle ses opérations intra-groupes ? Existe-t-il une procédure de réconciliation avec les contreparties internes (circularisation et rapprochement) ? Risques. Le reporting engagements pondérés est-il alimenté correctement : Les informations qui y figurent sont-elles rapprochées de la comptabilité générale ? La réglementation de BAM en la matière est-elle appliquée ? Risques. __________________________________________________________________________________________ vérifier la concordance de la liasse avec le grand livre. On prendra soin de sélectionner des types d’opération pouvant facilement engendrer des erreurs : émission de garanties intra-groupes. gages espèces reçus en garantie. Approches d’audit & sondages.Reporting engagements pondérés. Audit systémique : Quel est le département en charge du calcul des engagements pondérés : comptabilité ou engagements ? Existe-t-il un système dédié à la production des engagements pondérés ? Estil interfacé avec le système comptable ? Des ajustements manuels sont-ils nécessaires ? Pour quel type d’opérations ? Existe-t-il une piste d’audit satisfaisante permettant de remonter à la source de chaque ligne de la liasse de reporting ? Quels sont les contrôles. un outil d’efficacité du risk management.

Risques fiscaux.…) sont respectés. Auditer le processus de production de ce reporting. Non fiabilité de l’information financière. Afin de valider ces points. Non respect de la réglementation BAM. Approches d’audit & sondages. il conviendra : de s’informer des contraintes réglementaires en matière de règles prudentielles (par entretien avec le Directeur Financier et consultation des textes officiels). Qui produit ce reporting ? Quelle est la source de l’information ? Quels sont les contrôles effectués ? 2. d’obtenir et de contrôler les états de reporting récents envoyés aux autorités réglementaires (Banque Centrale.5 . un outil d’efficacité du risk management. Approches d’audit & sondages. 3.L’audit systémique bancaire. Objectifs/points de contrôle. Objectifs/points de contrôle. NB : on trouvera des informations également dans les rapports des Commissaires aux Comptes (qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque Centrale. Risque de sanctions BAM. La banque auditée respecte-t-elle les règles prudentielles ? Remplit-elle les obligations de reporting imposées par les autorités réglementaires ? Le processus d’élaboration du reporting statutaire garantit-il l’exactitude.Reporting statutaire. Le reporting fiscal est-il réalisé dans les délais et validé par les personnes habilitées ? La banque a-t-elle effectué les démarches nécessaires pour se documenter et appliquer les règles fiscales en vigueur ? 235 . __________________________________________________________________________________________ dans la liasse d’engagements pondérés.1 . liquidité. Ministère des Finances principalement) : s’assurer que tous les états de reporting requis sont envoyés dans les délais requis et que les ratios prudentiels locaux (solvabilité. Objectifs/points de contrôle. Pour cela. 2.Déclarations fiscales. 3. Le reporting sur le ratio de liquidité est-il correctement rempli par la banque auditée ? Risques. l’exhaustivité et le respect des délais ? Risques.Ratio de liquidité. il est nécessaire de suivre la piste d’audit jusqu’à la ligne adéquate de la liasse.4 .

.1 – Périmètre. 4. Approches d’audit & sondages. Risque réglementaire. Consolidation. Pour ce faire. Vérifier que les impôts différés sont fiscalement justifiés (plus-values à long terme. S’assurer. Vérifier s’il y a eu des redressements fiscaux ou s’il y a des contrôles fiscaux en cours et si oui. Risque réglementaire. Consulter les liasses fiscales des derniers exercices et les états de reporting du responsable comptable. Risque de non fiabilité de l’information financière. qu’une provision passive a été constituée pour le montant du risque. sont-ils correctement provisionnés ? Risques. Approches d’audit & sondages.Identification des Risques Fiscaux.2 .). si oui. 3. on vérifiera l’exactitude des pourcentages d’intérêt et pourcentages d’intégration calculés pour chaque société. Passer en revue la documentation fiscale du responsable financier. Objectifs/points de contrôle. Le périmètre retenu par la banque est-il comptablement justifié? Risques. Les risques fiscaux ont-ils été identifiés par la banque et.2 . 4.L’audit systémique bancaire. qu’elles sont justifiées et non répétitives et ne correspondent pas à un habillage fiscal. un outil d’efficacité du risk management. __________________________________________________________________________________________ Risques. La banque a-t-elle mis en place une procédure d’identification des intra-groupes ? Ces intra-groupes ont-ils été éliminés pour la production des comptes consolidés ? 236 .Elimination des opérations intra groupes. Approches d’audit & sondages. 4.. Objectifs/points de contrôle. S’assurer que les liasses sont revues par le responsable fiscal (s’il en existe un) et par le management. en cas de pertes fiscales. Vérifier que les frais de siège refacturés aux filiales sont justifiés fiscalement quant à leur réalité et à leur montant. Obtenir et valider la liste des sociétés du périmètre ainsi que les méthodes de consolidation retenues. Risque réglementaire. Objectifs/points de contrôle.

Vérifier la justification des principaux retraitements effectués et leur conformité avec les normes comptables. Risque de non fiabilité de l’information financière consolidée. __________________________________________________________________________________________ Risques. Objectifs/points de contrôle. un outil d’efficacité du risk management. risque réglementaire. Obtenir le tableau de passage du résultat social au résultat consolidé de la banque. S’assurer que les montants éliminés enregistrés en consolidation ont bien été déclarés sur les liasses de consolidation de chaque filiale concernée et inversement que l’ensemble des intra-groupes recensés ont effectivement été éliminés en consolidation. Risque de non fiabilité de l’information financière. les retraitements d’homogénéisation (amortissement des immobilisations selon une durée homogène par exemple). Le passage du résultat social au résultat consolidé de la banque est-il expliqué et les retraitements effectués sont-ils justifiés ? Risques. Approches d’audit & sondages. Approches d’audit & sondages. 237 .L’audit systémique bancaire. Vérifier que la procédure mise en place par la banque pour rapprocher les montants intra-groupes société par société permet d’identifier la réciprocité et l’exhaustivité des éliminations (confirmations réciproques des intra-groupes par fiches navettes avec les autres unités du périmètre de consolidation). risque réglementaire. 4. notamment : la prise en compte des retraitements obligatoires avec l’élimination des écritures purement fiscales (provisions réglementées).3 – Retraitements.

un outil d’efficacité du risk management. __________________________________________________________________________________________ 238 .L’audit systémique bancaire.

__________________________________________________________________________________________ Conclusion générale 239 . un outil d’efficacité du risk management.L’audit systémique bancaire.

un outil d’efficacité du risk management. __________________________________________________________________________________________ 240 .L’audit systémique bancaire.

__________________________________________________________________________________________ Conclusion générale. Cette gestion longuement assimilée à une simple conformité aux procédures internes et à des règles prudentielles s'est révélée inadéquate dans la mesure où les banques se sont limitées pour la plupart au respect d'un ensemble d'indicateurs plutôt généraux et ont passé sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du management et du conseil d'administration dans le contrôle des organisations bancaires ce qui a induit 241 . Avec la croissance des volumes d’opérations. elles accroissent le risque d’audit inadapté voir défaillant. Le pilotage des risques bancaires via le risk management et l'audit interne est une problématique largement d'actualité. sont susceptibles d'engendrer un effet de domino auprès d'autres opérateurs sur les marchés avec des conséquences difficilement calculables pour le système financier. la rapidité de renouvellement des process. un outil d’efficacité du risk management. Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer. en s’appliquant au système de gestion et de contrôle des risques bancaires. les risques bancaires sont des phénomènes complexes et difficiles à cerner. L'audit bancaire présente quelques spécificités de part les particularités de l’environnement analysé. l'automatisation accélérée des traitements.L’audit systémique bancaire. S'il est vrai que l'audit bancaire comporte des coûts élevés. Encore s'agit-il de s'assurer que l'audit mis en place est bien apte à accomplir la mission qu'on lui a assignée. L’enquête menée auprès du système bancaire marocain a mis en évidence certaines insuffisances dans la gestion et l'audit des risques au sein des établissements bancaires. si elles ne sont pas contenues adéquatement par des tampons solides aptes à endiguer le risque systémique. Ces mutations posent d'une part des problèmes de difficultés d’audit et de management des risques et d’autre part. le développement des produits diversifiés et sophistiqués. il s'est avéré qu'un audit déficient ou insuffisant coûte encore plus cher. système d'information. activités de marché …. l’interprétation des résultats et les difficultés d’élaboration du système de référence. il en découle une pluridisciplinarité des champs observés : ressources humaines. De plus. plus significatifs et plus complexes surtout dans un contexte de baisse des marges. comptabilité. Des systèmes déficients en matière de gestion et d'audit des risques dans le secteur bancaire peuvent rapidement provoquer des pertes financières considérables lesquelles. En effet. Le paysage bancaire marocain fait actuellement face à un environnement socioéconomique mouvant et de plus en plus complexe. les risques auxquels les banques sont actuellement confrontées sont devenus plus nombreux.

cet audit doit aller dans le sens de l’importance accrue conférée par les autorités de contrôle bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de contrôle interne dans une organisation bancaire. Celle-ci a modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire. marché. quelle que soit la nature du risque (crédit. de mesurer. les banques doivent plus que jamais disposer d’un système d’audit et de risk management performant. l'auditeur interne apparaît de plus en plus 242 . opérationnel. un outil d’efficacité du risk management. conformité. Disposer de cette visibilité globale sur le risque. le risk management et la compliance. de maîtriser et d'assurer une réaction rapide face à l’apparition de nouveaux risques.). la gestion et la prévention des risques. il est de plus en plus pressant que les établissements bancaires puissent s'investir dans le développement d'instruments complémentaires d'analyse fondés sur des méthodes à la fois quantitatives et qualitatives voir systémiques. Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel. Le Comité de Bâle impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit. En outre. L’audit interne tel que pratiqué actuellement dans de nombreuses grandes banques. Ainsi. Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour tirer les conclusions de ces évolutions. Parallèlement au développent en interne d'outils et techniques de contrôles et gestion des risques bancaires. susceptible d’analyser. du risque de marché et du risque opérationnel. une telle approche permet aux établissements bancaires de disposer d'un outil précieux pour mieux gérer et contrôler leurs risques.L’audit systémique bancaire. tout en répondant aux exigences réglementaires serait possible avec l'approche de l'audit systémique. efficace et élaboré. réputation. Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un système existant. de vérifier l'efficacité du dispositif de contrôle interne par ligne métier. quelle que soit la complexité des organisations ou des processus à auditer. __________________________________________________________________________________________ l’absence d’un exercice clair des responsabilités du top management dans l’attribution des rôles et des tâches entre l’audit interne.. Cette approche permet également : d'avoir une vision globale et maîtrisée des risques. la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers dans la maîtrise.. s’avère inadéquat ou du moins présente des insuffisances. d’accroître la responsabilité. L’axe de progrès le plus évident est la mise en place d’un système interne d’audit et de risk management et ce. enfin.

et la convergence des dispositifs de contrôle interne au regard des normes internationales et les principes fondamentaux édictés par le Comité de Bâle d’autre part. néanmoins. inhérente à la libéralisation croissante de l’activité bancaire et à l’ouverture de l’économie nationale. mais incitative à l’adoption d’approches plus fines dites de notation interne pour l’allocation des fonds propres. la démarche opératoire d'audit systémique développée dans le présent mémoire pour les quatre lignes métiers (système d'information. salle des marches. Les travaux préparatoires pour l’application du nouvel accord sur les fonds propres ont conduit à opter pour une démarche progressive. comptabilité et ressources humaines) illustre parfaitement l'originalité et la pertinence de l'approche. ces dernières années. Le renforcement de la concentration au sein du secteur bancaire.L’audit systémique bancaire. adaptée au contexte national. l’accélération du processus de restructuration des différentes composantes de ce secteur. __________________________________________________________________________________________ incontournable dans le processus de supervision bancaire architecturé par les organes de tutelles. imposant des standards de compétitivité de plus en plus contraignants. Cette évolution a engendré une nouvelle dynamique dans le secteur qui s’est concrétisée par un mouvement de concentration des établissements de crédit et la recherche d’un positionnement sur l’échiquier régional et international. un outil d’efficacité du risk management. Parallèlement. permettraient au secteur d’être à même de faire face à la concurrence étrangère et d’accompagner l'accès des opérateurs aux marchés extérieurs. 243 . conduisent leurs activités de manière saine et maintiennent leurs fonds propres à des niveaux appropriés au regard des risques qu’ils encourent. l'auditeur bancaire devient ainsi un acteur important dans la prévention des risques bancaires. les nouvelles évolutions du cadre réglementaire du secteur bancaire marocain notamment à travers la refonte récente des statuts de Bank AlMaghrib lui conférant l’autonomie en matière d’élaboration et de conduite de la politique monétaire et la nouvelle loi bancaire ayant renforcé les prérogatives de la banque centrale dans le domaine de la supervision bancaire d’une part. par un resserrement de la marge d’intermédiation bancaire. L’intensification de la concurrence. Par ailleurs. Ainsi. La transition du secteur bancaire vers le nouveau dispositif de Bâle II dans de bonnes conditions nécessite. constituerait à cet égard un atout majeur. la Banque centrale veille à ce que les établissements de crédit renforcent leurs dispositifs de contrôle interne. à travers les économies d'échelle qu'elle induit. Au delà de sa responsabilité de donner un avis indépendant sur la fiabilité des dispositifs de contrôle interne. s’est traduite.

Compliance. un outil d’efficacité du risk management.. plus encore que par le passé. être consolidé pour les placer en position de faire face. __________________________________________________________________________________________ La situation prudentielle des banques commerciales demeure conforme aux normes observées sur le plan international. aisément. l’audit interne n’a ainsi pas achevé sa mutation et continuera d’évoluer pour apporter aux banques toujours plus de valeur ajoutée.L’audit systémique bancaire. lorsqu’il existe . Ce travail de recherche constitue ainsi un support d’analyse qualitative auquel tout responsable d’audit interne ou risk manager est invité à se reporter. Il reflète l’image d’un audit interne au service tant de la direction générale que du comité d’audit. son objectivité et son impartialité . l’audit interne apportera aux banques encore plus de valeur ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation bancaire. maintenir son indépendance. Leur ratio de solvabilité dégage globalement un excédent qui devrait. Ce faisant. comme un outil majeur de détection. en coordination avec toute autre fonction concernée (Risk management. se positionner. En relevant ces défis. Les résultats de l’enquête menée permettent d’entrevoir les contours de l’audit interne de demain et de définir les défis et les enjeux futurs de la profession à savoir : affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la faveur d’un rattachement hiérarchique à la direction générale et de liens fonctionnels avec le comité d’audit.. aux nouvelles contraintes imposées par le nouveau dispositif de Bâle II. d’autant que de fréquentes références aux référentiels et aux normes professionnelles viennent rappeler les bonnes pratiques en la matière.). à même de prévenir la destruction de valeur au sein de l’organisation bancaire et d’apporter une contribution déterminante à une bonne gouvernance. accroître sa professionnalisation par : une formation permanente. de prévention et de maîtrise des risques. 244 . toutefois. une méthodologie et des outils adaptés et performants basés et sur les risques et sur les systèmes (l’Audit Systémique).

L’audit systémique bancaire. __________________________________________________________________________________________ 245 . un outil d’efficacité du risk management.

__________________________________________________________________________________________ Annexes 246 .L’audit systémique bancaire. un outil d’efficacité du risk management.

__________________________________________________________________________________________ 247 .L’audit systémique bancaire. un outil d’efficacité du risk management.

Négligence sur l'établissement de limites bien définies 1.64 des portefeuilles coût historique milliard de dollars 2. Ventes d'obligations appartenant aux clients 3. Mauvaise maîtrise des risques à 509 millions de livres 1991 moyen et long terme sterling 1995 Confederation Pertes Life financières 1. 248 . Manque de compréhension de l'activité Pertes de 800 millions de £. 1.2 milliards de francs 1993 1995 1992 Morgan Grennfell Perte de confiance des investisseurs Placement dans des actions non cotées et très spéculatives Perte de 400 millions 1994 de dollars 1997 93 millions de dommages et intérêts Pertes de 1. suivi d'une chute des prix. Valorisation des portefeuilles au Pertes de 1.Trop grande concentration des pouvoirs 2.3 milliards de dollars 1980 1993 Source : PricewaterhouseCoopers. Mauvaise compréhension des risques de l'activité 2. Société Barings Type de catastrophe Faillite financière Causes Erreur Impact résultats Année Stratégie erronée avec des 1. Faiblesse du contrôle interne Perte de 8. un outil d’efficacité du risk management. Falsification des relevés bancaires Daiwa Fermeture d'une succursale et démission de la direction générale Pertes financières Lloyds Stratégie d'indemnisation de sinistre illimitée à l'époque de la découverte de l'amiante et autres polluants Investissements massifs dans le seul marché immobilier.L’audit systémique bancaire. Pas de reporting régulier Stratégie de vente de produits pétroliers hasardeuse 1. Faiblesse du contrôle interne. Management trop confiant volumes démesurés par 2. Mauvaise gestion des corrélations entre les risques de marché 3. __________________________________________________________________________________________ Annexe N°1 Tableau synthétique des principales catastrophes financières.1 milliard de dollars 1994 1996 1995 Bankers Trust Perte d'image Insuffisante explication des Insuffisante vérification des risques liés aux produits connaissances techniques des vendus clients Manque de ségrégation des tâches 1.2002 81 METALLGESELLSHAFT Refining and Marketing (MGRM). faible supervision des employés et manque de reporting 4. Management trop confiant Pertes de 1. Trop grande concentration des rapport à la taille de pouvoirs l'établissement 3. Faillite de la banque 1995 et rachat pour 1 franc symbolique par une banque hollandaise Orange County MGRM 81 Cessation de paiements Cessation de paiements Pas de reporting en valeur 1. Aucune stratégie de diversification prévue 2. Dépassement des limites de position pour récupérer es pertes 2.

promotions 5. Appréciation 3. Pour le personnel détaché. Service national 13. Sortie (démission.civil. voyages. Médailles du travail 12. réintégration. retraite. Pièces diverses 14. Prêts et avances 8. Etat . embauches. Situation de famille. Contrat spécifique (détachement. partiel) 2. Incidents 11. participation 9. adresse 7. mutations.L’audit systémique bancaire. CDD. régime (temps plein. Formation 4. plan social…) 249 . etc…) 10. Renseignements. Absences 6. avantages particuliers (logement. primes. scolarité. Appointements. ANAPEC …). un outil d’efficacité du risk management. Intéressement. titularisation. __________________________________________________________________________________________ Annexe N°2 Contenu type du dossier administratif du personnel 1.

. Efficience Risque de traitement et de mise à disposition d’informations avec une utilisation des ressources non optimale (productive et économique). Intégrité Disponibilité Conformité Traçabilité Juridique Image Risque de non exhaustivité. contrats. Confidentialité Risque de divulgation non autorisée d’informations sensibles. 250 . Risque d’indisponibilité des informations et des ressources (humaines. réglementations. Risque de non respect des lois. __________________________________________________________________________________________ Annexe 3 Etat des Absences Sur base de l’effectif payé mensuel moyen de l’année (en nombre de personnes). logicielles. d’inexactitude et d’invalidité des informations traitées.…) Autres causes Total Annexe 4 Typologie des risques informatiques OBJECTIF DEFINITION DU RISQUE DE NON ATTEINTE DE L’OBJECTIF Efficacité Risque de traitement et de mise à disposition d’informations inadéquates. Risque d’atteinte à la réputation de l’entreprise. un outil d’efficacité du risk management. standards. Risque de litige porté devant les tribunaux. normes externes et internes.L’audit systémique bancaire. gérées et mises à disposition. non pertinentes. tardives ou inexploitables. Risque de ne pas disposer des traces nécessaires à des recherches / contrôles a posteriori ou à titre de preuve en cas de litige.. n % % % % % % n-1 % % % % % % n-2 % % % % % % Maladie Accidents du travail Congés de maternité Congés autorisés (événements familiaux. avec les jours ouvrés par an. matérielles.).

Charges sur opérations de crédit-bail et assimilées + Produits sur opérations de location simple . un outil d’efficacité du risk management.Résultat exceptionnel . __________________________________________________________________________________________ Annexe 5 Compte de résultats Année 1 Année 2 Année 3 Intérêts et produits assimilés .Gains ou pertes sur opérations des portefeuilles de négociation +/.Dotations / reprises de FRBG et provisions réglementées = RESULTAT NET 251 .L’audit systémique bancaire.Autres charges d’exploitation bancaire = PRODUIT NET BANCAIRE .Impôt sur les bénéfices +/.Dotations aux amortissements et provisions / immobilisations corporelles et incorporelles = RESULTAT BRUT D’EXPLOITATION .Intérêts et charges assimilées + Produits sur opérations de crédit-bail .Coût du risque = RESULTAT D’EXPLOITATION +/.Charges sur opérations de location simple + Revenus des titres à revenu variable + Commissions (produits) .Commissions (charges) +/.Charges générales d’exploitation .Gains ou pertes sur opérations des portefeuilles de placement et assimilés + Autres produits d’exploitation bancaire .Gains ou pertes sur actifs immobilisés = RESULTAT COURANT AVANT IMPOT +/.

un outil d’efficacité du risk management.L’audit systémique bancaire. __________________________________________________________________________________________ Annexe 6 Bilan Année 1 Année 2 Année 3 Actif Opérations de trésorerie et interbancaires Opérations avec la clientèle Dont créances douteuses Dont provisions pour créances douteuses Opérations sur titres Comptes de régularisation et divers Valeurs immobilisées Année 1 Année 2 Année 3 Passif Opérations de trésorerie et interbancaires Opérations avec la clientèle Opérations sur titres Comptes de régularisation Provisions passives et non affectées Dettes représentées par un titre Capitaux propres hors résultat Résultat Année 1 Année 2 Année 3 Hors bilan Engagements donnés en faveur des établissements de crédit Engagements donnés en faveur de la clientèle Engagements reçus des banques Engagements reçus de la clientèle - Ratios / autres informations : Année 1 Année 2 Année 3 Effectifs (Unités Temps Plein en fin de période) Engagements pondérés Coefficient d’exploitation (%) ROWA (return on weighted assets) ROE (return on equity) analytique après impôts Ratio créances douteuses / total créances Ratio provisions créances douteuses / créances douteuses 252 .

l’efficacité des canaux de la circulation interne de la documentation et de l’information ainsi que de leur diffusion auprès des tiers. . mise en oeuvre et suivi des tâches du contrôle interne.Dispositif de mesure. MISE EN OEUVRE ET SUIVI DES TACHES DU CONTROLE INTERNE ARTICLE 3 La conception du système de contrôle interne incombe à l’organe de direction (direction générale. Afin de renforcer le dispositif prudentiel susvisé et dans le but d’amener les établissements de crédit à maîtriser davantage les risques qu’ils encourent.la vérification des opérations et des procédures internes.Dispositif de contrôle de la comptabilité.Dispositif de vérification des opérations et des procédures internes.CONCEPTION.Dispositions diverses et transitoires. le 25 Kaada 1421 19 Février 2001 CIRCULAIRE N° 6 RELATIVE AU CONTROLE INTERNE DES ETABLISSEMENTS DE CREDIT Dans le cadre des prérogatives qui leur sont dévolues notamment par le dahir portant loi n°1-93-147 (6 juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle. conseil de surveillance ou toute instance équivalente). conçus par l’organe de direction.prévoir les moyens humains et matériels nécessaires à la mise en œuvre du contrôle interne. de traitement.la mesure. . . de maîtrise et de surveillance des risques. les modalités et les règles minimales que les établissements de crédit doivent observer pour la mise en place de ce système. également.identifier l’ensemble des sources de risques internes et externes. La présente circulaire a pour objet de préciser. . ARTICLE 4 L’organe de direction élabore. ARTICLE 5 Le système de contrôle interne ainsi que sa structure organisationnelle. .la fiabilité des conditions de la collecte. dans les conditions minimales prévues par les dispositions de la présente circulaire. en particulier.définir les procédures de contrôle interne adéquates. à cet effet : . les autorités monétaires ont édicté un ensemble de règles prudentielles d’ordre quantitatif visant à prémunir les établissements de crédit contre certains risques tels que les risques de liquidité. . directoire ou toute instance équivalente) qui doit. I. doivent être agréés par l’organe d’administration (conseil d’administration. notamment : . de solvabilité. en vue d'assurer en permanence. par les instances compétentes. la maîtrise et la surveillance des risques. . . . un outil d’efficacité du risk management.L’audit systémique bancaire. ARTICLE 2 Le système de contrôle interne consiste en un ensemble de dispositifs conçus et mis en œuvre. la structure organisationnelle appropriée pour la mise en œuvre du système de contrôle interne. de concentration des crédits et de dépréciation des actifs. 253 . . de diffusion et de conservation des données comptables et financières. ARTICLE PREMIER Les établissements de crédit sont tenus de mettre en place un système de contrôle interne.Conception. __________________________________________________________________________________________ Annexe N°7 Circulaire BAM N°6/G/2001 BANK AL-MAGHRIB LE GOUVERNEUR Circulaire N° 6/G/2001 Rabat. les autorités monétaires estiment que ces établissements doivent se doter d’un système de contrôle interne.

à. ARTICLE 10 L’organe de direction doit veiller au suivi du système de contrôle interne. doté d'un organe central.les éléments constitutifs de chaque dispositif et les moyens de leur mise en œuvre. à toute carence ou insuffisance relevée dans les dispositifs de contrôle. A cet effet. au moins une fois par an. ARTICLE 11 L’organe de direction est tenu d’élaborer un manuel de contrôle interne qui précise notamment : . par l’organe de direction. ARTICLE 15 L’organe d’administration est tenu de constituer un comité chargé de l’assister en matière de contrôle interne. Ce rapport décrit les actions de contrôle effectuées et les insuffisances relevées. retracer les activités du contrôle interne au niveau de l'ensemble des entités du groupe. au moins une fois par an. Il doit. ARTICLE 14 L’organe d’administration est tenu de s’assurer de la mise en place et du suivi. Ce comité procède notamment à l’évaluation de la cohérence et de l’adéquation des dispositifs de contrôle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposées pour combler les lacunes ou insuffisances décelées dans le système de contrôle interne.L’audit systémique bancaire. un rapport sur les activités du contrôle interne qu'il adresse à l’organe d’administration. dans le cas des établissements contrôlés de manière exclusive par un autre établissement de crédit. . dans le cas des établissements qui détiennent le contrôle exclusif d’autres entités à caractère financier. une fois adopté par l’organe délibérant.les différents niveaux de responsabilité du contrôle. il procède.vis des unités opérationnelles. dans ce cadre de : . un outil d’efficacité du risk management. . ARTICLE 7 Les établissements de crédit constitués en groupe. ARTICLE 8 Les fonctions du responsable visé au 2ème alinéa de l’article 6 ci-dessus peuvent être assurées par l'organe de direction lorsque la taille de l'établissement ne justifie pas de confier ces tâches à une personne spécialement désignée à cet effet. Il doit. choisissent le responsable visé au 2ème alinéa de l’article précédent en concertation avec ledit organe. du système de contrôle interne. de la bonne exécution de la mission confiée au responsable visé au 2ème alinéa de l’article 6 susvisé et du bon fonctionnement global du système de contrôle interne. .prendre les mesures nécessaires pour remédier. Il est tenu. ainsi que les mesures correctrices y afférentes. 254 . ARTICLE 13 L’organe de direction doit établir. désigner un responsable qui relève directement de son autorité et qui a pour tâche d’assurer un suivi exhaustif du système de contrôle interne et de veiller à sa cohérence. en permanence.s’assurer. à cet effet. Elles peuvent également. ARTICLE 9 Le responsable du contrôle interne rend compte de l'exercice de sa mission à l'organe de direction ainsi qu'au comité visé à l'article 15 ci-dessous. à l’examen de l’activité et des résultats du contrôle interne sur la base des informations qui lui sont adressées par l’organe de direction conformément aux dispositions de l’article 13 ci-dessus ainsi que par le comité prévu à l’article 15 ci-dessous. en temps opportun. __________________________________________________________________________________________ ARTICLE 6 L’organe de direction est tenu de veiller à la mise en place du système de contrôle interne. ARTICLE 12 Le manuel de contrôle interne doit être réexaminé périodiquement en vue d’adapter ses dispositions particulièrement aux prescriptions légales et réglementaires ainsi qu’à l'évolution de l'activité.les règles qui assurent l'indépendance des dispositifs de contrôle vis. de l'environnement économique et financier et des techniques d'analyse. notamment au niveau des domaines que couvre le dispositif de gestion des risques prévu par le Plan Comptable des Etablissements de Crédit. être assumées par le responsable du contrôle interne de ce dernier.

Il relève directement de l’organe d’administration qui en détermine les modalités de fonctionnement et auquel il rend compte. d’administrateurs non dirigeants ayant les compétences requises. pour chaque agent. ARTICLE 19 L’organe d’administration de tout établissement de crédit habilité à recevoir des fonds du public doit veiller à ce que les auditeurs externes formulent. La mise en place de ce dispositif doit refaire dans le respect notamment des articles 23 à 25 ci-après. d'assumer ses tâches dans le respect des dispositions légales et réglementaires en vigueur et des directives internes établies par les organes compétents. les procédures de contrôle appropriées pour s'assurer de la régularité. au sein de leur établissement. un avis sur l'organisation et le fonctionnement du système de contrôle interne.de la conformité des opérations effectuées et des procédures internes avec les prescriptions légales et réglementaires en vigueur ainsi qu’avec les normes et usages professionnels et déontologiques. ARTICLE 21 Les membres de l’organe d’administration et de l’organe de direction veillent à promouvoir. un outil d’efficacité du risk management. comme partie intégrante. à la Direction du Contrôle des Etablissements de Crédit de Bank Al-Maghrib. Des vérifications périodiques doivent être également effectuées en vue de s’assurer du respect des procédures de contrôle interne. dans le cadre de leur mission de révision et de contrôle annuels des comptes. . des auditeurs externes et des contrôleurs de Bank AlMaghrib. au plus tard le 31 mars de l'exercice suivant. à cet effet.L’audit systémique bancaire. de la fiabilité et de la sécurité de ces opérations ainsi que du respect des autres diligences liées à la surveillance des risques qui leur sont associés. une copie du rapport annuel visé à l’article 13 ci-dessus et ce. Ils s’assurent également que les systèmes de contrôle interne susvisés sont adaptés à l’organisation du groupe ainsi qu’à la nature des entités contrôlées. ARTICLE 17 L’organe d’administration doit veiller à ce que l’auditeur externe de l’établissement soit régulièrement invité à assister aux réunions du comité prévu à l’article 15 ci-dessus. une culture de contrôle forte qui met l'accent particulièrement sur la nécessité. une politique de formation et d'information qui met en avant les objectifs de l'établissement et explicite les moyens de leur réalisation. ARTICLE 23 Les modalités d’exécution des opérations quotidiennement effectuées par les entités opérationnelles doivent comporter. ARTICLE 18 Les établissements de crédit qui contrôlent de manière exclusive d’autres entités à caractère financier doivent s’assurer que les systèmes de contrôle interne mis en place au sein de ces dernières soient cohérents et compatibles entre eux de manière à permettre notamment une surveillance et une maîtrise des risques au niveau du groupe. en partie. ARTICLE 24 Les niveaux d'autorité et de responsabilité ainsi que les domaines d'intervention des différentes unités opérationnelles doivent être clairement précisés et délimités. ARTICLE 20 L’organe de direction doit adresser. __________________________________________________________________________________________ ARTICLE 16 Le comité visé à l’article 15 ci-dessus doit être composé. II. Ils adoptent. Les rapports et les comptes rendus portant sur le contrôle interne doivent également être mis à la disposition des commissaires aux comptes.DISPOSITIF DE VERIFICATION DES OPERATIONS ET DES PROCEDURES INTERNES ARTICLE 22 Le dispositif de vérification des opérations et des procédures internes doit permettre aux établissements de crédit de s’assurer notamment : .du respect des normes de gestion et des procédures internes fixées par les organes compétents. 255 .

RISQUES DE CREDIT ARTICLE 31 On entend par risque de crédit. ARTICLE 30 Les établissements de crédit constituent. ARTICLE 25 Chaque service ou unité opérationnelle doit être doté d’un manuel dans lequel sont consignées les procédures d’exécution des opérations qu’il est chargé d’effectuer. ARTICLE 33 Les critères d’appréciation du risque de crédit ainsi que les attributions des personnes et des organes habilités à engager l’établissement doivent être définis et consignés par écrit. DE MAITRISE ET DE SUREVEILLANCE DES RISQUES ARTICLE 26 Les dispositifs de mesure. du fait de la défaillance de la clientèle. en tenant compte. de taux d’intérêt global. ARTICLE 27 Les risques de crédit. autant que nécessaire et au moins une fois par an. en particulier. des comités chargés d’assurer le suivi de certaines catégories de risques spécifiques (comité de risque crédit. à sa taille. sont correctement évalués et régulièrement suivis.L’audit systémique bancaire. ARTICLE 34 Les demandes de crédit doivent donner lieu à la constitution de dossiers comportant toutes les informations quantitatives et qualitatives relatives au demandeur notamment les documents 256 . de marché. de liquidité et de règlement ainsi que les risques informatique et juridique. de maîtrise et de surveillance des risques doivent être adaptés à la nature. de maîtrise et de surveillance des risques doivent permettre de s’assurer que les risques encourus par l’établissement de crédit. de taux d'intérêt global. __________________________________________________________________________________________ De même. ARTICLE 32 Le dispositif de contrôle du risque de crédit doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit. sont correctement évalués et maîtrisés. s'il y a lieu. comité de liquidité. Ces consignes doivent être adaptées aux caractéristiques de l’établissement. de l'initiation. soumis à une surveillance continue et faire l'objet d'une évaluation régulière en vue de leur suppression. Ces limites doivent être revues. III. à la nature et au volume de ses activités. Ce compte rendu doit comporter une analyse des raisons ayant motivé les éventuels dépassements ainsi que. du niveau des fonds propres de l'établissement. un outil d’efficacité du risk management. de l'exécution et du contrôle des opérations. ARTICLE 28 Le contrôle du respect des limites visées à l’article précédent doit être effectué de façon régulière et inopinée et donner lieu à l’établissement d’un compte rendu à l’attention des organes compétents. d'enregistrement et de traitement des opérations ainsi que les schémas comptables correspondants. …). La mise en place d’un tel dispositif doit se faire dans le respect des dispositions minimales prévues aux articles 33 à 42 ci-après. Ces consignes fixent notamment les modalités d'engagement. une séparation stricte doit être établie entre les unités chargées. le risque qu’un client ne soit pas en mesure d’honorer ses engagements à l’égard de l’établissement de crédit. particulièrement les risques de crédit. notamment. ARTICLE 29 Les dispositifs de mesure. si le volume et la diversité de leurs activités le justifient. les propositions et/ou recommandations y afférentes. au volume et au degré de complexité des activités de l’établissement. 1. de liquidité et de règlement doivent être maintenus dans le cadre des limites globales arrêtées par la réglementation en vigueur ou fixées par l’organe de direction et approuvées par l'organe d’administration. Les domaines qui présentent des conflits d'intérêts potentiels ou des risques de chevauchement de compétences ou de responsabilités doivent être identifiés. chacune en ce qui la concerne. de marché.DISPOSITIF DE MESURE.

notamment les opérations de change à terme et au comptant. ARTICLE 42 Les encours des créances en souffrance ainsi que les résultats des démarches. les garanties proposées. au regard de la réglementation en vigueur. compte tenu des liens juridiques et financiers qui existent entre eux.les titres acquis. ARTICLE 36 Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations effectuées avec le client et ce. Le portefeuille de négociation susvisé comprend : . L’organe d’administration doit être également informé de toute opération susceptible d’engendrer un conflit entre les intérêts de l’établissement et ceux des personnes précitées. à chaque client. avec l’intention de les revendre à brève échéance en vue de tirer bénéfice des écarts entre les prix d’achat et de vente. ARTICLE 35 L'évaluation du risque de crédit prend en considération. amiables ou judiciaires. les situations patrimoniales. sa situation financière. dès l’origine. Elle prend également en compte toutes autres informations permettant une appréciation plus complète du risque tels que la compétence des dirigeants et l'environnement économique dans lequel le demandeur de crédit exerce son activité. __________________________________________________________________________________________ comptables relatifs au dernier exercice. et à tout le moins deux fois par an. les risques de pertes qui peuvent résulter des fluctuations des prix des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles d’engendrer un risque de change.RISQUES DE MARCHE ARTICLE 43 On entend par risques de marché. un outil d’efficacité du risk management. sa capacité de remboursement et. ARTICLE 41 Les concours qui. pays ou zone géographique doivent l’être au moins une fois par mois. Les dossiers de crédit doivent être régulièrement mis à jour. notamment. le cas échéant. la surface patrimoniale des principaux actionnaires ou associés. ARTICLE 39 Les risques de crédit encourus sur des clients bénéficiant de concours relativement importants doivent faire l'objet d'une surveillance particulière. la nature des activités exercées par le demandeur. Les informations portent tant sur le demandeur de crédit lui-même que sur les entités avec lesquelles il constitue un groupe d’intérêt. entreprises pour leur recouvrement doivent être régulièrement. ARTICLE 38 Les risques de crédit encourus sur une même contrepartie (client individuel ou groupe de personnes physiques ou morales liées entre elles et présentant un risque unique pour l’établissement de crédit) doivent être recensés et centralisés quotidiennement. à travers l’analyse prévisionnelle des charges et produits y afférents (coûts opérationnels et de financement. et ce dans le cadre d’une activité de marché.les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le marché gris. 257 . 2.L’audit systémique bancaire. . ARTICLE 37 L’évaluation du risque de crédit donne lieu à l’attribution. sont considérés comme créances en souffrance doivent être enregistrés dans les comptes appropriés du plan comptable des établissements de crédit et donner lieu à la constitution des provisions requises. Ceux encourus par secteur. portés à la connaissance de l’organe d’administration. tant sur une base individuelle qu'au niveau du groupe. y compris les titres à livrer ou à recevoir. Celui-ci doit également être tenu informé des encours des créances restructurées et de l’évolution de leur remboursement. charge correspondant au risque de défaillance éventuelle de la contrepartie et rémunération des fonds propres). ARTICLE 40 Les concours consentis aux personnes physiques ou morales apparentées à l’établissement de crédit ainsi que l’évolution de leurs encours doivent être régulièrement portés à la connaissance de l’organe d’administration. d’une note par référence à une échelle de notation interne. les attestations de salaire ou de revenu ou tout autre document en tenant lieu.

de l’environnement des marchés et des techniques d’analyse. par le recours à des procédés qui permettent une agrégation. ARTICLE 46 La mesure des risques de marché doit être effectuée de façon à en cerner les diverses composantes et ce. - 258 . à l’effet d’en apprécier la validité et la pertinence au regard de l’évolution de l’activité. ARTICLE 45 Les transactions sur les instruments financiers visés à l’article 43 doivent faire l’objet d’un suivi quotidien de manière à : . ARTICLE 52 Les paramètres et les hypothèses retenus pour l’évaluation du risque global de taux d’intérêt doivent être choisis en tenant compte notamment du niveau d’activité de l’établissement de crédit sur les différents marchés. le risque de change et le risque sur titres de propriété liés à ces positions. La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des articles 45 à 47 ci-dessous. sont correctement mesurés et font l’objet d’une surveillance régulière et adéquate. notamment en cas de fortes variations affectant un marché ou l'un de ses segments. font l’objet d’une évaluation appropriée et d’une surveillance régulière. __________________________________________________________________________________________ les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer avantage de l’évolution des prix ou à couvrir les risques de marché encourus sur les instruments visés aux tirets précédents. du fait d’une évolution défavorable des taux d’intérêt.RISQUE GLOBAL DE TAUX D'INTERET ARTICLE 49 Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir une évolution défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit. ARTICLE 48 Le dispositif visé à l’article 44 ci-dessus doit également permettre de s’assurer du respect des dispositions réglementaires prévues en la matière. ARTICLE 44 Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit. ARTICLE 50 Le dispositif de contrôle du risque global de taux d’intérêt doit permettre de s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif. . 3.s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces risques. de l’ensemble des positions relatives à des instruments financiers ou à des marchés différents. Les modèles d'analyse retenus pour ces évaluations doivent. du passif et du hors bilan de l’établissement de crédit. Le dispositif susvisé doit être mis en place dans le respect notamment des prescriptions des articles 51 à 53 ci-après. des normes et usages professionnels et déontologiques ainsi que des limites fixées par les instances compétentes. ARTICLE 51 Les positions et les flux certains et prévisibles résultant de l’ensemble des opérations de bilan et de hors bilan doivent être correctement mesurés et faire l’objet d’une surveillance régulière.mesurer le risque de taux d’intérêt. régulièrement faire l’objet de révisions. du fait des fluctuations qui pourraient affecter les prix des instruments financiers visés à l’article 43. De même. l’ensemble des facteurs de risque global de taux d’intérêt ainsi que leur impact sur les résultats et les fonds propres doivent être identifiés et évalués. eux aussi. ARTICLE 47 Des évaluations régulières. aussi bien sur une base individuelle que consolidée. un outil d’efficacité du risk management.appréhender les positions détenues en chaque instrument et en calculer les résultats. doivent être effectuées pour suivre l’évolution des risques susvisés. .L’audit systémique bancaire.

ARTICLE 59 Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit sont correctement évalués et font l’objet d’un suivi rigoureux et régulier. ARTICLE 62 Le dispositif de contrôle des risques informatiques doit assurer un niveau de sécurité jugé satisfaisant par rapport aux normes technologiques et aux exigences du métier.RISQUE INFORMATIQUE ARTICLE 61 Le risque informatique s’entend comme le risque de survenance de dysfonctionnements ou de rupture dans le fonctionnement du système de traitement de l’information. ARTICLE 56 La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à des échéances déterminées doivent être évaluées de manière correcte. dans des conditions normales. ARTICLE 60 Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les différentes phases du processus de règlement sont identifiées et font l’objet d’une attention particulière. à ses exigibilités et d’honorer ses engagements de financement envers la clientèle. alors que ledit établissement a déjà honoré ses engagements à l’égard de ladite contrepartie. d’une défaillance ou de difficultés qui empêchent la contrepartie d’un établissement de crédit de lui livrer les instruments financiers ou les fonds convenus.RISQUE DE REGLEMENT ARTICLE 58 Le risque de règlement s’entend comme le risque de survenance. La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des articles 63 à 65 ci-dessous. doivent être revues périodiquement afin de tenir compte des éventuels changements qui pourraient affecter la situation ou la renommée de l’établissement lui-même ou la situation financière ou juridique de ces correspondants. 4. un outil d’efficacité du risk management. ARTICLE 55 Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que l’établissement de crédit est en mesure de faire face.L’audit systémique bancaire. à tout moment. de ses engagements à leur échéance. ARTICLE 57 Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement. ARTICLE 63 259 .RISQUE DE LIQUIDITE ARTICLE 54 Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir s’acquitter. notamment l'heure limite pour l'annulation unilatérale de l'instruction de paiement. imputables à des défaillances dans le matériel ou à des erreurs. 6. 5. La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des articles 56 et 57 ci-dessous. des manipulations ou autres motifs (virus) affectant les programmes d’exécution. __________________________________________________________________________________________ ARTICLE 53 Les paramètres et les hypothèses visés à l’article précédent doivent faire l’objet de réexamens périodiques pour s’assurer de leur cohérence et de leur validité au regard de l’évolution de la structure des activités exercées et des conditions du marché. l'échéance de la réception effective des fonds relatifs à l'instrument acheté et le moment où la réception de ces fonds ou instruments est confirmée. au cours du délai nécessaire pour le dénouement de l’opération de règlement. en particulier les lignes de crédit ouvertes par les correspondants. en tenant compte notamment de l'incidence des fluctuations des marchés de capitaux.

des erreurs humaines ou techniques. ARTICLE 64 Des procédures d'urgence ainsi que du matériel et des logiciels de secours doivent être prévus pour faire face à tout dysfonctionnement du système informatique ou à la survenance d'événements pouvant le rendre inopérant. ARTICLE 67 Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats et les autres actes de nature juridique liant l’établissement de crédit à toute contrepartie sont rédigés et conclus dans le respect des dispositions légales et réglementaires en vigueur et sont soumis à un contrôle strict en vue de parer à toutes insuffisances. ARTICLE 65 Les dispositifs de sécurité. de manipulation ou de vol. 7. de quelque ordre que ce soit. De même. sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global de l’établissement. IV. La mise en place d’un tel dispositif doit se faire dans le respect notamment des prescriptions des articles 70 et 71 ci-après. __________________________________________________________________________________________ Les supports de l'information et de la documentation relatifs à l'analyse et à l'exécution des programmes doivent être conservés dans des conditions présentant le maximum de sécurité contre les risques de détérioration. un outil d’efficacité du risk management. ARTICLE 73 Les modalités d’enregistrement comptable des opérations doivent prévoir un ensemble de procédures.L’audit systémique bancaire. dans des opérations financières liées à des activités non autorisées par la loi et plus généralement pour éviter la survenance de tout événement susceptible d'entacher leur réputation ou de porter atteinte au renom de la profession. de lacunes ou d’insuffisances dans les contrats et autres actes de nature juridique le liant à des tiers. qui permet : 260 . des fraudes ou par toutes autres défaillances. des contrôles inadéquats. appelé piste d'audit. ARTICLE 71 Les dispositifs mis en place pour assurer la sécurité des personnes et des biens doivent être conformes aux normes usuellement requises en la matière. d'urgence et de secours susvisés doivent faire l’objet de vérifications périodiques en vue de tester leur bon fonctionnement. ARTICLE 69 Le dispositif de contrôle des risques visés à l’article 68 doit permettre de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances. ARTICLE 70 L’organe d’administration et l’organe de direction doivent prendre les précautions et les mesures adéquates pour empêcher que leurs établissements ne soient impliqués.RISQUE JURIDIQUE ARTICLE 66 Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la responsabilité de l’établissement de crédit du fait d’imprécisions. à leur insu.AUTRES RISQUES ARTICLE 68 Les autres risques englobent tous les risques qui pourraient être engendrés par des procédures inefficientes. imprécisions ou lacunes. les dommages auxquels peuvent se trouver exposés les personnes et les biens doivent être couverts par des contrats d'assurances dûment souscrits. 8. La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan comptable des établissements de crédit ainsi que de celles des articles 73 à 77 ci-après.DISPOSITIF DE CONTROLE DE LA COMPTABILITE ARTICLE 72 Le dispositif de contrôle de la comptabilité doit permettre aux établissements de crédit de s'assurer de la fiabilité et de l'exhaustivité de leurs données comptables et financières et de veiller à la disponibilité de l’information au moment opportun.

SEQAT 261 . à un rapprochement entre les résultats calculés par les unités opérationnelles et les résultats comptables obtenus sur la base des règles d'évaluation en vigueur. Ils doivent adresser à la Direction du Contrôle des Etablissements de Crédit. Signé : M. de justifier toute information par une pièce d'origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu au document de synthèse et réciproquement. ARTICLE 77 Des évaluations régulières du système d'information comptable et de traitement de l’information doivent être effectuées en vue de s’assurer de sa pertinence au regard des objectifs généraux de prudence et de sécurité et de la conformité aux normes comptables en vigueur. V.DISPOSITIONS DIVERSES ET TRANSITOIRES ARTICLE 78 Les établissements de crédit créent une structure chargée de l’information du public et des rapports avec la clientèle. ARTICLE 76 Les titres et autres valeurs de même nature détenus ou gérés pour le compte de tiers doivent être suivis à travers une comptabilité matière qui en retrace les entrées. un outil d’efficacité du risk management. Distinction doit être faite entre les valeurs reçues en dépôt libre et celles servant de garanties en faveur de l'établissement de crédit lui-même ou de tiers. ARTICLE 75 Les opérations qui comportent des risques de marché doivent donner lieu. un rapport retraçant l’état d’avancement de la mise en place de ce système. ARTICLE 79 Les établissements de crédit doivent prendre toutes les mesures nécessaires pour entamer immédiatement la mise en place du système de contrôle interne prévu par les dispositions de la présente circulaire. ARTICLE 74 Le bilan et le compte de produits et charges doivent être obtenus directement à partir de la comptabilité. Les écarts significatifs constatés doivent être justifiés et portés à la connaissance de l’organe de direction. à tout le moins à la date d'arrêté de fin de mois. les sorties et les existants et faire l'objet d'inventaires périodiques. ARTICLE 80 Les manquements aux dispositions de la présente circulaire sont passibles des sanctions prévues par les prescriptions du dahir portant loi n° 1-93-147 précité. .et d'expliquer l'évolution des soldes d'un arrêté à l'autre par conservation des mouvements ayant affecté les postes comptables. Cette structure a principalement pour mission la diffusion de l’information à l’intention du public et l’examen des réclamations et doléances de la clientèle. à fin juillet et à fin décembre 2001.L’audit systémique bancaire. __________________________________________________________________________________________ - de reconstituer les opérations selon un ordre chronologique.

. en vue de s’assurer de leur identité et de recueillir tous les renseignements et documents utiles relatifs aux activités des titulaires des comptes et à l’environnement dans lequel ils opèrent notamment lorsqu’il s’agit de personnes morales ou d’entrepreneurs individuels. Considérant les dispositions de l’article 70 de la circulaire de Bank Al-Maghrib n°6/G/2001 relative au contrôle interne. sensibiliser leur personnel et le former aux techniques de détection et de prévention des opérations à caractère inhabituel ou suspect. les règles minimales que les établissements de crédit sont tenus d’adopter au titre du devoir de vigilance au sujet de la clientèle.Recourt à leurs services pour l’exécution de toutes autres opérations. Ils doivent. Bank Al-Maghrib fixe. Considérant les normes édictées par le Comité de Bâle en matière de devoir de diligence au sujet de la clientèle et les standards internationaux relatifs à la lutte contre la criminalité financière organisée notamment les recommandations du Groupe d’Action Financière sur le Blanchiment de Capitaux (GAFI) . I .De conserver et de mettre à jour la documentation afférente à la clientèle et aux opérations qu’elle effectue. .Souhaite ouvrir un compte. ou louer un coffre fort . le 29 Chaoual 1424 24 Décembre 2003 CIRCULAIRE N°36 RELATIVE AU DEVOIR DE VIGILANCE INCOMBANT AUX ETABLISSEMENTS DE CREDIT Considérant les dispositions du troisième tiret du deuxième alinéa de l’article 5 du dahir n° 1-59-233 du 23 hijja 1378 (30 juin 1959) portant création de Bank Al-Maghrib . 262 . les établissements de crédit doivent avoir des entretiens avec les postulants et. même ponctuelles. Considérant le Code de commerce notamment son article 488 .L’audit systémique bancaire. __________________________________________________________________________________________ Annexe N°8 Circulaire BAM devoir de vigilance BANK AL-MAGHRIB -------------------LE GOUVERNEUR Circulaire n° 36/G/2003 Rabat. leurs mandataires.D’assurer le suivi et la surveillance des opérations de la clientèle notamment celles présentant un degré de risque important . Article 2 Les procédures visées à l’article premier ci-dessus sont consignées dans un manuel qui doit être approuvé par l’organe d’administration de l’établissement de crédit. ci-après.IDENTIFICATION DE LA CLIENTELE Article 3 Les établissements de crédit sont tenus de recueillir les éléments d’information permettant l’identification de toute personne qui : . un outil d’efficacité du risk management.D’identifier leur clientèle et d’en avoir une connaissance approfondie . telles que le transfert de fonds. . le cas échéant. Article 4 Préalablement à l‘ouverture de tout compte. en outre. Article 1 : Les établissements de crédit sont tenus de mettre en place les procédures nécessaires qui leur permettent : . quelle que soit sa nature. Ce manuel doit être périodiquement mis à jour en vue de l’adapter aux dispositions légales et réglementaires en vigueur et à l’évolution de l’activité de l’établissement de crédit.

. Dans le cas de sociétés en cours de constitution. Les documents complémentaires devant être fournis par les associations incluent : . __________________________________________________________________________________________ Les compte rendus de ces entretiens doivent être versés aux dossiers des clients. pour les nationaux ainsi que sa durée de validité . le projet des statuts et recueillir tous les éléments d’identification des fondateurs et des souscripteurs du capital.La forme juridique .L’adresse du siège social .La dénomination . . Article 5 Une fiche d’ouverture de compte doit être établie au nom de chaque client personne physique. . Cette fiche doit être conservée dans le dossier ouvert au nom de la personne morale concernée ainsi que les documents complémentaires. l’établissement de crédit doit exiger la remise du certificat négatif. au vu des énonciations portées sur tout document d’identité officiel. Ce document doit être en cours de validité.Le numéro d’immatriculation au registre de commerce. ci-après précisés. selon la nature juridique de ces personnes. .Le numéro du passeport ou de toute autre pièce d’identité en tenant lieu. .Le numéro de la carte d’immatriculation. pour les étrangers résidents ainsi que sa durée de validité . Sont consignés dans cette fiche les éléments suivants : . Les éléments d’identification ci-dessus doivent également être recueillis des personnes qui pourraient être amenées à faire fonctionner le compte d’un client en vertu d’une procuration.Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte bancaire.Le numéro d’immatriculation au registre du commerce ainsi que le centre d’immatriculation. prévus aux articles 5 et 6 ci-après. La fiche d’ouverture de compte ainsi que les copies des documents d’identité présentés doivent être classées dans un dossier ouvert au nom du client. .L’audit systémique bancaire. . Article 6 Une fiche d’ouverture de compte doit être établie au nom de chaque client personne morale dans laquelle doivent être consignés.L’activité . 263 . correspondant à sa forme juridique. . . . .Les procès-verbaux des délibérations des assemblées générales ou des associés ayant nommé les administrateurs ou les membres du conseil de surveillance ou les gérants .La profession . Les documents complémentaires devant être fournis par les sociétés commerciales incluent notamment : .L’adresse exacte . .La publicité légale relative à la création de la société et aux éventuelles modifications affectant ses statuts . un outil d’efficacité du risk management.Le numéro de l’identifiant fiscal . . .Les statuts mis à jour .Le(s) prénom(s) et le nom .Les statuts mis à jour . l’ensemble ou certains des éléments d’identification ci-après : .Le numéro de la carte d’identité nationale.Le certificat ou récépissé de dépôt légal du dossier juridique de l’association auprès des autorités administratives compétentes . pour les étrangers non résidents et sa durée de validité . délivré par une autorité marocaine habilitée ou une autorité étrangère reconnue et porter la photographie du client. . pour les personnes physiques ayant la qualité de commerçant ainsi que le centre d’immatriculation.

etc). l’historique de ces comptes. les demandes d’ouverture de comptes à distance (par voie d’Internet. si le postulant. Lorsque les informations fournies par le client ne concordent pas avec celles figurant sur les documents présentés. lors de l’ouverture d’un compte. Les actes portant nomination des représentants ou fixant les pouvoirs des différents organes de l’établissement . « une lettre de bienvenue » lui est adressée. les photocopies des documents d’identité visés à l’article 5 et celles des statuts. être rejetés si des anomalies sont détectées. L’acte portant nomination des personnes habilitées à faire fonctionner le compte . Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte bancaire. un outil d’efficacité du risk management. les établissements de crédit exigent les éléments complémentaires d’identification spécifiques en se référant aux textes législatifs qui les régissent. du président et la répartition des tâches au sein du bureau . __________________________________________________________________________________________ - - Les procès-verbaux de l’assemblée générale constitutive portant élection des membres du bureau. des procès verbaux et des documents délivrés par une autorité administrative prévus à l’article 6 ci-dessus doivent être dûment certifiées conformes par les autorités compétentes.L’audit systémique bancaire. par exemple). Article 10 Les documents visés aux articles 5 et 6 ci-dessus doivent faire l’objet d’un examen minutieux pour s’assurer de leur régularité apparente et. dispose déjà d’autres comptes ouverts sur leurs livres et si c’est la cas. 264 . En cas d’adresse erronée. Ils se renseignent sur les raisons pour lesquelles la demande d’ouverture d’un nouveau compte est formulée. Les noms des personnes habilitées à faire fonctionner le compte. La décision portant agrément de la constitution de la coopérative. groupement d’intérêt public. Article 8 Sont soumises aux mêmes exigences visées aux articles 4. société anonyme simplifiée. des justificatifs complémentaires doivent être exigés. Article 7 Les établissements de crédit recueillent des personnes qui ne disposent pas de comptes ouverts sur leurs livres et souhaitent louer un coffre fort ou effectuer des opérations ponctuelles auprès de leurs guichets les éléments nécessaires à leur identification et à celle des personnes qui en sont les bénéficiaires. Les documents rédigés dans une langue autre que l’Arabe ou le Français doivent être traduits dans l’une de ces deux langues par un traducteur assermenté. Article 12 Les établissements de crédit doivent être en mesure de connaître. Dans le cas des personnes morales ayant leur siège social à l’étranger. il peut décliner l’entrée en relation et procéder à la clôture du compte. être certifiés conformes auprès des services consulaires marocains installés dans leur pays ou auprès des représentations consulaires de leur pays au Maroc. Article 9 A défaut des originaux. A défaut. Article 11 En vue de s’assurer de l’exactitude de l’adresse donnée par tout nouveau client. Pour les autres catégories de personnes morales (groupement d’intérêt économique. Les documents complémentaires devant être fournis par les coopératives incluent : Les statuts mis à jour . ces documents doivent. Le procès-verbal de l’assemblée constitutive . Les documents complémentaires devant être fournis par les établissements et autres entités publics incluent : L’acte constitutif . le cas échéant. sauf dispositions particulières prévues par une convention internationale. l’établissement de crédit doit s’assurer par tous moyens de l’adresse exacte. 5 et 6 ci-dessus.

Portent sur des montants sans commune mesure avec celles habituellement effectuées par le client . Article 14 Les établissements de crédit doivent instituer. selon leur profil de risque.SUIVI ET SURVEILLANCE DES OPERATIONS DE LA CLIENTELE Article 13 Les établissements de crédit doivent classer leurs clients par catégories. __________________________________________________________________________________________ II . des résultats des entretiens visés à l’article 4 ci-dessus et en tenant compte de certains indicateurs tels que le pays d’origine du client.Se présentent dans des conditions inhabituelles de complexité. pour chaque catégorie de clients. 265 .De tenir la direction de l’établissement continuellement informée sur les clients présentant un profil de risque élevé. . . A cet effet. la nature de l’activité exercée. .D’assurer un suivi particulier des comptes qui enregistrent des opérations considérées comme inhabituelles ou suspectes .Ne semblent pas avoir de justification économique ou d’objet licite apparent . à titre de profession habituelle l’intermédiation. Article 15 Les opérations inhabituelles ou suspectes visées à l’article 14 ci-dessus. la nature des opérations effectuées et l’historique du compte.D’identifier les transactions à caractère suspect ou inhabituel visées à l’article 14 ci-dessus. Toute opération considérée comme ayant un caractère inhabituel ou suspect doit donner lieu à l’élaboration d’un compte rendu à l’intention du responsable visé à l’article 19 ci-après.A l'identité de leurs clients et ce. .CONSERVATION ET MISE A JOUR DE LA DOCUMENTATION Article 21 Les établissements de crédit conservent pendant dix ans les justificatifs relatifs : . dans une boîte postale. pour chaque client : . les fiches d’ouverture de compte doivent retracer le profil de risque du client. les entreprises qui effectuent. Ce responsable a également pour tâches : . incluent notamment les opérations qui : . établi sur la base des documents reçus en application des dispositions des articles 5 et 6 ci-dessus.De disposer de la position de l’ensemble des comptes détenus . Article 16 Les établissements de crédit doivent porter une attention particulière aux opérations financières effectuées par des intermédiaires professionnels (tels que les notaires.De recenser les opérations effectuées . III . Article 20 Les établissements de crédit doivent se doter de systèmes d’information qui leur permettent. les avocats. Article 19 Chaque établissement de crédit doit désigner un responsable et un suppléant chargés d’assurer les relations avec Bank Al-Maghrib en ce qui concerne les questions ayant trait au devoir de vigilance. le conseil et l’assistance en matière de gestion de patrimoine) pour le compte de leurs clients personnes physiques ou morales. des limites au delà desquelles des opérations pourraient être considérées comme inhabituelles ou suspectes. un outil d’efficacité du risk management.L’audit systémique bancaire.De centraliser et examiner les comptes rendus des agences sur les opérations ayant un caractère inhabituel ou suspect . . Article 18 Les conditions d’ouverture de nouveaux comptes et les mouvements de fonds d’importance significative doivent faire l’objet de contrôles centralisés en vue de s’assurer que tous les renseignements relatifs aux clients concernés sont disponibles et que ces mouvements n’impliquent pas d’opérations à caractère inhabituel ou suspect. . l’origine des fonds. à compter de la clôture des comptes de ces derniers . aux guichets de l’établissement ou qui changent d’adresse fréquemment. Article 17 Les établissements de crédit doivent prêter une attention particulière aux opérations exécutées par des personnes dont le courrier est domicilié chez un tiers.

à compter de leur date d’exécution. Article 27 Les dispositions de la présente circulaire entrent en vigueur à compter du 1er janvier 2004.FORMATION DU PERSONNEL Article 25 Les établissements de crédit doivent veiller à ce que leur personnel. Aux opérations effectuées avec leurs clients et ce. dans le cadre du rapport sur le contrôle interne qu’ils sont tenus d’adresser à la Direction du Contrôle des Etablissements de Crédit conformément à l’article 20 de la circulaire n° 6/G/2001 précitée. Article 22 L'organisation de la conservation des documents doit notamment permettre de reconstituer les transactions individuelles (montant et nature de l'opération) et de communiquer dans les délais requis. Article 26 Les établissements de crédit incluent. un outil d’efficacité du risk management. bénéficie d’une formation appropriée. les informations demandées par toute autorité habilitée. à mettre à jour les dossiers relatifs à l’identification de leurs clients avec lesquels ils sont en relation avant l’entrée en vigueur des dispositions de la présente circulaire. Ils doivent sensibiliser le personnel aux risques auxquels pourraient être confrontés leurs établissements s’ils viendraient à être utilisés à des fins illicites. Article 23 Les établissements de crédit veillent à la mise à jour régulière des informations relatives à leurs clients.JOUAHRI 266 . Signé : A. __________________________________________________________________________________________ - A l’identité des personnes visées à l’article 7 ci-dessus . doivent veiller à ce que ces entités soient dotées d’un dispositif de vigilance similaire à celui prévu par la présente circulaire.AUTRES DISPOSITIONS Article 25 Les établissements de crédit ayant des filiales ou des succursales. IV .L’audit systémique bancaire. un chapitre consacré à la description des dispositifs de vigilance mis en place et des activités de contrôle effectuées en la matière. autant que possible et progressivement. au moins équivalente à celle applicable au Maroc. V . Article 24 Les établissements de crédit doivent veiller. installées dans des zones offshore ou dans des pays ne disposant pas de réglementation en matière de vigilance. directement ou indirectement concerné par la mise en œuvre des dispositions de la présente circulaire.

La présente circulaire a pour objet de préciser les modalités d’application des dispositions susvisées. Article premier Les dispositions de la présente circulaire s’appliquent : . par des auditeurs externes. 05 Joumada I 1423 16 Juillet 2002 CIRCULAIRE RELATIVE A L 'AUDIT EXTERNE DES ETABLISSEMENTS DE CREDIT Les dispositions des articles 38 à 41 du dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle stipulent respectivement ce qui suit : «Article 38 Les établissements de crédit recevant des fonds du public sont tenus de faire procéder. être étendu aux autres établissements de crédit. Leur champ d’application peut. Celui-ci peut. aucun lien de subordination ou aucun intérêt de quelque nature que ce soit avec l’établissement de crédit. Article 40 Les auditeurs externes sont agréés par le gouverneur de Bank Al-Maghrib. Les auditeurs externes vérifient. à la révision et au contrôle annuels de leur comptabilité afin de s’assurer que cette dernière reflète fidèlement leur patrimoine.L’audit systémique bancaire. ni directement ni indirectement. Article 41 Les rapports et les résultats des audits sont communiqués au gouverneur de Bank Al-Maghrib. que l’organisation de l’établissement de crédit présente les garanties requises usuellement pour préserver le patrimoine et prévenir les fraudes et les erreurs. TITRE I : AGREMENT DES AUDITEURS EXTERNES Article 2 Les établissements de crédit adressent à la Direction du Contrôle des Etablissements de Crédit de Bank Al-Maghrib (DCEC) les demandes d’agrément relatives aux auditeurs externes qu’ils envisagent d’engager pour assurer la mission d’audit définie par la présente circulaire. toutefois. à la demande de Bank Al-Maghrib. Article 3 267 . Les rapports et les résultats des audits sont également communiqués aux commissaires aux comptes de l’établissement de crédit ». en tenir informés les membres du conseil d’administration de l’établissement concerné.et aux sociétés de financement recevant des fonds du public. également.à l’ensemble des banques . Article 39 Le gouverneur de Bank Al-Maghrib peut. un outil d’efficacité du risk management. s’il le juge utile. leur situation financière et leur résultat. demander aux établissements de crédit ne recevant pas de fonds du public de procéder à des audits externes. Ils ne doivent avoir. ou un rapport de parenté ou d’alliance avec ses dirigeants. __________________________________________________________________________________________ Annexe N°9 Circulaire Relative A L 'Audit Externe Des Etablissements De Crédit BANK AL-MAGHRIB LE GOUVERNEUR C N° 9/G/2002 Rabat. si Bank AlMaghrib le juge utile. s’il le juge utile.

. . dûment daté et signé.la loi n° 15-89 réglementant la profession d’expert-comptable et instituant un ordre des expertscomptables.qu’à l’expiration d’un délai de trois ans. Article 9 Le renouvellement de l’agrément des auditeurs externes ayant exercé leur mission. promulguée par le dahir n° 1-96-124 du 14 rabii II 1417 (30 août 1996) . nationaux ou étrangers. Article 10 268 . qu’il ne tombe pas sous le coup de l’une des incompatibilités prévues par : .une fiche de renseignements. notamment. y compris par le biais de filiales spécialisées. promulguée par le dahir n° 1-92-139 du 14 rajeb 1413 (8 janvier 1993).L’audit systémique bancaire. dans le cas des auditeurs externes exerçant à titre indépendant.une copie certifiée conforme des statuts de la société mis à jour . auprès d’un même établissement. ainsi que les références des missions d’audit antérieures réalisées auprès des établissements de crédit et les services de consultation et de conseil. Article 4 Les demandes d’agrément concernant les auditeurs externes exerçant en qualité de sociétés d’expertscomptables doivent comprendre. 4) une note faisant ressortir l’expérience professionnelle de l’auditeur externe. .que sous réserve du remplacement de l’associé responsable de la mission d’audit. .le curriculum vitae de chacun des associés appelés à participer aux missions d’audit des établissements de crédit. l’appui dont il pourrait bénéficier de la part d’autres partenaires qualifiés. rendus par l’auditeur. 2) le curriculum vitae. il est tenu de s’assurer que ces personnes n’enfreignent pas les dispositions légales relatives aux incompatibilités visées au point 3 de l’article 3 ci-dessus. outre les informations visées à l’article 3. datée et signée par chacune des personnes visées au point 2 ci-dessus. Article 7 La DCEC peut demander communication de tous autres renseignements qu’elle estime nécessaires pour l’instruction des demandes d’agrément. 3) une déclaration sur l’honneur. Article 5 Toute demande d’agrément doit être accompagnée d’une attestation. conforme au modèle joint en annexeII. par laquelle le signataire atteste. le cas échéant. conforme au modèle joint en annexeIII. un outil d’efficacité du risk management. Les demandes de renouvellement des agréments doivent être adressées à la DCEC selon les modalités prévues aux articles 2 à 5 ci-dessus. dûment datée et signée par le représentant statutaire de la société . Article 6 Dans le cas où l’auditeur externe fait appel. durant deux mandats consécutifs ne peut intervenir : . __________________________________________________________________________________________ Les demandes d’agrément relatives aux auditeurs externes exerçant à titre indépendant doivent être accompagnées de dossiers comportant les documents suivants : 1) un document attestant de l’inscription de l’auditeur externe sur le tableau de l’ordre des expertscomptables et de l’exercice effectif de la fonction d’expert-comptable . les documents ci-après : . dans le cadre de sa mission. Article 8 Les auditeurs externes sont agréés pour un mandat de 3 ans renouvelable. à des experts ne faisant pas partie de son effectif pour effectuer des travaux ponctuels.le dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle . en ce qui concerne les auditeurs externes exerçant en qualité de sociétés d’experts-comptables. les moyens techniques et humains dont il dispose et.et la loi n° 17-95 relative aux sociétés anonymes. dûment datée et signée par un responsable habilité à le faire. de l’auditeur externe et de chacun de ses collaborateurs susceptibles de prendre part aux travaux d’audit des établissements de crédit . conforme au modèle joint en annexeI. par laquelle l’établissement de crédit certifie que le choix de l’auditeur externe a été effectué dans le respect des dispositions prévues par la présente circulaire.

est notifiée à l’établissement de crédit concerné. en application des dispositions de l’article 11 ci-dessus.un rapport dans lequel il formule une opinion sur la régularité et la sincérité de la comptabilité et atteste que celle-ci donne une image fidèle du patrimoine. à la DCEC. __________________________________________________________________________________________ La décision d’octroi de l’agrément ou.se trouve. 30 jours maximum à compter de la date de réception définitive du dossier de demande d’agrément. Article 11 Bank Al-Maghrib peut adresser un avertissement à tout auditeur externe qui ne s’acquitte pas de sa mission avec la compétence et la diligence requises ou faillit à ses engagements. copie de la lettre de mission précisant notamment l’étendue des travaux devant être entrepris par l’auditeur externe ainsi que les moyens humains qu’il prévoit à cet effet. être entendu par Bank Al-Maghrib. chaque année.un rapport détaillé dans lequel sont consignées : * ses appréciations sur l’adéquation et l’efficience du système de contrôle interne de l’établissement de crédit. Article 13 La décision de suspension ou de retrait de l’agrément est notifiée à l’établissement de crédit concerné qui doit soumettre à la DCEC une demande d’agrément d’un nouvel auditeur externe. Article 12 Bank Al-Maghrib peut suspendre ou. TITRE II : MISSION DES AUDITEURS EXTERNES Article 16 La mission de l’auditeur externe consiste à établir : .ne tient pas compte de l’avertissement qui lui a été adressé par Bank Al-Maghrib. eu égard à sa taille. . compte tenu de la taille de l’établissement de crédit. L’auditeur externe peut. . selon les modalités prévues aux articles 2 à 5 ci-dessus. . le dahir portant loi n° 1-93-147 ou la loi 17-95 précités. Article 19 L’auditeur externe procède à l’appréciation de l’organisation générale et des moyens mis en œuvre pour assurer le bon fonctionnement du contrôle interne. 269 . de la nature des activités exercées et des risques encourus.fait l’objet de mesures disciplinaires de la part de l’ordre des experts-comptables ou de sanctions pénales en application des dispositions de la loi n° 15-89 susvisée. le cas échéant. s’il y a lieu. CHAPITRE I : EVALUATION DU SYSTEME DE CONTROLE INTERNE Article 18 L’auditeur externe procède à l’évaluation de la qualité du système du contrôle interne de l’établissement de crédit eu égard aux dispositions de la circulaire de Bank Al-Maghrib n° 6/G/2001 relative au même objet. par l’établissement de crédit lui-même. retirer l’agrément à un auditeur externe. Article 17 Les travaux nécessaires à l’accomplissement de la mission d’audit doivent être planifiés et exécutés sur la base d’un programme qui tient compte de la qualité du système de contrôle interne de l’établissement de crédit et des normes professionnelles prévues en la matière. * les observations et anomalies relevées au cours de ses investigations dans les différents domaines prévus par a présente circulaire.L’audit systémique bancaire. de la situation financière et des résultats de l’établissement de crédit. en infraction au regard des dispositions législatives relatives aux incompatibilités prévues par la loi 15-89. lorsque celui-ci : . Article 15 Les établissements de crédit communiquent. doit être préalablement notifiée à Bank Al-Maghrib et dûment motivée. un outil d’efficacité du risk management. de refus de l’agrément dûment motivée. à la nature des activités exercées et aux risques encourus. à sa demande. Article 14 La décision de révocation du mandat d’un auditeur externe.

des procédures de mesure et de suivi des principaux déterminants de la liquidité . dans des opérations financières liées à des activités illicites ou de nature à entacher sa réputation ou de porter atteinte au renom de la profession . .de la fiabilité de la piste d’audit .des procédures de mesure de l’exposition aux risques inhérents à ces opérations .de l’organisation générale du contrôle interne . Article 24 L’auditeur externe apprécie la fiabilité et l’intégrité du système de traitement de l’information comptable et de gestion en procédant notamment à l’évaluation : .des mécanismes de reporting interne et des méthodes de surveillance du respect des limites réglementaires et de celles fixées par les organes compétents de l’établissement. d’exécution et d’enregistrement des opérations de marché . .des modalités de décision. en particulier.des procédures de recouvrement des créances et des modalités de classification des créances en souffrance et de leur provisionnement .des procédures de centralisation des risques. . la maîtrise et la surveillance du risque de crédit en procédant notamment à l’analyse : . Les rapports ultérieurs peuvent ne comporter que les changements qui affectent les domaines susvisés. en procédant notamment à l’examen : . à son insu.des procédures comptables et de contrôle de l’information. 270 .des dispositifs de contrôle visés aux articles 20 à 23 ci-dessus.du système de traitement de l’information. de reporting interne et de surveillance du respect des limites réglementaires et de celles fixées par les organes compétents de l’établissement de crédit.garantir la sécurité des personnes et des biens. dès leur constatation.des modalités de décision.du dispositif de sécurité du système d’information .des procédures d’appréhension du risque de règlement . à la connaissance de l’organe de direction et du Comité d’audit de l’établissement de crédit.empêcher que l’établissement ne soit impliqué. . un outil d’efficacité du risk management. manipulations et erreurs susceptibles d’engager la responsabilité de l’établissement de crédit ou de porter atteinte à l’intégrité de ses actifs ou de ceux de la clientèle . de maîtrise et de surveillance des risques de marché.L’audit systémique bancaire. en procédant. Article 25 Les lacunes significatives relevées dans les différents dispositifs du contrôle interne doivent être portées.des mécanismes de reporting interne et des modalités de surveillance du respect des limites réglementaires et de celles fixées par les organes compétents de l’établissement. d’exécution et de gestion des crédits . Article 26 L’auditeur externe fait état dans son rapport détaillé des insuffisances significatives constatées au niveau : . . tout en précisant le nombre et les montants des dépassements des limites réglementaires et/ou internes . . .de la méthode de calcul des résultats opérationnels et de leur rapprochement avec les soldes comptables . . Article 20 L’auditeur externe évalue la qualité et l’adéquation du dispositif mis en place pour la mesure. Article 23 L’auditeur externe apprécie l’adéquation des dispositifs mis en place pour : . Article 22 L’auditeur externe apprécie la qualité et l’adéquation du dispositif de mesure. . à l’évaluation : . .des procédures d’appréhension de l’exposition globale au risque de taux d’intérêt . de maîtrise et de surveillance du risque global de taux d’intérêt et de liquidité. Article 21 L’auditeur externe apprécie la qualité et l’efficience du dispositif de mesure. __________________________________________________________________________________________ L’évaluation de l’organisation générale et des moyens du contrôle interne est faite à l’occasion du premier rapport établi dans le cadre de la présente circulaire. .prévenir les fraudes. . .

l’évaluation et à l’amortissement des immobilisations corporelles et incorporelles .la comptabilisation et au traitement des créances restructurées et des provisions et agios y afférents .la prise en compte des intérêts et des commissions dans le compte de produits et charges . et de déterminer le montant des provisions nécessaires à leur couverture. telles que définies par le PCEC . etc).l’imputation des créances irrécouvrables au compte de produits et charges . .aux autres dossiers de crédit présentant un risque anormal (créances ayant enregistré des impayés ou fait l’objet de consolidation. compte tenu des dispositions réglementaires en vigueur. Article 29 L’auditeur externe vérifie par sondage. L’examen des risques est effectué en donnant la priorité : . tout fait ou décision dont il a eu connaissance au cours de l’exercice de sa mission et qui est de nature à constituer une violation des dispositions législatives ou réglementaires applicables aux établissements de crédit.l’évaluation des garanties prises en considération pour le calcul des provisions . est égal ou supérieur à 5 % des fonds propres de l’établissement de crédit . Article 30 L’auditeur externe procède à l’examen des principes comptables et méthodes d’évaluation adoptées par l’établissement de crédit et ayant trait notamment à : .la réévaluation des immobilisations corporelles et financières. un outil d’efficacité du risk management. de la taille et de la qualité du système de contrôle interne de l’établissement de crédit ainsi que des dispositions précisées ci-après.l’évaluation des éléments libellés en devises et à la comptabilisation des écarts de conversion . à l’examen des mouvements des comptes et à l’analyse des pièces justificatives. . également. . crédits consentis à des clients opérant dans des secteurs connaissant des difficultés. à affecter la situation financière de l’établissement audité ou à porter atteinte à la renommée de la profession. . la régularité et la correcte comptabilisation des opérations ainsi que la conformité et la cohérence des soldes comptables.aux crédits dont l’encours. __________________________________________________________________________________________ Il signale si ces anomalies sont portées de manière régulière à la connaissance des organes d’administration et de direction de l’établissement et si elles donnent lieu aux mesures de redressement appropriées.aux concours consentis aux personnes physiques et morales apparentées à l’établissement.L’audit systémique bancaire. réelles ou potentielles. par bénéficiaire tel que défini par la circulaire n° 3/G/2001 relative au coefficient maximum de division des risques. . . . Article 31 L’auditeur externe apprécie la qualité des actifs et des engagements par signature de l’établissement de crédit à l’effet notamment d’identifier les moins-values et les dépréciations. dans les meilleurs délais. état des recommandations susceptibles de pallier les faiblesses et insuffisances relevées. . CHAPITRE II : REVISION DE LA COMPTABILITE Article 28 L’auditeur externe vérifie que les comptes annuels de l’établissement de crédit sont élaborés dans le respect des principes comptables et des méthodes d’évaluation prescrites par le plan comptable des établissements de crédit (PCEC) et qu’ils sont présentés conformément aux règles prévues par ce plan. . Article 27 L’auditeur externe est tenu de signaler à Bank Al-Maghrib. . il procède également. . Article 32 L’évaluation de la qualité du portefeuille de crédits se fait sur la base d’un échantillon représentatif tenant compte de la nature de l’activité. sur la base d’un échantillon représentatif.la classification des créances en souffrance et leur couverture par les provisions ainsi qu’à la comptabilisation des agios y afférents .la comptabilisation et l’évaluation à l’entrée et en correction de valeur des différents portefeuilles de titres . Il fait.la constitution des provisions pour risques et charges . 271 .

dûment datés et signés par l’auditeur externe. .le montant de l’insuffisance des provisions nécessaires pour la couverture des dépréciations du portefeuille titres . Il mentionne également les autres ajustements qui. les mesures prises et celles qu’ils envisagent de mettre en œuvre pour remédier aux lacunes. Article 37 Les établissements de crédit sont tenus de mettre à la disposition des auditeurs externes tous les documents et renseignements que ceux-ci estiment nécessaires pour l’accomplissement de leur mission. à son avis.le montant de l’insuffisance des provisions nécessaires pour la couverture des créances en souffrance . . à la date de publication de la présente circulaire assurent la mission d’audit auprès des établissements de crédit. tenir des réunions de travail avec les auditeurs externes. . pour ce qui est du rapport détaillé. Article 38 Les établissements de crédit organisent des réunions périodiques entre leurs auditeurs externes et leurs auditeurs internes.le montant de l’insuffisance des provisions pour dépréciations des autres actifs . Article 40 Les demandes d’agrément relatives aux auditeurs externes qui. considérés comme significatifs au regard des normes de la profession en vigueur. avant la date de la réunion de l’assemblée générale ordinaire des actionnaires de l’établissement de crédit concerné ou de l’organe social en tenant lieu. doivent être portées à la connaissance de l’organe de direction en vue de leur redressement. le cas échéant. Article 34 L’auditeur externe fait état dans ses rapports des ajustements. en ce qui concerne le rapport d’opinion . . en particulier. par celui-ci.L’audit systémique bancaire. à sa demande et dans les délais fixés par elle. de la situation financière et des résultats de l’établissement. TITRE III : DISPOSITIONS DIVERSES ET TRANSITOIRES Article 35 Les rapports visés à l’article 16 ci-dessus.le15 juin de l’exercice suivant celui au titre duquel l’audit est effectué. . à la DCEC au plus tard : .tout autre écart matériel constaté par rapport aux normes comptables et méthodes d’évaluation prescrites par le PCEC.le montant des soldes injustifiés . à cette fin. de mettre à sa disposition les documents de travail sur la base desquels ils ont formulé ces conclusions et opinions. en indiquant la part examinée dans l’encours total des crédits. Article 36 La DCEC peut saisir les auditeurs externes pour leur demander tous éclaircissements et explications à propos des conclusions et opinions exprimées dans leurs rapports et. doivent être adressés. Elle peut également. un outil d’efficacité du risk management. doivent être adressées à la 272 . Article 33 Les anomalies et insuffisances significatives relevées dans la comptabilité ou dans les états financiers ainsi que les omissions d’informations essentielles pour la bonne appréciation du patrimoine.15 jours.le montant des créances en souffrance non classées . celles ayant trait à la réglementation prudentielle et aux emplois obligatoires. Article 39 Les établissements de crédit communiquent à la DCEC. __________________________________________________________________________________________ Les critères au vu desquels est déterminé l’échantillon susvisé doivent être précisés et justifiés dans le rapport détaillé. doivent être apportés aux déclarations adressées à Bank Al-Maghrib. à l’effet d’examiner les questions ayant trait au système de contrôle interne et aux autres questions d’intérêt mutuel. erreurs et insuffisances relevées par l’auditeur externe.le montant de l’insuffisance des provisions pour risques et charges . . . qui doivent être apportés aux états de synthèse en précisant en particulier : .

273 . Article 41 Les dispositions de la présente circulaire entrent en vigueur à compter de la date de sa publication. un outil d’efficacité du risk management.L’audit systémique bancaire. accompagnées de la lettre de mission visée à l’article 15 ci-dessus. __________________________________________________________________________________________ DCEC dans un délai de 60 jours maximum à compter de cette date.

un outil d’efficacité du risk management.L’audit systémique bancaire. __________________________________________________________________________________________ Bibliographie 274 .

L’audit systémique bancaire. __________________________________________________________________________________________ 275 . un outil d’efficacité du risk management.

North African Banks Lack Momentum Amid Turbulent Regional Environment . Gérard Nauleau. Septembre 1999. Principes fondamentaux pour un contrôle bancaire efficace. Roessler. Antoinne Sardi.Edition les Eska.l'audit interne. Mémoire d'Expertise Comptable Marocain. déréglementation financière et réglementation prudentielle : Une analyse en terme d'espérance-variance.AUBERT. Jean-Michel Errera. Pilotage bancaire et contrôle interne . Challenges of the new Basel Accord .VATIER. "L'audit : Qu'est-ce que c'est?".Comité de Bâle sur le contrôle bancaire. techniques et mise en œuvre. November 2003. Risques bancaires. Session Novembre 1999. Azedine Berrada. Bank Industry Risk Analysis : Morocco (Kingdom of) . IFACI. Octobre 1994. Note de Stratégie du Secteur Financier. Le contrôle de gestion bancaire et financier .Actions for senior management. "Audit social au service du management des ressources humaines : professionnalisme des consultants". Mémoire d'Expertise Comptable Marocain. Michel Rouach.Septembre1997. Jean Luc. "L'audit social". Session Mai 2000. Siruwet. Ilhame Loubna Lahlou. September 2003. 1997. Septembre 2000. Amine Tarazi. Session Mai 2004. un outil d’efficacité du risk management. n°362. Techniques de banques et de crédit. Lydia.Editions des organisations. Coopers & Lyberland. Edition PricewaterhouseCoopers. R. Juillet 1999. 276 .L’audit systémique bancaire. Evaluation du risque de crédit en matière bancaire. Mémoire d'Expertise Comptable Français. __________________________________________________________________________________________ BIBLIOGRAPHIE Ouvrages. un dispositif de maitrise des risques : normes. "L'audit : Des représentations éclatées". Edition PricewaterhouseCoopers. Edition PricewaterhouseCoopers. Economica. Pratiques de la comptabilité bancaire. Le contrôle comptable bancaire. Le suivi des risques d'une banque : approche méthodologique et outils d'analyse. Edition 2000. R. Christian Jimenez. n°132/1997-3.VATIER. Publications des organismes professionnels. A. La nouvelle pratique du contrôle interne . Editions Afges. Paris. Rapport de la Banque Mondiale sur le Maroc.Edition Economica. n°365. Implementation the New Basel Accord. Thèses & mémoires. Contrôle et Audit de l’Information et des Technologies Associées) Brokers and dealers in securities : Guide d’audit publié par l’American Institute of Certified Public Accountant. Personnel. Standard & Poor's.Editions Afges. décembre 1995. 1994. Education Permanente. Gestion des risques bancaires : enjeux réglementaires et opérationnels. COBIT (Gouvernance. Audit et inspection bancaires . Antoinne Sardi. Lorin Christophe. Personnel. ISEOR. Rapport de la Banque Mondiale sur le respect des normes et codes (RRNC) Royaume du Maroc Comptabilité et Audit 25 juillet 2002. Standard & Poor's. 1999. Value and Reporting in the Banking Industry. Septembre 2002. Hamid Atide. juillet 1995.

Circulaire D1/EB/2002/6 : sur le contrôle interne ainsi que sur la fonction d’audit interne et la fonction de Compliance des entreprises d’investissement. 01/09/1998.(N°656) . Janvier 2001. Jimmy Zou (PricewaterhouseCoopers) . Livre blanc de la commission bancaire française relatif à la sécurité des systèmes d'information 1995. Bale II . GAO. Le Contrôle interne des systèmes d’information. Comité de Bale sur le contrôle bancaire.L’audit systémique bancaire.N°9. Publications réglementaires. September 1998. Commission bancaire et financière Bruxelles.01/03/2004. La chronique du risk management avec PricewaterhouseCoopers . moins de fonds propres? Yves Burger (Standard & Poor's) Revue Banque Magazine N°654. Circulaires de Bank Al Maghrib N°6.(ISBN/ISSN). un outil d’efficacité du risk management.(N°616). Basel Committee on Banking Supervision . Banque et Risque . 01/12/1998. Revue banque Magazine N°598. Publications spécialisées. Nouvel accord de Bale sur les fonds propres : note explicative. Principes fondamentaux pour un contrôle interne efficace. Une méthode pour les procédures de contrôle. Rapports de Bank Al Maghrib 2003. Internal control Management and Evaluation Tool. exercice 2004. __________________________________________________________________________________________ Operational Risk Management. Rapport annuel sur le contrôle.Systèmes d'information . réserve monétaire" Règlement Français N°97-02 sur le contrôle interne bancaire. ratio de liquidité.Institut Monétaire Européen .Revue d’économie financière n°48 (juillet 1998). Gestion des risques : Comptabilité et évaluation des risques bancaires.N°19.Marie-Jeanne Deverdun (PricewaterhouseCoopers). Internal Control and Audit Weakness for Foreign Banks US Branches. ratio de division des risques. 277 . Risques de marché : la construction des modèles internes. Nouvel accord de Bale sur les fonds propres : Comité de Bale sur le Contrôle bancaire. August 2001. Revue Banque Magazine N°592 01/05/ 1998. Janvier 2001. 01/01/2002. Loi bancaire marocaine de 1993. Septembre 1997. September 1997. Le rôle du contrôle interne. GAO (United States General Accounting Office).Plus de règles. Juillet-Aout 2000. Secrétariat du Comité de Bale sur le Contrôle bancaire. 01/01/2002.2002 et 2001.Technologie XBRL : une réelle opportunité pour Bal II.Revue Banque Magazine N°654.01/07/2000. le 26 juillet 2004. Banque Magazine .Revue Horizons bancaire du Crédit Agricole N°313 – Mai 2002. Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke.Revue Banque Magazine N°616. l’activité et les résultats des établissements de crédit. le 14 novembre 2002. Georges Ravet ( de la caisse d'epargne) . Revue Banque Magazine N°558. Etienne Boris (PricewaterhouseCoopers) . Le secteur bancaire au Maroc © MINEFI – DREE/TRÉSOR Prestation réalisée sous système de management de la qualité certifié AFAQ ISO 9001. Revue Banque magazine . Le système de Contrôle interne des établissements de crédit .

Banque magazine .Banque magazine . Les Echos. deux entités spécialisées dans le management des processus.Asset managers et risque opérationnel : les nouveaux paradoxes. Hopkins.Par Ibrahim Warde Chercheur au Center for International Studies.01/01/2004. Ernst & Young SA/Switzerland et Antonio Mira Senior Manager. Internal Auditor.L’audit systémique bancaire. L'Art de la gestion des risques 13 décembre 2000.Alain Duchâteau (Secrétariat général commission bancaire) Banque magazine . Deloitte and Touche . __________________________________________________________________________________________ Risque opérationnel : l'apport des outils automatisés de gestion des risques. Marie Agnès Nicolet (Deloitte Touche Tohmatsu) . Deloitte Touche Tohmatsu 2004. Le système bancaire dans la tourmente .IAS/Bale II : quels nouveaux profils ? .Par Jean-François Pirus PDG de la société de conseil Internet Business Services. Doyon.Rapport trimestriel BRI (Banque des Règlements Internationaux) . Didier Benâtre (PricewaterhouseCoopers). Deloitte Touche Tohmatsu 2003. associé chez PricewaterhouseCoopers.Le Monde Diplomatique novembre 1998.Pierre-Yves Thoraval (Commission Bancaire) . M. december. Global Banking Industry Outlook : Top 10 Issues .Mounim Zaghloul. Métiers de la banque .Isaak Look (PricewaterhouseCoopers) .(N°652) . Bale II. avril 2003 L’audit et le contrôle internes . Londres. conseiller-maître à la Cour des comptes et vice-président de l'Observatoire sur la responsabilité sociétale des entreprises (ORSE). Vers une nouvelle approche de risque par Dominique Chesneau. Audit Committee Newsletter KPMG’s Audit Committee Institute Edition 1. (19/03/2004).A survey August 2002 Bank For International Settlements (BRI). 12 au 14 Septembre 2002. à paraître) . décembre 2002. Analyse. Ernst & Young SA/Switzerland Revue L’AGEFI – Haute Finance Novembre 2003.01/11/2003. mesure et contrôle des risques dans le monde bancaire Pierre-Yves Thoraval (Secrétariat général de la Commission bancaire). L'analyse des risques opérationnels : un enjeu qui dépasse le secteur bancaire . Banque de France et Eurosysteme jeudi 27 mai 2004. un outil d’efficacité du risk management. (1996) “Tuned in Management”. Consultant CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Réseau BKR International.info. Sylvie Lépicier (LGB Finance) . et responsable du site BPMS. (1996) The Auditing Business. Audit Committee and Governance Survey Results.(N°651) . Avril 2003 Global Internal Audit : The New Reality .01/10/2003. Directeur de la Surveillance générale du Système bancaire 1ères Rencontres Internationales Institut Europlace de Finance . L’approche risque au centre de l’audit bancaire par Barbara Lambert Partner. déontologue de PricewaterhouseCoopers. Bale II : Genèse et enjeux Conférence-débat association d'économie financière Commission Bancaire.Banque magazine . Basel Committee on Banking Supervision Internal audit in banks and the supervisor’s relationship with auditors . 278 . L'Art de la gestion des risques 13 décembre 2000. Massachusetts Institute of Technology (Cambridge).(N°654) . Les Echos.Dominique Garabiol (Groupe Caisse d'Epargne) . D. Le nouveau métier de "Responsability Manager" par Yves Medina.01/10/2003. Méthodologie : le suivi du risque opérationnel. Débat : Bale II et la stabilité financière.4 juillet 2003 Evaluation du risque de crise bancaire .01/11/2003.Banque magazine(N°651) . Michel Dietsh (Institut d'études politiques de Strasbourg) . auteur de The Financial War on Terror (IB Tauris.Yann Le Tallec (LGB Finance) . october. Internal Auditor.(N°652) .Mise à niveau en Audit . Anne Drif (Revue Banque) .

iviq. un outil d’efficacité du risk management. __________________________________________________________________________________________ Sites Internet.org http://www.fr 279 .gov/boardocs/supmanual : http//pwc.federalreserve.com http//bpms. http://www.nbb.be http://www.L’audit systémique bancaire.monde-diplomatique.info http://www.

Sign up to vote on this title
UsefulNot useful