Audit Bancaire
Short Description
Download Audit Bancaire...
Description
INSTITUT SUPERIEUR DE COMMERCE ET D'ADMINISTRATION DES ENTREPRISES CYCLE SUPERIEUR DE GESTION (C.S.G)
MEMOIRE PRESENTÉ EN VUE DE L'OBTENTION DU DIPLOME DU CYCLE SUPERIEUR DE GESTION
L'audit systémique, un outil d’efficacité du risk management Application aux systèmes d'information, aux activités de marché, aux ressources humaines et à la comptabilité. Cas du système bancaire marocain.
Par
: M. Badr FIGUIGUI
Membres du Jury
:
M. Mostafa MELSA : Professeur à l’ISCAE, Président du jury; • M. Abdellatif MAZOUZ : Directeur de recherche, suffragant ; • M. Mohammed HDID : Expert comptable Associé Saaidi-consultants, •
•
M. Hassan BOUBRIK
•
M. Omar BOUNJOU
suffragant ; : Secrétaire Général de la Caisse de Dépôt et de Gestion (CDG), suffragant ; : Directeur Général d’Attijari Wafa Bank, suffragant.
- Septembre 2007 -
Sommaire simplifié
1
SOMMAIRE SIMPLIFIE Partie introductive Introduction
………………………………………..…………………………………………………………………………….……………6
Problématique générale………………………………………..…………………………………………………………….…………9 Intérêt du sujet………………………………………..……………………………………………………………………………………12 Hypothèse centrale………………………………………..……………………………………………………………………………..13 Propos méthodologiques ………………………………………..………………………………………………..……….………..16 Chapitre préliminaire : Le système bancaire marocain : vue d’ensemble…………………..………19
Première partie : L'audit interne dans le système bancaire marocain : des pratiques limitées aux fonctions classiques. Chapitre 1 : Typologie et évaluation des risques bancaires Section 1 : Typologie des risques bancaires………………………………………..……………...…………………..39 Section 2 : Critères d'évaluation et dispositifs de contrôle………………………………………….…………56
Chapitre 2 : Spécificités de l'audit bancaire Section1 : Principes d'audit en général………………………………………..………………………………..………….77 Section2 : Particularités de l'audit bancaire………………………………………..……………………….…….……..89
Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur efficience : enquête sur le terrain Section 1 : Le guide d’entretien………………………………………..………………………………….…………………..103 Section 2 : les conclusions de l’enquête………………………………………..…………………………..…………...106
Partie II : L'audit systémique, un nouvel outil au service du risk management pour maîtriser davantage les risques des métiers. Chapitre 1 : Les particularités de l'approche d'audit systémique. Section 1 : L'audit du système de contrôle interne global………………………………………..………….122 Section 2 : L'approche par les risques………………………………………..…………………………………………..126 Section 3 : L’approche systémique………………………………………..…………………………...…………………...128
2
Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information. Section 1 : Organisation et management………………………………………..………………………..……………138 Section 2 : Sécurité………………………………………..…………………………………………………………..……………...148 Section 3 : Etudes et développements………………………………………..……………………..………………..…163 Section 4 : Exploitation informatique………………………………………..……………………………..………………168
Chapitre 3 : Mission d'audit de la Salle des Marchés. Section 1 : Front-Office Trading & ventes………………………………………..….…………………………………175 Section 2 : Middle-Office………………………………………..……………………………………………………..…………..183 Section 3 : Back Office………………………………………..…………………………………………..……….………………..191 Section 4 : Risque de contrepartie………………………………………..…………………………………………………199 Section 5 : Risque Juridique………………………………………..……………………………………………………………201 Section 6 : Sécurité Physique………………………………………..………………………………………………...……….203
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines. Section 1 : Organisation générale de la fonction RH………………………………………..……….…..……..208 Section 2 : Administration………………………………………..………………………………………………………..………211 Section 3 : Gestion des carrières………………………………………..…………………………………………..……….213 Section 4 : Recrutement………………………………………..………………………………………………………………..215 Section 5 : Formation………………………………………..………………………………………………………………...……..217 Section 6 : Relations et activités sociales………………………………………..…………………………………..…218
Chapitre 5 : Mission d'audit de la Direction Comptable. Section1 : Audit systémique du service comptable………………………………………..…………………..…226 Section 2 : Les reportings réglementaires………………………………………..…………………...…………….....233 Section 3 : Risques fiscaux………………………………………..…………………………………………………………......235 Section 4 : Consolidation………………………………………..…………………………………………………………….…...236
Conclusion générale……………………………………………………………..………………………………...………..239 Annexes ………………………………………..……………………………………………………………………………………...246 Bibliographie…………………………………………………………………...…………………………………………………....276
3
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Partie introductive
4
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Partie introductive Introduction Problématique générale Intérêt du sujet Hypothèse centrale Propos méthodologiques Chapitre préliminaire : Le système bancaire marocain : vue d’ensemble
5
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
'audit systémique, un outil d’efficacité du risk management. Application aux systèmes d'information, aux activités de marché, aux ressources humaines et à la comptabilité. Cas du système bancaire marocain
Introduction. Le secteur bancaire est en mutation : déréglementation, désintermédiation, risques accrus, pour n’en citer que les éléments les plus courants. Les banques font face à un environnement socioéconomique mouvant et de plus en plus complexe. En effet, les banques marocaines comme les banques étrangères ont vécu de profonds bouleversements dans les années quatre vingt se traduisant par la décentralisation et l'internationalisation des activités, la croissance des volumes d’opérations, le développement des produits sophistiqués et la prise de risques dans un contexte de baisse des marges. Depuis le début du troisième millénaire, en Europe, on constate une accélération des fusions et des acquisitions dans le secteur bancaire. Phénomène qui semble se propager pour toucher ainsi le paysage bancaire marocain. Si, historiquement, la restructuration du secteur bancaire n'est pas un phénomène nouveau, comment expliquer l’accélération actuelle ? Quelles en sont les conséquences sur les fonctions exercées par les banques et les risques qui en découlent ? Le paysage bancaire mondial y compris celui marocain sera-t-il dominé par quelques méga banques dans quelques années ? Ainsi, avec les évolutions qui marquent le secteur bancaire et qui se caractérisent notamment par la rapidité de renouvellement des process, l'automatisation accélérée des traitements ainsi que par la technicité et la diversité croissantes des produits, les risques auxquels les banques sont confrontées sont devenus plus nombreux, plus significatifs et plus complexes. Ces mutations posent d'une part des problèmes de difficultés d’analyse et de contrôle des risques, de protection des investisseurs et de transparence des marchés et d'autre part, des exigences toujours plus élevées à la gestion des risques et à l’organisation des établissements bancaires. De même, elles accroissent le risque de contrôles inadaptés voir défaillants. Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour tirer les conclusions de ces évolutions. L’axe de progrès le plus évident est la mise en place d’un système interne de connaissance de leur exposition aux risques, quelle que soit l’origine du risque (crédit, marché, système d'information...). Le pilotage des risques bancaires via le risk management et l'audit interne est une problématique largement d'actualité, depuis déjà quelques années dans beaucoup de pays occidentaux (Etats Unis, Japan, Grande Bretagne, France,…). Ceci n'est pas le
6
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
fruit du hasard, mais une conséquence des problèmes économiques importants que soulève la question, ayant abouti dans certains cas à des situations dramatiques. Les pertes importantes qu'ont subies plusieurs banques et établissements financiers sur leur activité de trading illustrent par ailleurs, de manière assez pragmatique, les conséquences de "break-down " dans le processus de maîtrise des risques. De nombreuses affaires sur plusieurs grands marchés tels que Barings, Fleming et Morgan Grenfell, Daïwa et Sumitomo, Orange country et Metallgesellschaft, ne sont que des exemples de cette liste noire (Cf. Annexe 1) et ont montré que l’existence de procédures adaptées était nécessaire mais pas suffisante. A la suite de ces affaires et des menaces que fait peser une faillite bancaire sur le système financier tout entier, et sur la confiance qu’il doit inspirer à tous, les exigences des instances de régulation vont en croissant, les contrôles se renforcent et les sanctions deviennent plus dissuasives. Ces instances ont, à leur tour, élaboré des doctrines dont l’objet principal est de soumettre les banques à des règles permettant de minimiser le risque de les voir manquer à leurs obligations vis-à-vis de leurs déposants. Le développement de ces règles dites « prudentielles » est en train de converger vers une approche de plus en plus similaire à celle résultant des analyses de la théorie financière : le projet du nouveau ratio de solvabilité dit « Mc Donough » a pour principal objectif de mieux prendre en compte la réalité des risques pour la définition des exigences de fonds propres auxquelles sont soumises les banques. Il y a quelques années, le Maroc a lui aussi failli tomber sous le coup d'une instabilité financière causée par les difficultés financières de deux grandes banques publiques de la place. Sans l'intervention des pouvoirs publics, cette crise aurait pris un tournant dangereux. S'il est vrai que ces accidents n'ont pas mis le système financier en danger, ils n'en sont pas moins porteurs d'un avertissement pour tous : des systèmes déficients en matière de gestion et d'audit des risques dans le secteur financier peuvent rapidement provoquer des pertes financières considérables lesquelles, si elles ne sont pas contenues adéquatement par des tampons solides aptes à endiguer le risque systémique, sont susceptibles d'engendrer un effet de domino auprès d'autres opérateurs sur les marchés avec des conséquences difficilement calculables pour le système financier. Cette préoccupation est réelle, comme en témoigne l'actualité internationale : les crises récentes de l'Argentine, la Turquie et la crise asiatique d'il y a quelques années n'en sont que des exemples. Ces turbulences financières qui ont secoué les marchés financiers internationaux en général et celui marocain en particulier, ont mis en évidence certaines faiblesses dans la gestion et l'audit des risques au sein des établissements bancaires. Cette gestion longuement assimilée à une simple conformité à des règles prudentielles s'est révélée inefficace dans la mesure où celle-ci s’est limitée pour la plupart au respect d'un
7
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
ensemble d'indicateurs plutôt généraux et a passé sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du top management et du conseil d'administration dans le contrôle des organisations bancaires. Il est évident que dans ces conditions, les banques ne peuvent plus se contenter pour leur gestion de s'appuyer sur une approche limitée de gestion des risques bancaires, un pilotage plus fin devient alors vital. En effet, la solidité et la santé de tout établissement bancaire est une responsabilité qui incombe en premier lieu au management de celui-ci: il n' y a aucun système spécifique de surveillance bancaire qui puisse remplacer une gestion saine et efficace d'une banque. Celle-ci passe désormais par une implication plus importante du management dans le choix d'outils pertinents les mieux adaptés au profil de risque de l'établissement bancaire. S'il est vrai que l'audit bancaire comporte des coûts élevés, il s'est avéré qu'un audit déficient ou insuffisant coûte encore plus cher. Dans ce répertoire, Il n'existe pas encore de théorie d'audit bancaire standard et globalement acceptée. Nous n'avons à l'heure actuelle, qu'un ensemble de pratiques de l'audit, qui ont évolué au cours des années, avec les besoins et les métiers de la banque. L'audit bancaire présente quelques spécificités de part les particularités de l’environnement analysé. En effet, en s’appliquant au système de gestion et de contrôle des risques bancaires, il en découle une pluridisciplinarité des champs observés : ressources humaines, système d'information, comptabilité, activités de marché ….. De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner. Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer, l’interprétation des résultats et les difficultés d’élaboration d’un système de référence. Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil à même de limiter les risques inhérents à ses activités, de rendre l'organisation existante plus performante et plus généralement, d'accroître l'efficacité de celle-ci. En effet, l’audit interne peut jouer un rôle non négligeable en matière d’efficacité du management d’une banque. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission qui lui est assignée. Des conditions sont à remplir pour que l'audit interne puisse être un véritable outil d'efficacité. A l'évidence, quelle que soit la nature des missions confiées à l'audit interne, le niveau d'efficacité sera fonction d'un certain nombre de paramètres tels que la pertinence de l'approche empruntée, l'exhaustivité du périmètre audité, le savoir-faire technique et qualités intrinsèques de l'auditeur, …etc. Ainsi, face aux évolutions des métiers bancaires, qui ont généré de nouvelles variantes de risques et modifié les facteurs de fragilité financière, il devient de plus en plus impératif de développer des outils d'audit spécifiques dans le but de détecter et de couvrir tous les risques inhérents à l'activité bancaire.
8
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel, il est de plus en plus pressant que les établissements bancaires puissent s'investir dans le développement d'instruments complémentaires d'analyse fondés sur des méthodes à la fois quantitatives et qualitatives voir systémiques. Le Comité de Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit, du risque de marché et du risque opérationnel. Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences réglementaires serait possible avec l'approche de l'audit systémique. Celle-ci a modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire. Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un système existant, une telle approche permet aux établissements bancaires de disposer d'un outil précieux pour mieux gérer et contrôler leurs risques.
Problématique générale. Contexte international La problématique de gestion et d'audit des risques apparaît donc comme une donnée omniprésente et essentielle dans l'appréciation de la qualité des établissements de crédit. Une rétrospective sur l'évolution des normes et des pratiques en la matière souligne toutefois le caractère récent de cette préoccupation avec les premières réflexions d'ensemble qui remontent seulement à une vingtaine d'années. C'est en effet en 1988 que le premier texte international visant à réguler l'exposition aux risques des banques a vu le jour, avec la publication par le Comité de Bâle de l'accord sur l'adéquation des fonds propres qui, rappelons-le , ne traitait à l'époque que les risques de crédit ( cette norme est à la base de la décision réglementaire de Bank AlMaghrib (BAM) N°96 du 25 décembre 1992 relative à l'instauration du ratio de solvabilité imposé à l'ensemble des opérateurs dans le secteur bancaire). L'évolution spectaculaire des référentiels de gestion des risques découle de deux phénomènes qui sont venus se cumuler. -
L'impulsion du marché avec la montée en puissance des thématiques de gouvernement d'entreprise et de transparence, phénomène qui n'est d'ailleurs pas spécifique au secteur bancaire mais concerne l'ensemble des sociétés et, en particulier celles cotées;
-
La pression forte et continue des régulateurs bancaires, en premier lieu le Comité de Bâle, pour améliorer les dispositifs de gestion et de contrôle des risques dans l'objectif de garantir la stabilité économique au niveau mondial et d’éviter la survenance de risques systémiques.
9
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L'analyse des textes qui émanent des autorités prudentielles bancaires, au niveau international, montre une attention croissante portée depuis quelques années par ces autorités à ces thèmes, avec en particulier : -
La déclinaison au niveau du secteur bancaire du principe de responsabilité finale des administrateurs dans le fonctionnement du contrôle interne et de la mise en place de comités d'audit ;
-
La définition d’un cadre complet et précis sur le mode d'organisation, de gestion et d'encadrement des différents risques avec le développement du concept de "Risk Management" notamment à travers des textes réglementaires sur le contrôle interne;
-
L'affirmation constante de la nécessité de transparence vis-à-vis du marché. Celle-ci passe notamment par une communication adaptée sur l'organisation interne de la gestion des risques, les expositions et les incidences passées et futures, ainsi que sur la rentabilité des activités autour de différents indicateurs de création de valeur.
Une autre tendance de fond observée depuis 1998 réside dans l'élargissement des référentiels de gestion et de maîtrise des risques, vers une conception étendue à l'ensemble des risques banacires, alors qu'ils étaient concentrés initialement sur les risques financiers (crédit, marché,..). En particulier, des travaux approfondis ont été entrepris par le Comité de Bâle sur le thème du risque opérationnel. Dans ce contexte de foisonnement et de progression continue des textes sur la gestion des risques des banques, les rapports annuels des grandes banques internationales comportent actuellement des présentations de plus en plus importantes sur les dispositifs globaux de "risk management", et une communication désormais spécifique sur la gestion du risque opérationnel. La gestion et en particulier l'audit des risques bancaires constituent plus que jamais un "going concern". Cette problématique générale étant précisée, Qu'en est-il de la question au Maroc? Contexte marocain Le paysage bancaire marocain se caractérise par un cadre prudentiel qui a fait l'objet d'une refonte profonde dès 1993 coïncidant avec la promulgation de la nouvelle loi bancaire. Dans le prolongement de cette nouvelle loi bancaire, plusieurs règlements se sont succédés, dont le plus important est la circulaire N°6 relative au contrôle interne des établissements de crédit diffusée par Bank Al Maghrib (BAM) en février 2001. Avant la diffusion de cette nouvelle circulaire, un débat fragmenté a été soulevé depuis quelques années avec pour toile de fond les dysfonctionnements vécus ces derniers temps par certains établissements de crédit ; jusque-là considérés comme pionniers dans le pilotage bancaire et le contrôle interne. 10
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Le cadre réglementaire du secteur bancaire a connu récemment de nouvelles évolutions et a ainsi subi plusieurs aménagements notamment à travers la refonte de deux textes fondateurs à savoir : les nouveaux statuts de Bank Al-Maghrib, adoptés par le Parlement le 13 janvier 2005, conférant à cette institution l’autonomie en matière d’élaboration et de conduite de la politique monétaire et la nouvelle loi bancaire du 14 février 2006 ayant renforcé les prérogatives de Bank Al-Maghrib dans le domaine de la supervision bancaire. Actuellement, au-delà des causes des mutations que connaît le paysage bancaire marocain (les mouvements de fusion absorption, la disparition des petites banques, la rude course concurrentielle, la recrudescence des fraudes ….), ce sont leurs conséquences – notamment la fragilité financière accrue – qui attirent l’attention. Comment peut-on expliquer que certains établissements bancaires aient connu autant de difficultés financières ? Est-ce seulement dû à un management « irresponsable » ou s’agit-il d’un problème d’efficience de leur système d'audit interne? La circulaire N°6 de BAM arrive donc à point nommé pour rappeler aux établissements de crédit leurs responsabilités et la nécessité de maîtriser leurs risques majeurs pour protéger leurs clients, leurs actionnaires et l'ensemble de leurs partenaires. Afin d'inciter les établissements de crédit à se conformer à la réglementation en vigueur, des sanctions pécuniaires applicables aux différentes infractions ont, en outre, été édictées. Ce renforcement du dispositif prudentiel et son alignement sur les normes internationales visent à prévenir les différents risques liés à l'exercice de l'activité des établissements de crédit. Ces actions entreprises par les autorités monétaires traduisent une volonté ferme des organes de tutelle en vue d'éradiquer toutes les sources potentielles pouvant entraver un fonctionnement normal de l'ensemble du système financier. La gestion des risques bancaires revêt encore plus d'importance auprès des autorités monétaires qui se sont démarquées ces derniers temps par la diffusion d'un ensemble de règles et de recommandations visant à mettre en place une nouvelle approche de surveillance de risque basée sur un renforcement des systèmes de contrôle interne. Toujours est-il qu'une question demeure posée à ce sujet, celle-ci porte non seulement sur l'efficacité des mesures réglementaires instituées par les autorités monétaires, mais aussi sur la capacité des établissements de crédit à intégrer efficacement les nouvelles règles de contrôle interne, découlant à la fois des pratiques internationales et des nouvelles approches fondées sur une gestion interne des risques. Dés lors, des interrogations majeures s'imposent sur l'efficacité des dispositifs d'audit interne, actuellement pratiqués par le système bancaire marocain : •
Le management bancaire est-il sensible à tous les risques : opérationnels, financiers, stratégique et de réputation ?
11
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
•
Comment a-t-il réparti les rôles entre les divers acteurs de son entité (Risk management, Audit interne et Compliance en termes de gestion, de contrôle et de prévention de ces risques ?
•
L’audit interne au sein du système bancaire marocain, jouit-il de l'indépendance, du pouvoir et de l'efficacité nécessaires pour mener à bien sa mission ?
•
Le système d'audit bancaire marocain est-il efficient ? La cartographie des risques des établissements bancaires est-elle fiable et exhaustive ?
•
La cartographie des risques permet-elle d'identifier les risques (par métiers, domaines, ou processus), de qualifier ces risques (fréquence, niveau de criticité,…) et de les rattacher aux éléments concernés (tâche, acteur, système,...) ?
Permet-elle au management de la banque de décider des actions à mener pour gérer ces risques : assumer, éviter, prévenir (réduire la fréquence ou la probabilité de survenance), atténuer (réduire l’impact financier ou d’image) ou transférer (assurance)?
Fournit-elle au management une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles, lesquels seront à surveiller à l’aide d’indicateurs des risques clés "Key Risk Indicators" ?
Le champ d’audit des établissements bancaires est-il exhaustif ?
Son périmètre couvre-t-il tous les risques (marchés, système d'information, comptables, ressources humaines, ..) et les entités de la banque (Réseau, Directions centrales, filiales et succursales) ?
Les directions d'audit interne disposent-elles de pôles de compétence aptes à mener des missions d'audit dans des métiers spécifiques (salle des marchés, systèmes d'information, ressources humaines, finance et comptabilité, gestion actifs-passifs, logistique.…) ?
Disposent-elles de manuels de procédures ou de modes opératoires pour piloter les missions d’audit réalisées dans tous les métiers ?
Enfin, peut on améliorer l’efficience du système d’audit interne bancaire marocain par une nouvelle Approches d’audit systémique ?
Intérêt du sujet. Plus pratiquement, l’intérêt du sujet découle de trois considérations principales : •
Le contexte en forte évolution, caractérisé par diverses mutations économiques et réglementaires importantes ( forte tendance concurrentielle , pression réglementaire) qui souligne l'importance de l’audit bancaire pour la stabilité
12
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
financière et explicite dorénavant le rôle majeur du top management dans ce processus de pilotage et de contrôle. •
L'objectif de cerner et de prévenir tout risque de perte de valeur qui nécessite des outils adéquats en termes de développement, de reporting et de maîtrise des risques qui passent incontournablement par un renforcement du dispositif de contrôle interne et par conséquent de l'approche d'audit.
•
Eu égard à cette volonté aussi bien publique que privée, et dans le cadre même du processus naissant d'alignement sur les standards internationaux à la fois comptables et financiers, les établissements de crédit marocains offrent-ils un environnement propice pour une mise en œuvre dans les délais souhaités par les autorités monétaires des nouvelles recommandations formulées dans les nouvelles dispositions réglementaires ?
L'intérêt du travail que je me propose de développer dans le cadre du présent thème de recherche se veut tout d'abord pragmatique compte tenu à la fois des réalités économiques et organisationnelles des établissements de crédit marocains, mais aussi critique et précurseur d'une nouvelle approche d'audit bancaire. L'objectif primordial de cette étude est donc de fournir une esquisse des pratiques d'audit dans le système bancaire et de démontrer l'incapacité des systèmes classiques d'audit de couvrir seuls l'ensemble des métiers bancaires et particulièrement ceux réputés comme "inauditables" de part leur complexité et/ou de leur technicité, tels que : le système d’information, les activités de marché, les ressources humaines et la comptabilité. Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion des risques. Disposer d'une visibilité globale sur les risques, tout en répondant aux exigences réglementaires, demande beaucoup d’implication, de temps, d’efforts et de ressources de la part des banques. Devant les difficultés majeures de mise en place d'un dispositif efficace de contrôle interne au regard des tendances internationales et des nouvelles exigences réglementaires, l’audit systémique, développé dans le présent thème de recherche, a pour objectif ultime de proposer aux établissements bancaires un outil précieux pour mieux gérer et auditer leurs risques. Ainsi, sera développée une démarche méthodologique d'audit systémique illustrée via quatre lignes métiers (système d'information, activités de marché, comptabilité et ressources humaines) et qui pourrait ainsi être étendue à d'autres métiers.
Hypothèse centrale. Face à un environnement socioéconomique de plus en plus difficile marqué par la multiplicité et la complexité des risques et l'accroissement du risque d’audits inadaptés ou défaillants, les banques doivent plus que jamais disposer d’un système de gestion et
13
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
d’audit de risques performant, efficace et susceptible de mieux maîtriser et de prévenir l’apparition de nouveaux risques. Depuis plusieurs années, les autorités de réglementation et de contrôle bancaire ont pris de nombreuses initiatives en vue de développer et de renforcer le contrôle interne dans les établissements de crédit. Cet environnement de plus en plus complexe et mouvant dans lequel évoluent les établissements de crédit, a donc nécessité l’existence des systèmes d’analyse, de mesure, de maîtrise des risques performants qui complètent ainsi le dispositif prudentiel. L’objectif est de s’assurer d’une part que les risques de toute nature sont analysés et surveillés et de contribuer d’autre part à la prévention ou à la détection précoce de ces risques. Ces exigences ont entraîné pour certains établissements de crédit des réflexions sur leur organisation, leur système d’information ainsi qu’une révision de leur dispositif d'audit interne. La fonction d’audit interne est un instrument incontournable pour vérifier le bon fonctionnement, l’efficacité et l’efficience du système de contrôle interne. Dans le cadre de ses travaux, l’audit interne fournit au top management des analyses, des évaluations, des recommandations, des avis sur les activités examinées et contribue ainsi à un meilleur pilotage de la banque. Un système de contrôle interne adéquat requiert un ensemble efficace de mesures intégrées, adaptées à l’organisation et au fonctionnement de l’établissement bancaire et conformes aux principes d’une gestion prudente et saine. Or, le monde bancaire doit faire face à de nouveaux enjeux : disposer d’informations précises, provenant de sources internes éparses et de divers partenaires externes, gérer et consolider différents types de risques provenant de plusieurs localisations géographiques ou domaines fonctionnels, ou bien adopter une politique globale de gestion du risque en conformité avec la nouvelle réglementation Bâle II. De nombreux établissements financiers ont encore un mode de fonctionnement compartimenté, avec des silos d’informations, d’analyses et d’hypothèses parfois incohérents entre les entités de la banque. Il leur est donc difficile d’obtenir une vision d’ensemble fiable des multiples risques rencontrés et d’en mesurer le niveau global. Sur le plan réglementaire, Bâle II impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit, du risque de marché et du risque opérationnel. Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences de Bâle II, demande beaucoup d’implication, de temps, d’efforts et de ressources de la part des banques. Dans ce contexte, une méthodologie d’audit des risques appelée "audit systémique " est primordiale pour en étudier les principales causes et conséquences, ainsi que les mécanismes de propagation. Elle permettra de déterminer les indicateurs et mesures de gestion puis les plans d’actions les mieux adaptés pour les maîtriser.
14
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Elle aboutira notamment à mieux connaître le profil de risque des activités exercées (cartographie des risques), à développer et alimenter les outils nécessaires au pilotage de ces risques (référentiel de risques par activité, indicateurs de veille et de suivi). Elle vise également à améliorer et coordonner les processus de gestion existant en intégrant, en particulier, les problématiques de contrôle interne, de sécurité des systèmes d’information, de déontologie, dans le cadre d’un dispositif d’évaluation globale des risques. Enfin, elle permettra d’accroître la responsabilité, la vigilance et la réactivité des unités fonctionnelles et de répondre aux exigences du risk-management. En instaurant une nouvelle approche d'audit systémique, les établissements bancaires seraient aptes à mieux évaluer et gérer leur risque. L’audit systémique présente une approche intégrée capable d’identifier les facteurs de risque et qui inclut toutes les analyses appropriées à la mesure de tous les types de risques : crédit, marché et opérationnel. Une telle approche permet d'avoir une vision globale et maîtrisée des risques, quelle que soit la complexité des organisations ou des processus à auditer, de vérifier l'efficacité du dispositif de contrôle interne par ligne métier, et enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers dans la maîtrise, la gestion et la prévention des risques. Instauré en globalité pour tous les métiers ou intégré individuellement pour compléter un système existant, l'audit systémique contribuerait inévitablement à améliorer l'efficience du système d'audit interne bancaire marocain en mettant en œuvre une politique globale de gestion des risques. Ainsi, une démarche méthodologique d'audit systémique est développée, à titre illustratif, dans le présent travail pour quatre lignes métiers (systèmes d'information, salle des marchés, ressources humaines et comptabilité), et qui pourrait d'ailleurs être étendue à d'autres métiers, illustre parfaitement l'originalité et la pertinence de l'approche. Un audit systémique devient aujourd’hui un instrument efficace à la conduite raisonnée du métier de banquier. Il ne s’agit donc pas simplement d’un audit classique, mais d’une étape dans un processus permanent d’analyse et d’évaluation des risques bancaires, sur la base duquel le management pilote les différentes activités. C’est d’ailleurs l’objectif principal recherché par le Comité de Bâle : le fait de pousser les banques à moderniser leurs systèmes internes de pilotage des risques devrait en effet conduire à une sécurisation accrue et donc à une amélioration globale de la qualité du système de contrôle interne et de la bonne gouvernance bancaires.
15
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Propos méthodologiques. La méthodologie du traitement du présent sujet s'inscrit en trois étapes: •
D'abord, au travers d'un travail d'enquête approfondie sur le terrain auprès d'un échantillon représentatif des banques marocaines, dresser un constat de la problématique et des enjeux de la question et les difficultés pragmatiques de sa mise en œuvre. L'orientation de mon travail découlera en grande partie des résultats de cette analyse qualitative, qui se veut tout d'abord un outil permettant de mettre en exergue les difficultés à la fois techniques et méthodologiques dans l'audit interne des risques bancaires.
•
Si les concepts et les méthodes font l'objet d'un large consensus, l'organisation des systèmes et des structures gérant les modèles internes est incontournablement différente d'un établissement à l'autre. Mon propos à ce sujet est d'étudier les difficultés de mise en place de dispositifs internes efficaces d'audit en s'appuyant sur une analyse approfondie de la stratégie et de l'organisation des différentes activités des établissement de crédit marocains. Tout en s'alignant sur les nouvelles dispositions découlant du comité de Bâle sur le contrôle bancaire ainsi que les nouvelles règles instituées par la circulaire N°6 relative au contrôle interne des établissements de crédit au Maroc, ce travail se veut aussi un diagnostic de la réalité des établissements de crédit marocains eu égard à cette nouvelle tendance réglementaire et leur capacité à pouvoir s'y conformer dans les délais souhaités. On ne manquera pas à cet effet, de rappeler quelques expériences étrangères sur les meilleures pratiques "Best practices" de la profession d'audit.
•
Enfin, par une mise en perspective de la fonction d’audit interne auprès du top management, à travers un benchmarking et un raccordement de synergie entre d'une part les enseignements tirés de mon expérience personnelle en audit bancaire, et d'autre part par les nouvelles approches d'audit interne pratiquées, à l’échelon mondiale, par plusieurs banques de renom. Ces dernières constitueront via leur Approches d’audit systémique, un repère incontournable de la conduite de ce travail. Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle approche d'audit systémique dans le dispositif de maîtrise globale des risques. Pour étudier tous ces aspects, mon travail s'articule en deux parties:
• La première partie traite des pratiques d'audit interne dans le système bancaire marocain. Elle présente d'abord, un examen typologique des risques bancaires et leurs critères d'évaluation comme étant l'étape la plus importante et surtout la plus difficile à apprivoiser dans le processus de management des risques et un aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain.
16
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Ensuite, elle souligne les principes fondamentaux relatifs à l'audit interne en général et les particularités de l'audit bancaire de part la pluridisciplinarité des champs observés (ressources humaines, système d'information, activités de marché…) et la multiplicité et la complexité des risques qui en découlent. Enfin, une présentation des résultats de l'enquête sur l'efficience du système d'audit bancaire marocain, à travers un échantillon de cinq banques privées marocaines, choisies parmi les établissements les plus représentatifs de l'activité bancaire à l'échelon national. Trois thèmes ont été mis en évidence, la sensibilité du management à l'audit, le positionnement et le rôle des acteurs du système de contrôle interne et le dispositif d'audit pratiqué pour quatre métiers hétrogènes choisis de part leur haute technicité. •
La seconde partie est consacrée à l'approche méthodologique de l'audit systémique bancaire en exposant d'abord sa particularité en la situant dans le contexte d'audit du système de contrôle interne global. Ensuite, sera développé l’apport d'une telle démarche dans la maîtrise, la gestion et la prévention des risques et sa contribution dans l’amélioration de l'efficience du système d'audit interne bancaire marocain. Enfin, sera développée en détail une démarche méthodologique d'audit systémique pour quatre lignes métiers à savoir les systèmes d'information, la salle des marchés, la comptabilité et ressources humaines) pour illustrer concrètement l'approche. Je ne manquerai pas non plus de mettre l'accent sur l'importance de la nouvelle approche d'audit systémique dans le dispositif de maîtrise globale des risques. Pour étudier tous ces aspects, mon travail s'articule en deux parties:
• La première partie traite des pratiques d'audit interne dans le système bancaire marocain. Elle présente d'abord, un examen typologique des risques bancaires et leurs critères d'évaluation comme étant l'étape la plus importante et surtout la plus difficile à apprivoiser dans le processus de management des risques et un aperçu sur ce qu' en sont les pratiques pour le système bancaire marocain. Ensuite, elle souligne les principes fondamentaux relatifs à l'audit interne en général et les particularités de l'audit bancaire de part la pluridisciplinarité des champs observés (ressources humaines, système d'information, activités de marché…) et la multiplicité et la complexité des risques qui en découlent. Enfin, une présentation des résultats de l'enquête sur l'efficience du système d'audit bancaire marocain, à travers un échantillon de cinq banques privées marocaines, choisies parmi les établissements les plus représentatifs de l'activité bancaire à l'échelon national.
17
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Trois thèmes ont été mis en évidence, la sensibilité du management à l'audit, le positionnement et le rôle des acteurs du système de contrôle interne et le dispositif d'audit pratiqué pour quatre métiers hétrogènes choisis de part leur haute technicité. •
La seconde partie est consacrée à l'approche méthodologique de l'audit systémique bancaire en exposant d'abord sa particularité en la situant dans le contexte d'audit du système de contrôle interne global. Ensuite, sera développé l’apport d'une telle démarche dans la maîtrise, la gestion et la prévention des risques et sa contribution dans l’amélioration de l'efficience du système d'audit interne bancaire marocain. Enfin, sera développée en détail une démarche méthodologique d'audit systémique pour quatre lignes métiers à savoir les systèmes d'information, la salle des marchés, la comptabilité et ressources humaines) pour illustrer concrètement l'approche.
18
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre préliminaire : Le système bancaire marocain, vue d'ensemble.
19
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre préliminaire : Le système bancaire marocain : vue d'ensemble. Réformes et évolutions du système bancaire marocain et sa position macro économique. Depuis le début des années 90, le secteur financier au Maroc a connu une période de libéralisation marquée par des réformes appuyées par une série d’initiatives de la Banque Mondiale. Ces réformes portaient sur le secteur bancaire (1991-1995), le développement du marché des capitaux et la poursuite de la libéralisation du secteur financier (1996). Parmi les principales reformes mises en œuvre pendant cette période, il faut souligner l'élimination de l'encadrement du crédit, la libéralisation des taux d’intérêt, la refonte du cadre législatif de l'activité des établissements de crédit par l'adoption en 1993 d'une nouvelle Loi Bancaire, la suppression progressive des emplois obligatoires (Plancher d’Effets Publics) et le renforcement de la réglementation prudentielle des banques en s’inspirant des normes internationales. Plus récemment, la refonte des nouveaux statuts de Bank Al-Maghrib en janvier 2005 et la nouvelle loi bancaire en février 2006 ont renforcé les prérogatives de la Banque Centrale dans le domaine de la supervision bancaire et de la politique monétaire. L’intermédiation financière des banques marocaines s’est développée par rapport à la taille de l’économie, mais à un rythme qui ne menace pas de déstabiliser l’équilibre financier des principales banques commerciales. Avec la réduction de la présence de l’Etat dans le système bancaire, une part nettement plus importante des crédits est destinée au financement du secteur privé. Néanmoins, la croissance relative des crédits à moyen et long terme et de l’épargne bancaire à terme ne s’est pas sensiblement améliorée. Le financement du Trésor continue de représenter une partie non négligeable des emplois du secteur bancaire. Réglementation et supervision bancaires. La revue de la réglementation et de la supervision bancaires au Maroc a été fondée sur les vingt-cinq principes formulés par le Comité de Bâle. Ces principes ont été proposés à la fin de l’année 1997 en vue de rehausser la qualité de la réglementation et de la supervision bancaires. Ainsi, on peut schématiser le positionnement du système bancaire dans le système financier marocain comme suit :
20
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
SYSTEME FINANCIER MAROCAIN - CADRE INSTITUTIONNEL AUTORITES DE REGLEMENTATION ET DE SUPERVISION
OPERATEURS BANQUES
Banque Centrale BANK AL MAGHRIB
-
SOCIETES DE FINANCEMENT
Banques commerciales - Crédits à la consommation Banques spécialisées - Crédits bail Filiales de banques étrangères - Autres Succursale de banque étrangère ASSOCIATIONS PROFESSIONNELLES GPBM, APSF, APSB, ASFIM
Ministère des Finances
Conseil Déontologique des Valeurs Mobilières (CDVM)
Réseau Trésor (collecte de la petite épargne) Réseau comptes chèques postaux (CCP) Caisse d'Epargne Nationale (CEN) Epargne Institutionnelle Caisse de Dépôts et Gestion (CDG) Compagnies d'assurances, caisse de retraite et de prévoyance Banques offshores Marché des Capitaux Bourse de Casablanca Sociétés de bourse Organismes de Placement Collectif des Valeurs Mobilières (OPCVM)
Le Ministère des Finances n’est pas impliqué dans le contrôle des opérations courantes des établissements de crédit, mission dévolue exclusivement aux services de Bank AlMaghrib qui trouve ses prérogatives renforcées par la nouvelle loi bancaire du 14 février 2006 en particulier dans le domaine de la supervision bancaire. Le Groupement Professionnel des Banques du Maroc (GPBM) est l’instance professionnelle des banques. Il communique notamment les décisions et positions communes de la profession en matière d’environnement opérationnel des banques et publie régulièrement des recommandations sur les taux de base bancaire. Les autres associations professionnelles incluent l’Association Professionnelle des Sociétés de Financement (APSF) et l’Association Professionnelle des Sociétés de Bourse (APSB) et des OPCVM (ASFIM).
21
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
1. Le paysage bancaire marocain Présentation du système bancaire marocain Le secteur des établissements de crédit se composait au terme de l'année 2004 de 17 banques1, au lieu de 18, consécutivement à une opération de fusion-absorption, et de 40 sociétés de financement contre 44 en 2003. Quant à l'implantation bancaire, elle s'est élargie avec l'ouverture de 94 guichets permanents, ce qui a porté leur nombre, à fin 2004, à 2043 unités, soit un guichet pour près de 15.000 habitants (1 pour 2 500 en France) ce qui représente encore un réel potentiel de développement. S'agissant des six banques off-shore, installées à Tanger, cinq étaient en activité à fin décembre 2004, avec un total bilan de 834,4 millions de dollars, en progression de 53%, au lieu de 40% en 2003. Une présence marquée des banques étrangères : les grandes banques privées du Royaume comptent dans leur actionnariat des banques étrangères plus ou moins impliquées dans leur gestion. La part du capital étranger dans les banques marocaines atteint 20,7% des actifs des banques commerciales à fin 2004. Sur les trois dernières années, plusieurs banques internationales ont augmenté leur participation dans le capital des grandes banques marocaines. On recense: • Des filiales françaises : • BNP Paribas contrôle 63,12% de la Banque Marocaine pour le Commerce et l’Industrie (BMCI), • La Société Générale contrôle 51,9% de la Société Générale Marocaine de Banque (SGMB), • Le Crédit Agricole contrôle 51% du Crédit Du Maroc (CDM). • Des participations étrangères minoritaires mais significatives et s’accompagnant d’accords commerciaux : • Le CIC, depuis juin 2004, avec 10% dans le capital de la Banque Marocaine du Commerce Extérieur (BMCE), • Santusa Holding (Espagne) avec 14,48% du capital de AttijariWafa Bank, • Le Crédit Agricole avec1,44% du capital de AttijariWafa Bank, mais présent à hauteur de 34% dans les filiales stratégiques que sont Wafasalaf (2ème société de crédit à la consommation de la place, après EQDOM, la filiale du groupe Société Générale) et Wafagestion. • Le secteur bancaire marocain se partage en quatre catégories d’établissements : •
1
Les banques de dépôts classiques, aujourd’hui au nombre de sept : parmi elles, on trouve les cinq grandes banques privées qui réalisent près des deux tiers de la collecte des dépôts bancaires, à savoir : AttijariWafa Bank, la Banque Marocaine du Commerce Extérieur (BMCE) et les trois filiales françaises, en l’occurrence la SGMB, la BMCI et le CDM.
Dix-sept, à compter de 2004, suite au rachat fin 2003 de Wafabank par la Banque Commerciale du Maroc, devenue à cette occasion Attijariwafa Bank.
22
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
•
Le Crédit Populaire du Maroc, constitué de la Banque Centrale Populaire (BCP) et son réseau des Banques Populaires Régionales (BPR), qui est un organisme public à caractère mutualiste, concerné en particulier par la collecte de la petite épargne.
•
Les anciens organismes financiers spécialisés (OFS) dans le financement de secteurs d’activités particuliers : il s’agit du Crédit Immobilier et Hôtelier (CIH), de la Caisse Nationale de Crédit Agricole (CNCA) et de la ex Banque Nationale pour le Développement Economique (BNDE), qui ont vécu un processus de restructuration qui s’est traduit par un plan de redressement pour les deux premières et par un démembrement en mars 2003 de la BNDE entre la Caisse de Dépôts et de Gestion qui récupère l’agrément bancaire et la CNCA qui récupère le réseau d’agences. L’Etat a participé à la recapitalisation nécessaire (325 millions d’euros depuis 1998) sans qu’à ce jour la situation soit pleinement assainie.
•
Diverses autres banques dont la création répond à des besoins spécifiques et dont l’objectif initial n’est pas de remplir la fonction de banque de dépôt. On recense dans cette catégorie Bank Al Amal2, Médiafinance3, Casablanca Finance Markets3, et le Fonds d’Equipement Communal (FEC)4.
Chiffres-clés du système bancaire Structure du système bancaire au 31/12/2004. Nombre d’établissements de crédit : 57. Nombre de banques : 17. Sociétés de financement : 40 dont 22 sociétés de crédit à la consommation et 8 sociétés de crédit-bail. Nombre de banques offshore : 6. Implantation des banques : 2.043 guichets au Maroc, 4 filiales, 13 succursales et agences bancaires ainsi que 64 bureaux de représentation à l’étranger. Implantation de Barid Al-Maghrib : 1.653 guichets au Maroc. Effectif des établissements de crédit : 26.251 dont 24.000 environ pour les banques.
2
BANK AL AMAL , créée en 1989, a pour mission le financement de projets d’investissement visant la réinsertion dans leur pays d’origine des Marocains résidant à l’étranger.
3
MEDIAFINANCE (créée en 1996) et CASABLANCA FINANCE MARKETS (créée en 1998) interviennent sur le marché des titres négociables de la dette.
4
Le FEC est un établissement public créé en 1959, devenu banque en DECEMBRE 1996. Le FEC a pour mission de concourir au développement des collectivités locales, en leur accordant des concours techniques et financiers.
23
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
LISTE DES ETABLISSEMENTS DE CREDIT ET DES BANQUES OFFSHORE Raison sociale
Sigle
ARAB BANK PLC ATTIJARIWAFA BANK BANK AL-AMAL BANQUE CENTRALE POPULAIRE BANQUE MAROCAINE DU COMMERCE EXTERIEUR BANQUE MAROCAINE POUR L'AFRIQUE ET L'ORIENT BANQUE MAROCAINE POUR LE COMMERCE ET L'INDUSTRIE BANQUE NATIONALE POUR LE DEVELOPPEMENT ECONOMIQUE BANQUE POPULAIRE D'EL JADIDA - SAFI BANQUE POPULAIRE D'OUJDA BANQUE POPULAIRE DE CASABLANCA BANQUE POPULAIRE DE FES-TAZA BANQUE POPULAIRE DE LAAYOUNE BANQUE POPULAIRE DE MARRAKECH - BENI MELLAL BANQUE POPULAIRE DE MEKNES BANQUE POPULAIRE DE NADOR - AL HOCEIMA BANQUE POPULAIRE DE RABAT BANQUE POPULAIRE DE TANGER-TETOUAN BANQUE POPULAIRE DU CENTRE SUD CASABLANCA FINANCE MARKETS CITIBANK MAGHREB CREDIT AGRICOLE DU MAROC CREDIT DU MAROC CREDIT IMMOBILIER ET HOTELIER FONDS D'EQUIPEMENT COMMUNAL MEDIAFINANCE SOCIETE GENERALE MAROCAINE DE BANQUES UNION MAROCAINE DE BANQUES
(ARAB BANK PLC) (ATTIJARI WAFA BANK) (BANK AL-AMAL) (B.C.P) (BMCE BANK) (BMAO) (BMCI) (BNDE)
(CFM) (CITI BANK) (CAM) (CDM) (CIH) (FEC) (MDF) (SGMB) (UMB) Source : BAM
2. Environnement institutionnel et réglementaire en pleine mutation Les établissements de crédit sont régis par la loi N°1-93-147 du 6 juillet 1993, relative à l’exercice de l’activité des établissements de crédit et de leur contrôle. Ce texte définit les opérations bancaires, les conditions de leur exercice et les contrôles auxquels sont assujettis les établissements de crédit. En 2004, le cadre légal et réglementaire régissant le secteur financier a connu plusieurs évolutions qui visent la modernisation de ce secteur et le renforcement de sa stabilité.
24
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Elles ont concerné aussi bien le système bancaire que les autres compartiments du secteur financier. 2.1 - Dispositif de contrôle interne Les établissements de crédit ont été appelés à renforcer leur dispositif de contrôle interne suite à l’institution de règles minimales par la circulaire n°6/G/2001 du 19 février 2001. Aux termes de ce texte, ils sont tenus de se doter d’un système de contrôle interne leur permettant de s’assurer que les opérations réalisées sont conformes aux dispositions légales et réglementaires en vigueur ainsi qu’aux orientations des organes de gestion et que les limites fixées par ces organes pour la prise de risques sont strictement respectées. Ce dispositif doit également garantir la fiabilité des conditions de collecte, de traitement, de diffusion et de conservation des données comptables et financières. Les instances dirigeantes doivent être directement impliquées dans la conception, la mise en œuvre (organe de direction) et l’approbation du système de contrôle interne (conseil d’administration ou de surveillance). L’organe d’administration doit se faire assister par un Comité d’audit constitué, en partie, d’administrateurs non dirigeants, chargé notamment d’évaluer la cohérence et l’adéquation des dispositifs de contrôle mis en place ainsi que la pertinence des mesures préventives, détectives ou correctrices adoptées pour maîtriser les risques constatées. De plus, les établissements de crédit, d’une certaine taille, sont tenus de désigner un responsable du contrôle interne, indépendant des entités opérationnelles, chargé du suivi de l’efficacité du dispositif de contrôle interne. 2.2 - Nouvel Accord sur les fonds propres (Bâle II) 2.2.1- Rôle du Comité de Bâle Le Comité de Bâle sur le contrôle bancaire sert de forum pour la coopération entre les pays membres et non membres en matière de supervision bancaire. Il a pour vocation, notamment : • de renforcer, à l’échelle mondiale, la solidité et la stabilité du secteur bancaire et de réduire les disparités entre les réglementations nationales ; • de faciliter les échanges d’informations sur les activités des banques à vocation internationale ; • d’améliorer les techniques de contrôle bancaire. Dans le prolongement de ses efforts de consolidation de la stabilité du système bancaire international, le Comité de Bâle avait publié, en 1988, un cadre d’adéquation des fonds propres des banques, dit ratio Cooke, reposant sur une couverture minimale de 8% des risques de contrepartie par les fonds propres.
25
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Ce ratio, conçu au départ pour les banques d’envergure internationale, a été adopté par l’ensemble des autorités bancaires. En 1996, le Comité de Bâle a amendé ce ratio en élargissant l’assiette des risques à ceux associés aux activités de marché. S’agissant du Maroc, les autorités monétaires ont transposé le dispositif de 1988 dans la réglementation nationale dès 1993, ce qui s’est traduit par un accroissement significatif des fonds propres des banques. Le ratio Cooke a montré ses limites sous l’effet, notamment, de la globalisation financière qui s’est accompagnée de l’apparition de nouveaux risques et qui a entraîné de nombreuses crises financières. En outre, la sophistication des pratiques, développées par les banques pour l’évaluation et la maîtrise de leurs risques, a rendu nécessaire la mise en place d’un nouveau dispositif plus adapté au contexte des marchés internationaux. Ainsi, en juin 1999, le Comité de Bâle a proposé un amendement à l’accord de 1988 censé introduire une plus grande sensibilité aux risques et permettre d’appréhender de manière plus exhaustive l’ensemble des risques encourus. Après de larges consultations auprès des instances de supervision, des banques et d’autres parties intéressées, le Comité de Bâle a publié, en juin 2004, la version définitive du nouvel Accord sur les fonds propres sous l’appellation « convergence internationale de la mesure et des normes de fonds propres ». Le nouvel Accord repose sur les trois piliers suivants : • des exigences minimales de fonds propres qui sont une extension des règles définies dans l’accord de 1988 ; • un processus de gestion des risques et de surveillance prudentielle renforcé ; • une discipline de marché moyennant la publication, par les banques, d’informations périodiques sur la nature et le volume des risques ainsi que sur les méthodes de leur gestion. 2.2.2- Travaux menés pour la transposition de Bâle II au Maroc La démarche adoptée par Bank Al-Maghrib, pour la transposition du nouvel Accord, tient compte de la réalité et de la structure du système bancaire marocain. C’est une démarche structurante et incitative, en vue d’adopter les meilleures pratiques en matière de gestion des risques, et ouverte sur les différentes approches de calcul des fonds propres réglementaires prévues par le Comité de Bâle. Elle s’inscrit dans un cadre de concertation continue avec la profession bancaire qui a montré sa disposition à adopter le nouvel Accord. En vue d’une bonne transition vers ce nouveau dispositif, Bank Al-Maghrib s’est fixée comme priorités de mettre le système de supervision en conformité avec l’ensemble des principes du Comité de Bâle, de renforcer le cadre réglementaire et la transparence financière.
26
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
•
Mise en conformité du système de supervision bancaire avec les 25 principes du Comité de Bâle La mise en conformité du système de supervision bancaire avec les principes fondamentaux édictés par le Comité de Bâle constitue une condition préalable pour réussir la transition vers Bâle II. D’après les résultats du rapport d’évaluation du secteur financier (FSAP) réalisé conjointement par le FMI et la Banque Mondiale au cours de l’année 2002, le Maroc satisfaisait à plus de la moitié de ces principes.
•
Mise à niveau du cadre légal et réglementaire De nouvelles dispositions ont été introduites dans la nouvelle loi bancaire pour permettre au système de supervision d’être en conformité avec les 25 principes fondamentaux du Comité de Bâle, en particulier, l’application des ratios prudentiels en fonction du profil de risque de chaque établissement, la mise en place d’une commission de coordination des organes de supervision du secteur financier et la conclusion d’accords de coopération et de coordination avec les autorités de supervision des autres pays.
•
Renforcement de la transparence financière La mise en place de Bâle II repose sur un environnement de communication financière sain et la disponibilité d’informations fiables qui revêtent une importance capitale, notamment dans le cadre de la notation des contreparties. A cet égard, plusieurs actions ont été initiées par Bank Al-Maghrib pour le renforcement et l’assainissement des pratiques de communication financière à la charge des entreprises marocaines. Par ailleurs, Bank Al-Maghrib a engagé, au cours de 2004, des travaux avec différents partenaires pour définir les éléments d’information minimums devant être requis par les établissements de crédit dans le cadre de l’instruction des dossiers de crédit, qui ont abouti à la publication d’une directive le 1er avril 2005. De son côté, le GPBM mène un projet de création d’une Centrale d’Information Client (CIC) qui a pour objet d’assurer la collecte et la diffusion d’informations auprès des banques adhérentes afin d’améliorer la sélection et l’acceptation des risques et d’accélérer la prise de décision d’octroi de crédits.
3. Activité et résultats du système bancaire. La structure des bilans des banques a connu des changements significatifs avec le processus de libéralisation du secteur financier mené depuis la fin des années 80. Pour les banques commerciales, ces changements ont concerné davantage leurs actifs. Ainsi, la suppression des emplois obligatoires a permis à ces banques d’une part, d’accroître la proportion des crédits dans le bilan, tout en développant leur fond de commerce lié à des segments de la population jusque-là non bancarisés et d’autre part, de diversifier leurs portefeuilles titres tout en augmentant le volume des opérations de marché et en investissant de nouveaux créneaux des autres compartiments du secteur financier en pleine évolution. De leur côté, les banques publiques spécialisées ont modifié la composition de leurs passifs en recourant davantage à la collecte des dépôts et au marché de la dette privée 27
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
pour financer leur activité de crédit qui a été étendue, de manière plus significative, à la distribution de concours à court terme. 3.1.- Les emplois des banques ont connu une hausse couvrant des évolutions différenciées de leurs différentes composantes Appréhendé à travers l’activité sur base sociale, qui intègre celle exercée par les succursales et les agences installées à l’étranger, le total cumulé des bilans5 des banques a atteint en 2004, 417 milliards de dirhams en progression de 8,6% par rapport à 2003. Le volume de leur activité réalisé au Maroc s’est élevé à 411,5 milliards de dirhams, en hausse de 8,4%, représentant 98,7% de l’activité sur base sociale.
2 : Les rubriques des l’actif sont présentées nets des provisions 3 : Cette rubrique regroupe les opérations effectuées notamment avec les banques, les sociétés de financement, les établissements de crédit étrangers, Bank Al-Maghrib, le Trésor public, la Caisse de Dépôt et de Gestion, la Caisse Centrale de Garantie, les services financiers de Barid Al-Maghrib, les banques offshore et les associations de micro-crédit. 4 : Y compris les intérêts courus
3.2 - L’évolution des ressources des banques reflète un renforcement des ressources en provenance de la clientèle L’évolution des ressources des banques, durant 2004, a induit un léger changement au niveau de leur structure. Ainsi, par rapport au total du passif, la part des dettes envers les établissements de crédit et assimilés et celle des titres de créance émis a baissé respectivement de 1,7 et 0,6 point. Celles des dépôts de la clientèle et les fonds propres ont augmenté de 0,6 point et 0,5 point.
5
Etablis depuis l’exercice 2000 nets de provisions pour dépréciation d’actifs.
28
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
3.3 - Les résultats des banques se sont inscrits en nette amélioration A fin 2004, le résultat net de l’ensemble des banques s’est inscrit en sensible augmentation pour dépasser le niveau de l’année 2000, rompant ainsi avec le faible résultat de l’année 2002 et le résultat négatif de l’année 2003.
29
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
4. Evaluation du système bancaire marocain. Une récente étude6 de l'agence de notation internationale Standard & Poor's (S&P) a classé les banques marocaines dans une gamme étroite d'évaluations variant généralement entre 'B' et 'BB'. Ces évaluations à caractère spéculatif reflètent principalement l'environnement économique relativement risqué dans lequel ces banques opèrent. Dans son analyse du secteur, l’agence de notation opère une différenciation claire entre la performance des banques privées et celle publiques. Ce gap est dû aux difficultés rencontrées par le passé par les ex-OFS. S&P cite la mauvaise gestion et la politique défaillante d’octroi des crédits. Mais le gouvernement avec l’aide de divers partenaires, et au travers d’une approche au cas par cas, est en train de rectifier le tir de façon équilibrée, prudente mais lente. Les banques marocaines sont orientées presque uniquement sur le marché intérieur et souffrent en conséquence de la faible sophistication de leurs marchés respectifs. Elles disposent d'une gamme de produits étroite avec des opportunités toutes aussi réduites pour l'octroi de crédit à des contreparties de bonne qualité. Dans l'ensemble, les crédits aux particuliers servent comme relais aux crédits aux entreprises considérés plus risqués et moins profitables. Cela dit, ce changement de stratégie vers la banque de détail n'a pas encore mené à l'amélioration des profits financiers des banques. De plus, le développement rapide des activités détail n'a pas encore été évalué par un cycle économique prolongé. Dans l'ensemble, les banques du secteur public font face à des problèmes de qualité d'actifs nuisibles, tandis que les banques privés ont affiché des performances plus ou moins équilibrées sur plusieurs fronts, grâce notamment à des pratiques gestionnaires plus professionnelles s'inspirant pour certaines de leur maison mère dotées de systèmes de contrôle plus sophistiqués. Des quatre institutions publiques, le Crédit Populaire du Maroc représente, selon l’agence, la seule institution à avoir un profil comparable à celui des banques privées. Selon l’étude, l’une des faiblesses du secteur qui polarise 339 milliards de DH de dépôts dont 25% provenant des MRE, est la qualité des actifs qui n’a pas arrêté de se détériorer pendant sept ans. Ce n’est qu’en 2005 qu’ils ont commencé à s’améliorer, avec un taux de créance en souffrance estimé à 16,2% cette année-là. En excluant celles des ex-OFS, ce taux ressort à 10,3% à fin 2005. S&P prévoit une baisse de ce taux à l’avenir. Dans le pire des cas, il devrait se stabiliser si les créances en souffrance des PME croissent à moyen terme du faite d’une augmentation des crédits qui leur sont accordés. Si les crédits sont généralement couverts par des garanties suffisantes, S&P estime que le code de commerce place les banques dans une position relativement faible dans la négociation avec les mauvais payeurs.
6
Rapport de l’agence de notation internationale Standard and Poor’s du 20 avril 2006.
30
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Ce texte limite le pouvoir des banquiers à récupérer les actifs des sociétés défaillantes. Le rapport souligne toutefois que l’adossement de plusieurs établissements à des banques étrangères leur permet de bénéficier d’un transfert de technologie et d’un savoir-faire. En outre, le niveau de rentabilité du secteur résiste, malgré une forte pression sur les marges d’intérêt. Cette rentabilité est préservée grâce à une consolidation dans le secteur et l’adoption d’une politique de niche. L’une des ambitionsclés des banques est de devenir universelles. Pour ce faire, elles élargissent leur palette de services, notamment dans le crédit à la consommation. Contraintes d'environnements bancaires et structurels. Les banques du secteur privé dominent le secteur bancaire marocain. Des 17 banques dans le système, 10 sont des établissements financiers privés. Les opérations des banques marocaines sont orientées vers l'économie domestique, avec la présence très limitée d'opérations avec l'étranger, elles-mêmes s'expliquant en grande partie par la dépendance significative aux dépôts de marocains résidents à l'étranger. L'expérience des banques du secteur public dans la sphère des banques commerciales est relativement limitée (situation succédant à celle d'organisme financier spécialisé où les établissements publics bénéficiaient d'un statut juridique privilégié les plaçant à l'abri de toute concurrence privée ou étrangère et bénéficiant en outre d'une dispense de l'application intégrale des dispositions prudentielles). La mise en œuvre du processus de libéralisation a mis en évidence des défaillances de fond qui se sont révélés principalement à travers la qualité dégradante de leur actif d'engagement fortement pénalisé par le poids des créances en souffrance. Ces déséquilibres ont eu un impact significatif non seulement sur la rentabilité de ces établissements, mais même sur leur existence fortement compromise par le poids des pertes importantes occasionnées par une mauvaise gestion du risque de crédit. A l'opposé, les établissements du secteur privé semblent plus résistants à la volatilité et la lenteur de croissance de l'économie marocaine. Mais ils ne sont pas tout aussi moins vulnérables que les établissements publics, à juger par le poids des créances en souffrance qui dépassent de loin les normes observées chez d'autres pays. Le système bancaire marocain semble ouvert à une concurrence démesurée par rapport aux opportunités de financement d'activités économiques prometteuses, s'accompagnant par une pression agressive sur les marges et l'engagement dans les relations créditées d'un niveau de risque élevé. Demande et offre peu sophistiquées. Dans l'ensemble, les banques marocaines manquent de modèles de développement économique cohésifs, s'expliquant en grande partie par le faible niveau de bancarisation de la population et l'existence d'une économie parallèle traitant généralement en dehors du système bancaire. L'activité bancaire n'est ni grande dans sa taille, ni sophistiquée en terme d'offre de produits. Quelques banques du secteur privé de renommée supérieure ont néanmoins la capacité technique pour fournir des produits bancaires plus avancés, toutefois, le marché demeure tiré par une demande cantonnée dans les
31
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
services de base. C'est vrai même dans segment des entreprises, où prêter consiste typiquement en des opérations de financement de trésorerie à court terme et à taux fixe. Par conséquent, les banques dans leur ensemble accusent un retard relativement considérable dans la mise à niveau des activités de support en particulier les fonctions de risk management et de management des systèmes d'information. Dans ce contexte, le développement de la distribution de crédit au Maroc a été étroitement corrélé au rythme de la croissance de l'activité macro-économique pendant les cinq derniers exercices et est resté modeste compte tenu des besoins de financement modérés de l'économie. Ainsi : •
La diversification limitée de l'activité économique reflète le faible niveau de sophistication de la demande domestique ;
•
La croissance de banque de détail semble des plus prometteuses, à condition que les outils de gestion du risque et des procédures soient mis en place. Faible niveau de rentabilité. La rentabilité globale du secteur bancaire marocain demeure relativement faible comparée à d'autres pays; elle affiche une ROE stabilisée autour de 7%. Le niveau bas de cette performance est beaucoup plus inhérent aux banques spécialisées en phase de redressement et affichant par la même occasion une rentabilité négative tirant vers le bas la performance globale du secteur bancaire. Hormis les banques spécialisés, le niveau de la ROE se situerait entre 10% et 11% en retrait par rapport aux performances atteintes au cours des années précédentes (une moyenne de 14% - 15% durant ma période 1996-2000). L'ensemble du secteur semble par ailleurs de plus en plus orienté vers le financement d'engagements de qualité au détriment du volume, dans un contexte sectoriel de plus en plus concurrentiel caractérisé notamment par un double phénomène d'effritement des marges et d'accroissement des impayés. Si ces banques continuent par ailleurs à étendre et à diversifier leurs revenus pour surmonter la pression sur les marges d'intérêt, leur performance financière future devrait rester relativement stable. Les banques marocaines semblent profiter à cet effet d'un niveau relativement élevé des marges d'intérêt et d'un coût réduit de leurs ressources (comme plus de 50% de leurs dépôts sont des dépôts à vue non rémunérés). Sur les années à venir, le taux d'intermédiation moyen ne devrait que légèrement décliner pour atteindre un niveau moyen allant de 4% à 6%. A l'inverse de la marge d'intermédiation, les marges sur trésorerie et commissions devraient voir leurs contributions dans le PNB7 augmenter dans les années à venir et compenser ainsi la baisse prévisible des revenus tirés de l'activité de crédit.
7
PNB : Produit Net Bancaire.
32
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Situation financière faible pour certains établissements. Conscientes du caractère risqué de leur activité dans un environnement économique volatil, les banques marocaines ont globalement réussi à bâtir, à travers plusieurs années, un niveau adéquat de capitalisation. Le rapport des capitaux propres sur le total bilan est resté relativement stable autour d'une moyenne de 10% pendant les cinq dernières années, grâce notamment à une politique modérée de paiement de dividende et une rentabilité relativement stable. Cela dit, le niveau de liquidité satisfaisant dans le système bancaire marocain reflète le manque d'opportunités d'engagements à faible risque, en particulier dans le segment fortement concurrentiel des entreprises. •
La capitalisation de certaines banques publiques reste faible eu égard à leur structure financière nécessitant des appels de fonds importants pour les recapitaliser;
•
La rentabilité reste en-dessous des standards des marchés émergeants, affectée en grande part le niveau élevé de provisionnement des créances en souffrance. Créances en souffrance des banques commerciales
Le montant des créances en souffrance des banques commerciales a enregistré, entre 2002 et 2004, un accroissement annuel moyen de 15,7%, à 23,7 milliards de dirhams. Il a représenté 12,4% de l’encours des crédits qu’elles ont distribués. Parallèlement, les provisions constituées en couverture de ces créances ont enregistré un accroissement annuel moyen de 16%, à 17,1 milliards de dirhams, permettant un taux de couverture de 72,2 % en 2004 contre 71,5% en 2003 et en 2002.
Le rapport entre les créances en souffrance nettes des provisions et l’encours net des crédits des banques commerciales s’est établi à 3,8 %, au lieu de 3,9% en 2003 et 3,5%
33
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
en 2002. Rapportées aux fonds propres, ces créances ont représenté 20,5% en 2004, contre 22,4% en 2003 et 18,7% en 2002. Les réaménagements des règles de classification et de provisionnement des créances en souffrance, intervenus à la fin des années 2002 et 2004, ont eu un impact différent sur les banques commerciales, certaines d’entre elles ayant vu leurs créances en souffrance s’accroître plus rapidement, notamment en 2003, pour se mettre en conformité avec ces dispositions. En général, les plus grandes banques disposent d'avantages compétitifs plus étroits. Ces établissements ont développé une solide notoriété sur le marché et affichent une bonne santé financière susceptible d'endiguer, mieux que les banques à dominante publique, toute aggravation du risque de contrepartie comme étant la principale cause d'insolvabilité. Leurs comptes de prêts aux entreprises affichent toutefois des concentrations élevées sur différents secteurs. En outre, ces concentrations ont augmenté davantage lorsque les banques se sont désengagées des secteurs considérés comme risqués (l'agriculture, le tourisme, le textile et les importateurs de céréale). Etant donné le manque d'opportunités de prêt aux grandes entreprises, les banques tendent à être largement exposées à des petites et moyennes entreprises. • Le problème de qualité des actifs a empiré au cours des deux précédentes années s'expliquant en grande partie par le ralentissement et le caractère volatile de la croissance économique ainsi qu'une exposition de risque moins diversifiée. • Les banques du secteur public accusent des déficiences importantes en matière de gestion du risque et de contrôle de crédit, aboutissant ainsi à des problèmes de qualité d'actif devenant de plus en plus sévères. • Très peu de banques ont mis de côté les niveaux adéquats de capitaux propres contre les mauvaises créances. Faible niveau de gouvernement d'entreprise. Les banques marocaines affichent des résultats mitigés quand il s'agit de parler du gouvernement d'entreprise. D'un coté positif, les pratiques bancaires au Maroc sont relativement conservatrices, en particulier dans le secteur privé. De plus, les banques marocaines peuvent se prévaloir d'un antécédent satisfaisant en matière de stabilité du système bancaire marocain. Pendant les deux dernières décennies, aucune crise de banque principale ne s'est produite au Maroc. Néanmoins, la communication financière accuse toujours un retard au regard des meilleures pratiques internationales et se compare défavorablement avec les standards observés dans d'autres pays émergeants. Ce n'est pas directement lié aux méthodes comptables, qui s'alignent dans leur ensemble sur le modèle européen - un modèle basé sur des règles qui accordent une place importante au coût historique au détriment de la valeur économique.
34
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Un héritage si historique n'est pas un facteur de contrainte en soi, mais limite des comparaisons avec d'autres banques émergeantes, qui appliquent de plus en plus des Standards Internationaux de Comptabilité. Le principe de gouvernement d'entreprise était quasiment absent dans la plupart des établissements de crédit à dominante publique : • La communication financière ainsi que les pratiques comptables ont besoin d'être adaptés dans le sens d'une meilleure information sur la situation financière des établissements de crédit. Le faible niveau de gouvernement d'entreprise est une question récurrente. • Les participations de l'Etat dans le secteur bancaire ont approuvé son inefficacité, notamment à travers les multiples cas de mauvaise gestion et de fraude. • La réglementation ainsi que la surveillance s’améliorent, mais à une allure lente, qui place les établissements de crédit à la traîne des standards internationaux.
35
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Première partie : L'audit interne dans le système bancaire marocain : des pratiques limitées aux fonctions classiques.
36
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 1 : Typologique et évaluation des risques bancaires.
37
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 1 : Typologie et évaluation des risques bancaires. Introduction. Il est d’usage de dire que le métier de banquier est le métier du risque. Les risques sont inhérents à l'activité bancaire. L'absence ou l'insuffisance de leur maîtrise provoque inévitablement des pertes qui affectent la rentabilité et les fonds propres. L'identification des risques est sans doute l'étape la plus importante et surtout la plus difficile à apprivoiser dans le processus de management des risques. Le risque peut se définir comme « tout événement ou toute situation, interne ou externe, pouvant compromettre la réalisation d’un objectif de la Banque ». Il s’agit d’un incident éventuel plus ou moins prévisible. La caractéristique propre du risque est donc l’incertitude temporelle d’un évènement ayant une certaine probabilité de survenir et de mettre en difficulté la banque. Le risque inhérent au secteur bancaire se distingue par sa multiplicité et par son caractère multidimensionnel ne pouvant être mesuré par un seul indicateur. Les risques eux mêmes sont multiples par leur nombre et leur probabilité. Ils sont parfois difficiles à cerner aussi bien en terme d'intensité que de fréquence, mais on s'accorde souvent de les répertorier sous des catégories communément admises afin de faciliter la définition de modèles ou scénarii unifiés de gestion et de management des risques. En dépit de la diversité et du degré de complexité des risques auxquels les établissements de crédit peuvent être amenés à faire face, leur solidité et leur bonne santé financière est avant tout une responsabilité qui incombe en premier lieu au management de la banque. Position partagée également par les organes de régulation qui s'accordent désormais d'une façon unanime à attribuer plus de responsabilités au management et aux organes délibérants des banques dans la gestion et la prévention des risques. Ces divers aspects seront développés par référence aux trois questions clefs suivantes : • Quels risques doivent être couverts par le risk management ? • Quels critères peuvent être affectés à leur identification et à leur évaluation ? • Quelles en sont les pratiques pour le système bancaire marocain ?
38
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Section 1 : Typologie des risques bancaires. Le métier de la banque comme toute activité à but lucratif implique la prise de positions risquées. L'inventaire des risques associés à l'activité bancaire fait état d'une variété de risques considérable. Des divergences existent néanmoins sur leur nature et leur étendue. Toutefois, au delà des diversités d'appréciation, du périmètre restreint ou étendu que l'on entend donner à chaque type de risque, une tendance se dégage . La première phase de toutes les démarches actuelles de gestion et de suivi des risques bancaires consiste dans la délimitation précise de ces derniers et dans une définition claire de ces risques, commune et applicable à l'ensemble d'un établissement bancaire. Toute activité bancaire expose l'établissement à des risques stratégiques, des risques réputationnels, des risques financiers et des risques opérationnels. Afin d'apprécier et d'analyser chaque risque, le risk manager et/ou l’auditeur bancaire procède à une estimation des risques inhérents (voir graphique ci-dessous) à chaque domaine d’activité. Ces risques peuvent être classés en trois catégories : •
Les risques financiers découlant du marché (impact de la variation des prix), du défaut des contreparties (crédit) et de la liquidité (difficulté de la banque d’honorer ses engagements);
•
Les risques opérationnels qui ont leur source dans les risques que l’organisation, ses acteurs et l’environnement externe font courir à la banque. Ils intègrent les risques liés aux systèmes d’information, aux procédures, aux personnes et à l’environnement externe.
•
Le risque de réputation découlant de tout événement susceptible d'entacher la réputation de la Banque ou de porter atteinte à la confiance qu‘elle doit inspirer au public. Il se manifeste suite à une publicité ou un événement négatif ou à des erreurs de communication externe.
39
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques stratégiques Risques inhérents à l'activité Bancaire
Risques financiers
Risques opérationnels
Liquidité
Compliance
Crédit
Juridique
Marché
Sécurité & SI
Comptabilité Fiscalité RH & Fraudes Exécution des transactions
Risques de réputation
1. Les risques financiers. 1.1- Le risque de crédit Le risque de crédit est défini comme étant "la perte potentielle consécutive à l'incapacité par un débiteur d'honorer ses engagements. Cet engagement peut être de rembourser des fonds empruntés, cas le plus classique et le plus courant, risque enregistré dans le bilan. Cet engagement peut être aussi de livrer des fonds ou des titres à l'occasion d'une opération à terme ou d'une caution ou garantie donnée; risque enregistré dans le hors bilan " 8. La notion de risque de crédit est immédiatement associée au risque de contrepartie, pour un dossier donné, il est en effet clair que le risque premier réside dans la volonté, mais aussi dans la capacité de l’emprunteur de faire face à ses engagements. Les 8
Antoine SARDI : "Audit et Contrôle Interne bancaires " Ed Afges septembre 2002 .
40
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
risques que l’on pourrait qualifier d’additionnels ou de connexes au risque de contrepartie doivent également être maîtrisés et donc préalablement évalués. Au nombre de huit, ils prennent naissance lors de l’initiation des transactions et le plus souvent perdurent jusqu’à l’échéance finale. On distingue alors : Le risque de garantie : la banque peut devoir supporter une perte si elle ne peut exercer la garantie attachée à un prêt en défaut ou si le produit de cette action s’avère insuffisant pour couvrir les engagements accumulés par le débiteur. Le risque de concentration : une diversification insuffisante du portefeuille de concours en termes de secteurs économiques, de régions géographiques, ou de taille d’emprunteur peut provoquer des pertes importantes. Le risque pays : bien connu des grands établissements, il se manifeste lorsqu’un pays étranger ne dispose plus de réserves suffisantes pour faire face aux engagements en monnaie étrangère de ses ressortissants. Le risque de change : il naît chaque fois que l’établissement accorde un crédit dans une monnaie qui n’est pas celle de l’expression de ses capitaux propres; si les ressources utilisées pour financer cet emploi sont libellées dans la même devise, le risque ne porte que sur la marge de l’opération; dans le cas contraire, le montant en principal est également exposé. Le risque de fraudes : multiforme, il peut s’agir par exemple de concours consentis à de faux clients, donc, bien évidemment irrécouvrables. Le risque d’initiés : il s’agit de concours accordés à des conditions hors marché, ou selon des procédures exceptionnelles à des dirigeants de la banque, à des entreprises dans lesquelles ils ont des intérêts ou à des sociétés liées à des actionnaires importants de l’établissement. Le risque légal et réglementaire : l’activité de crédit est étroitement réglementée et le non-respect de nombreuses dispositions peut conduire l’établissement à supporter des pertes soit directement, soit en raison de l’impossibilité de mettre en œuvre une garantie. Le risque opérationnel : cette notion recouvre toutes les erreurs de traitement qui peuvent survenir au cours de la vie d’un dossier tels que déblocage des fonds avant que toute la documentation requise n’ait été réunie, saisie erronée des conditions de crédit dans les systèmes de gestion, mauvaise identification des concours compromis…
Le risque de crédit classique reste toujours la cause principale des problèmes bancaires. Les pertes consécutives aux défaillances des clients sont malheureusement inévitables et inhérentes au métier de banquier. Les problèmes de risque de crédit sont souvent liés à des imperfections dans l'audit interne et le risque management. Il y a un peu plus de cinq ans, le sous-comité Bancaire de Surveillance de l'Institut Monétaire Européen a mené une enquête sur les causes
41
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
principales des pertes supportées par des banques en difficulté dans l'Union Européenne. La première analyse des 68 établissements de crédit confrontés à des problèmes financiers a clairement mis en évidence que le risque de crédit était dans 75% des cas la principale cause des situations graves vécues par le secteur bancaire. Par conséquent, ce facteur était prépondérant comparé aux autres sources de risques, comme par exemple les pertes sur les opérations de marché, les problèmes de liquidité et la mauvaise gestion. L'évidence de ce constat a été par ailleurs parfaitement illustrée au Maroc à travers les déboires de certains établissements financiers publics, sur lesquels le gouvernement avait pourtant beaucoup misé pour appuyer plusieurs secteurs économiquement et socialement très sensibles. En effet, le poids des créances en souffrance s’est hissé à 19,4% en 2004, contre 18,7% en 2003 et 17,7% en 2002. (Compte non tenu des banques spécialisées, ce taux est respectivement de 12,4% en 2004, contre 12,3% en 2003 et 11,2% en 2002) du portefeuille global des engagements des banques. Cette situation est inhérente principalement à l'aggravation des créances malsaines dans les secteurs agricoles et immobiliers fortement représentatifs de l'encours global des engagements bancaires tous secteurs confondus. L'on observe également depuis quelques années un accroissement sans précédent des crédits individuels, en particuliers ceux assortis de gages hypothécaires au détriment des crédits aux entreprises ou aux professionnels. Ces changements traduisent de temps en temps un renouveau de négligences sur des standards élémentaires de prudence. Cela a été parfaitement illustré par la baisse progressive des taux d'intérêt sur certaines opérations de crédit en comparaison avec ce qui était pratiqué il y a deux à quatre ans. De plus, nul ne peut ignorer les facilités qui ont accompagnées l'octroi des crédits et la constitution de garanties. Dans ce contexte, BAM n'a pas hésité à exprimer publiquement son souci et a rappelé toute la profession bancaire à la raison suite à des baisses successives de taux d'intérêt sur des crédits hypothéqués pratiqués par certaines grandes banques de la place. En définitive, le risque de crédit demeure la première cause des difficultés et des faillites des banques. Les cas douloureux des situations difficiles vécues par certains établissements bancaires spécialisés du secteur bancaire marocain en sont une parfaite illustration. 1.2 - Les risques de marché
On entend par risques de marché, les risques pouvant résulter, pour un établissement de crédit, d’une évolution défavorable des données de marché ou de leur volatilité. Ce sont les risques de pertes qui peuvent résulter des fluctuations des prix des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles d’engendrer un risque de change, notamment les opérations de change à terme et au comptant. 42
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Le portefeuille de négociation susvisé comprend :
les titres acquis, dès l’origine, avec l’intention de les revendre à brève échéance en vue de tirer bénéfice des écarts entre les prix d’achat et de vente, et ce dans le cadre d’une activité de marché, y compris les titres à livrer ou à recevoir,
les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le marché gris,
les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer avantage de l’évolution des prix ou à couvrir les risques de marché encourus sur les instruments visés aux tirets précédents.
Même si sur le plan local, les activités de marché ont été relativement moins ouvertes sur les innovations caractérisant les nouveaux marchés avec notamment la création de nouveaux instruments financiers, elles demeurent toutefois un enjeu qui préserve toute son importance pour les établissements de crédit marocains, et ceci pour au moins deux raisons :
les marges sur les opérations de placement et de trésorerie devraient voir leur contribution dans le PNB augmenter dans les années à venir et compenser ainsi la baisse prévisible des revenus tirés de l'activité de crédit;
les imbrications de plus en plus fortes entre les activités de marché et celles de crédit et de liquidité.
Dans ce contexte, de nouvelles entités appelées " salle des marchés " ont ainsi été créées pour répondre justement à cette contrainte croissante des risques de marché. Les activités traditionnelles et les activités nouvelles ont été réunies dans cette nouvelle entité qui regroupe désormais l'ensemble des activités financières ;
Marché des changes; Marché monétaire; Marché des titres et fonds; Marché obligataire.
Un aspect spécial de gestion de risque est le contrôle des activités de marché. Les évènements fortement médiatisés impliquant Bankers Trust, Barings et Daiwa Banks ainsi que les pratiques douteuses sont venues pour rappeler à cet égard l'enjeu grandissant sur les questions du professionnalisme et d'intégrité. En réalité, ces événements constituent une parfaite illustration des pertes importantes qui pourraient résulter de négligences dans la gestion et la couverture des risques au sein de la banque. Les causes de ces accidents convergent généralement vers les mêmes faiblesses : la confusion du front office et du back office, des marges de manœuvre excessives et non contrôlées entre les mains de certains commerciaux combinée à une approche bénigne du management n'ayant aucune vue sur les positions risquées engagées par les
43
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
commerciaux et leur adéquation par rapport à la politique de risque retenue par l'établissement de crédit. Cela dit, qu'en est-il au Maroc ?
Nous pouvons considérer à ce stade que le risque de marché demeure relativement limité, aussi bien pour l'activité de placement que pour l'activité de change. Activité de change L'exposition au risque de change des banques marocaines est limitée, moins de 1 pour cent des crédits et dépôts bancaires étant libellés en devises. Les banques ont des positions en devises qui se situent nettement en dessous des limites prudentielles sur les positions globales en devise et les positions par devise. 9
Cependant, une part importante des opérations en devises est traitée par les filiales des banques marocaines à l'étranger qui ne sont pas soumises aux limites fixées par BAM mais à celles du pays hôte. Néanmoins, les banques transmettent régulièrement à BAM les états financiers de leurs filiales à l'étranger. L'introduction du marché des changes depuis mai 1996, a fortement diminué le volume des ventes directes de dirhams par la Banque Centrale aux banques étrangères s'ajoutant à la baisse des dépôts en devises des banques auprès de Bank Al Maghrib de plus de moitié et leur réorientation vers les correspondants étrangers, à la suite de l'autorisation donnée aux banques d'effectuer des placements en devises à l'extérieur. Cependant, les positions de change sont restées à un niveau nettement en deçà des ratios réglementaires. Le marché des changes à terme affiche toutefois, un développement important10. Activité de placement L'impact de la baisse des taux d'intérêt sur les marges nettes d'intérêt a été plus que compensé par des revenus croissants générés par l'activité de placement, elle-même tirant profit d'un niveau exceptionnel de liquidité que la majorité des banques a dû placer en bons de trésor qui représente fin 2004 déjà 18% des actifs totaux du système.
Ceci représente une exposition significative au risque de crédit souverain domestique, et créé aussi une source de sensibilité élevée des banques à la variation des taux d'intérêt alors que les taux d'intérêt poursuivent leur tendance à la baisse. Au niveau opérationnel, l'exercice des activités de marché par les banques marocaines fait courir à celles-ci, comme partout ailleurs, un risque de contrepartie ou de livraison. Ce risque est associé à la défaillance temporaire ou permanente de la contrepartie qui pourrait résulter soit d'un différent entre les parties sur l'exécution de la transaction, soit d'une simple défaillance de la partie adverse, ce qui est d'ailleurs le cas le plus fréquent 9
Bank Al Maghrib a autorisé les banques à conserver les positions à la fois longues et courtes en prévoyant toutefois des limitations et des mesures à même de prévenir des dérapages spéculatifs .Ainsi une banque ne peut dépasser : Un coefficient maximum de 10% entre la position (longue ou courte) d'une devise et ses fonds propres nets ; Un coefficient maximum de 20% entre le total des positions de change (prises en valeur absolue) et ses fonds propres nets ; Les établissements bancaires doivent, par ailleurs, déclarer à BAM les pertes de change de plus de 3% enregistrées sur toute position dans une devise donnée et ce , immédiatement après le constat de la perte , BAM peut alors , s'il le juge utile , demander à l'établissement bancaire concerné de procéder à la liquidation de la position en question . 10 L'encours mensuel moyen des contrats de couverture à terme est passé de 7,1 milliards en 2001 à 7,9 milliard de dirhams en 2002, dont 6,5 milliards pour la couverture des risques de change liés aux importations et 1,4 milliards au titre des exportations.
44
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
et aux conséquences les plus dommageables pour les établissements bancaires marocains. Toutefois, au stade de développement actuel des salles de marché au niveau du secteur bancaire marocain, l'exercice des activités de marché est beaucoup plus générateur de risques opérationnels liés en particulier au dysfonctionnement aussi bien technique qu'humain (cf. risques opérationnels ci-dessous). 1.3 - Le risque de liquidité
Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir s’acquitter, dans des conditions normales, de ses engagements à leur échéance. Il résulte de l’incapacité d’une banque de faire face à une réduction de son passif ou de financer un accroissement de son actif. Lorsqu’un établissement ne dispose pas d’une liquidité adéquate, il ne peut obtenir des fonds suffisants à un coût raisonnable, soit en augmentant son passif, soit en convertissant rapidement des actifs, ce qui affecte sa rentabilité. Dans des cas extrêmes, une liquidité insuffisante peut conduire à une situation d’insolvabilité. L'exposition actuelle des banques marocaines au risque de liquidité est relativement limitée (exclusion faite bien évidemment des ex-OFS). Elles bénéficient à cet effet d'un financement quasiment gratuit constitué dans une large mesure de dépôts à vue (à très faible taux de rémunération). Les statistiques sur le comportement des dépôts et des crédits montrent effectivement que les ressources varient à la hausse selon une cadence plus forte que celle des emplois, d'où un excédent de liquidité que les banques jugent structurel compte tenu de: -
la distribution de crédits de plus en plus verrouillée, ce qui limiterait l'octroi de crédits à des clients notés d'un niveau de risque élevé;
-
le comportement positif des dépôts dont une partie considérable provient des marocains résidents à l'étranger.
La majeure partie des dépôts bancaires est d'une durée inférieure à un an. Les banques bénéficient toutefois de la stabilité de leurs dépôts à vue et ont une faible dépendance vis-à- vis de gros dépôts à terme institutionnels ou commerciaux. En plus de la forte proportion des dépôts à vue, l'autre particularité importante des dépôts des banques commerciales marocaines est que près du quart de ces dépôts provient des MRE. Le risque de liquidité associé à ces dépôts a été faible au cours des dernières années, la part des dépôts MRE dans l’ensemble des dépôts des banques est restée relativement stable au tour de 25 à 28%. Néanmoins, vu que ces dépôts sont mobiles, ils représentent la source la plus importante du risque de liquidité du système bancaire marocain. " Cette dépendance par rapport à cette manne d'argent est dangereuse, soulignent les analystes de S&P dans un récent rapport sur la solvabilité des banques nord-africaines. N'importe quelle
45
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
variation radicale dans les tendances d'outre mer de dépôt de liquidités représenterait une menace importante pour le secteur bancaire". 1.4 - Le risque de taux
Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir une évolution défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit. Le risque de taux d’intérêt concerne à la fois les positions de taux prises en salles de marchés ainsi que l’exposition au risque de transformation qui est inhérent à l’activité bancaire par définition. Ce risque affecte à la fois les bénéfices d’un établissement et la valeur économique de ses créances, dettes et instruments du hors-bilan. Les principales formes du risque de taux d’intérêt auxquelles les banques sont généralement exposées sont les suivantes : -
risque de révision de taux, qui résulte de différences dans l’échéance (pour les taux fixes) et le renouvellement des conditions (pour les taux variables) des positions de l’actif, du passif et du hors-bilan;
risque de déformation de la courbe des taux, qui provient de modifications de la pente et de la configuration de la courbe;
risque de base, qui est dû à une corrélation imparfaite dans l’ajustement des taux reçus et versés sur des produits différents, dotés par ailleurs de caractéristiques de révision de taux analogues;
risque de clauses optionnelles, qui est lié aux options explicites ou implicites dont sont assortis nombre de créances, dettes et positions du hors-bilan des banques.
Les activités bancaires de dépôt et de crédit impliquent un risque significatif en cas de variation importante des taux d'intérêt. Ses effets peuvent se révéler préjudiciables à l'avenir d'un établissement de crédit. Dans l'ensemble, les banques commerciales ont une faible vulnérabilité immédiate aux fluctuations à court terme des taux d'intérêt. Il est évident en contrepartie que, vue l'importance des dépôts à vue dont le rendement implicite augmente avec la hausse des taux, la marge nette des banques résultant des produits et des charges d'intérêt diminuera sensiblement dans un contexte de baisse continue des taux d'intérêt alors qu'elle augmentera dans la situation inverse. Il faut toutefois souligner que la source principale du risque de taux d'intérêt est la conséquence du non-adossement des ressources aux emplois ou le décalage, des emplois et des ressources quant aux échéances de révision des taux.
46
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
2. Les risques opérationnels. Présentation du concept.
La masse et la diversité des opérations traitées quotidiennement par une banque sont toujours considérables. Des erreurs, négligences, retards et fraudes se produisent inévitablement. Ils engagent, non seulement la responsabilité pécuniaire de l'établissement, mais également contribuent à détériorer son image de marque. L'inefficacité est aussi un risque important, qui se traduit par un coût excessif des services qui obèrent la rentabilité. A cette inefficacité, s'ajoute en général une mauvaise qualité des services, qui là encore est un facteur de détérioration de l'image de marque de l'établissement. Or, autant les pertes consécutives à des risques mesurés, et consciemment assumés et contrôlés, sont normales car inhérentes au métier de banquier, autant les pertes par négligence, par inadvertance, par inconscience ou par l'insuffisance d'organisation sont intolérables. Elles sont toujours la conséquence d'une carence dans le système de contrôle interne. Ce sont là quelques aspects du risque opérationnel sans que cette liste soit exhaustive ou limitative. En effet, le concept du risque opérationnel n'est pas bien défini et ne fait pas l'objet d'un consensus. Il correspond également à une série de pertes occasionnées par la gestion des opérations qui ne sont pas reliées aux risques parfaitement identifiables, appelés parfois risques financiers, tels que le risque de marché, de crédit, de liquidité, de taux d'intérêt. Certains d'ailleurs définissent le risque opérationnel comme tout risque autre que les risques financiers. La circulaire BAM N°6 donnait un sens plutôt restrictif au risque opérationnel, défini, à l'article 8, comme '' tous les risques qui pourraient être engendrés par des procédures inefficientes, des contrôle inadéquats, des erreurs humaines ou techniques , des fraudes ou par toutes autres défaillances". Le risque opérationnel n'est pas un sujet nouveau. Durant les dix dernières années, les faillites bancaires, les pertes liées à des erreurs de valorisation ou à un mauvais suivi des risques ont défrayé la chronique : parmi les incidents les plus récents, Barings, Daiwa ou Sumitomo et la liste n'est pas exhaustive. Les pertes y afférents sont estimées à 12 milliard de dollars sur les dix dernières années. La gestion des risques opérationnels commence à préoccuper de plus en plus les établissements, de même que les actionnaires et les régulateurs. Les propositions récentes du comité de Bâle en sont la preuve. En juin 1999, le comité de Bâle dans son projet de réforme du ratio Cooke intègre explicitement l'importance des risques autres que les risques de crédit et de marchés et insiste sur la nécessité d'un environnement de contrôle interne rigoureux, essentiel pour la gestion des risques opérationnels. Il faut toutefois souligner que les problèmes financiers vécus par certains établissements financiers sont souvent la combinaison de la survenance d'un risque de
47
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
crédit ou de marché et d'un risque opérationnel. Ainsi la cause de la faillite de la Barings était due à un risque de marché qui était la cause directe. La cause indirecte était l'absence de supervision et de séparation des tâches et des fonctions. Le comité de Bâle remarque, par ailleurs que la globalisation, la dérégulation, la sophistication des nouvelles technologies, les fusions rendent l'activité bancaire, et le profil de leurs risques, plus complexes et plus diversifiés. Les tendances actuellement observées sont les suivantes :
Le développement des systèmes automatisés transforme le risque d'erreurs manuelles en risque de défaillance de système;
Les fusions à large échelle posent le problème de l'intégration de nouveaux systèmes;
Le développement de réducteurs de risques tels que les garanties, dérivés de crédits, titrisation réduisent le risque de crédit et de marché mais font naître de nouveaux risques opérationnels. Les quatre composantes du risque opérationnel.
Le Comité de Bâle définit le risque opérationnel comme étant « le risque de perte résultant d’une inadéquation ou d’une défaillance attribuable à des procédures internes, des personnes, des systèmes internes ou résultant d’évènements extérieurs ». Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et l’environnement externe font courir à la banque. Ils se décomposent en 4 sousensembles :
Le risque lié au système d’information : défaillance matérielle, bug logiciel, obsolescence des technologies (matériel, langages de programmation,…) ;
Le risque lié aux processus (saisies erronées, non respect des procédures,…) ;
Le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais aussi capacité de l'entreprise à assurer la relève sur les postes clés) ;
Le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire,…). Une notion précisée par le comité Bâle II :
Les travaux de normalisation menés dans le secteur bancaire ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi n’est pas nouveau, l’évolution de la réglementation bancaire le replace au premier rang des préoccupations au travers de normes que l’on désigne communément sous le terme de « Bâle II ». L’appréciation de la solvabilité bancaire, jusqu’ici mesurée au travers du ratio Cooke, va devoir prendre en compte les risques opérationnels, en sus des risques de crédit et des
48
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
risques de marché. Ceci se fera au travers d’un nouveau ratio, baptisé « Mc Donough» du nom de l’ancien président du Comité de Bâle. Le Comité Bâle II a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements. Les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels : ils génèrent en moyenne près de 90 millions d’euros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie, dégâts des eaux), c’est finalement la diversité des risques non couverts qui explique l’importance du coût final. Le nouvel accord sur les fonds propres a pour but de mieux aligner l’évaluation de l’adéquation des fonds propres sur les principales composantes des risques bancaires et d’encourager les banques à renforcer leurs procédures de mesure et de gestion du risque. Les trois piliers du ratio McDonough : Pilier I : exigences minimales en fonds propres pour couvrir les actifs pondérés en fonction du risque. • • •
des normes renouvelées pour mieux tenir compte des risques mais sans modification du niveau global des fonds propres (8% en moyenne); une meilleure prise en compte des techniques de réduction des risques; une prise en compte des risques opérationnels.
Pilier II : contrôle accru par le régulateur, avec possibilité d’un examen individualisé des établissements. • • •
l’analyse du profil global de risque des établissements par les régulateurs ; le contrôle des procédures et de la méthode interne d’affectation des fonds propres ; la possibilité de fixer des exigences individuelles supérieures au minimal réglementaire.
Pilier III : plus grande discipline de marché avec une exigence accrue de transparence sur la structure des fonds propres et les risques encourus.
Les fonds propres doivent couvrir les risques de crédit et de marché et les risques opérationnels. Ratio McDonough = Fonds propres/Risques crédit + marché + opérationnels ≥ 8%
49
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les innovations de la réforme McDonough :
En 1988, le Comité de Bâle I a proposé la mise en place du ratio Cooke, qui impose aux banques de disposer d’un montant de fonds propres proportionnel à leur encours de crédit. Après avoir intégré les risques de marché au ratio Cooke en 1996, le comité de Bâle présidé par W.McDonough en a décidé la refonte en 1999. La logique de cette réforme est simple : elle suggère le passage d’une méthode purement quantitative et forfaitaire à une méthode ajoutant le qualitatif au quantitatif et partant plus sensible à la qualité intrinsèque des risques. Plus précisément, elle vise à réconcilier le capital économique et le capital réglementaire. Les consultations soumises à la profession bancaire par le comité de Bâle, en vue de la mise en place d’un nouveau ratio de solvabilité Mcdonough insiste sur les points suivants : Une plus grande différenciation dans le traitement des risques de crédits : l’incitation à adopter un nouveau système de notation interne concernant le risque de crédit permettant aux banques d’estimer par elles-mêmes, aux moyens de leurs informations internes, la charge en capital, c’est à dire le montant des fonds propres nécessaires pour couvrir ce risque de crédit. Cette note dérivera du calcul de la perte attendue définie comme étant le produit de la probabilité de défaut (qui sera estimée par la banque), la perte en cas de défaut et de l’exposition au moment du défaut. EL = PD x LGD x EAD EL : Expected Loss ou perte attendue. PD : Default Probability ou probabilité que le débiteur ne veuille pas ou ne puisse pas remplir ses engagements contractuels. La probabilité de défaut mesure le risque défaut du débiteur. LGD : Loss Given Default ou perte occasionnée en cas de défaut du débiteur : il s’agit du pourcentage de perte que la banque subirait par rapport au montant du crédit ouvert au moment du défaut. EAD : Exposure At Default ou montant du crédit qui est exposé au moment du défaut.
Dans le cadre de l’approche IRB (Internal Rated Basing) de base, la banque estimera uniquement la probabilité de défaut et utilisera les données, concernant la perte en cas de défaut et l’exposition au moment du défaut, fournies par l’autorité de tutelle. Dans l’approche IRB avancée, la banque estimera elle-même tous ces facteurs de risque, auxquels on peut ajouter le facteur M ou Maturity c’est à dire la durée restante du crédit dont l’ampleur influence le risque de non-remboursement. Le futur régime donnera aussi un rôle plus important aux autorités de surveillance. Conformément aux dispositions prévues par le pilier 2, et pour tenir compte du « profil risque » de chaque établissement, ces autorités seront habilitées à imposer des exigences de fonds propres supérieures à celles résultant de la seule application des formules réglementaires.
50
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L’importance de la discipline de marché reposant sur la communication régulière d’informations par les banques au marché, ce qui accentue le pouvoir des autorités de contrôle de ces banques. La diffusion d’informations significatives par les banques apporte des éléments aux intervenants et facilite l’exercice d’une discipline de marché efficace. 2.1 - Le risque de système d'information.
Le risque de système d’information s’entend comme le risque de survenance de dysfonctionnements ou de ruptures dans le système de traitement de l’information, imputables à des défaillances dans le matériel ou à des erreurs, des manipulations ou autres motifs (virus) affectant les programmes d’exécution. L’utilisation de l’informatique fait courir des risques supplémentaires aux établissements de crédit : •
perte de données et de programmes en cas de dispositifs de sécurité inadéquats, de défaillances de l’équipement ou des systèmes et des procédures de sauvegarde et de récupération des données;
•
informations de gestion erronées résultant de procédures imparfaites de développement de systèmes;
•
absence d’installations de remplacement compatibles dans le cas d’interruptions prolongées de fonctionnement des équipements.
De telles pertes et interruptions peuvent entraîner de graves difficultés pour un établissement et risquent, dans des circonstances extrêmes, de compromettre sa capacité de continuer à poursuivre ses activités. Le danger que des décisions soient fondées sur des informations non fiables ou trompeuses produites par des systèmes d’information mal conçus ou insuffisamment contrôlés est vraisemblablement plus grave. Pour toutes ces raisons, les établissements de crédit devraient disposer du savoir faire, des contrôles organisationnels et internes nécessaires pour détenir et traiter l’information sous forme électronique. 2.2 - Le risque juridique.
Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la responsabilité de l’établissement de crédit du fait d’imprécisions, de lacunes ou d’insuffisances dans les contrats et autres actes de nature juridique le liant à des tiers. Les banques sont soumises à des formes diverses du risque juridique. C’est le cas, par exemple, si, à cause de conseils ou documents juridiques inadéquats ou incorrects, il s’avère que la valeur de l’actif est inférieure, ou la hauteur du passif est supérieure, aux prévisions.
51
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
En outre, les lois existantes peuvent être impuissantes à résoudre des problèmes juridiques rencontrés par une banque. Une action en justice impliquant un établissement donné peut avoir des conséquences plus vastes pour l’activité bancaire et entraîner des coûts, non seulement pour lui-même mais pour de nombreuses autres banques ou pour l’ensemble du système bancaire; par ailleurs, les lois concernant les banques et autres entreprises commerciales peuvent changer. 2.3 - Le risque comptable.
Le risque comptable s’entend comme le risque de non fiabilité, de non exhaustivité des données comptables et financières et/ou de non disponibilité de l’information au moment opportun conformément aux prescriptions du plan comptable des établissements de crédit (PCEC). Il s’agit, pour la Banque, des risques résultant : •
d’insuffisances de conception, d’organisation et de mise en œuvre des procédures d’enregistrement dans le système comptable,
•
d'absence de procédures comptables et de pistes d'audit ayant pour objet la reconstitution chronologique des opérations, la justification de l’information par une pièce d’origine, l’explication des évolutions de soldes et le respect des règles d’évaluation applicables aux opérations de marchés,
•
de défaillance du système d'information comptable au regard des objectifs généraux de prudence, de sécurité et de conformité aux normes comptables en vigueur,
•
de dysfonctionnements du système de contrôle comptable garantissant l’adéquation des méthodes et des paramètres retenus pour l’évaluation des opérations dans les systèmes de gestion ainsi que la pertinence des schémas comptables et leur conformité aux règles de comptabilisation en vigueur. 2.4 - Le risque des ressources humaines.
Les risques liés aux ressources humaines concernent principalement les risques de management, juridiques, de déontologie, de compliance, opérationnels et fiscaux. Ces risques peuvent être synthétisés en : • • • •
Risque de non respect des textes réglementaires; Risque d’inadaptation des politiques sociales aux attentes du personnel; Risque d’inadéquation des besoins aux ressources humaines; Risque d’envahissement des préoccupations sociales.
Concrètement, il s’agit, pour la Banque, des risques résultant : •
d’insuffisances de couverture des fonctions Ressources Humaines (RH) : administration, gestion, recrutement, formation et relations sociales;
•
de non réponse aux besoins, en ne fournissant les ressources humaines adaptées (le recrutement, l’orientation, la formation, la motivation);
52
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
•
de la non adaptation au marché, connaissance insuffisante des données de base pour la gestion à moyen terme des effectifs;
•
du non respect des règles de confidentialité (paie, dossiers personnels) et de sécurité (back up) et de divulgation d’informations sensibles;
•
d'absence d'une gestion optimisée des coûts des RH (les rémunérations, le contrôle de gestion);
•
d'absence d'un système de rémunération objectif, connu et dont la révision est formalisée;
•
d'une mauvaise gestion des avantages sociaux;
•
d'une non sensibilisation du personnel aux risques de fraude interne et externe;
•
du non respect des règles de prise de congés;
•
de l'absence, de l'inadéquation ou du non respect du plan de formation;
•
d'une défaillance de gestion des mouvements sociaux garantissant la continuité du fonctionnement de la banque (le dialogue social, l’environnement du travail);
•
de la multiplication des absences injustifiées, retards, heures supplémentaires systématiques, …
•
d'une démotivation du personnel créant un mauvais climat social. 2.5 - Les autres risques.
Ces risques englobent tous les risques qui ne peuvent être répertoriés dans la liste des risques développés plus haut. A la différence de la circulaire N°6 qui a qualifié les risques opérationnels d'autres risques, nous avons regroupé ci-dessous d’autres catégories de risques : 2.5.1 - Le risque de règlement.
Le risque de règlement s'entend comme le risque de survenance, au cours du délai nécessaire pour le dénouement de l'opération de règlement, d'une défaillance ou de difficultés qui empêchent la contrepartie d'un établissement de crédit de lui livrer les instruments financiers ou les fonds convenus, alors que ledit établissement à déjà honoré ses engagements à l'égard de ladite contrepartie. 2.5.2 - Le risque stratégique.
La stratégie adoptée par un établissement de crédit dans différents domaines engage toujours des ressources significatives. A titre d'exemples ces stratégies peuvent être : la pénétration d'un marché, le lancement de nouveaux produits ou de nouvelles activités, la refonte du système d'information, une croissance externe par fusion ou acquisition…etc. Un échec stratégique peut s'avérer lourd de conséquences car les
53
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
ressources engagées deviennent sans valeur et la perte causée sera d’une substance significative. 2.5.3 - Le risque systémique.
C'est le risque de contagion généré par les liens interbancaires nationaux et transfrontaliers des banques. Les établissements de crédit sont interdépendants les uns par rapport aux autres. Les pertes consécutives à la défaillance d'un établissement sont supportées, par effet de contagion, essentiellement par le système bancaire, sous trois formes : Les opérations interbancaires, conclues avec l'établissement défaillant, se traduiront par une perte pour l'établissement prêteur; La solidarité de la place oblige fréquemment tous les établissements à participer à l'apurement du passif de l'établissement défaillant; Les actionnaires d'un établissement de crédit sont fréquemment ceux d'autres établissements qui devront, conformément à leur rôle, participer au sauvetage de l'établissement défaillant. La défaillance d'un établissement de crédit, comme un jeu de dominos, peut donc déclencher les difficultés dans d'autres établissements et risquer de mettre en péril tout le système bancaire. Il s'agit d'évaluer si une réaction en chaîne à travers le marché interbancaire - c'est-àdire une situation dans laquelle le défaut d'une banque entraînerait la défaillance d'un ou de plusieurs de ses créanciers interbancaires - pourrait créer un risque systémique plus étendu. 2.5.4- Le risque Pays.
C'est une composante du risque de contrepartie ou du risque émetteur. Pour avoir une vision plus claire du risque pays, il faut étudier ses composantes, à savoir le risque de défaillance du souverain, le risque de change, le risque de non-transfert et le risque systémique d’effondrement d’une économie. Avec les premières crises des pays alors dits en « voie de développement », puis à la fin des années 90, crises dans l’Asie du sud-est, de la Russie, du Brésil, de l’Argentine qui est un cumul de l’ensemble de ces risques, constitue un exemple extrême du risque pays au sens « moderne » du terme. Il ne s’agit plus du risque de non-transfert mais bien de l’effondrement général du système monétaire et financier d’un pays. Le risque-pays peut surtout apparaître lorsqu’il s’agit de prêts à des gouvernements étrangers ou à des organismes qui en dépendent, de tels crédits n’étant généralement pas assortis de garanties, mais il est important de le prendre en compte lors d’un prêt ou d’un investissement à l’étranger, que l’emprunteur soit public ou privé. Il existe aussi une composante du risque pays appelée «risque de transfert», qui survient lorsque l’obligation d’un emprunteur n’est pas libellée dans la monnaie locale. Il
54
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
peut arriver que l’emprunteur, quelle que soit sa situation financière, ne puisse disposer de la devise dans laquelle l’obligation est libellée. 2.5.5 - Le risque de non-conformité ‘‘Compliance Risk’’
Le risque de non-conformité « Compliance Risk » peut être défini comme un risque de non respect des dispositions réglementaires applicables aux activités bancaires et financières, y compris celles relatives à la prévention du blanchiment et du financement du terrorisme, des normes et usages professionnels et déontologiques et de protection des intérêts des investisseurs et des clients. Par ce risque, on entend également le risque de préjudices qu'un établissement peut subir suite au fait que les activités ne sont pas exercées conformément aux normes en vigueur. Il peut comporter une variété de risques tels que le risque de réputation, le risque légal, le risque de contentieux, le risque de sanctions ainsi que certains aspects du risque opérationnel, ceci en relation avec l’intégralité des activités de l’établissement. Par normes en vigueur, il faut entendre dans ce contexte toutes les règles auxquelles l'établissement bancaire est soumis dans l'exercice de ses activités dans les différents marchés, notamment : •
les lois, règlements et circulaires régissant l'accès au secteur financier et l'exercice des activités bancaires;
•
les lois et circulaires traitant des obligations professionnelles, c'est-à-dire les règles de lutte contre le blanchiment des capitaux et le financement du terrorisme ainsi que les règles de conduite du secteur financier et de protection des investisseurs.
Pour les besoins de l’évaluation du risque de Compliance et afin de déterminer le périmètre de la fonction Compliance, les codes de conduite ou de déontologie internes ainsi que les codes d‘associations professionnelles et de marchés financiers sont à considérer également. Il appartient à l’établissement de décider si, compte tenu des particularités des activités exercées, sa fonction Compliance couvre le contrôle du respect des règles n'ayant pas directement trait aux activités bancaires et financières à proprement parler, telles que les règles relevant du droit de travail, du droit social, du droit des sociétés ou du droit de l'environnement. La fonction Compliance a pour objet de : • organiser, de coordonner et de structurer les contrôles en matière des diverses réglementations à différents niveaux de l'organisation bancaire, • protéger l’établissement de tout préjudice qui pourrait résulter du non-respect des normes en vigueur, • assister la direction dans la gestion efficace des risques de non-conformité. La Compliance n’est pas du ressort exclusif de la fonction qui lui est dédiée. Elle concerne également le conseil d’administration, la direction ainsi que tous les membres du personnel. Elle est dès lors à considérer comme un élément important de la culture véhiculée d’un établissement laquelle doit être promue à tous les niveaux de la banque.
55
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Dans ce contexte, une réflexion a été engagée au niveau international, notamment au sein du Comité de Bâle11, afin, d’une part, de mieux appréhender, dans le calcul des exigences de fonds propres, les risques autres que les risques de crédit et de marché et, d’autre part, de formuler des propositions spécifiques quant aux modalités de contrôle du risque de non-conformité. En France, le principe du respect de la conformité a été inscrit, dès 1997, dans le règlement n° 97-02 du Comité de la réglementation bancaire et financière relatif au contrôle interne. Du fait de l’importance et de la spécificité du risque de non-conformité aux lois et règlements, celui-ci paraît devoir être pris en charge par une fonction dédiée et, comme l’ensemble des risques encourus par les établissements de crédit, être pleinement intégré dans le champ d’exercice du contrôle interne. Au Maroc, la notion de conformité n’a pas été inscrite dans la circulaire N° 6/G/2001 sur le contrôle interne des établissements de crédit et ne fait à ce jour l’objet d’aucune réglementation particulière.
3. Le risque de réputation. Le risque de réputation est l'atteinte de la confiance qu'une banque doit inspirer à sa clientèle et au marché à la suite d'une publicité ou d’un événement. Cette perte de confiance peut alors avoir des effets désastreux : retraits massifs des déposants, perte de clientèle, méfiance des marchés qui est suivie généralement par une crise de liquidité. Le risque de réputation résulte également de dysfonctionnements opérationnels et de l’incapacité de satisfaire aux lois et réglementations en vigueur. Ce risque est particulièrement préjudiciable aux banques, étant donné que la nature de leur activité nécessite le maintien de la confiance des déposants, des créanciers et du marché en général. L’organe d’administration et l’organe de direction doivent prendre les précautions et les mesures adéquates pour empêcher que leur établissement bancaires ne soit impliqué, à leur insu, dans des opérations financières liées à des activités non autorisées par la loi et plus généralement pour éviter la survenance de tout événement susceptible d'entacher la réputation de cet établissement ou de porter atteinte au renom de la profession.
Section 2 : Critères d'évaluation et dispositifs de contrôle des risques. L'organisation, les processus et les outils de mesure et de quantification constituent les critères fondamentaux d'appréciation et de suivi des risques bancaires. Nous ne pouvons que constater à ce sujet l'enrichissement progressif des méthodes de mesure et d'évaluation des risques, développées par la majeure partie des banques commerciales marocaines, bien que des marges de progrès existent encore sur 11 Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques - Consultative Document on the Compliance Function in Banks -
56
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
plusieurs aspects pour se conformer aux standards aussi bien qu'internationaux. Plusieurs facteurs éclairent cette évolution positive :
nationaux
•
Une prise en compte accrue de ces risques par les dirigeants des banques. Cette prise de conscience peut s'expliquer par la relative maturité acquise dans la gestion des risques qui a mobilisé l'attention au cours des cinq dernières années,
•
La mise en évidence accrue des risques financiers et récemment opérationnels qui a entraînée une réflexion accrue sur leur maîtrise et leurs méthodes de prévention,
•
La pression des régulateurs pour une meilleure information sur les risques bancaires.
Dans ce contexte, plusieurs établissements bancaires marocains se sont lancés, avec des degrés d'avancement différents, dans la mise en place d'outils permettant d'assurer une surveillance permanente devant aboutir in fine à une couverture optimale contre les risques jugés significatifs et prioritaires.
1. Au niveau de la gestion du risque de crédit. C’est le risque encouru en cas de défaillance d’une contrepartie. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre, entre autres, de : •
s’assurer que les risques auxquels peut s’exposer l’établissement de crédit, du fait de la défaillance de la clientèle, sont correctement évalués et régulièrement suivis ;
•
veiller à ce que les dossiers de crédit comportent toutes les informations quantitatives et qualitatives relatives au demandeur et veillant à ce que ces informations soient régulièrement mises à jour;
•
prendre en considération, notamment, la nature des activités exercées par le demandeur, sa situation financière, la surface patrimoniale des principaux actionnaires ou associés, sa capacité de remboursement et, le cas échéant, les garanties proposées;
•
prendre également en compte toutes autres informations permettant une appréciation plus complète du risque tels que la compétence des dirigeants et l'environnement économique dans lequel le demandeur de crédit exerce son activité;
•
pouvoir identifier de manière centralisée tous les risques bilan et hors bilan à l’égard d’une même contrepartie ou d’un groupe de contreparties, d’un même secteur économique, d’un pays ou d’une zone géographique;
•
appréhender différentes catégories internes d’appréciation du niveau de risque de crédit à partir d’informations qualitatives et quantitatives « rating »;
•
disposer d’un système de délégations clairement formalisé. A l’intérieur de ce cadre, les décisions d’engagements concernant des opérations importantes, devront être
57
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
prises par au moins deux personnes et ce, après analyse d’une unité spécialisée indépendante d’étude de risques; •
mesurer et encadrer le risque de livraison (risque de règlement) c’est-à-dire le risque que la contrepartie ne règle ou ne livre pas les titres à l’occasion d’une opération de marché;
•
déterminer les conditions financières des opérations à partir d’une analyse prévisionnelle aussi exhaustive que possible des produits (marges d’intérêt, commissions, variation de la valeur de marché des opérations) ainsi que des coûts (coût opérationnel, coût de refinancement, coût de rémunération des fonds propres, coût lié au risque de défaillance);
•
effectuer une revue trimestrielle des opérations supérieures à un certain seuil en procédant, si nécessaire, au reclassement des engagements au sein des catégories internes de rating et, en tant que de besoin, aux affectations dans les rubriques comptables de créances douteuses, le niveau de provisionnement adopté devant tenir compte d’une évaluation récente des garanties détenues.
Les critères retenus pour l'appréciation du risque de crédit se basent pour l'ensemble des établissements bancaires marocains sur une analyse systématique de la situation économique et financière de la contrepartie. Cette analyse se traduit, dans certains cas, par l'affectation d'une note de signature qui concerne dans un premier temps les grandes entreprises puis les PME/PMI. Les clients particuliers ne font toutefois pas l'objet de notation, ils sont néanmoins segmentés selon les critères commerciaux pouvant servir à définir l'offre de crédit notamment. L'évaluation du risque pour cette catégorie de clientèle est basée sur le revenu disponible qui demeure un indicateur insuffisant en raison des incertitudes entourant son caractère à la fois véridique et permanent. De manière générale, la surveillance des risques repose sur un contrôle à deux niveaux: • contrôle à priori; •
contrôle à posteriori.
Contrôle à priori. Ce contrôle repose sur le principe selon lequel les principales opérations des clients doivent faire l'objet de l'accord d'un délégataire dès lors que celles-ci mettent la position de la contrepartie en anomalie (notamment les dépassements) ou concourent à la mise en place d'un nouveau crédit. Ce traitement est centralisé généralement au niveau de la Direction des Crédits qui prend en charge toute la fonction d'octroi de crédits relative aux clients d'une certaine taille. Un tel contrôle suppose la nécessité de disposer d'outils permettant de connaître individuellement et en temps réel les autorisations et les utilisations de chaque client à la demande et au cas par cas.
58
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Néanmoins, les outils disponibles actuellement pour analyser finement les risques de contrepartie par nature et par secteur, sont encore insuffisants. Les banques se sont engagées dans un programme d'investissement considérable en système d'information en vue de contribuer à l'élaboration d'une cartographie des risques fiable notamment pour ce qui concerne la nature des risques ainsi que les risques liés aux dépassements par rapport aux limites démarquant les clients sains de ceux douteux. Contrôle à posteriori. Le principe de contrôle à posteriori repose principalement sur la surveillance des dépassements et des impayés, qui s'exerce néanmoins selon des périodicités variant entre un mois, un trimestre voire un semestre. Le processus de suivi reste d'ailleurs lent et manuel pour l'ensemble des banques, ce qui diminue de la qualité des contrôles en terme d'exhaustivité et de réactivité.
La pertinence de ce système repose par ailleurs sur une vigilance accrue des opérationnels qui sont le plus à même d'attirer l'attention sur des risques sensibles ou naissants. C'est justement la raison pour laquelle ce système peut se révéler inefficace étant donné le contexte à la fois manuel et non formalisé qui entoure tout le processus d'identification. • Rating. L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note (appelée aussi "cotation", "rating") par référence à un échelle de notation interne.
Certaines banques, surtout celles dépendant de groupes étrangers, sont parvenues néanmoins à mettre en place un système de rating. La cotation des dossiers est revue généralement une fois tous les ans à l'occasion du renouvellement des dossiers. • Rentabilité Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations effectuées avec le client et ce, à travers l’analyse prévisionnelle des charges et produits y afférents.
En l'état actuel, la rentabilité des opérations n'est le plus souvent obtenue qu'au travers un PNB agrégé. Elle ne prend pas en compte tous les coûts et notamment le coût du risque. Certaines banques sont parvenues depuis peu à établir un RBE par client et par opération. Cependant, ce calcul reste approximatif dans la mesure où les charges affectées à chaque relation sont attribuées sur la base de clés de répartition qui restent empreintes d'arbitraire en l'absence d'un système de comptabilité analytique permettant de décliner finement les coûts par client. • Suivi des provisions Les concours qui, au regard de la réglementation en vigueur, sont considérés comme créances en souffrance doivent être enregistrés dans les comptes appropriés du plan comptable des établissements de crédit et donner lieu à la constitution des provisions requises.
59
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les encours des créances en souffrance ainsi que les résultats des démarches, amiables ou judiciaires, entreprises pour leur recouvrement doivent être régulièrement portés à la connaissance de l’organe d’administration. Les banques possèdent à intervalles de temps réguliers, pour certaines trimestriellement pour d'autres semestriellement, à l'identification des créances éligibles aux critères de classification de BAM.
2. Au niveau de la gestion du risque de marché. Le contrôle interne n’est justifié le plus que dans les salles de marchés de par l’importance des volumes traités, la sophistication des techniques de transaction, le caractère souvent instantané des prises de décision, l’évolution quasi permanente des instruments et des stratégies.... Or, si la réglementation prévoit une parfaite intégration du contrôle interne dans l’organisation, les méthodes et les procédures de chaque activité, il semble que l’univers de la salle de marchés soit peu propice à une telle démarche en raison : du recours fréquent à des instruments télématiques; de la nécessité de réagir rapidement en toutes circonstances; des délais souvent très courts impartis pour déboucler une position. Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit, du fait des fluctuations qui pourraient affecter les prix des instruments financiers, font l’objet d’une évaluation appropriée et d’une surveillance régulière. La mesure des risques de marché doit être effectuée de façon à en cerner les diverses composantes et ce, par le recours à des procédés qui permettent une agrégation, aussi bien sur une base individuelle que consolidée, de l’ensemble des positions relatives à des instruments financiers ou à des marchés différents. Des évaluations régulières, notamment en cas de fortes variations affectant un marché ou l'un de ses segments, doivent être effectuées pour suivre l’évolution des risques susvisés. Les modèles d'analyse retenus pour ces évaluations doivent, eux aussi, régulièrement faire l’objet de révisions, à l’effet d’en apprécier la validité et la pertinence au regard de l’évolution de l’activité, de l’environnement des marchés et des techniques d’analyse. Le système de mesure des risques de marché. La mesure des risques de marché représente un aspect sensible de l’ensemble du dispositif. Les opérations qui génèrent ces risques correspondent, en effet, à une part importante de l’activité des banques.
Il s’agit, pour une opération donnée, du risque de taux d’intérêt pris dans toutes ses composantes ainsi que du risque de change. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre, entre autres, de:
60
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
appréhender quotidiennement les positions détenues en chaque instrument et en calculer les résultats;
mesurer le risque de taux d’intérêt, le risque de change et le risque sur titres de propriété liés à ces positions;
réaliser un suivi quotidien et une évaluation au prix du marché de toutes les opérations de change ou de taux et mesurer l’adéquation des fonds propres de la Banque aux risques résultant des opérations portant sur le portefeuille de négociation (calcul d’une « Value At Risk » fondée sur la notion de perte potentielle maximale « worst case »);
agréger sur une base homogène toutes les positions, quels que soient les produits et les marchés, cette mesure globale étant fondée elle aussi sur la notion de perte potentielle maximale « worst case »;
élaborer régulièrement des scénarios catastrophes ou de crise (« stress case ») mesurant les conséquences des situations exceptionnelles. Les résultats en sont communiqués au Directoire qui en informera le Conseil de Surveillance;
procéder au moins une fois par mois au rapprochement des résultats comptables et des résultats de gestion et analyser les écarts constatés.
s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces risques.
Le système de surveillance et de maîtrise des risques. Ce système exige la mise en place de limites internes pour l’ensemble des risques mesurables. Ces limites permettent d’encadrer a priori les expositions et de vérifier a posteriori leur bonne utilisation. Elles doivent faire l’objet d’une revue au minimum annuelle et doivent être complétées par un système de déclaration de franchissement de seuil.
Une distinction s'opère entre deux types de limites qui doivent, en tout état de cause, couvrir toutes les natures de risques et permettre leur agrégation :
Les limites globales : accordées au niveau de la direction générale, elles sont généralement exprimées, en ce qui concerne les activités de marché, en termes d’exigences de fonds propres ou de Value At Risk.
Les limites opérationnelles : qui peuvent être exprimées en nominal, en terme de stop-loss, de sensibilité….
Il faut que ces deux systèmes de limites soient cohérents. Le suivi des expositions doit être permanent; chaque échelon de surveillance doit disposer d’un système de reporting, clair et efficace, dans le respect des formats définis par écrit, afin d’informer l’ensemble des niveaux hiérarchiques. Tout manquement constaté aux règles doit être identifié et analysé. Ces travaux doivent déboucher sur la prise de mesures correctrices qui devront être effectivement mises en œuvre; elles devront avant tout faire l’objet de tests.
61
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les mesures correctrices pourront comporter soit l’octroi de limites supplémentaires accordées selon une procédure prédéfinie par la hiérarchie, soit le débouclement des positions permettant le retour à l’intérieur des limites notifiées.
3. Au niveau de la gestion du risque global de taux d'intérêt. Le risque de taux d’intérêt global pour une banque se définit comme le risque encouru en cas de variation des taux d’intérêt du fait de l’ensemble de ses opérations bilan et hors bilan ainsi que celles de ses filiales. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre, entre autres de : s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif, du passif et du hors bilan de l’établissement de crédit, du fait d’une évolution défavorable des taux d’intérêt, sont correctement mesurés et font l’objet d’une surveillance régulière et adéquate, disposer d’une gestion actif/passif (ALM: Asset Liability Management) permettant d’appréhender les positions et les flux certains et prévisibles résultant de ces opérations ainsi que les différents facteurs de risques de taux d’intérêt global en découlant et d’évaluer l’impact des facteurs significatifs sur les résultats et les fonds propres de la Banque, choisir des paramètres et des hypothèses pour l’évaluation du risque global de taux d’intérêt en tenant compte du niveau d’activité de l’établissement de crédit sur les différents marchés, réexaminer périodiquement ces hypothèses pour s’assurer de leur cohérence et de leur validité au regard de l’évolution de la structure des activités exercées et des conditions du marché, évaluer, à partir de scénarios catastrophes «stress case» revus périodiquement, les conséquences des situations exceptionnelles sur les résultats et les fonds propres de la banque. Les résultats en sont communiqués au Directoire qui en informera le Conseil de Surveillance. Les indicateurs de mesure du risque de taux regroupent : L'assiette du risque est constituée des actifs et passifs à taux fixes et des actifs et passifs à taux variables, de la duration et sensibilité ainsi que des écarts correspondants; Les calculs de marges basés sur les encours précédents, notamment les marges acquises sur les encours à taux fixe et variable ainsi que la marge totale en fonction du taux moyen de l'actif et du passif; Les analyses de sensibilité de la marge d'intérêt en fonction des scénarii d'évolution des taux. Ces indicateurs nécessitent toutefois de connaître l'échéance de toutes les opérations. Chose qui se révèle néanmoins inaccessible pour les banques marocaines vu que les outils mis en place pour appréhender le risque de taux, pour celles qui en disposent
62
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
déjà, sont tenus sur des supports manuels et se révèlent impuissantes à opérer des modélisations de séries statistiques complexes, volumineuses et multicritères. Le risque de taux est évoqué généralement en tant que risque de marché. Ce ci pourrait être partiellement vrai, mais, il serait tentant d'englober dans le même cadre le risque de taux global ou structurel et le risque de marché. Les modèles de risque de marché sont fondés généralement sur trois principes : le portefeuille peut être valorisé à tout moment de façon incontestable (valeur de marché, market-to-market). Les positions peuvent être rapidement soldées. Un historique de quelques années décrit suffisamment des variations de marché pour se faire une bonne idée des risques futurs. Or aucun, des trois principes de marché n'est transposable au "portefeuille bancaire" des dépôts et crédits de la clientèle : la valeur du portefeuille bancaire est celle à laquelle on trouve un acquéreur. Rien n'implique qu'elle corresponde à la juste valeur actuarielle qui fait si souvent foi sur les marchés. Aucun lien simple et objectif n'existe entre cette valeur du portefeuille bancaire et le niveau présent ou anticipé des taux d'intérêt. Si une forte baisse des taux advenait, aucun réseau bancaire ne pourrait raisonnablement, ni en dix jours, ni même en dix mois, se défaire de ses dépôts. Le stop Loss (variable statistique permettant de déterminer le montant maximum de perte tolérée) n'est pas un concept applicable aux réseaux bancaires. C'est pourquoi, la circulaire N°6 sépare le risque de taux des activités de marché du risque de taux global. La position structurelle de taux recèle des risques majeurs surtout en cas de très forte et très durable variation des taux d'intérêt. Pour une banque de dépôt, par exemple, le scénario fâcheux serait une forte baisse des taux suivie d'une longue période de taux bas. Quel historique indique aujourd'hui ce que pourrait être l'ampleur statistique d'un tel phénomène, et quelle serait sur plusieurs années l'attitude de ses clients ? Une bonne partie des difficultés à appréhender concernant le risque de taux structurel réside dans les innombrables options cachées vendues (implicitement ou non) aux clients : dépôts ou retrait des fonds sur les comptes à vue, remboursement par anticipation des crédits, modification des taux réglementés, options diverses de l'épargne logement…. Mêmes parfaitement modélisées, ces options ne pourraient pas être parfaitement couvertes. En effet, toutes les couvertures d'option partent du principe que le client auquel on a vendu ces options aura un comportement financièrement rationnel. Par exemple, le jour où ses droits à prêt d'épargne-logement seront moins chers que les taux de crédit normaux, il devrait immédiatement emprunter le maximum via ses droits. Il apparaît dès lors que la modélisation des options cachées passe par une modélisation comportementale des clients, ce qui est loin d'être un indicateur efficace d'une couverture parfaite contre le risque de taux global. Compte tenu de ces difficultés, un risque de taux global persiste, même après couverture éventuelle, et il est légitime d'envisager une exigence en fonds propres pour
63
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
couvrir ce risque résiduel. L'objectif d'une exigence en fonds propres est de couvrir un risque de perte extrême. Les banques qui se sont dotées d'une gestion actif-passif ont eu à fixer les modalités de leur couverture (montants, durées, instruments utilisés). Si les montants ont vocation à ressembler à ceux des postes couverts, et si les instruments disponibles ne sont pas innombrables, les choix d'horizon de temps pour les couvertures sont moins évidents à établir; Ils peuvent être étayés par des études statistiques (lois d'écoulement du passif à vue), des hypothèses de déformation à venir du bilan (nouvelle production) ou autres considérations financières ou commerciales.
4. Au niveau de la gestion du risque de liquidité. Le risque de liquidité se définit comme le risque de ne pas pouvoir faire face à ses engagements ou de ne pas pouvoir dénouer ou compenser une position en raison de la situation du marché. Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que l’établissement de crédit est en mesure de faire face, à tout moment, à ses exigibilités et d’honorer ses engagements de financement envers la clientèle. La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à des échéances déterminées doivent être évaluées de manière correcte, en tenant compte notamment de l'incidence des fluctuations des marchés de capitaux. Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement, en particulier les lignes de crédit ouvertes par les correspondants, doivent être revues périodiquement afin de tenir compte des éventuels changements qui pourraient affecter la situation ou la renommée de l’établissement lui-même ou la situation financière ou juridique de ces correspondants. A l'instar du calcul des indicateurs de risque de taux, le suivi du risque de liquidité repose sur des analyses simplifiées menées pour certains établissements sur des prototypes ALM permettant le calcul des indicateurs de risque de liquidité, notamment l'impasse de liquidité. De manière générale, les banques contrôlent leur aptitude à faire face à leurs exigibilités et à leurs engagements de financements envers la clientèle à travers le calcul et l'analyse du coefficient de liquidité. Le principe de mesure de la liquidité est basé sur un flux à recevoir et à payer sur le court terme pour identifier tout problème potentiel. La méthodologie est proche de celle de la mesure du risque de taux d'intérêt par la construction d'un échéancier faisant ressortir les impasses. Mais l’échéancier doit être construit en tenant compte des échéances de remboursement et non des échéances de renouvellement de taux. Les bandes doivent être beaucoup plus étroites pour les prévisions à très court terme.
64
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La construction de cet échéancier va poser des difficultés liées à la date de remboursement de certaines créances et dettes : dépôts à vue de la clientèle, découverts, comptes d'épargnes etc. La problématique des options cachées va s'ajouter au remboursement anticipé des crédits et dépôts à terme. Les actifs négociables sur un marché liquide, tels les bons du Trésor et les actions faisant partie d'un indice boursier, peuvent être considérés comme des réserves de liquidités. Leur degré de liquidité doit être soigneusement évalué, de même que le prix probable de vente sachant qu'une vente "forcée" ou "catastrophe", pour faire face à une crise de liquidité, risque fort de se traduire par une perte. Il est d'usage, pour tenir compte de cette perte probable, d'appliquer une décote à la valeur de marché des titres.
5. Au niveau de la gestion du risque de règlement. Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les différentes phases du processus de règlement sont identifiées et font l’objet d’une attention particulière, notamment l'heure limite pour l'annulation unilatérale de l'instruction de paiement, l'échéance de la réception effective des fonds relatifs à l'instrument acheté et le moment où la réception de ces fonds ou instruments est confirmée.
6. Au niveau de la gestion du risque du système d’information. Le dispositif de contrôle des risques liés au système d’information doit assurer un niveau de sécurité jugé satisfaisant par rapport aux normes technologiques et aux exigences du métier. Le niveau de sécurité des systèmes d'information est évalué en fonction de : la disponibilité, c'est-à-dire la continuité du service et la mise en place de procédures d'urgence ainsi que du matériel et des logiciels de secours informatiques en cas de difficultés graves ou de dysfonctionnement du système d'information ou à la survenance d'événements pouvant le rendre inopérant. l'intégrité, c'est-à-dire la fiabilité des informations et des traitements; la confidentialité des informations; la piste d’audit ou la possibilité de contrôle et de preuve qui s’applique à la conservation des informations dans des conditions présentant le maximum de sécurité contre les risques de détérioration, de manipulation ou de vol et à la documentation relative aux analyses, à la programmation et à l'exécution des traitements. La conformité aux exigences réglementaires.
65
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
7. Au niveau de la gestion du risque juridique. Il s’agit, pour la banque, du risque de tout litige avec une contrepartie résultant de toute imprécision, lacune ou insuffisance de nature quelconque susceptible d’être imputable à la banque au titre de ses opérations. Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats et les autres actes de nature juridique liant l’établissement de crédit à toute contrepartie sont rédigés et conclus dans le respect des dispositions légales et réglementaires en vigueur et sont soumis à un contrôle strict en vue de parer à toutes insuffisances, imprécisions ou lacunes.
8. Au niveau de la gestion du risque comptable. Le dispositif de contrôle de la comptabilité doit permettre aux établissements de crédit de s'assurer de la fiabilité et de l'exhaustivité de leurs données comptables et financières et de veiller à la disponibilité de l’information au moment opportun. La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan comptable des établissements de crédit. Les modalités d’enregistrement comptable des opérations doivent prévoir un ensemble de procédures, appelé piste d'audit, qui permet : •
de reconstituer les opérations selon un ordre chronologique;
•
de justifier toute information par une pièce d'origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu au document de synthèse et réciproquement;
•
d'expliquer l'évolution des soldes d'un arrêté à l'autre par conservation des mouvements ayant affecté les postes comptables.
Les opérations qui comportent des risques de marché doivent donner lieu, à tout le moins à la date d'arrêté de fin de mois, à un rapprochement entre les résultats calculés par les unités opérationnelles et les résultats comptables obtenus sur la base des règles d'évaluation en vigueur. Les écarts significatifs constatés doivent être justifiés et portés à la connaissance de l’organe de direction. Des évaluations régulières du système d'information comptable et de traitement de l’information doivent être effectuées en vue de s’assurer de sa pertinence au regard des objectifs généraux de prudence et de sécurité et de la conformité aux normes comptables en vigueur.
9. Au niveau de la gestion du risque pays. C’est le risque qu’un emprunteur public ou privé d’un pays donné ne soit plus en mesure de remplir ses obligations en devises étrangères ou à l’égard de ses créanciers
66
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
étrangers ou que la valeur des actifs détenus par ces mêmes créanciers étrangers diminue soudainement et substantiellement. Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre, entre autres, de: •
mesurer le niveau du risque par pays en fonction de la nature des opérations, de leur durée et de la classification des pays,
•
encadrer ces risques par un jeu de limites,
•
suivre l’évolution de l’utilisation de ces limites.
10. Au niveau de la gestion des autres risques opérationnels. Il s’agit, pour la banque, des risques résultant d’insuffisances de conception, d’organisation et de mise en œuvre des procédures d’enregistrement dans le système comptable ou d’information, de l’ensemble des événements relatifs aux opérations des établissements bancaires. Par définition, ces risques se distinguent des risques générés normalement par l’activité (marchés, contreparties, pays ...) ou à caractère spécifique (juridique, informatique,...). Les systèmes et procédures mis en place pour en assurer la maîtrise devront permettre de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances, de quelque ordre que ce soit, sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global de l’établissement. A travers plusieurs situations catastrophes dont on a cité quelques exemples, les risques opérationnels se sont révélés plus dangereux que prévus. L'organe délibérant doit de ce fait, être conscient que le risque opérationnel est une catégorie de risque à part entière, surtout que les fonds propres de la banque peuvent ne pas permettre de couvrir des pertes démesurées dues à une déficience en matière de contrôle. La gestion des risques opérationnels aussi bien en interne que conformément aux exigences prudentielles, en est encore à ses débuts. Des efforts ont été néanmoins entrepris par certaines banques marocaines en vue de se doter d'outils pertinents capables de renseigner sur la survenance de tout risque de nature opérationnelle, et ce quelle que soit son origine ou sa localisation. Ce nouveau système est en cours de mise en place et sa fiabilité ne pourrait toutefois être suffisamment appréciée qu'au cours des années ultérieures. Le système d'information paraît dans ce sens jouer un rôle clé pour communiquer les objectifs de la banque en matière de risque. Il est évident que l'efficacité d'un bon contrôle interne dans ce domaine repose sur la fiabilité du système d'information pour maintenir une culture de contrôle et pour s'assurer que l'ensemble du personnel adhère à ces objectifs. Certaines banques ont eu l'idée de constituer une base de données interne incluant tous les événements de pertes occasionnées dans le cadre de l'exercice des activités de la banque. Ces événements doivent néanmoins être identifiés de manière exhaustive et
67
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
intègre. D'où le rôle déterminant qu'aura à jouer aussi bien l'inspection générale et l'audit interne que les reporting en interne. Le système de collecte et de reporting doit être une partie intégrante des procédures opérationnelles. A cet effet, la notion de contrôle de deuxième niveau devrait être bien développée et communiquée à tous les responsables opérationnels, étant donné qu'une bonne maîtrise de ce risque passe par la qualité de contrôle opéré à ce niveau. Ces exigences ne peuvent que renforcer le rôle indéniable du "risk manager" chargé du suivi et de l'analyse de tous les événements de pertes identifiés à travers le système interne d'information. L’intégration du risque opérationnel dans la cartographie des risques.
Le risque opérationnel est intimement lié à l’organisation au sens large de l’entreprise. Dans la mesure où les outils de modélisation des processus intègrent déjà les tâches, les acteurs (internes comme externes), les moyens informatiques. Un référentiel ou une cartographie de processus fournit une structure d’accueil naturelle à la cartographie des risques opérationnels. Il était donc logique d'intégrer cette approche risque. Ce ci revient à définir dans un premier temps des modèles de cartographie des risques (de type famille, sous-famille de risque), de qualifier ces risques (fréquence, niveau de criticité,…) et de les rattacher aux éléments concernés du référentiel (tâche, acteur, système, processus...). Cette photographie permet ensuite de s'attaquer à la réduction de l'exposition : on pourra par exemple croiser la cartographie des risques avec les polices d’assurance en vue d’optimiser la couverture ou encore y intégrer les actions préventives afin de mettre en évidence leur incidence sur le niveau de risque. Cartographie des risques opérationnels.
Conformément aux pratiques issues des travaux du Comité de Bâle, les banques sont tenues de cartographier leurs unités métier, fonctions organisationnelles ou processus par catégorie de risque. Le système interne de mesure du risque opérationnel doit être étroitement associé à la gestion quotidienne des risques de l'établissement. Les données produites doivent faire partie intégrante de ses processus de surveillance et de contrôle de son profil de risque opérationnel. L'exposition au risque opérationnel et les pertes subies doivent être régulièrement notifiées à la direction de la banque concernée, à la direction générale et au conseil d'administration.
Principes directeurs :
Obligations des directions : chaque direction de la banque est tenue de produire et de tenir à jour la cartographie des risques opérationnels attachés à la mise en œuvre de ses activités ou processus. Le Risk Manager est responsable de la réalisation et des résultats de sa
68
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
cartographie, qu’il fait valider par le Comité des Risques Opérationnels ou le Comité de Contrôle Interne. Cartographie des risques opérationnels : élaborer une cartographie des risques opérationnels consiste, par une approche essentiellement qualitative, à évaluer l’exposition d’une entité à ses risques, dans l’ensemble des métiers et fonctions (opérationnelles et support) exercés, afin de focaliser les dispositifs de prévention et de surveillance sur les processus / fonctions les plus sensibles de l’entité. Elle est une composante du Tableau de Bord Risques de la banque, destiné au management. Elle lui permet de décider des actions à mener pour gérer ces risques : assumer, éviter, prévenir (réduire la fréquence), atténuer (réduire l’impact) ou transférer (assurance). Finalités : La cartographie des risques opérationnels a pour objectifs de :
Identifier les risques opérationnels par métiers, domaines, ou processus, selon deux natures : Les risques à fréquence importante et à faible impact (risques récurrents ou attendus “Expected Losses”). Les risques rares à fort impact (risques exceptionnels “Unexpected Losses”). Evaluer périodiquement et hiérarchiser les risques opérationnels portés par les processus au sein des métiers, selon une approche structurée et formalisée, s’appuyant sur une méthodologie et des nomenclatures communes à l’ensemble de la banque; Etablir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles, lesquels seront à surveiller à l’aide d’indicateurs des risques clés "Key Risk Indicators" (à définir par les Directions); Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques; Satisfaire aux critères qualitatifs d’éligibilité édictés par Bâle II, pour être autorisé à appliquer les méthodes avancées de calcul des fonds propres économiques.
Démarche
Les résultats attendus : la cartographie fournit, processus par processus, l’exposition aux risques opérationnels pour chaque catégorie de risque de la typologie Bâle II, et permet ainsi au management de l’entité de connaître ses principales zones de vulnérabilité et d’appliquer une gestion différenciée par nature de risque.
69
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Composants de l’évaluation. Cette exposition est évaluée par une cotation prospective des risques, en fréquence et en impact, basée sur le niveau de perte potentielle. Elle est décrite par trois composants:
le risque récurrent, ou attendu (fréquence élevée, faible impact unitaire): est évalué, en tenant compte du niveau des contrôles permanents, par le montant des pertes récurrentes attendues à horizon d’un an et / ou par le niveau de nuisance des impacts non financiers (risque d’image, risque réglementaire, sanctions pénales). Exemples : risque d’erreurs de bourse, risque de fraude à la carte bancaire, intérêts de retard pour paiements tardifs.12 le risque exceptionnel (fréquence faible, impact élevé) : est évalué, en cas de défaillance grave des contrôles permanents ou d’événement(s) externe(s) exceptionnel(s), par le montant de la perte potentielle maximale et / ou par l’importance de l’impact non financier, dont la fréquence varie de moins d’une fois par an à une fois tous les dix ans. Exemples : dissimulations de position, départ de personne clé, pannes informatiques sérieuses, amendes réglementaires majeures … 12
“Sound practices for the management and supervision of operational Risk” (février 2003) - Risk Management : Identification, Assessment, Monitoring and Mitigation/ Control…
70
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
analyse de scénario : pour être complet, un troisième type de risque opérationnel est à prendre en compte. Il s’agit d’un risque particulièrement rare ou sévère, mais plausible, ou transverse à un ensemble de métiers et de processus. Destiné notamment à préciser le profil de la queue de distribution de pertes, il est évalué par des professionnels expérimentés ou des groupes d’experts du risque à partir de méthode d’analyse de scénario 13 Exemple : terrorisme, défaillance complète des systèmes de place, … le niveau de maîtrise des risques 14 : est évalué par une appréciation de l’ensemble des dispositifs de contrôles permanents (1er et 2ème degré uniquement) que les établissements de crédit sont tenus de mettre en œuvre pour assurer la maîtrise de leurs risques.
11. Au niveau de la gestion du risque de non-conformité. 11.1 - Les établissements de crédit ont d’ores et déjà pris des dispositions pour réduire le risque de non-conformité.
Les banques, ont amélioré depuis plusieurs années leurs dispositifs de veille réglementaire afin d’approfondir la connaissance de la réglementation par leurs salariés et de formaliser davantage les procédures de contrôle de la conformité de leurs décisions à la réglementation ou aux lois. Comme le relève le Comité de Bâle, le risque de non-conformité fait désormais l’objet d’une gestion plus formalisée et identifiée de la part des établissements15. Ce constat rejoint l’appréciation qui peut être portée sur la situation des banques à l’échelon international en la matière. En effet, il ressort que ces banques ont toutes engagé, à des degrés divers, une réflexion quant aux modalités d’organisation d’un dispositif permettant de s’assurer de la conformité de leurs activités à la réglementation, à la loi, aux normes ou aux usages professionnels. La quasi-totalité des grands établissements se sont déjà dotés d’un responsable de la conformité (le titre étant variable selon les établissements : responsable de la conformité ou « compliance officer », déontologue…). Les établissements de crédit apparaissent cependant avoir des définitions hétérogènes de la conformité. Chez un certain nombre d’entre eux, le champ d’intervention du responsable désigné de la compliance se limite à la supervision du dispositif de prévention du blanchiment et à la déontologie. Plusieurs de ces établissements ont élaboré des procédures précisant les modalités du suivi de ce risque, voire une charte de la conformité.
13 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 675 “Scenario analysis” 14 Bâle II International Convergence of Capital Measurement and Capital Standards June 04 : 676« Business environment and internal control factor » 15 1 Dans le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques « Consultative Document on the Compliance Function in Banks ». « Sound Practices for the Management and Supervision of Operational Risk » – « Saines pratiques de gestion et de contrôle du risque opérationnel » (février 2003) point 2.
71
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Enfin, quelques établissements, plus avancés encore, ont d’ores et déjà construit un état spécifique pour le suivi du risque de non-conformité. Ceci permet d’informer régulièrement les niveaux les plus élevés de l’établissement du niveau de maîtrise de ce risque ainsi que de tout événement significatif relevant de cette problématique. 11.2 - Un contexte international et réglementaire en évolution.
Si l’on reprend la définition du risque opérationnel « risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs, y compris le risque juridique mais à l’exclusion des risques stratégiques et d’atteinte à la réputation »16, on peut considérer que le risque de non-conformité en relève, à tout le moins en partie. Le Comité de Bâle a entrepris des travaux spécifiques sur la conformité. En effet, un groupe de travail consacré à la fonction de conformité dans les banques a été constitué et a publié en octobre 2003 un document consultatif. Ce texte, qui a pour objet d’identifier les meilleures pratiques dans ce domaine et d’en favoriser la diffusion, énonce onze principes concernant la conformité. L’objectif du Comité de Bâle, en publiant pour consultation un tel document, est de favoriser la diffusion, au sein des établissements de crédit, d’une «culture de conformité» afin qu’elle se traduise, formellement (charte de conformité), par une attention accrue portée à ce risque. L’intention du Comité de Bâle est de veiller à ce que cette fonction soit bien assurée. L’attention des établissements est attirée sur le fait qu’il s’agit - par nature - d’une fonction indépendante des activités opérationnelles, dont le rattachement hiérarchique doit être très élevé, mais dont le fonctionnement est inclus dans le champ d’investigation de l’audit interne. 11.3 - Pistes possibles pour limiter le risque de non-conformité.
À partir des travaux engagés par le Comité de Bâle et de la pratique de nombreux établissements bancaires en la matière, il est possible de définir des pistes de réflexion sur les caractéristiques que pourrait présenter une fonction en charge de la mesure, de la maîtrise et du contrôle du risque de non-conformité.
La supervision bancaire contribue fortement à la mise en œuvre d’une fonction interne de contrôle de la conformité dans le cadre du dispositif général du contrôle interne permanent des opérations.
Un champ exhaustif d’exercice de la fonction couvrant tous les secteurs, toutes les zones géographiques et tous les contextes réglementaires du groupe.
Une contribution générale au renforcement d’une culture de la conformité.
Une activité de conseil et de contrôle ex ante.
16
formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003
72
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La mise en œuvre d’une information interne fiable et synthétique afin de hiérarchiser les risques et de s’assurer que la politique de conformité mise en oeuvre permet de détecter les éventuelles anomalies et surtout de les prévenir.
Une indépendance à assurer.
Une fonction qui devra être adaptée à la nature de chaque établissement.
Une implication des plus hautes instances de l’établissement.
La fonction de conformité doit disposer de moyens suffisants.
Une fonction « auditable ».
73
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Conclusion du chapitre 1. Depuis quelques années, les risques bancaires sont devenus plus nombreux et leur nature a évolué : les produits bancaires sont de plus en plus diversifiés, les contreparties évoluent et la volumétrie des opérations s’est considérablement accrue. Ce constat suggère en outre, trois évolutions majeures : •
Il y a quelques années, seul le risque de crédit faisait l’objet d’un véritable suivi par les autorités de contrôle. En 1995, la réglementation internationale a imposé un suivi spécifique des risques de marché. Le Comité de Bâle demande aujourd’hui aux banques une démarche identique pour les risques opérationnels.
•
L’apparition de ce qu’on a appelé la « nouvelle économie », la mondialisation de la sphère financière et la rapidité croissante des modes de diffusion des informations ont eu comme conséquence une sensible augmentation de la volatilité des marchés, et par contagion, de l’économie réelle.
•
La gestion des risques n'est évidemment pas nouvelle : son existence coïncide avec celle de l'activité bancaire même. L'élément nouveau est la complexité croissante qui la caractérise, rendant ainsi le secteur plus vulnérable. Les instruments classiques de couverture ne semblent par ailleurs plus adaptés face aux nouvelles donnes de l'environnement financier.
Dans l'ensemble, le secteur bancaire souffre encore de quelques lacunes qui pourraient témoigner d'une certaine fragilité de leur structure de contrôle et d'audit interne. Certes, les efforts consentis jusqu'ici témoignent d'une volonté commune et sans équivoque visant à mieux cerner les risques bancaires. En même temps, cet effort ne sera vraisemblablement salutaire que s'il dépasse le stade de l'analyse statique des risques en portefeuille pour accéder à une vision plutôt dynamique et évolutive de la gestion des risques bancaires. Une fois que le niveau des risques inhérents a été ainsi estimé, l’auditeur en collaboration avec le risk manager doit comprendre comment ceux-ci sont gérés et contrôlés. Autrement dit, il doit apprécier l’adéquation et l’efficacité des mesures prises par la banque en vue de minimiser les risques encourus. Si donc l’importance du risque se définit par le risque inhérent, la capacité de gérer ce risque se définit par le risque de contrôle. La conjonction des niveaux estimés du risque inhérent et du risque de contrôle permet ensuite à l’auditeur de déterminer l’étendue, la périodicité et les méthodes de vérification qu’il doit entreprendre, en accord avec les principes de la profession. Ainsi, la mise en place d’un audit systémique des multi risques bancaires est à tout point de vue reconnu comme un préalable, entre autres, au développement sain des activités bancaires.
74
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
75
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 2 : Spécificités de l'audit bancaire.
76
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 2 : Spécificités de l'audit bancaire. Introduction. La complexité de la gestion moderne, les exigences requises pour le maintien de la bonne organisation et le désir des dirigeants de s'assurer des vertus des systèmes de contrôle interne, ont favorisé l'épanouissement des activités de l'audit. Le vocable d'audit, d'origine anglaise, décrivant la perception par le sens de l’ouie, est une activité dont la signification recouvre, à la fois, celles de vérification, d'examen, de contrôle, de conseil, d'inspection et de révision et les dépasse même. On peut ainsi définir l’audit comme une démarche spécifique d’investigation et d’évaluation à partir d’un référentiel, incluant un diagnostic et conduisant éventuellement à des recommandations. Ce dernier aspect est en quelque sorte une extension de la notion puisque l’audit consiste en un éclairage sur une situation à risque, un instrument d’aide à la décision. La notion d’audit est large, d’une part parce que la méthode est définie par l’auditeur lui même (la qualité repose sur le savoir-faire), et d’autre part parce que la nature et le type de l’audit sont diverses. Selon la nature de la situation, correspondra un type d’audit (comptable, financier…). Nous nous attacherons, dans ce chapitre à la présentation de l’audit bancaire qui présente quelques spécificités de part les particularités de l’environnement analysé. Il en découle une pluridisciplinarité des champs observés : ressources humaines, système d'information, comptabilité, activités de marché … . De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner. Ceci entraîne des particularités pour l’auditeur concernant la manière d’observer, l’interprétation des résultats et les difficultés d’élaboration d’un système de référence. Nous allons tenter de cerner le contenu du concept d'audit en général, et celui d'audit bancaire en particulier. L'audit systémique quant à lui, sera présenté au chapitre suivant.
Section1 : Principes d'audit en général. 1. Définitions de l’audit interne. Le mot audit nous vient du latin par l'anglais ! En latin : audio - audire signifie : écouter entendre, et, par extension : donner audience. Dans l'utilisation anglaise du mot, au XIX siècle et dans le domaine de la comptabilité et de la gestion financière, c'est le sens de vérification et contrôle par une observation attentive et minutieuse qui domine. L'auditeur est, dans ce cas, un "commissaire aux comptes" qui, par des procédures adéquates, "s'assure du caractère complet, sincère et
77
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
régulier des comptes d'une entreprise, s'en porte garant auprès des divers partenaires intéressés de la firme et, plus généralement, porte un jugement sur la qualité et la rigueur de sa gestion" (dictionnaire La rousse en cinq volumes). Dès cet emploi, on a trois caractéristiques de ce qu'est un audit quels que soient le domaine où il s'applique et l'évolution des pratiques : une activité spécialisée et comportant une certaine distance, une marge d'extériorité par rapport à la chose examinée, « C’est l’activité qui appliquée, en toute indépendance des procédures cohérentes et des normes d’examen en vue dévaluer l’adéquation et le fonctionnement de toute ou partie des actions menées dans une organisation par référence à des normes» (M. Gervais). « L’audit interne est un dispositif interne à l’entreprise qui vise à : Apprécier l’exactitude et la sincérité des informations notamment comptables, Assurer la sincérité physique et comptable des opérations, Garantir l’intégrité du patrimoine, Juger de l’efficacité des systèmes d’informations » « Réalisé par un service de l’entreprise, l’audit interne consiste à vérifier si les règles édictées par l’entreprise elle-même sont respectées ». « L’audit interne est le département d’une entreprise chargé d’examiner et d’évaluer le contrôle interne dans tous les domaines et à tous les niveaux. Au delà de ce rôle traditionnel, il peut aussi assumer une fonction de conseil». « L’audit interne est une fonction d’expertise indépendante au sein de l’entreprise, assistant la direction de celle-ci pour le contrôle général de ses activités » (L’IFACI)17. « L’audit interne est à l’intérieur d’une organisation une fonction indépendante d’évaluation périodique des opérations pour le compte de l’organisation. Audit ne signifie pas inspection : inspecter c’est observer, examiner et rendre Compte; Audit ne signifie pas contrôle : contrôler c’est inspecter par rapport à une norme imposée ou une règle non remise en cause. Auditer c’est : contrôler par rapport à une norme à (re)bâtir et justifier, identifier les cause de l’écart, et proposer ce qu’il faut faire ». L’audit interne est une activité indépendante et impartiale menée pour produire de la valeur ajoutée pour une organisation en lui apportant assurance sur son fonctionnement et conseils pour l’améliorer. Il aide cette organisation à atteindre ses objectifs par une approche systématique et méthodique d’évaluation et d’amélioration des processus de maîtrise des risques, de contrôle et de gouvernement d’entreprise, et en faisant des
17
IFACI : Institut Français de l’Audit et du Contrôle Interne.
78
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
propositions pour renforcer leur efficacité. ( Version française de la définition internationale, approuvée le 21 mars 2000 par le Conseil d’Administration de l’Institut de l’Audit Interne). Analyse de la définition de l’audit interne l’IIA.18 Chaque responsable doit mettre en place une organisation qui doit permettre en permanence:
la pertinence des objectifs, l’adéquation moyens-objectifs, la bonne mise en œuvre des moyens, la qualité et fiabilité des moyens, le respect des principes, politiques et règles, la protection et sauvegarde du patrimoine. La déclaration des responsables de l'audit interne de l'I.I.A indique que : L'audit interne est à l'intérieur d'une entreprise, une activité indépendante d'appréciation du contrôle des opérations. C'est, dans ce domaine, un contrôle qui a pour fonction d'estimer et d'évaluer l'efficacité des autres contrôles. Son objectif est d'assister les membres de l'entreprise dans l'exercice efficace de leurs responsabilités. Dans ce but, l'audit interne fournit des analyses, des appréciations, des recommandations, des avis et des informations concernant les activités examinées. Ceci inclut la promotion du contrôle efficace à un coût raisonnable.
2. Principes Fondamentaux. Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants: Intégrité.
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. Les auditeurs internes : • • • •
doivent accomplir leur mission avec honnêteté, diligence et responsabilité, doivent respecter la loi et les règles de la profession, ne doivent pas prendre part à des activités illégales ou déshonorant la profession d’audit interne ou leur organisation, doivent respecter et contribuer aux objectifs éthiques de leur organisation. Objectivité.
Les auditeurs internes doivent montrer le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les auditeurs internes doivent évaluer de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui.
18
IIA : The Institute of Internal Auditors.
79
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Confidentialité.
Les auditeurs internes doivent respecter la valeur et la propriété des informations qu’ils reçoivent. Ils ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. Les auditeurs internes : • doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités ; • ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation. Compétence.
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et les expériences requis pour la réalisation de leurs travaux : • • •
ils ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l’expérience nécessaires ; doivent réaliser leurs travaux d’audit interne dans le respect des normes pour la pratique professionnelle de l’audit Interne19 ; doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs travaux. Indépendance et impartialité.
L’auditeur n’a pas d’autorité et de responsabilité à l’égard des activités auditées. Il est indépendant mais autocratique et doit être rattaché à une personne ou une instance dont l’autorité lui assure la liberté de ses opinions, la liberté d’action et d’investigation et la prise en compte de ses recommandations.
3. Positionnement de l’audit interne au sein de l’organisation.
19
Standards for the Professional Practice of Internal Auditing
80
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La structure d’organisation des normes pour la pratique professionnelle de l’audit interne est composée des éléments suivants : • • •
La déclaration des responsabilités de l’audit interne, Le code de déontologie, Les normes pour la pratique professionnelle de l’audit interne,
4. Rôle de l'audit interne et son interaction avec les acteurs du système de contrôle interne. Afin de sécuriser les actifs, de fiabiliser les informations, d'assurer l’efficacité des opérations et l’efficience de l’organisation, l’audit interne doit : • • •
évaluer le contrôle interne et proposer des améliorations, établir un diagnostic sur le fonctionnement de l’entreprise, dresser un pronostic pour la direction et préconiser une thérapeutique.
L'audit interne joue un double rôle aussi bien pour le comité de direction que pour les Risk managers : Pour la direction, l'audit interne joue un rôle d'assurance sur l’application des directives et politiques et sur la qualité du contrôle interne ; Pour les Risk managers, l'audit interne joue un rôle de conseil pour se contrôler et contrôler leurs entités et pour améliorer le fonctionnement de leurs entités. Ainsi, Il en découle des attentes à deux niveaux : L’audité attend de l’audit interne une évaluation, qu’il remonte ses problèmes et ses contraintes et qu’il fasse preuve de pédagogie à son égard ; La Direction, quant à elle, attend de l’audit interne l’assurance que le contrôle interne fonctionne correctement, une appréciation sur la qualité du système d’information et de pilotage et un jugement sur la rigueur de gestion. 4.1 - Lever la confusion : audit interne et inspection. Audit interne Contrôle le respect des règles Régularité/ efficacité et leur pertinence, caractère suffisant,…… Remonte aux causes pour Méthode et objectifs élaborer des recommandations pour éviter la réapparition du problème. Considère que le responsable Evaluation est toujours responsable et donc critique les systèmes et non les hommes : évalue le Caractéristiques
81
Inspection Contrôle le respect des règles sans les interpréter ni les remettre en cause. S’en tient aux faits et identifie les actions nécessaires pour les réparer et remettre en ordre. Détermine les responsabilités : évalue le comportement des hommes, parfois leurs compétences et
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
fonctionnement des systèmes. qualités. Privilégie le conseil et donc la Privilégie le contrôle et donc Service - police coopération avec les audités. l’indépendance des contrôleurs. Investigations approfondies Sélection - sélectivité Répond aux préoccupations du manager soucieux de et contrôles très exhaustifs, renforcer sa maîtrise, sur éventuellement sous sa mandat de la D.G. propre initiative. 4.2 - Lever la confusion : audit interne et risk management. Caractéristiques Risques visés
Audit interne Risques de dysfonctionne -ment : transgression des règles, désordres inefficacités. Risques portant sur l’ensemble des ressources. Traitement des risques Identification, démonstration, recommandation. Contrôle interne, pratique d’organisation communément Référentiel adoptées. 2ème : s’assure que les responsables maîtrisent leurs « Niveau» risques.
Risk management Risques purs : aléatoires, accidentels, sans espérance de gain. Risques portant sur les biens et les personnes. Identification, résolution.
Chiffrage coût des mesures / fréquence (probabilité) et gravité (impact) des risques. 1er : détecte et traite (prévention, détection et correction) les risques purs.
L'audit interne doit : aider l'organisation en identifiant et en évaluant les risques significatifs et contribuer à l'amélioration des systèmes de management des risques et de contrôle interne, surveiller et évaluer l'efficacité du système de management des risques de l'organisation, évaluer les risques afférents au gouvernement d’entreprise, aux opérations et aux systèmes d'information de l'organisation au regard :
de la fiabilité et l’intégrité des informations financières et opérationnelles ; de l’efficacité et l’efficience des opérations ; de la protection du patrimoine ; du respect des lois, règlements et contrats.
Au cours des missions de conseil, les auditeurs internes considèrent l’ensemble des risques rencontrés, y compris ceux qui n’entrent pas dans le périmètre de la mission, dans la mesure où ils sont significatifs.
82
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les auditeurs internes doivent intégrer dans le processus d’identification et d’évaluation des risques significatifs de l’organisation (cartographie des risques) les risques révélés lors de missions de conseil. 4.3 – Interaction audit interne / contrôle interne.
L'audit interne doit aider l'organisation à maintenir un dispositif de contrôle interne approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue. Sur la base des résultats de l'évaluation des risques, l'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle portant sur le gouvernement d’entreprise, les opérations et les systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants : • • • •
la fiabilité et l’intégrité des informations financières et opérationnelles ; l’efficacité et l’efficience des opérations ; la protection du patrimoine ; le respect des lois, règlements et contrats.
Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle et apprécier si les objectifs et les buts ont été atteints par le management. Les auditeurs internes doivent prendre en compte dans le processus d’identification et d’évaluation des risques significatifs de l’organisation, le dispositif de contrôle interne dont ils ont eu connaissance lors de leurs missions de conseil. 4.4 – Interaction audit interne / gouvernement d’entreprise.
L'audit interne doit évaluer le processus de gouvernement d’entreprise et formuler les recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants : • promouvoir des règles et des valeurs d’éthique au sein de l’organisation ; •
garantir une gestion efficace des performances, assortie d’une obligation de rendre compte ;
•
bien communiquer au sein de l’organisation, les informations relatives aux risques et aux contrôles ;
•
fournir une information adéquate au Conseil, aux auditeurs externes et au management, et assurer une coordination efficace de leurs activités.
•
évaluer la conception, la mise en œuvre et l’efficacité des objectifs, des programmes et des activités de l'organisation liés à l’éthique.
•
veiller sur la cohérence des objectifs des missions réalisées avec les valeurs et les objectifs généraux de l’organisation.
83
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
5. Les différents niveaux de l’audit. Audit de conformité ou de régularité : il s’agit de contrôler la régularité par rapport aux règles internes de l’entreprise (normes et procédures) et la conformité avec les dispositions légales et réglementaires. Il s’agit également de comparer la règle et la réalité, ce qui «devrait être» et «ce qui est» par rapport à un référentiel. Le travail de l’auditeur consiste à : • • •
signaler les irrégularités, analyser les causes et conséquences, formuler les recommandations.
Audit de d’efficacité et de management : permet d’évaluer : • •
la pertinence de l’organisation et l’efficacité de son fonctionnement, la pertinence des objectifs et la cohérence des actions entreprises par rapport à la stratégie de l’entreprise.
6. La démarche l’audit interne. Alain Meignant, consultant précise que « la spécificité de l’audit, c’est la comparaison et la mesure d’écarts entre une pratique et un référentiel, c’est-à-dire la vérification qu’un système est bien conforme à ce qu’il est supposé être, et l’explication des écarts éventuels ». La mission de l’audit c’est : • comparer les résultats et les objectifs pour faire apparaître des écarts, • envisager la réalité de plusieurs points de vue complémentaires. 6.1 - Objectifs opérationnels.
Pour Raymond Vatier, l’objectif de principe c’est « se prononcer sur la qualité du système de gestion, sur les risques qu’il encourt, sur les potentialités qu’il recèle et sur sa capacité d’anticipation ». L’audit est un instrument de préparation aux décisions : il sert à l’information, la vérification des données, l’objectivation, au transfert de méthodes et d’outils de pilotage au responsable qui a un rôle pédagogique. Définir les objectifs opérationnels de l’audit, c’est expliquer sur quoi l’audit va porter, et comment vont s’articuler les différentes actions ou degrés d’intervention. 6.2 - Critères de l'évaluation.
L'audit s'oriente de plus en plus vers une approche intégrée globale de l'entreprise. Chaque audit particulier doit permettre de déboucher sur un audit de direction. L'audit de stratégie couronne l'édifice en permettant de vérifier que chacune des fonctions de l'entreprise est efficace dans la réalisation du résultat final.
84
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L'audit devient alors un audit de la performance et les normes d'audit se situent dans la réalisation des quatre notions suivantes : notions d’efficacité, notion d'efficience, notion de pertinence et notion d’économie. Notion d'efficacité.
Une réponse positive à la question " est-ce que l'objectif est atteint ? " souvent donne naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour atteindre les mêmes résultats ? L'efficacité examine le rapport entre l'effort et la performance. L'efficacité est définie comme étant "la mesure dans laquelle un programme atteint les buts visés ou les autres effets recherchés. 20 Notion d'efficience.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part, et les ressources utilisées pour les produire, d'autre part. Dans une opération basée sur l'efficience, pour tout ensemble de ressources utilisées le produit obtenu est maximum, ou encore les moyens utilisés sont minimaux pour toute qualité et quantité données de produits ou de services. Notion de pertinence.
La notion de pertinence reste très subjective et difficile à mesurer. Toutefois, on pourra admettre que la pertinence est la conformité des moyens et des actions mis en oeuvre en vue d'atteindre un objectif donné. Autrement dit, être pertinent c'est atteindre efficacement et d'une manière efficiente l'objectif fixé. Notion d'économie. Par économie, on entend les conditions dans lesquelles on acquiert des ressources humaines et matérielles. Pour qu'une opération soit économique, l'acquisition des ressources doit être faite d'une qualité acceptable et au coût le plus bas possible.
En résumé, on peut schématiser par une représentation triangulaire les relations entre objectifs, moyens et résultats.
Objectifs
Pertinence
Efficacité
Moyens
20
Résultats
Par le "Bureau du vérificateur général du Canada".
85
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
6.3 - Les différents degrés d’intérêt de l’audit. •
Degré de réalité ou d’exactitude : comparer les faits rapportés aux pièces existantes et vérifier que l’institution a bien réalisé ce qu’elle dit avoir fait.
•
Degré de conformité aux règles : comparer les pratiques effectives avec les procédures prescrites (législation, impératifs techniques).
•
Degré de cohérence et de pertinence : vérifier que l’institution est capable de faire ce qu’elle dit vouloir faire en comparant les objectifs visés avec les moyens mis en œuvre.
•
Degré d’efficacité : comparer les objectifs visés avec les résultats atteints.
•
Degré d’efficience : vérifier l’optimisation des moyens mis en œuvre.
•
Degré de potentialité et de flexibilité : savoir si l’institution peut connaître et estimer les risques et si elle peut anticiper sur son évolution et maîtriser les changements.
Le regroupement des degrés d’intervention permet de construire des typologies d’audit, sachant que ces différents degrés ne sont pas toujours tous mis en œuvre. On peut les regrouper en 3 grands groupes selon Vatier, selon le degré d’exactitude et de conformité, les comparaisons dans le temps et l’espace (benchmarking), et enfin l’efficacité et l’efficience. Ce qui aboutit sur l’audit de conformité, l’audit d’efficacité et l’audit stratégique ou de management. Pour autant, chaque audit suit le même déroulement : constat du fonctionnement et qualité de gestion, risques et préconisations. 6.4 – Démarche méthodologique.
La démarche méthodologique de l’audit doit suivre quelques consignes, quelque soit le type d’audit réalisé : constat-interrogation-hypothèse-constat ; approche systémique et examen multidisciplinaire (Cf. Partie 2) ; constituer les repères et les systèmes de référence; opérer des comparaisons susceptibles de mettre en évidence des écarts significatifs et d’en apprécier la valeur; partir des faits pour remonter vers les causes : démarche inductive; introduire la quantification. Quelle que soit l’approche adoptée, l’audit doit être rigoureux et répondre à des exigences précises. Cela exige des techniques et des outils qui vont permettre à la fois de préparer l’investigation et de formuler, analyser et interpréter des constats. Ainsi, 3 phases se distinguent : étude, vérification et conclusion.
86
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
LA DEMARCHE D’UNE MISSION D’AUDIT Phase étude
• •
Découvrir le sujet de l’entité à auditer Définir le champ de la mission
Phase vérification
• • •
Programmer et spécifier les vérifications Vérifier, évaluer, mesurer Analyser, conclure, valider et prescrire
Phase conclusion
• •
Valider l’ensemble et informer Obtenir des actions et dresser un bilan des progrès accomplis
6.4.1. La phase étude.
Cette phase permet d’observer, d’écouter, d’identifier les symptômes, de décomposer les symptômes, les faits et les phénomènes, d’identifier les inter-relations, de les classer et de les situer par rapport à un référentiel. La finalité d'une telle phase est de former une vision d’ensemble de l’organisation objet de la mission et des contrôles internes mis en place. Il s’agit, à travers l’analyse des risques, de concentrer l’attention sur les points essentiels pour ne pas perdre le temps sur les détails inutiles. Elle permet d'organiser et de planifier la mission en fonction des objectifs définis par l’auditeur et de renforcer l’image de l’auditeur chez les audités en tant que professionnel rigoureux. La démarche adoptée durant cette phase est la prise de connaissance générale, l'identification des risques et la définition des objectifs. La prise de connaissance
Son objectif est double, d'abord disposer de la culture nécessaire pour comprendre l’activité de l’organisation auditée et pouvoir « poser » les bonnes questions pour ensuite maîtriser le sujet audité. La prise de connaissance se fait suivant un plan d’approche organisé permettant de prévoir les moyens les mieux appropriés pour l’atteinte des objectifs. Pour mener à bien cette étape, l'auditeur dispose de divers moyens tels que le questionnaire de prise de connaissance, la documentation collectée auprès de l’audité et les entretiens avec les responsables.
87
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L’identification des risques
Son objectif est d’identifier les risques potentiels à partir de données générales et de la connaissance préalable de l’entité auditée, et de repérer les risques réels à partir d’un examen attentif de l’activité et des observations relevées. La prise de connaissance se fait suivant la "note d’orientation" qui définit les objectifs généraux, les objectifs spécifiques et le champ d’action. Parmi les moyens dont dispose l'auditeur, on trouve le découpage fonctionnel et géographique de l’entité à auditer et les entretiens et investigations. Définition des objectifs
Elle permet de formaliser les axes d’investigation de la mission et de définir ses limites, d'exprimer les objectifs à atteindre pour le donneur d’ordre et les audités. Elle constitue la synthèse des forces et faiblesses de l'entité, des priorités et des préoccupations du management. La note d’orientation permet de confirmer l’existence des forces et d’évaluer l’impact des faiblesses. Elle ne mentionne pas les travaux d’audit qui seront répertoriés dans le programme de vérification. 6.4.2. La phase réalisation
La feuille de révélation et d’analyse de problème (FRAP) : permet de formuler le raisonnement de l’auditeur, de mettre en évidence les dysfonctionnements et les solutions proposées, de conclure chaque section de travail de terrain et de communiquer avec l’audité. Elle doit reprendre le but de l’action prévue dans le programme de vérification et préciser les modalités d’exécution, permettre à tout auditeur de comprendre et d’exécuter de manière fiable et objective les actions prévues. Les conclusions dressées doivent répondre de manière précise, concise et contrôlable aux buts assignés à l’action. La supervision d’une FRAP, permet de déterminer :
l’énoncé du problème : est-il immédiatement compréhensible ? les conséquences : motiveront-elles les audités ? les recommandations : sont-elles réalisables ? La reformulation d'un constat en un « problème », le constat doit être :
bref et directement compréhensible : synthétique, complet et donc redondant avec la trouvaille : Autonome, net et facile à mémoriser : percutant. La validation de la FRAP, il s’agit de préparer l’audit à reconnaître le problème, à s’y faire, à l’admettre, l’avertir en premier et l’associer activement pour l’élaboration de la recommandation : ainsi elle sera acceptée avant même d’être émise.
88
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
6.4.3. La phase conclusion Ossature du rapport
L’ossature du rapport élaborée à partir des « problèmes » figurant sur les FRAP et des conclusions figurant sur les feuilles de couverture pour les points satisfaisants, est l’enchaînement des messages que l’auditeur veut livrer lors des présentations et dans le rapport concluant la mission. L’ossature du rapport constitue : Le guide de rédaction du rapport d’audit interne ; Le guide de rédaction du résumé du rapport ; Le support de présentation. Compte rendu final, mise au point ou débriefing
Le compte rendu final au site, appelé également mise au point ou débriefing, est la présentation orale par le chef de mission, au principal responsable de l’entité auditée, des observations les plus importantes. Il est effectué à la fin du travail sur le terrain. Le compte rendu final sur site répond au souhait légitime du principal responsable de l’entité auditée d’être informé. Il incite le responsable à agir immédiatement, en cas d’irrégularité sans attente du rapport et peut être utilisé pour mettre en valeur la qualité de la démarche de l’audit. Le débriefing doit être programmé dans le cadre du travail sur le terrain. Sa préparation se fait en tenant une réunion de synthèse de l’équipe d’audit avant d’effectuer les dernières vérifications du travail sur le terrain.
Section2 : Particularités de l'audit bancaire. Hier contrôleur de la régularité des traitements et des opérations, l'auditeur bancaire est aujourd'hui un expert du diagnostic des processus opérationnels et de contrôle des risques, un chef de projet évoluant dans un environnement complexe et un spécialiste du métier bancaire. Ce profil en fait également un acteur majeur en matière de gestion des risques et de création de valeur ajoutée pour la banque.
1. Principes édictés par le comité de Bâle en matière d’audit bancaire.
Surveillance des activités et correction des déficiences.
L’efficacité globale des contrôles internes de la banque devrait être surveillée en permanence. Le suivi des principaux risques devrait faire partie des activités quotidiennes de la banque de même que les évaluations périodiques effectuées par les secteurs d’activité et l’audit interne. Comme l’activité bancaire est un secteur dynamique, où tout évolue rapidement, les banques doivent en permanence surveiller et évaluer leurs systèmes de contrôle interne 89
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
en fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour en garantir l’efficacité. Surveiller l’efficacité des contrôles internes est une tâche qui peut être accomplie par du personnel de plusieurs secteurs différents, dont celui en charge des opérations ellesmêmes, le contrôle financier et l’audit interne. Pour cette raison, il est important que la direction générale désigne clairement les auditeurs en précisant leurs fonctions de surveillance. La surveillance devrait faire partie des activités quotidiennes de la banque mais commande également de procéder à des évaluations périodiques spécifiques de l’ensemble du processus de contrôle interne. La fréquence de la surveillance des différentes activités devrait être fonction des risques encourus ainsi que du rythme et de la nature des changements affectant l’environnement opérationnel. Un processus de surveillance en continu peut permettre de découvrir et de corriger rapidement les déficiences du système de contrôle interne. Il atteint son efficacité maximale lorsque le système de contrôle interne est intégré à l’environnement opérationnel et donne lieu à des rapports réguliers qui font l’objet d’un examen. Dans le cadre de la surveillance en continu figurent, par exemple, l’examen et l’approbation des enregistrements courants ainsi que la consultation et l’approbation par la direction des rapports sur des faits exceptionnels. En revanche, les évaluations spécifiques ne détectent généralement les problèmes qu’après coup; elles permettent cependant à une organisation d’avoir un aperçu récent et global de l’efficacité du système de contrôle interne et des activités de surveillance. Les évaluations du système de contrôle interne prennent souvent la forme d’autoévaluations, lorsque les personnes chargées d’une fonction précise déterminent le degré d’efficacité des contrôles pour leurs activités. Les documents et résultats concernant les évaluations sont ensuite soumis à l’attention de la direction générale. Les examens effectués à tous les niveaux devraient être étayés par une documentation adéquate et communiqués dans les meilleurs délais à l’échelon de la direction appropriée.
Un audit interne efficace et exhaustif du système de contrôle interne.
Cet audit devrait être effectué par un personnel bien formé et compétent bénéficiant d’une indépendance opérationnelle. La fonction d’audit interne, en tant qu’élément de la surveillance du système de contrôle interne, devrait rendre compte directement au conseil d’administration, ou à son comité d’audit, ainsi qu’à la direction générale. La fonction d’audit interne constitue un élément majeur de la surveillance en continu du système de contrôle interne, parce qu’elle fournit une évaluation indépendante du caractère adéquat des politiques et procédures établies et du respect de la conformité à ces dernières. Il est essentiel que la fonction d’audit interne soit indépendante du fonctionnement de la banque au quotidien et qu’elle ait accès à l’ensemble des activités conduites par l’organisation bancaire, y compris dans ses succursales et filiales.
90
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
En rendant compte directement au conseil d’administration ou à son comité d’audit ainsi qu’à la direction générale, les auditeurs internes procurent des informations objectives sur les différentes activités. En raison de l’importance de cette fonction, l’audit interne doit être assuré par un personnel compétent et bien formé ayant une parfaite compréhension de son rôle et de ses responsabilités. La fréquence et l’ampleur des examens et tests des contrôles internes effectués au sein d’une banque par les auditeurs internes devraient correspondre à la nature et à la complexité des activités de l’organisation et aux risques associés. Le rattachement de la fonction d’audit interne au plus haut niveau de l’organisation bancaire, permet à la gouvernance d’entreprise de s’exercer correctement. Le conseil bénéficie d’informations qui ne peuvent être aucunement adaptées par les niveaux de direction couverts par ces comptes rendus. Le conseil devrait également renforcer l’indépendance des auditeurs internes, en faisant en sorte que des questions ayant trait, par exemple, à leur rémunération ou aux affectations budgétaires les concernant soient traitées par le conseil ou par les niveaux de direction supérieurs plutôt que par des responsables qui sont affectés par les travaux des auditeurs internes.
Notification par l’audit interne des déficiences des contrôles internes au conseil.
Les déficiences des contrôles internes, qu’elles soient détectées par un secteur d’activité, l’audit interne ou un autre personnel de contrôle, devraient être notifiées dans les meilleurs délais au niveau de la direction appropriée et faire l’objet d’un traitement rapide. Les déficiences importantes devraient être signalées à la direction générale et au conseil d’administration. Les auditeurs internes doivent assurer un suivi ou toute autre forme appropriée de surveillance et informer immédiatement la direction générale ou le conseil de toute insuffisance non corrigée. Pour faire en sorte que toutes les déficiences soient traitées au plus tôt, la direction générale devrait être responsable de l’instauration d’un système destiné à suivre les faiblesses du contrôle interne ainsi que les actions destinées à y remédier. Le conseil d’administration et la direction générale doivent recevoir périodiquement des rapports recensant les problèmes de contrôle décelés. Des points qui apparaissent peu importants lors de contrôles individuels peuvent fort bien révéler des tendances susceptibles, sous un angle global, de représenter une déficience de contrôle majeure si une action n’est pas entreprise à temps.
2. Des évolutions durables.
Vers la généralisation des meilleures pratiques.
Vers la fin des années 80, on commence à parler beaucoup de contrôle interne : il s'agit de l'ensemble des moyens dont se dote l'entreprise pour s'assurer qu'elle contrôle bien ses opérations, qu'il n'y ait pas de problèmes de sécurité ou de fiabilité.
91
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Dans les années 90, quelques faillites célèbres alertent les autorités de tutelle internationales. Une globalisation qui change tout. Auparavant, les banques ne dépendaient que de la supervision des autorités nationales. Mais le système bancaire s'est mondialisé et les autorités de tutelle se sont regroupées dans le fameux Comité de Bâle, pour édicter des règles générales valables pour tous les pays. Et tout naturellement, on se cale alors sur les meilleures pratiques. Au Maroc, comme dans beaucoup d'autres pays, les banques se retrouvent avec une règle commune beaucoup plus exigeante que les règles habituelles. Il leur faut donc se mettre à niveau. Ce qui leur permet de se rendre compte, au passage, qu'elles peuvent tirer avantage de ces contraintes nouvelles en termes de productivité et de compétitivité. Quand on maîtrise mieux ce qui se passe, on gaspille moins, on a moins de sinistres, on connaît mieux ses clients, on sait mieux définir ses prix etc. Dans ce contexte plus sécurisé, l'auditeur peut donc s'attacher, non plus uniquement à tester des soldes ou des transactions ou à valider des procédures courantes, mais de plus en plus à effectuer un diagnostic du dispositif de contrôle et de pilotage sur lequel s'appuie la direction de la banque pour maîtriser ses risques. Parallèlement, les sujets auxquels s'intéresse l'auditeur évoluent et sont de plus en plus perçus comme stratégiques par ses clients en l'occurrence le top management et les risk managers.
Les exigences croissantes des marchés financiers.
Un autre phénomène a bouleversé le métier : ce qu'on appelle aujourd'hui l'exigence de création de valeur actionnariale. Auparavant, les banques étaient nationalisées. L'information financière avait donc relativement peu d'importance,personne n'investissait dans leur action. Aujourd'hui, la situation s'est totalement inversée, la plupart des banques sont cotées et parallèlement, les investisseurs deviennent de plus en plus exigeants. Ils réclament des investissements plus intéressants et veulent pouvoir comprendre comment la banque gère sa rentabilité dans le temps et quels risques elle prend. La pression du marché pour obtenir une information pertinente est permanente. Le périmètre de l'information fournie s'élargit donc, et dans le même temps, le champ d'intervention de l'auditeur bancaire, qui, là encore, touche des domaines de plus en plus stratégiques de l'entreprise tels que le contrôle des risques, les problématiques de rentabilité ajustée des risques, la répartition des fonds propres entre les différentes activités, etc.
3 - Contrôle interne et audit interne bancaires.
Contrôle interne bancaire.
“ Le contrôle interne est le processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir l’assurance raisonnable
92
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
quant aux objectifs suivants : la réalisation et l’optimisation des opérations, la fiabilité des opérations financières, la conformité aux lois et aux réglementations en vigueur ”. 21 Le contrôle interne se définit généralement comme l’ensemble des mesures qui, sous la responsabilité de la direction de l’entreprise, doivent assurer, avec une certitude raisonnable, la réalisation des éléments suivants : une conduite des affaires ordonnée et prudente, encadrée d’objectifs bien définis; une utilisation économique et efficace des moyens engagés; une connaissance et une maîtrise adéquate des risques en vue de protéger le patrimoine; l’intégrité et la fiabilité de l’information financière et de celle relative à la gestion; le respect des lois et règlements ainsi que des politiques générales, plans d’actions et des procédures internes. Une partie de ces mesures est axée sur la vérification et l’encouragement du respect, par l’entreprise, des règles qui ont trait à l’intégrité de la fourniture de services financiers. Elle porte, en d’autres termes, sur la fonction dite de compliance. Enfin, la fonction d’audit interne est un instrument important pour vérifier le bon fonctionnement, l’efficacité et l’efficience du contrôle interne et ce compris la fonction de compliance. Dans le cadre de ses travaux, l’audit interne fournit à la direction de l’entreprise des analyses, des évaluations, des recommandations, des avis et des informations sur les activités examinées et contribue ainsi à une meilleure gestion de l’entreprise. Un système de contrôle interne adéquat requiert un ensemble efficace de mesures intégrées, adaptées à l’organisation et au fonctionnement de l’établissement et conformes aux principes d’une gestion prudente et saine. L’objectif principal du contrôle interne est d’analyser, surveiller, détecter et prévenir les risques auxquels les établissements bancaires sont confrontés. Les principaux risques sont : le risque de crédit, de marché, de taux, de liquidité, de règlement, opérationnel et juridique. Le contrôle bancaire doit se concevoir à travers une approche préventive pour que l’établissement exerce ses activités de manière saine et sûre. Ce contrôle ne se limite pas au seul examen du respect des normes quantitatives, mais repose aussi sur la qualité des dirigeants, sur la discipline de marché (par une meilleure transparence financière) et sur la qualité du contrôle et de la maîtrise des risques par les Etablissements bancaires. Le contrôle interne est un système qui fonctionne en continu à tous les niveaux de la banque. A ce titre, il constitue une composante essentielle de la gestion d’un établissement et un élément de la culture de celui-ci en faisant partager à l’ensemble du personnel l’importance du contrôle. Le contrôle interne doit permettre à l’établissement de conserver sa capacité d’identification, de réaction et d’adaptation lors de la survenance de risques. Ainsi, le système de contrôle interne doit prévoir quatre niveaux de contrôle : 21 [Définition du C.O.S.O. : committee of sponsoring organizations of the treadway commission.
93
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
contrôles quotidiens réalisés par les exécutants (contrôle premier niveau, premier degré); contrôles critiques continus assurés par les personnes chargées du traitement administratif des opérations(contrôle premier niveau, deuxième degré) ; contrôles réalisés par les membres de la direction sur les activités ou fonctions qui tombent sous leur responsabilité directe (contrôle premier niveau, troisième degré); contrôles réalisés par le service d’audit interne (contrôle deuxième niveau).
Audit interne bancaire.
Rappelons que : « L’audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. » L'audit interne, chargé de veiller à la cohérence et à l’efficacité du contrôle interne, est au cœur du système de contrôle interne bancaire. Pour garantir son efficacité, des exigences doivent être vérifiées: Caractère permanent; Indépendance; Charte d’audit; Objectivité; Compétence professionnelle. Empruntant la démarche d'audit interne décrite supra pour l’exécution de ses travaux, l'audit bancaire repose en plus sur quelques particularités : Plan annuel d’audit; Programmes de missions; Documents de travail; Rapports de synthèse et détaillé; Suivi de missions. Le plan annuel d’audit est déterminé selon la méthodologie « ANA » (Audit Needs Assessment) en déterminant les priorités d’audit et la fréquence des audits qui doit être en fonction du degré de risque. Pour l'élaborer, un plan d’audit est déterminé en plusieurs étapes : Analyse des flux et activités; Hiérarchiser selon l’impact et la probabilité;
94
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Elaboration de la cartographie des risques. De ce fait, la cartographie des risques est considérée comme : Un outil de planification, de gestion et de monitoring des risques bancaires; Un instrument d'aide à la maîtrise adéquate des risques; Un outil pour gérer le système de contrôle interne. Ainsi pour mener à bien sa mission et contribuer à créer de la valeur ajoutée pour la banque, l'audit bancaire doit adopter une approche simple, pragmatique et efficace.
Dispositif de l'audit interne bancaire.
L’audit interne, directement rattaché au top management de l’établissement bancaire, est indépendant de toute entité, de tout métier et de toute unité opérationnelle. Il n’est donc, de quelque manière que ce soit, pas impliqué dans le fonctionnement au quotidien des activités qu’il contrôle. L’audit interne effectue périodiquement et autant que de besoin, des missions, surplace et ou sur pièces et dont l’objectif est la vérification : du respect des réglementations externes; du respect des règles internes; du respect des décisions du management et de la mise en place de moyens adaptés à leur application; de l’identification et de la maîtrise des risques de toute nature, tant avant qu’après l’initiation des opérations; de la fiabilité et de la pertinence des informations, mesures ou méthodes utilisées au niveau local à des fins de gestion financière ou de contrôle des risques; de la fiabilité et de l’exhaustivité des informations reportées au niveau central en vue de leur consolidation; de l’existence, de la pertinence et de la correcte application des procédures opérationnelles; de la qualité ainsi que de la juste évaluation et comptabilisation des éléments d’actif et de passif; de la mise en place des procédures et moyens suffisants pour assurer la continuité de l’activité; de la traçabilité des opérations et de leurs traitements; de l’efficacité et de la cohérence du dispositif de contrôle interne.
95
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
4 - Un périmètre d'intervention élargi. Hier, l'auditeur se préoccupait d'un périmètre limité avec une démarche pour l'essentiel très proche des détails. Aujourd'hui, de fait, son champ d'intervention est beaucoup plus large : il est chargé de réaliser le diagnostic de systèmes de reporting et de dispositifs de pilotage très sophistiqués, des systèmes utilisés par la direction générale, ce qui signifie que les auditeurs sont en contact avec l'état-major de la banque, dans une approche qui n'a rien à envier à celle du consultant. Ainsi, pour mettre en œuvre cette démarche de manière efficace et crédible, il faut faire intervenir uniquement des auditeurs spécialistes et lorsque nécessaire, leur apporter l'appui d'experts très pointus pour les aspects les plus techniques.
Audit tous Risques.
Exemple parmi d'autres : les risques de marché, risques de système d'information et les moyens mis en œuvre pour y faire face. Aujourd'hui, on demande aux banques de maîtriser, de gérer et de contrôler ces risques. A partir du moment où elles entrent dans la cartographie des risques de la banque, cela signifie qu'il faut avoir les compétences nécessaires pour avoir un regard critique sur ces risques. Ce sont des horizons nouveaux pour le métier de l'audit bancaire, on doit donc avoir des équipes compétentes formées et de spécialistes qui peuvent comprendre en détail tout ce qu'il y a derrière et parler d'égal à égal avec les audités. Pour ce type de risques, on recrute notamment des ingénieurs financiers ayant des connaissances mathématiques extrêmement poussées, parfois complétées par une expérience de trading ou de contrôle des risques dans une banque.
Une démarche globale.
Un empilement de solutions techniques (informatiques mais aussi comptables, juridiques, fiscales, financières...) ne saurait assurer la sécurité d'un système d'information sans une cohésion d'ensemble de ces différents éléments. Celle-ci passe par la mise en place d'une véritable organisation efficace au sein de la banque. Pour l'audit bancaire, il s'agit donc de mettre en place une approche structurée intégrant les composantes stratégiques, organisationnelles et humaines mais aussi les facteurs risques, coûts et efficacité.
5 - Finalité, rôle et approche de l'audit bancaire.
Finalité de l'audit bancaire.
Les banques font face à un environnement socioéconomique de plus en plus difficile. Les risques auxquels elles sont confrontées sont devenus plus nombreux, plus significatifs et plus complexes. Dans le contexte économique actuel, les banques doivent plus que jamais disposer d’un système de gestion de risque efficace et élaboré, susceptible d’assurer une réaction 96
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
rapide face à l’apparition de nouveaux risques. La finalité d'un tel système serait de préserver leur solidité financière, de continuer de croître et d’apporter la confiance au marché. La fonction d’audit interne est un instrument important pour vérifier le bon fonctionnement, l’efficacité et l’efficience du contrôle interne, en ce compris la fonction de compliance. Dans le cadre de ses travaux, l’audit interne fournit au management de la banque des analyses, évaluations, recommandations, avis et informations sur les activités examinées et contribue ainsi à une meilleure gestion de la banque. Les autorités de tutelle, en l'occurrence BAM exige pour chaque banque l’existence d’une organisation interne adéquate par rapport à l’activité exercée et aux risques encourus. D’où la nécessité d’un système d’audit et de gestion de risques performant.
Rôle : vérification du bon fonctionnement du contrôle interne.
Pour tenir compte de l’importance de la gestion de risque dans une banque, un certain nombre de principes ont été clairement définis, notamment le rôle et les responsabilités du management (conseil d’administration et direction générale), les activités de contrôle et la séparation des fonctions, la nécessité de disposer des informations actualisées, fiables, cohérentes et accessibles. Le conseil d’administration doit veiller à la mise en place et au maintien d’un contrôle interne conséquent, établir des limites à l’intérieur desquelles les risques sont encourus et garantir la mise en place des mesures d’identification, d’évaluation, de surveillance et de contrôle des risques. Il appartient, par la suite, à la direction générale de mettre en œuvre ces principes et notamment de développer des procédures de contrôle y relatives. L'audit interne, cellule indépendante directement rattachée au conseil d’administration, a comme premier rôle de vérifier le bon fonctionnement du contrôle interne. En parallèle, on assiste à un développement des comités d’audit, émanation du conseil d’administration, composés de plus en plus de spécialistes dans les différents domaines concernés (comptabilité, réglementation, juridique, private banking, etc.). Le comité d’audit assure la communication régulière avec l’audit externe et l’audit interne, veille à la qualité et l’indépendance de leurs travaux et informe l’ensemble du conseil d’administration, par des rapports synthétisés sur les constats et recommandations majeurs relevés.
L’approche risque au centre de l’audit bancaire.
Dans le cadre du concept de surveillance dualiste au Maroc, BAM exerce une surveillance des établissements bancaires et ce de manière indirecte. C’est-à-dire en se basant sur les travaux des auditeurs internes et externes. Ainsi, dans son rôle d’organe de vérification du bon fonctionnement du contrôle interne, l'auditeur bancaire se voit attribuer un rôle beaucoup plus étendu. Il ne vérifie pas 97
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
seulement la régularité de traitement des opérations. Il doit également prendre position, dans un rapport adressé au conseil d’administration de la banque sur le respect des conditions d’autorisation d’une banque. Par ailleurs, il doit aussi constater le (non)-respect de la réglementation bancaire, se prononcer sur la situation financière et notamment présenter des indications quantitatives et qualitatives sur la situation des risques (adéquation de la politique des risques, gestion et contrôle). Pour remplir leur rôle, les auditeurs utilisent des méthodologies basées sur l’analyse de l’environnement, des risques existants ou potentiels et de l’organisation interne d’une banque. • Compréhension de l’environnement. En premier lieu, un diagnostic est posé sur l’interaction de la banque dans son environnement. Quels sont les clients? Quels sont les produits proposés? Sur quels marchés et quelles régions géographiques la banque intervient-elle? Qui sont les stakeholders et quelles sont leurs attentes? Quelle est la conjoncture économique? Quels sont les changements réglementaires? etc.
Cette première étape permet d’identifier les risques découlant des activités bancaires (business risks), comme par exemple: sensibilité à l’évolution des indicateurs économiques (taux de change, taux d’intérêt, etc); concurrence; tendance et développement de l’environnement (par exemple, de la taxation de l’épargne, de la nouvelle ordonnance sur le blanchiment d’argent de BAM); technologie (e-business, fournisseurs informatiques, disponibilité et sécurité de l’information…). • Appréciation de la culture de risque. La deuxième étape consiste à apprécier la culture de risque de la banque et le degré d’élaboration du système de gestion de risque et du contrôle interne. Son point de départ se situe au niveau de la politique de risque qui reflète la compréhension, la mesure et le contrôle de risque par l’établissement bancaire.
Face à chacun d’eux, les établissements adoptent certains comportements: éviter un risque (par exemple, ne pas rentrer sur un nouveau marché ou offrir tel type de services); réduire ou transférer un risque (par exemple, utilisation des dérivés de crédit), et enfin, accepter un risque. Une fois ce cadre posé, la banque doit identifier, définir et mesurer les risques et attribuer un risk owner pour chacun d’eux. Ensuite, il est nécessaire de fixer des tolérances aux risques (limites), puis d’établir un suivi et un reporting de l’évolution de l’exposition aux risques, et ceci de manière individuelle et globale. • Appréciation et analyse de chaque risque. L’auditeur procède à une estimation des risques inhérents à chaque domaine d’activité (crédit, ressources humaines, système d'information, etc.). les risques peuvent être d'ailleurs classés en trois catégories (cf. chapitre 2) :
Une fois que le niveau des risques inhérents a été ainsi estimé, l’auditeur doit comprendre comment ceux-ci sont gérés et contrôlés.
98
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Autrement dit, il doit apprécier l’adéquation et l’efficacité des mesures prises par la banque en vue de minimiser les risques encourus. Si donc l’importance du risque se définit par le risque inhérent, la capacité de gérer ce risque se définit par le dispositif de contrôle interne mis en place. La conjonction des niveaux estimés du risque inhérent et du risque de contrôle permet ensuite à l’auditeur de déterminer l’étendue, la périodicité et les méthodes de vérification qu’il doit entreprendre, en accord avec les principes de la profession. • Le respect des conditions d’autorisation. L’analyse des risques inhérents et les contrôles internes mis en place permet de s’assurer que les risques sont bien identifiés et correctement reflétés dans les comptes annuels. Ces travaux permettent également de se prononcer sur le respect des conditions d’autorisation et des règles de comportement.
Enfin, l’application d’une telle méthodologie permet également d’identifier des opportunités d’amélioration et d’optimisation du système de contrôle interne et de les communiquer à la banque sous forme de recommandations ou de plans d’actions. Dans le contexte économique actuel, une gestion de risque efficace se révèle plus que jamais capitale, pour préserver la solidité financière d’une banque et apporter la confiance au marché. Les autorités bancaires de surveillance doivent intégrer cette nécessité dans la réglementation en vigueur, qui va toutefois encore se renforcer avec l’introduction des nouveaux accords de Bâle II. Le développement récent du corporate governance, à l’image des fondements du contrôle interne récemment redéfinis par BAM, gagne en importance dans la gestion de risque.
La gestion des risques : un processus continu.
La gestion de risque et le contrôle interne doivent ainsi être entendus en tant que processus continu dont l’application doit être garantie en permanence. Ce processus doit assurer l’identification des déficiences et la prise de mesures de correction adéquates. L’analyse de ce processus dynamique est au cœur de l’approche et des travaux d’audit bancaire. Il ne s’agit pas seulement d’une appréciation figée des risques à un instant donné. L’analyse des risques et les approches d’audit bancaire en découlant doivent être communiquées et validées avec le conseil d’administration ou le comité d’audit. La communication et la compréhension des rôles des différents acteurs dans la surveillance des banques s’en trouveront certainement facilitées et améliorées. Quant à la transparence des informations déterminantes sur la situation des risques, elle contribuera à renforcer la confiance et améliorer la bonne gouvernance bancaire.
99
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Conclusion du chapitre 2. Dans un environnement changeant, l'auditeur interne peut jouer un rôle dépassant largement celui de "contrôleur" pour devenir un "catalyseur" encourageant les dirigeants d'entreprise à agir... Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'une banque traduit la volonté affirmée de la part de ses instances dirigeantes de se doter d'un outil en vue de limiter les risques, de rendre l'organisation existante plus performante et plus efficace. L’audit interne peut jouer un rôle non négligeable en matière d’efficacité de la banque. Ainsi, dans le cadre de l’exercice de sa mission, l’auditeur est bien placé pour identifier, outre les problèmes de contrôle, les domaines dans lesquels les contrôles sont inutiles, inefficaces et coûteux. L’auditeur peut également identifier les inefficacités des opérations et peut se voir charger, au-delà de sa mission habituelle, de mission de conseil. Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la mission qu'on lui a assignée. Des conditions sont à remplir pour que l'audit interne puisse être un véritable outil d'efficacité. L'efficacité, et donc le résultat pour la banque, seront d'autant plus grands, que chacun de ses critères aura pu être optimisé, apportant ainsi une contribution significative à l'ensemble. Cette optimisation a toutefois ses limites, qui peuvent être classées en quatre grandes catégories, selon leur nature : •
Une première limite est liée aux hommes, aux auditeurs bien sûr, compte tenu de leurs aptitudes à assumer la fonction, de leurs connaissances, de leur formation, de leurs qualités intrinsèques, mais aussi aux audités et à leur comportement ou à la remise en cause éventuelle de leur façon de travailler et de leurs habitudes. Enfin, l'attitude des dirigeants et le soutien qu'ils apportent à leur structure d'audit interne, est un gage majeur de réussite.
•
Une deuxième limite est constituée par le rapport efficacité/coût. L'existence d'une structure performante d'audit coûte cher en termes de salaires, de frais de déplacements, de frais de structure. Il faut donc que l'équipe se rentabilise et il n'est pas toujours évident de mesurer concrètement sa productivité.
•
La troisième limite est liée au fait que la mise en place du contrôle interne vient souvent à l'encontre de l'efficacité immédiate.
•
Le quatrième type de limite concerne l'évolution rapide des techniques et des méthodes de travail. L’exemple de l'informatique qui permet désormais de travailler en temps réel, va tout à fait dans le sens de l'efficacité, mais par contre, conduit souvent à des systèmes inauditables.
Par ailleurs, avec l'audit systémique qui sera présenté et développé en détail à la deuxième partie, nous verrons que des systèmes réputés auparavant comme inauditables pour l' auditeur bancaire, le seront désormais avec la méthodologie présentée. 100
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
101
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur efficience : enquête sur le terrain
102
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 3 : Les systèmes d’audit interne bancaire marocain et leur efficience : enquête sur le terrain Introduction. L’enquête sur l’efficience de l’audit interne au sein du système bancaire marocain a été réalisée avec les inspecteurs généraux et les responsables d’audit interne de cinq banques privées de la place. Elles ont été choisies parmi celles les plus représentatives de l'activité bancaire à l'échelon national à savoir : 3 filiales de banques françaises : Banque Marocaine pour le Commerce et l'Industrie, BMCI (BNP- Paribas); Société Générale Marocaine de Banques, SGMB (Société Générale); Crédit du Maroc, CDM (Crédit Agricole). 2 banques marocaines : Attijariwafa Bank (AWB); Banque Marocaine du Commerce Extérieur - BMCE BANK. Nos interlocuteurs ont répondu favorablement aux entretiens sollicités, donnant ainsi aux résultats de l’enquête la légitimité que nous voulons. Le guide d'entretien s'est articulé autour de la sensibilité du management à l'audit intenre, le positionnement et rôle des départements de contrôle et le dispositif d'audit adopté pour les quatre métiers choisis à savoir le système d’information, les activités de marché, la gesion des ressources humaines et la comptabilité.
Section 1 : Le guide d'entretien. Le guide d'entretien adopté lors de l’enquête sur l’efficience de l’audit interne au sein du système bancaire marocain avait comme objectif d’identifier : Le degré de sensibilité du management à toutes les catégories de risques: opérationnel, financier et de réputation; Le rôle des risk - managers dans la gestion et le contrôle des risques; L'indépendance et l'efficacité de l'audit interne dans la mesure et la prévention des risques; L'efficience du système d'audit interne existant et l’étendue de ses travaux; L'exhaustivité de la cartographie des risques et du périmètre d'audit; La réalisation de missions spécifiques pour les lignes métiers : Direction du Système d'Information, Salle Des Marchés, Direction des Ressources Humaines et Direction de la Comptabilité;
103
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L'existence au sein de l'audit interne de pôles de compétence aptes à mener des missions d'audit dans ces lignes métiers; La disponibilité de manuels de procédures ou des modes opératoires pour piloter les missions d’audit réalisées et particulièrement celles citées cidessus ( DSI, DRH, DC et SDM); L'exhaustivité des points de contrôle par ligne métier formalisés par le mode opératoire d’audit.
1. Sensibilité du management à l'audit interne. Le management est-il sensible à tous les risques : opérationnels, financiers et de réputation ? Quelles dispositions pratiques a-t-il pris face à ces risques ? Comment le management a-t-il réparti les rôles entre les divers acteurs de son entité (Risk management, Audit interne et Compliance) en terme de prévention de ces risques? Comment est-organisée la supervision de la prévention des risques opérationnels et la remontée de l’information ?
2. Positionnement et Rôle des départements de contrôle. 2.1 - Risk Management.
Le positionnement des Risk managers dans l’organigramme assure-t-il l’indépendance nécessaire à l’accomplissement de leur mission ? Leur mission est-elle définie par une lettre de mission et celle-ci est-elle émise par une autorité appropriée ? Le risk manager est-il consulté lors de la mise en place de nouveaux produits et procédures, pour rendre un avis sur les risques induits ? 2.2 - Audit interne.
L’audit interne est-il rattaché hiérarchiquement au Top management (voir au Conseil d’Administration, Directoire) de la banque ? L’audit interne est-il mobilisé et soutenu par le comité de direction ? Les recommandations de l’audit interne sont-elles suivies par le management en terme de prévention des risques ? Les rapports de missions d'audit sont-ils transmis directement à cette hiérarchie ? Le périmètre ou champs d’audit est-il exhaustif et couvre-t- il tous les risques et toutes les entités (réseau, directions centrales, filiales, succursales et fonctions dont le contrôle interne et la compliance) ? Le plan annuel d'audit des 3 dernières années listant les missions menées couvre-t- il la totalité des risques (crédit, marché, opérationnels) et des unités (opérationnelles et fonctionnelles)?
104
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Existe-t- il une cartographie des risques ? est-elle fiable et exhaustive? Est elle constamment mise à jour ? Inclut-elle les risques financiers (crédit, marché, liquidité), les risques opérationnels (Système d’Information, Ressources Humaines, Comptable, non conformité, fiscal, ..) et le risque de réputation (ou d’image) ? Les missions réalisées couvrent-elles l'ensemble de ces risques ? Si oui, quelle est leur fréquence dans le plan triennal d'audit ? Dans quelle mesure les recommandations formulées par les missions d’audit ont participé à l'amélioration des processus de gestion et à la prévention des risques ? L'audit interne dispose -t- il de compétences spécifiques aptes à mener des missions à haute technicité (Direction des Systèmes d’Information, Salle Des Marchés, Direction des Ressources Humaines, Direction de la Comptabilité) ? Y a -t- il un auditeur par pôle de compétence ou bien des auditeurs « polyvalents » ? Y a -t- il des manuels de procédures ou des modes opératoires pour piloter les missions d’audit réalisées? Ces manuels de procédures intègrent-ils des missions d’audit (Direction des Systèmes d’Information, Salle Des Marchés, Direction des Ressources Humaines, Direction de la Comptabilité) ? Si oui, sont-ils exhaustifs explicites et conformes à la réglementation en vigueur ? 2.3 - Compliance et Déontologie.
Un « Compliance Officer » a-t-il été désigné ? Si oui, quel est son poids réel dans l’organigramme et quelle est son indépendance ? Travaille-t-il avec des outils fiables et exhaustifs ? Existe-t-il un code de déontologie spécifique à la banque ? Est-il diffusé à l’ensemble des collaborateurs ? Les collaborateurs ont-ils signé un engagement au respect du secret bancaire, à la lutte contre le blanchiment et ont-ils pris connaissance de leurs devoirs rappelés dans le Règlement intérieur de l’entité ?
3. Dispositif d'audit par ligne métier. Dans une mission de la Direction du Système d'Information, les 4 domaines sont-ils couverts : Organisation et management, Sécurité, Etudes et développements, Exploitation informatique ?
105
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Dans une mission de la Salle Des Marchés, les 3 fonctions sont-elles couvertes : Front Office, Middle Office, Back Office ? Les risques qui en découlent sont ils également couverts : opérationnels, de contrepartie, juridique, de sécurité ? Dans une mission de la Direction des Ressources Humaines, les cinq domaines d’activité du métier sont-ils couverts : Administration, Gestion des carrières, Recrutement, Formation, Relations Sociales ? Dans une mission de la Direction Comptable, les domaines relevant de l'activité comptable et financière sont-ils couverts : Structure et organisation générale, Séparation des fonctions, Contrôles exerces par le service comptable, Les outils de pilotage, Connaissance et respect des règles de déontologie, Reportings réglementaires, Risques fiscaux, Consolidation ?
Section 2 : Les conclusions de l'enquête. Cette section présente l’analyse des résultats et restitue dans les grandes lignes les pratiques d’audit interne bancaire, les tendances convergentes et les spécificités apparentes. Elle met en lumière les éléments marquants qui s’en dégagent. Ceux-ci viennent corroborer nos constats à travers notre exercice sur le terrain du métier d’auditeur des multi métiers bancaires et confirmer aussi les enjeux et les évolutions majeures de la profession au niveau du système bancaire marocain. Cette enquête constitue ainsi un support d’analyse qualitatif auquel tout responsable d’audit interne ou risk manager est invité à se reporter, d’autant que la deuxième partie de ce mémoire présente en détail les bonnes pratiques en la matière à travers l’approche de l’audit systémique.
106
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Cette enquête reflète l’image d’un audit interne indépendant au service tant de la direction générale que du comité d’audit mais non parfaitement à même de prévenir correctement avec le risk management toutes les familles de risques. En particulier, l’audit interne apparaît de plus en plus comme un outil puissant de détection des risques mais se limite toutefois aux risques classiques (de contrepartie, de traitements opérationnels, ..) sans pour autant se focaliser sur d’autres risques tels que les risques marché, les risques du système d’information, les risques liés aux ressources humaines,... Ce faisant, la non maîtrise de certains risques peut induire à la destruction de valeur au sein de l’organisation et de limiter le rôle essentiel de l’audit interne, à savoir d’apporter une contribution déterminante à la bonne gouvernance de l’établissement bancaire. Principaux enseignements et réflexions.
La présente étude a été menée dans un contexte marqué notamment par l’entrée en vigueur des normes bâloises, de la nouvelle loi bancaire et des nouveaux statuts de BAM. Afin d’améliorer la gouvernance au sein des banques marocaines, de nombreuses dispositions ont été adoptées, notamment par les circulaires de BAM sur le contrôle interne des établissements de crédit, sur l’audit externe des établissements de crédit et par la refonte des textes de base relatifs à la loi bancaire et les statuts de BAM, réforme qui n’est pas sans conséquences pour l’audit interne bancaire. Dans le même temps, la profession, prenant acte des attentes renouvelées des organisations, a défini de nouvelles normes professionnelles qui centrent l’activité de l’audit interne sur l’évaluation des processus de management des risques, de contrôle interne y compris ceux de la conformité et de gouvernement d’entreprise. Quels en sont les impacts pour les pratiques de l’audit interne ? Quel est le niveau de participation de l’audit interne avec le Risk Management au processus de gestion des risques ? 1 - Sensibilité du management à l'audit interne.
Le rattachement direct de l’audit interne au top management de la banque confirme l’importance du positionnement de l’audit interne dans l’organisation. Les responsables d’audit interne affirment tous la prise de conscience par le management de la banque de l’ensemble des risques opérationnels, financiers et de réputation mais à part la diligence de missions classiques (respect des procédures de traitements opérationnels et de crédit), rares sont les dispositions pratiques adoptées pour y faire face. Ces dispositions se limitent par la création de cellules pour la gestion du chantier Bâle 2 ou celui de la Compliance. Les réflexions relatives aux structures de Risk management
107
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
et de prévention des risques opérationnels, excepté pour les filiales des banques françaises, ne semblent pas être encore à l’ordre du jour. En termes de prévention de ces risques, il n’y a pas une claire répartition des rôles entre les différentes structures à savoir : le Risk management, l’Audit interne et la Compliance. La supervision de la prévention des risques par le management se limite au suivi des rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée pour piloter l’évolution de tous les risques par ligne métier et par entité. Seule une banque (filiale française) dispose d’un progiciel d’autoévaluation du système de contrôle interne sur une périodicité trimestrielle, renseigné et validé par le responsable de chaque entité. La remontée de l’information sur le dispositif du contrôle interne par métier est centralisée au niveau de la Direction de Contrôle Interne. 2 - Positionnement et rôle des départements de contrôle. 2.1 - Risk Management.
Les réflexions relatives aux structures de Risk management et de prévention des risques opérationnels, excepté pour les filiales françaises, ne semblent pas être encore dans l’ordre du jour. La désignation des Risk Managers par métier est pratiquée dans une seule banque de la place. Un système de risk management doit être mis en place pour s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances, de quelque ordre que ce soit, sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global de l’établissement bancaire. La gestion des risques ou le risk management aussi bien en interne que conformément aux exigences prudentielles, en est encore à ses débuts. Des efforts ont été néanmoins entrepris par deux banques marocaines en vue de se doter d'outils pertinents capables de renseigner sur la survenance de tout risque de nature opérationnelle, et ce quelle que soit son origine ou sa localisation. Ce nouveau système est en cours de mise en place et sa fiabilité ne pourrait toutefois être suffisamment appréciée qu'au cours des années ultérieures. Le système d'information paraît dans ce sens jouer un rôle clé pour communiquer les objectifs de la banque en matière de risque. Il est évident que l'efficacité d'un bon contrôle interne dans ce domaine repose sur la fiabilité du système d'information pour maintenir une culture de contrôle et pour s'assurer que l'ensemble du personnel adhère à ces objectifs. A titre d’exemple la BMCE et la SGMB ont eu l'idée de constituer une base de données interne incluant tous les incidents ou les événements de pertes occasionnées dans le cadre de l'exercice des activités de la banque. Ces événements doivent néanmoins être identifiés de manière exhaustive et intègre. D'où le rôle déterminant qu'aura à jouer aussi bien l'audit interne que les reporting en interne. 108
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Le système de collecte et de reporting doit être une partie intégrante des procédures opérationnelles. Ces exigences ne peuvent que renforcer le rôle indéniable du "risk manager" chargé du suivi et de l'analyse de tous les événements de pertes identifiées à travers le système interne d'information. Même si les banques utilisent des moyens préventifs contre l’exposition aux risques, les résultats de l’enquête mettent en évidence l’insuffisance de ces moyens. En cela, la prise de conscience des dirigeants apparaît insuffisante à ce jour. Au delà de cette prise de conscience, c’est l’évolution de la gestion des risques qui doit être repensée au sein des banques. Par conséquent, un pré -requis s’impose : la fonction de l’audit interne doit contribuer à la prévention des risques bancaires à travers l’identification des risques et l’évaluation de l’efficacité du dispositif de contrôle interne mis en place. 2.2 - Audit interne.
Le rattachement de l’audit interne au plus haut niveau de l’organisation (président du Conseil ou du directoire) favorise son indépendance et réduit les risques d’interférences implicites ou explicites sur le choix des missions ou la formulation des recommandations. Ce rattachement donne à une grande majorité d’auditeurs internes une liberté importante, voire totale, pour la réalisation de leurs missions. L’audit interne doit pouvoir exercer sa mission de sa propre initiative et s’exprimer librement. Les contacts avec la direction générale sont d’ailleurs nombreux : la quasi-totalité des banques sondées confirment avoir au moins une réunion formelle par mois. Ceci confirme le positionnement de la fonction d’audit interne et son importance dans l’organisation. Les banques sont munies de comités d’audit et les relations de l’audit interne avec ces comités sont étroites et permanentes. Les responsables d’audit interne assistent à toutes les réunions du comité d’audit. En apportant à la direction générale et aux administrateurs, par l’intermédiaire du comité d’audit, un regard impartial sur les risques de la banque et son contrôle interne, l’audit interne participe grandement à l’amélioration du gouvernement d’entreprise. La plupart des banques ont adopté une structure hiérarchique semblable à celle des cabinets d’audit ; deux d’entre elles ont cependant opté pour une hiérarchie interne souple, avec moins de niveaux et des rotations au poste de chef de mission. Les recommandations de l’audit interne sont suivies par le management qui reçoit systématiquement les rapports de missions d'audit. L’audit interne largement tourné vers les missions classiques au dépend des missions complexes.
La part des missions classiques relatives au contrôle de conformité aux procédures internes (traitements opérationnels et procéduraux et risques de crédit) et à la 109
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
réglementation est largement prédominante par rapport à des missions à expertise élevée (Système d’Information, Salle des marchés...) ou à des audits systémiques. Les missions s’exercent en priorité autour de l’analyse du contrôle interne de tous les processus opérationnels puis autour de l’évaluation du contrôle interne des processus financiers et comptables. Les audits de conformité aux lois et réglementations et les audits des systèmes d’information, des activités de marché ou de la gestion des ressources humaines restent peu significatifs. La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits systémiques comptables et financiers reste minoritaire, même si plus de la moitié des responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce type. L’évaluation des processus de management des risques est quasiment absente mais tend à prendre une part significative avec la prise de conscience progressive du rôle déterminant de cette fonction au sein de la banque. En revanche, l’évaluation du processus de gouvernement d’entreprise reste également absente en comparaison avec les autres missions et ceci, bien qu’elle soit inscrite dans la définition de l’audit interne. Il est probable que la mise en oeuvre souvent récente de ce processus, est à l’origine de ce constat. En matière d’activités « de conseil », l’audit interne réalise des missions classiques : conseil en organisation, actions de formation et apporte sa contribution à des projets de l’entreprise. Toutefois, les missions d’assurance restent toujours majoritaire. L’audit interne se professionnalise mais sur une cadence variée. Plan annuel d’audit et cartographie des risques :
Même si le critère majeur reste les demandes spécifiques de la direction générale, le plan d’audit est désormais construit en s’appuyant fortement sur une analyse des risques. Cette approche par les risques reste toutefois non généralisée et représente le critère cité en deuxième lieu par les responsables d’audit pour élaborer le plan d’audit. L’analyse des évolutions particulières de l’environnement de la banque est également un critère de poids dans l’établissement du plan annuel d’audit. Par ailleurs ; la pratique de la cartographie des risques ne concerne pas toutes les banques. Deux seulement ont hiérarchisé les risques en fonction de leur impact possible et de leur fréquence (probabilité de survenance). Pour les filiales françaises disposant d’une cartographie des risques, cette dernière n’est toutefois pas exhaustive et ne concerne que quelques risques classiques (des traitements opérationnels, des risques de crédit et parfois des risques marché..), les risques opérationnels cités par Bâle II et le risque de réputation restent quasiment absents. Sa fréquence de mise à jour reste aléatoire.
110
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Le périmètre d’audit n’est pas très exhaustif et ne couvre pas toujours toutes les entités d’une banque. L’audit du réseau d’agences occupe le premier rang (70% du budget temps alloué au plan annuel d’audit) en se focalisant sur le risque des traitements opérationnels et le risque de crédit. Par ailleurs, l’audit des filiales, des services centraux, des banques offshore reste peu fréquent voire absent pour certaines entités. Les métiers les moins audités sont : la salle des marchés, le système d’information, les ressources humaines, la gestion Actifs Passifs (ALM), le contrôle de gestion, le contrôle interne, la compliance… L’examen du plan annuel d'audit des 3 dernières années de certaines banques listant les missions menées ne couvre pas la totalité des risques des unités opérationnelles et fonctionnelles même s’il est approuvé parfois par le comité d’audit. Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou inefficaces. Très souvent, les audits effectués ne sont pas suffisamment rigoureux pour déceler et notifier les insuffisances du contrôle dans les banques. Dans d’autres cas, même si les auditeurs ont fait part des problèmes détectés, aucun mécanisme, excepté celui de suivi des recommandations par l’audit interne, n’est prévu pour faire en sorte que la direction remédie immédiatement aux déficiences relevées. Manuels de procédures d’audit.
Pour piloter les missions d’audit réalisées, les directions d’audit interne disposent en général de manuels de procédures mais se limitant aux procédures internes de traitement et du risque de contrepartie. La mise à jour de ces manuels reste une pratique non systématique. Les modes opératoires d’audit (DSI, SDM, DRH, DC, ALM22, gestion d’actifs, Compliance, activités de bourse) s’avèrent très peu fréquents.
Auditeurs internes.
Même si l’audit interne apparaît comme une fonction plutôt attractive, les responsables d’audit interne rencontrent des difficultés à recruter, pour des raisons de compétences principalement. L’une des conséquences probables de ces difficultés est le recours à des ressources extérieures au service, qu’elles soient internes ou externes à la banque, pour rechercher certaines compétences et de l’expertise complémentaire en faisant notamment appel à des prestataires externes. Les entretiens menés auprès des responsables d’audit interne, confirment que sont exclues de leur périmètre d’intervention certaines missions exigeant une expertise pointue et une haute technicité telles que l’audit des systèmes d’information ou l’audit de la salle des marchés et ce pour le manque de compétences en audit interne aptes à mener ce genre de missions. 22
DSI (Direction du Système d’Information), SDM (Salle des Marchés), DRH (Direction des Ressources Humaines), DC ( Direction Comptable), ALM (Asset Liability Management)
111
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Dans ce cadre, les filiales des banques françaises font appel à l’audit interne de leurs maisons mères ayant l’expertise et les outils adéquats (modes opératoires spécifiques, outils élaborés d’audit) pour aborder ces missions. Par ailleurs, les banques marocaines recourent aux prestations d’experts externes ou de cabinets spécialisés d’audit. La pratique des pôles de compétence en audit interne ne semble en général pas être pratiquée du fait de la nature des profils généralistes pour les auditeurs. Une seule distinction a toutefois été relevée entre l’équipe chargée du volet inspection, celle de l’audit des opérations et des procédures et enfin celle chargée d’auditer le risque de crédit. L’audit interne dispose généralement de moyens humains adéquats ce qui est révélateur de la prise de conscience de l’importance de cette fonction par le management des banques. Le niveau de qualification des auditeurs internes reste très disparate d’une banque à une autre avec une prédominance d’équipes hétérogènes dont une partie est issue des grandes écoles de commerce avec une expérience professionnelle ne dépassant pas les deux ans et un autre lot composé de profils ayant déjà eu une expérience opérationnelle dans la banque. La volonté de former des cadres à haut potentiel ayant une vision sur l’ensemble des processus pour l’organisation semble être prioritaire par rapport à la fidélisation des auditeurs au sein du service. La compétence professionnelle doit aussi être appréciée au niveau du service d’audit interne dans son ensemble, qui doit avoir en son sein toute la gamme des compétences techniques nécessaires pour pouvoir examiner l’ensemble des domaines dans lesquels l’établissement opère. Le service d’audit interne doit maintenir à jour les connaissances acquises et assurer une formation continue et actualisée à chacun des auditeurs. Lorsque dans des domaines spécifiques, le service d’audit interne ne dispose pas d’une compétence suffisante pour procéder à un audit, il peut recourir aux services d’un expert externe, sous condition toutefois que l’expert soit placé sous la dépendance du chef du service d’audit interne qui conserve la supervision de l’opération. La compétence, et en particulier les connaissances et l’expérience, de chaque auditeur sont essentielles pour le bon fonctionnement du service d’audit interne. Il est important que le service d’audit interne dispose de personnes ayant reçu une formation de niveau élevé et disposant de compétences techniques adéquates. Lors de la sélection de ces personnes il sera tenu compte également de la nature et de la diversité des activités conduites par l’établissement.
112
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
2.3 - Compliance & Déontologie.
La création de la fonction de conformité ou « compliance » reste récente, non généralisée et ne jouit pas encore de l’autonomie nécessaire, elle reste en général diluée avec d’autres fonctions telles que le contrôle interne, la déontologie, l’inspection générale ou l’audit interne. La désignation d’un « Compliance Officer » reste une pratique peu fréquente, elle ne concerne que deux banques ce qui ne nous a pas permis d’apprécier le poids réel de cette fonction dans l’organigramme. Les outils mis à la disposition de l’entité conformité ne permettent pas encore d’avoir une vision exhaustive et fiable sur tous les traitements réalisés, des réflexions dans ce sens sont entamées pour quatre banques sondées. Chaque banque dispose d’un code de déontologie spécifique ayant pour principal objectif de doter celle-ci d’un texte de référence visant à promouvoir en son sein une forte rigueur déontologique et à renforcer ainsi la confiance et la crédibilité qu’elle doit en permanence inspirer à l’ensemble de ses partenaires à savoir les pouvoirs publics, la clientèle, les opérateurs et, d’une manière générale, l’opinion publique. 3 - Dispositif d'audit par ligne métier. 3.1 - Mission de la Direction du Système d’Information.
L'audit des Systèmes d’Informations dans son ensemble a fait l’objet d’une mission au sein de deux grandes banques de la place. L’une est une filiale française ayant bénéficié de l’expertise d’une mission diligentée par l’inspection générale de sa maison mère ayant l’expertise et les outils adéquats (modes opératoires spécifiques, référentiel COBIT, progiciels élaborés d’audit) pour aborder cette mission. Cette mission a en effet, couvert tous les domaines de la fonction informatique : l'Organisation et le management, la Sécurité, les Etudes et développements et l'Exploitation informatique. L’autre banque, pour mener cette mission, a compté sur son propre audit interne mais elle n’a pas couvert que deux domaines à savoir la sécurité et les développements informatiques. Les autres banques affirment ne pas avoir les compétences nécessaires pour mener une telle mission. Dans ce cas, la mission d’audit du Système d’Information devrait apprécier comment sont couverts les risques liés à la fonction Système d'information principalement les risques d'efficacité, d'efficience, de confidentialité, d'intégrité, de disponibilité, de conformité, Juridique et d'image. L’audit du Système d’Information devra mesurer le niveau des risques, leur évolution, et l’avancement des plans d’actions correcteurs.
113
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
3.2 - Mission de la Salle des marchés.
De part l’importance des risques inhérents à l’activité de marché, trois banques (dont 2 françaises et une marocaine) ont réalisé une mission d’audit de la Salle Des Marchés mais sans pour autant en couvrir les 3 fonctions du Front Office, du Middle Office et du Back Office ainsi que tous les risques qui en découlent opérationnels, de contrepartie, juridique et de sécurité. Les missions réalisées se limitent à : L'examen des principales procédures de traitement (Back office); L'analyse du respect dispositif de contrôle interne ; Les missions n’ont pas procédé au recoupement avec les travaux des autres missions (système d’information, comptabilité, ..). Elles n’ont pas analysé : La totalité des risques liés à l’activité de marché à savoir les risques de gestion, opérationnels, déontologiques, de fraude, d’image, de crédit, commerciaux et juridiques. Les risques, sur des sondages, transverses à plusieurs fonctions, sur un ou plusieurs échantillons d’opérations. Le mode d'élaboration des résultats comptables et de gestion, ainsi que la procédure de rapprochement de ces deux résultats. L'inventaire des différents états de reporting et de leur mode d'élaboration. La qualité et la fiabilité des informations véhiculées sur la nature des opérations traitées, des positions prises et de leur rentabilité tant en interne qu'en externe. La qualité de la maîtrise des risques financiers et les techniques générées par les opérations. L'ensemble des activités, stratégies et instruments traités par la salle auditée. L'inventaire des applications de gestion et de traitement de ces activités et instruments. 3.3 - Mission de la Direction des Ressources Humaines.
De part la sensibilité du domaine à auditer, la Direction des Ressources Humaines est une fonction rarement auditée au sein des banques. Seulement deux banques ont mené une mission d’audit Ressources Humaines ces trois dernières années mais n’ont toutefois pas couvert les cinq domaines de la gestion des ressources humaines à savoir : l’administration, la gestion des carrières, le recrutement, la formation et les relations Sociales. Se trouvent ainsi exclus le recrutement, la gestion des carrières et les relations sociales. Les missions menées se sont en effet limitées à couvrir les risques de traitements administratifs, de déclarations sociales (CNSS, CIMR,…), fiscales (IGR) et d’assurance et parfois le volet formation (OFPPT). Parmi les familles de risques n’ayant pas été abordées, on trouve les risques de management, juridiques, de déontologie, de compliance et opérationnels.
114
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
De ce fait, un nombre de zones à risques n’ayant pas été couverts tels que : Les règles de confidentialité (paie, dossiers personnels) et de sécurité (back up); Le processus de révision des rémunérations individuelles ; La gestion des avantages annexes; Le provisionnement des engagements sociaux (retraites, prévoyance, indemnités) ; La sensibilisation du personnel aux risques de fraude interne et externe (consignation du code de déontologie); Le processus d’appréciations annuelles ; La rationalisation des mouvements sociaux. 3.4 - Mission de la Direction Comptable.
Les objectifs d’une mission d’audit de la Direction Comptable sont les suivants : S’assurer de la fiabilité de l’information financière et de sa conformité aux normes définies par les autorités de tutelle. On entend par information financière à la fois les comptes sociaux, consolidés et fiscaux ainsi que les états réglementaires. Identifier les dysfonctionnements éventuels du dispositif de contrôle interne. Apprécier la fiabilité du système d’information comptable. Porter une appréciation sur les résultats et la rentabilité de l’entité auditée. S’assurer de la connaissance et du respect des règles de déontologie. Les deux premiers objectifs sus - visés sont atteints par les cinq banques sondées. Par ailleurs, rares sont les missions comptables ayant abordé les trois autres objectifs. Différents de ceux des auditeurs externes ayant un caractère légal, les objectifs de cette mission sont étendus et ne peuvent être atteints qu’avec une analyse approfondie des zones les plus risquées. C’est pourquoi une mission d’audit de la fonction comptable doit mettre l’accent sur : l’identification des risques et le recoupement avec les travaux des autres missions (système d’information ; ressources humaines, ..) concernant les « clignotants comptables »; l’analyse des risques transverses à plusieurs fonctions, sur un ou plusieurs échantillons d’opérations ; l’examen des risques de non exhaustivité, de non qualité et de non fiabilité de l’information comptable, de non fiabilité des comptes et des états financiers, de non fiabilité de l’information financière consolidée, réglementaire et fiscale. La mesure du niveau des risques, leur évolution, et l’avancement des plans d’actions correcteurs. Cette mission doit couvrir quatre domaines : l’audit systémique du service comptable (appréciation du contrôle interne), les reportings réglementaires, les risques fiscaux et la consolidation.
115
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les missions comptables au sein des banques sondées s’exercent en priorité autour de l’analyse du contrôle interne de tous les processus de traitements comptables et financiers. La part dévolue aux travaux conjoints avec les commissaires aux comptes et aux audits systémiques comptables et financiers reste minoritaire, même si plus de la moitié des responsables d’audit interne estime qu’ils réaliseront à l’avenir plus de missions de ce type. L’évaluation des processus de management des risques comptables est quasiment absente mais tend à prendre une part significative avec la prise en conscience progressive du rôle déterminant de cette fonction dans la gestion des risques.
116
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Conclusion du chapitre 3. L’audit interne tel que pratiqué actuellement dans de nombreuses grandes banques marocaines, relève encore quelques insuffisances. En outre, cet audit doit aller dans le sens de l’importance accrue conférée par les autorités de contrôle bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de contrôle interne dans une organisation bancaire. Il importe de souligner qu’il incombe au conseil d’administration et à la direction générale de s’assurer de l’existence d’un audit interne adéquat et de promouvoir un environnement dans lequel les individus comprennent et assument leurs responsabilités dans ce domaine. Nous avons relevé des insuffisances dans la surveillance de certains risques et une absence d’une forte culture de contrôle et/ou de risque particulièrement au sein des banques marocaines. Les cas de pertes importantes reflètent tous, sans exception, un manque d’attention et de rigueur de la direction envers la culture de contrôle dans la banque, une orientation et une surveillance insuffisantes de la part du conseil d’administration et de la direction générale ainsi que l’absence d’un exercice clair des responsabilités de la direction dans l’attribution des rôles et des tâches entre l’audit interne, le risk management et la conformité. La supervision de la prévention des risques par le management se limite au suivi des rapports d’audit sans pour autant disposer d’une cartographie des risques consolidée pour piloter l’évolution de tous les risques par ligne métier et par entité.
Ainsi peut-on conclure que les programmes annuels d’audit sont inadéquats ou inefficaces. Très souvent, les audits effectués ne sont pas suffisamment rigoureux pour déceler et notifier les insuffisances du contrôle dans les banques. Dans d’autres cas, même si les auditeurs ont fait part des problèmes détectés, aucun mécanisme, excepté celui de suivi des recommandations par l’audit interne, n’est prévu pour faire en sorte que la direction remédie immédiatement aux déficiences relevées. Ces cas révèlent également l’absence d’incitations appropriées pour que l’audit interne exerce une surveillance hiérarchique rigoureuse et maintienne un niveau élevé de conscience du contrôle au sein du système bancaire. L’audit interne n’a pas achevé sa mutation et continuera d’évoluer pour apporter aux banques toujours plus de valeur ajoutée. Les résultats de cette enquête permettent d’entrevoir les contours de l’audit interne de demain et de définir les défis et les enjeux futurs de la profession : affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la faveur d’un rattachement hiérarchique à la direction générale et de liens fonctionnels avec le comité d’audit, lorsqu’il existe ; se positionner, plus encore que par le passé, comme un outil majeur de détection, de prévention et de maîtrise des risques, en coordination avec toute autre fonction concernée (Risk management, compliance,..); maintenir son indépendance, son objectivité et son impartialité ; accroître sa professionnalisation par :
117
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
une formation permanente; une méthodologie et des outils adaptés et performants basés et sur les risques et sur les systèmes (l’Audit Systémique); En relevant ces défis, l’audit interne apportera aux banques encore plus de valeur ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation bancaire.
118
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Partie 2 : L'audit systémique, un nouvel outil au service du risk management pour maîtriser davantage les risques des métiers.
119
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 1 : Les particularités de l'approche d'audit systémique.
120
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 1 : Les particularités de l'approche d'audit systémique. Introduction. Les évolutions des métiers bancaires, ont généré de nouvelles variantes de risques et modifié les facteurs de fragilité financière susceptibles d'affecter la qualité de la situation des acteurs bancaires. Ainsi, il devient de plus en plus impératif de développer des outils d'analyse spécifiques dans le but de prévenir, de détecter et de couvrir le plus rapidement possible les risques susceptibles d'engendrer une défaillance bancaire qui ne pourrait être que préjudiciable à la stabilité du secteur financier dans son ensemble. De nombreux établissements bancaires ont encore un mode de fonctionnement compartimenté, avec des silos d’informations, d’analyses et d’hypothèses parfois incohérents entre les entités de la banque. Il leur est donc difficile d’obtenir une vision d’ensemble fiable et cohérente des multiples risques rencontrés et d’en mesurer le niveau de criticité. Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel, il est de plus en plus pressant que les établissements bancaires puissent s'investir dans le développement d'instruments complémentaires d'analyse fondés sur des méthodes à la fois quantitatives, qualitatives voire systémiques. « Bâle II » impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit, du risque de marché et du risque opérationnel. Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences réglementaires, demande beaucoup d’implication, de temps, d’efforts et de ressources de la part des banques. Avec l'audit systémique, les établissements bancaires disposent d'un outil précieux pour mieux gérer et contrôler leurs risques. Par conséquent, trois aspects méritent d'être développés :
Approches de l'audit du système de contrôle interne;
L'approche par les risques;
L'approche par les systèmes ou l'approche systémique.
121
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Section 1 : Approches de l'audit du système de contrôle interne. L'audit du système de contrôle interne est une nécessité éprouvée par les différents acteurs. Plusieurs approches complémentaires sont possibles dont une approche par les risques, qui se complète d'ailleurs avec une approche par les systèmes. Le contexte.
L'audit, ou la revue du système de contrôle interne, d'une banque peut constituer une mission spécifique mandatée par la direction générale ou le conseil d'administration qui éprouve le besoin d'avoir un diagnostic sur la qualité du système de contrôle interne et des recommandations pour en améliorer l'efficacité. Pour l'auditeur bancaire, ce travail constitue un préalable à sa mission générale car la qualité du contrôle interne conditionnera son programme de travail : étendue des contrôles, profondeur des contrôles, budget temps. L'auditeur s'appuiera sur un système de contrôle interne dont il aura vérifié l'efficacité. Un système de contrôle interne faible conduira à renforcer les tests, les sondages et les contrôles pour pallier cette faiblesse. Cette alternative demeure toutefois difficilement applicable pour le cas spécifique des établissements de crédit, ce pour la simple raison que le contrôle interne est un élément incontournable de la sécurité des opérations financières. Un contrôle interne défaillant ne saurait être compensé par des tests étendus, compte tenu du volume des opérations, de la complexité et de la diversité des métiers et de la taille des établissements financiers dotés généralement d'une organisation largement décentralisée. Ce travail exige en revanche un personnel hautement qualifié car il se fera essentiellement à base d'entretiens, d'analyse de l'organisation, d'examen des rapports et documents importants et éventuellement de quelques tests destinés à vérifier la réalité et l'efficacité des dispositifs et des procédures existantes. Un questionnaire, un guide de contrôle interne, ou un mode opératoire d’audit par ligne métier peut constituer un outil précieux pour mieux "encadrer" la mission. (Cf. 2ème Partie). A l'issue de cette revue, l'auditeur pourra établir son diagnostic soulignant les forces et les faiblesses du système de contrôle interne et ses recommandations pour en améliorer l'efficacité. Plusieurs approches sont possibles pour réaliser cette revue du système de contrôle interne. Ainsi, on distingue, l'approche par les risques et l'approche par les systèmes. Actuellement, il y a une tendance à privilégier davantage l'approche par les risques. Par ailleurs, l'approche systémique permet d'avoir une vision plus globale et maîtrisée des risques et d’optimiser ainsi l’efficacité de l’audit, quelle que soit la complexité des organisations ou des processus à auditer. L’auditeur bancaire doit se poser les questions suivantes avant de définir sa démarche d'audit :
122
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Comprenons-nous les implications des engagements pris par la banque vis-à-vis des marchés financiers? Comprenons-nous pleinement le modèle économique de la banque et les risques qui y sont attachés? Le Conseil d'Administration lui-même les appréhende-t-il ? Les équipes ont-elles les compétences nécessaires au vu des activités ou opérations de la banque ? Avons-nous recours aux expertises requises? Prenons-nous bien la mesure des impacts potentiels de pratiques comptables "agressives" ? Appréhendons-nous vraiment la substance des opérations réalisées au delà de leur forme? Avons-nous une communication transparente avec le Conseil d'Administration ou le Directoire et/ou le Conseil de Surveillance? Les outils de reporting de la banque sont-ils adaptés pour une bonne appréciation des risques? … Pour une meilleure appréhension des risques d'un établissement financier, L’auditeur bancaire est tenu de : Améliorer la compréhension de l'activité et de la performance de la banque et de son environnement/marché; Elargir son champ d'investigation; Ne pas se cantonner à la fonction financière; Evaluer la qualité du pilotage de l’entreprise et les impacts éventuels de l'activité sur les comptes; Identifier et évaluer également ce qui n'est pas dans les comptes ; Renforcer l'analyse de l'activité, des engagements et des opérations des différentes fonctions; Renforcer la qualité et l'efficacité de l'audit; Renforcer l'utilisation dans son approche des indicateurs de pilotage de l'activité utilisés par le management; Prendre en compte les améliorations rapides des outils et du contrôle des processus du client; Accroître sa capacité à produire des conclusions à forte valeur ajoutée, répondant aux préoccupations du management. Le référentiel de contrôle interne : COSO
Cette approche, est conceptuellement simple et logique. Elle s'inspire dans sa conception de l'approche COSO (Committee of Sponsoring Organizations of the Treadway Commission) qui représente un référentiel international en matière de contrôle interne.
123
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Quelques concepts clés du COSO :
Les contrôles sont plus efficaces quand ils sont intégrés aux activités opérationnelles; Chaque individu à tous les niveaux de l'organisation a une responsabilité en terme de contrôle interne ; Le contrôle interne ne peut pas fournir une assurance absolue; Le contrôle interne est une composante essentielle d'une bonne gouvernance d'entreprise. Eléments à considérer pour chaque domaine :
Environnement de contrôle
Code de conduite (intégrité, déontologie et éthique); Philosophie et style de management des dirigeants; Compétences; Gouvernement d'entreprise : conseil d'administration, comité d'audit; Délégations de pouvoir et domaines de responsabilité; Politique en matière des ressources humaines.
Evaluation des risques
Processus d'évaluation des risques; Mécanismes pour anticiper, identifier et réagir aux événements significatifs; Processus et procédures pour identifier les changements dans les pratiques comptables, métier et de contrôle interne.
Informations et communication
Production de rapports de performance répondant aux critères définis par l'entreprise; Alignement des systèmes d'information et de communication avec la stratégie de la banque;
124
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Engagement de l'entreprise pour développer, tester et superviser les systèmes d'information; Plan de secours et plan de continuité informatique.
Activité de contrôle
Existence de procédures et de normes; Définition précise des activités de contrôle intégrant une supervision active; Intégration des activités de contrôle à l'évaluation des risques; Séparation des tâches; Mise en place de procédure de sauvegarde des documents et des actifs; Procédures d'autorisation.
Pilotage
Evaluation périodique des contrôles internes; Mise en place des recommandations pour amélioration; Fonction d'audit interne structurée pour superviser les activités de contrôle. Approche d'évaluation du système de contrôle interne.
La première étape consistera à identifier les risques majeurs et la deuxième à analyser les dispositifs en vigueur pour maîtriser ces risques. L'identification des risques peut s'appuyer sur l'inventaire des risques traditionnels et bien connus tels que présentés dans le 1er chapitre de la première partie. Elle peut également s'appuyer sur un inventaire, ou "cartographie", établi par l'établissement lui-même (via le risk management). Il conviendra ensuite de l'affiner pour l'adapter au profil spécifique de l'établissement : ajouter de nouveaux risques, enlever ceux que n'encourent pas l'établissement et de les hiérarchiser selon leur typologie. La deuxième étape consiste à répondre à la question : quel est le degré de maîtrise de ce risque? Il conviendra pour répondre à cette question d'examiner soigneusement les dispositifs de contrôle interne, les procédures, les moyens, les outils de mesure et de gestion. Ebauche d'une démarche d'évaluation du système de contrôle interne.
Le système de contrôle interne ne doit pas être confondu avec l'audit interne qui est l'organe dont la mission est de s'assurer en permanence que le dispositif de contrôle interne est efficace. Dans le cas contraire, l’audit interne doit détecter rapidement les faiblesses pour y porter remède. A ce titre, il fait partie intégrante du système de contrôle interne. Un système de contrôle interne efficace est caractérisé par : Des objectifs clairement exprimés et des moyens appropriés; Une forte implication des organes délibérant et exécutifs; Une organisation cohérente des organes de contrôle; Des systèmes de mesure, de limites et de surveillance des risques rigoureux; Une stricte séparation des fonctions et des tâches; Le contrôle permanent des opérations et la supervision; Des procédures qui mettent en application la politique de contrôle interne; Un système comptable fiable pour traduire une image fidèle;
125
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Un système d'information performant et sécurisé; Une entité d’audit interne forte et indépendante. Toute démarche de revue du système de contrôle interne viserait les objectifs suivants: Etablir une vue à la fois précise et globale de l'ensemble des risques de la banque; Discuter et valider avec tous les responsables impliqués dans le processus d'identification des risques, le niveau de risque associé à chaque activité. L'auditeur devra dans ce cas précis faire appel à ses connaissances approfondies du secteur bancaire et particulièrement de l'établissement audité; Identifier les contrôles mis en place afin d'assurer une couverture des risques; Evaluer l'appropriation du contrôle interne par les responsables opérationnels.
Section 2 : L'approche par les risques. L'approche d'audit est en générale basée sur les risques et peut être résumée comme suit : Approche par les risques Changements dans la mise en œuvre Application renforcée des principes
Une approche partant de l'activité du client pour mieux comprendre et valider les comptes. Une analyse progressive de l'assurance d'audit. La prise en compte des risques d'audit traditionnels (exhaustivité, exactitude, cut-off, droits et obligations, etc).
Une démarche organisée autour des business units et business processes. Des produits finis davantage centrés sur les zones de préoccupation du management. Des travaux mieux répartis sur l'exercice; disparition des phases traditionnelles (intérim, Final). Une gestion de mission en mode projet Une analyse de "l'assurance" d'audit à intervalles réguliers en regard des travaux réellement effectués et non de façon théorique au moment de la définition de la stratégie.
Les grandes étapes de cette démarche peuvent être résumées comme suit : Phase I : Identification des principaux risques pouvant menacer le bon fonctionnement de l'établissement.
Les principales catégories de risques qui seront analysées sont les suivantes :
126
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
risque de crédit ; risque de marché ; risque de taux d'intérêt ; risque de liquidité ; risque de règlement; risques opérationnels; risques informatiques; risque juridique; risque humain; risque commercial. Pour ce qui concerne l'identification des principaux risques, ceux-ci devraient être revus avec les principaux responsables de services de chaque entité lors d'entretiens individuels. Lors de ces entretiens, il est question de revoir avec eux la probabilité de survenance et l'impact potentiel de ces risques sur les objectifs de l’entité. Cette phase débouchera sur la rédaction d'un document d'identification des principaux risques pouvant menacer les processus de la banque. Phase II : Mise en évidence des principales faiblesses du système de contrôle interne de la banque.
Cette phase s'appuie dans un premier temps sur une prise de connaissance de la politique de gestion des risques au sein de la banque au travers des cinq composants (reconnus par le COSO Report comme étant les cinq piliers du contrôle interne) suivants: l'environnement de contrôle interne ; l'évaluation des risques; les activités de contrôle ; l'information et la communication; le monitoring du système de contrôle. Ensuite, il y a lieu d'étudier avec la direction de l’entité et les principaux responsables opérationnels quels sont les systèmes de contrôle existants au sein de la banque et qui couvrent les principaux risques identifiés lors de la phase précédente. Cette phase fait appel à un cumul de connaissances assez important qui pourrait être constitué à travers des bases de données internes comprenant les meilleures pratiques dans le domaine des systèmes de contrôle. Cette deuxième phase mettra en évidence les faiblesses les plus importantes dans le dispositif du système de contrôle interne. L'objectif étant de ressortir d’une part, l'écart entre les risques les plus importants auxquels s'expose la banque et les systèmes de contrôle existants et d'élaborer d’autre part, un document présentant les principales faiblesses du système de contrôle interne. Phase III: Elaboration d'un plan d'actions nécessaire à la banque pour maîtriser ses principaux risques et être en conformité avec la réglementation.
Cette phase aura pour objectif de prioriser les actions qui devront être initiées et d'évaluer les moyens à mettre en œuvre pour atteindre un niveau de risque acceptable par la Direction.
127
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les recommandations seront détaillées et regroupées sous forme de projets, en précisant la priorité et les ressources devant être engagées. Le plan d'actions proposé est présenté pour validation à la Direction. Sa mise en place permettra de couvrir les principaux risques qui menacent les objectifs de la Direction et de répondre aussi aux exigences de Bank Al Maghrib. Au cours de cette phase, il est aussi question de déterminer également quelles sont les procédures qui doivent être élaborées. Cette phase débouchera sur la rédaction d'un plan d'actions priorisés comprenant les recommandations détaillées (systèmes de contrôle à améliorer ou à mettre en place) pour maîtriser les principaux risques qui menacent les objectifs de la banque.
Section 3 : L'approche systémique. Les différentes définitions d'un système :
Un système est un ensemble d'objets réunis par la relation entre les objets et leurs attributs (A. HALL et R. FAGEN). Un ensemble d'éléments en interaction dynamique, organisés en fonction d'un but (J. ROSNAY). Un ensemble des parties coordonnées en vue d'atteindre un ensemble de buts (W. CHURCHMAN). Il ressort de ces différents éléments que : un système est constitué d'éléments et de relations entre ces éléments; un système est finalisé; un système est un tout non réductible à ces parties; un système est organisé. Les caractéristiques principales d'un système.
L'approche systémique permet d'appréhender le fonctionnement d'une entité complexe qu'est la banque. Elle permet de comprendre la banque comme un ensemble de variables en interaction ayant un certain degré de finalité. La grille d'analyse de la banque permet de répertorier les variables pertinentes et leurs liaisons. Les paramètres du modèle d'analyse de la banque sont : Sa structure : allocation stable des tâches et des rôles créant un cadre d'activité inter-relié et permettant à la banque de mener et de coordonner ses activités. Ses systèmes de gestion : éléments qui donnent vie à l'organisation (système d'information, prise de décision, évaluation, contrôle). Sa coalition dominante : petit nombre de décideurs (organes d'administration) ou managers (risk managers) avec des propositions de pouvoir et d'influence avec : une personnalité, des valeurs, des expériences professionnelles.
128
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Un environnement à dimensions multiples : caractérisé par la complexité et l'incertitude. Il concerne les volets : commercial, risque, technologique, réglementaire, socio-culturel… Les individus : ou ressources humaines venant d'horizons différents (des compétences, des attentes, des qualités, des besoins). Une stratégie : avec des choix de domaine d'activité, d'objectifs et de paramètres concurrentiels. Une technologie : c'est à dire un ensemble de moyens matériels et immatériels nécessaires à la réalisation de l'activité. Une culture : c'est à dire un ensemble de valeurs, de croyances et de règles plus ou moins reconnues par les acteurs de l'organisation, plus ou moins formelles ou informelles qui indiquent le chemin à suivre (ce qui est attendu, ce qui est admis, ce qui est récompensé). Des performances : résultats de la banque sous (organisationnelles, économiques, techniques, humaines).
différentes
formes
La prise en compte conjointe de ces différentes variables permet d'analyser l'ensemble des interactions existant dans la banque. L'approche systémique.
L'approche systémique a modifié profondément les pratiques utilisées jusqu'alors pour aborder l'étude et la conception des systèmes. L'analyse systémique engendre une démarche inductive. Son introduction dans l'audit a imposé une remise en cause profonde de l'approche utilisée s'accompagnant d'une modification de la nature des outils sur lesquels se fait son application. La systémique envisage les éléments d'une conformation complexe, des faits, non pas isolément mais globalement, en tant que parties intégrantes d'un ensemble dont les différents composants sont dans une relation de dépendance : Le principe de totalité exprime l'idée que les interactions entre les différents éléments d'un système ne peuvent s'appréhender qu'au niveau de la totalité et non au niveau des éléments pris séparément. Le principe d'interaction implique que chaque élément peut s'informer et agir sur l'état des autres. Le principe d'homéostasie caractérise un système auto-régulé, c'est à dire capable de réagir à toute modification, d'origine interne ou externe, pour revenir à son état initial. Le principe d'équifinalité indique qu'un même résultat peut être obtenu par des voies et conditions initiales différentes. Application de l'approche systémique dans l'audit bancaire.
A travers l’approche systémique, les différentes composantes du système de contrôle interne seront analysées, comme suit, pour en apprécier l'efficacité :
129
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Définition des objectifs de contrôle interne : s’assurer que l'établissement a défini ses objectifs en matière de contrôle interne et que ceux-ci sont cohérents par rapport aux normes professionnelles.
L'existence d'un document souvent intitulé « charte de contrôle interne », approuvé par le conseil d"administration est un point positif. Sa large diffusion et la référence permanente à ce document sont des facteurs complémentaires indispensables. Les moyens dont dispose le système de contrôle interne permettent de vérifier que l'établissement est résolument engagé dans la réalisation de ses objectifs. Rôle du conseil d'administration : s'assurer qu'il assume pleinement ses responsabilités en matière de contrôle interne. Les procès verbaux de ses réunions permettent de s'imprégner de son implication dans ce processus.
Distinguer notamment les résolutions purement formelles destinées à se mettre en conformité avec les textes réglementaires des résolutions qui mettent en évidence ses préoccupations réelles d'imposer ses objectifs en matière de contrôle interne. Des entretiens avec certains membres du conseil d'administration sont un facteur important pour permettre à l'auditeur de se forger une opinion sur ce degré d'implication. Notamment avec les membres faisant partie du comité d'audit. Rôle du comité d'audit : son rôle peut être examiné essentiellement par des entretiens avec ses membres et l'examen des procès-verbaux ou des documents qu'il a émis ou approuvé.
Les points suivants sont révélateurs de l'efficacité de son rôle : composition, pouvoirs, existence et contenu de la charte de contrôle interne, nombre de réunions tenues décisions prises durant ces réunions, recommandations qu'il a émises, rapports qu'il a soumis au conseil d'administration, etc. Rôle de la direction générale : s’assurer que la direction générale est impliquée dans le système de contrôle interne et remplit son rôle qui est de définir les stratégies et d'en suivre la réalisation.
Ce travail pourra être réalisé avec les membres de la direction générale. Des entretiens avec les différentes unités de la banque permettront d'apprécier dans quelle mesure la direction générale donne les impulsions nécessaires pour imposer ses objectifs de contrôle. Culture de contrôle interne : la culture de contrôle interne se constatera également tout au long de la mission par les entretiens avec les différents responsables opérationnels et fonctionnels. Le degré avec lequel l'ensemble du personnel est conscient des risques qu'il assume au quotidien et la manière de les gérer peuvent alors être évalués. Audit systémique : audit multidisciplinaire du processus, de l'organisation, du fonctionnement, des procédures, …
Dans l’exercice de leurs activités, les établissements de crédit supportent différents types de risques. En fonction de leur taille et de la complexité de leurs activités, les établissements de crédit devraient mettre en place des systèmes de gestion du risque à savoir les processus de détection, de mesure et de contrôle des expositions aux risques - pour toutes les principales catégories de risques encourus.
130
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les risques bancaires sont liés aux processus de distribution des produits et services, au traitement des opérations, aux systèmes d’information ou à des modifications de l’environnement dans lequel opère la banque (juridique, fiscal, contractuel, réglementaire ou autres). Tout établissement bancaire est confronté à ces risques susceptibles de porter atteinte à la qualité des services apportés à ses clients, à sa performance commerciale et, partant, à son développement dans la rentabilité. Dans ce contexte, une méthodologie d’approche globale des risques serait indispensable pour en étudier les principales causes et conséquences, ainsi que les mécanismes de propagation. Une telle approche - appelée audit systémique permettra de déterminer les indicateurs et mesures de gestion puis les plans d’actions les mieux adaptés pour les maîtriser. L’audit systémique est une approche descriptive, cognitive, prospective, experte et éco systémique des dispositifs complexes. L’audit systémique tente de répondre aux besoins de connaissance et de modélisation préparant à la conception de systèmes complexes (projet et dispositif) ainsi qu’à leur pilotage par le commandement et la gestion des décisions (management). Cette approche permet d'avoir une vision globale et maîtrisée des risques et d’optimiser l’efficacité de la mission d’audit, quelle que soit la complexité des organisations ou des processus à auditer. Il s’agit d’une approche globale du risque avec un ensemble de composants modulaires complets permettant de vérifier l'efficacité du dispositif de contrôle interne par ligne métier, mais qui peut aussi être intégrée individuellement pour compléter un système existant. L'audit systémique aboutit notamment à mieux connaître le profil de risque des activités exercées (cartographie des risques), à développer et alimenter les outils nécessaires au pilotage de ces risques (référentiel de risques par activité, indicateurs de veille et de suivi, incidents opérationnels et pertes consécutives à leur survenance). Il vise également à améliorer et à coordonner les processus de gestion existants en intégrant, en particulier, les problématiques de contrôle interne, de sécurité des systèmes d’information, de déontologie et de plans de continuité des activités dans le cadre d’un dispositif de maîtrise globale des risques. Enfin, il permettra d’accroître la responsabilité, la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers qui bénéficieront notamment des retours d’expériences et de répondre aux exigences du marché (actionnaires, analystes financiers et agences de notation) et du régulateur. Une démarche détaillée d'évaluation du système de contrôle interne par l'audit systémique est développée pour quatre lignes métiers (système d'information, salle des marches, comptabilité et ressources humaines) dans la deuxième partie. Audit systémique : outil de maîtrise et de prévention des risques pour le Risk manager.
Le Risk Manager d’une unité coordonne et supervise les différents travaux constitutifs d’un dispositif de surveillance et de maîtrise des risques encourus par cette unité. Le management des risques concerne toutes les fonctions support ou opérationnelles existantes de la banque (contrôle interne, ressources humaines, système d’information, 131
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
front office, middle office, back office, finance - comptabilité, conformité - déontologie, sécurité financière). L'audit systémique permet au Risk Manager de mener à bien sa mission en matière d'identification et d'évaluation des risques, de mesure et de suivi du coût de ces risques, de prévention et de réduction de leurs impacts et enfin, de surveillance et de maîtrise desdits risques. 1. Identification et évaluation des risques.
La démarche cartographique permet aux unités de détecter les risques dans les activités ou processus de chaque domaine de leur périmètre et de les hiérarchiser. Cette analyse passe par l'auto-évaluation des risques et des contrôles permanents de chaque processus métier ou support par les responsables d'activités (ex : responsables d'un desk, d'un Back Office,…). Le Risk Manager fait établir avec le concours des responsables concernés de son unité la cartographie de risques de son périmètre. Il maintient dans ce cadre les référentiels du périmètre de la banque / ligne métier (processus, entités …). Le Risk Manager met à jour cette cartographie annuellement ou après chaque changement significatif dans l’organisation de son périmètre. Il est responsable de la réalisation de la cartographie et la fait valider par le Comité de Contrôle Interne ou de risques de la banque. 2. Mesure et suivi du coût des risques (pertes et alertes).
Le Risk Manager fait recenser auprès des responsables des activités concernées les incidents importants et les pertes liées à la survenance d'un risque dans son entité. 3. Prévention et réduction des risques.
Le Risk Manager contribue à développer l’implication des responsables de son entité dans la gestion de leurs risques et promeut les bonnes pratiques en matière de Risk management. Lors du lancement de nouvelles activités et / ou nouveaux produits, le Risk Manager s’assure en liaison avec l'auditeur bancaire que leurs caractéristiques ont été examinées par les spécialistes compétents sous l’angle des risques opérationnels (déontologie, juridique, fiscalité, sécurité des systèmes d’information, comptabilité). Il fait mettre à jour la cartographie de son périmètre pour en tenir compte. L'audit interne promeut et coordonne avec les autres fonctions risques (crédit et marché) et les fonctions support (organisation, systèmes d’information,..) les mesures de prévention et de réduction des risques (optimisation contrôles/risques, amélioration des procédures, automatisation des processus..). 4. Surveillance et maîtrise des risques.
Le Risk Manager surveille l’évolution des risques à travers un tableau de bord trimestriel rassemblant au minimum les éléments suivants : faits marquants de la période, risques sensibles (processus à surveiller), indicateurs clé mis en place, coût du risque et actions majeures (prévues ou en cours).
132
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Ce tableau de bord est revu par le Comité de Contrôle Interne, puis communiqué à la Direction Générale. Il appartient à l’entité, le cas échéant, de faire automatiser la collecte et le traitement des données nécessaires à son alimentation. En relation avec l’audit interne, le Risk manager établit, suit et coordonne le plan d’actions global d’amélioration du Contrôle Interne. Les actions d’amélioration de la maîtrise des risques proviennent des résultats de la cartographie, des recommandations des auditeurs et des régulateurs, et de l’analyse des dysfonctionnements significatifs. Ce plan d’actions global est suivi par le Comité de Contrôle Interne. Adhésion du top management : une condition sine qua none pour l’efficacité de l’approche d’audit systemique.
Pour garantir l’efficacité de l’approche d’audit systémique, la structure managériale de l’établissement bancaire doit être suffisamment sensibilisée par rapport à l’apport indéniable de cette approche et de sa valeur ajoutée en termes d’outil de pilotage de la stratégie risques, d’efficacité et de sécurité des traitements opérationnels, d’efficience du risk management et de la bonne gouvernance en général. Ainsi, le top management se doit de : répartir clairement les rôles et les responsabilités entre les divers acteurs intervenant dans le processus de maîtrise des risques (l'audit interne, le contrôle interne, le risk management, la compliance, la déontologie, …) et favoriser la coordination et la synergie entre ces acteurs ; cerner la taxinomie et la particularité de chacun des risques inhérents à l'activité bancaire et prendre les dispositions nécessaires pour prévenir et maîtriser ces risques ; prévoir la mise en place des dispositifs de contrôle interne correctifs en cas de production ou de manifestation des risques tels que le Plan de Continuité d'Activité(PCA), les polices d’assurance, la refonte du dispositif de contrôle interne,… instaurer un système de pilotage stratégique des risques en étant destinataire via un système de reporting périodique (cartographie consolidée des risques, indicateurs des risques clés « KRI », rapports sur le contrôle interne, rapports de missions de l’audit interne), des événements à risques et des incidents survenus en mettant en relief leur criticité, leur sévérité, leur occurrence, leur (s) cause(s) (défaillance ou insuffisance du dispositif de contrôle interne en termes d’efficacité ou de pertinence) et enfin, les mesures prises ou prévues pour soit atténuer l’impact financier et/ou de réputation, soit réduire la probabilité de survenance de ces risques.
133
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Conclusion du chapitre 1. L'audit systémique a modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire. Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un système existant, une telle approche permet : d'avoir une vision globale et maîtrisée des risques, quelle que soit la complexité des organisations ou des processus à auditer; de vérifier l'efficacité du dispositif de contrôle interne par ligne métier; Enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers dans la maîtrise, la gestion et la prévention des risques. Parallèlement au développent en interne d'outils et techniques de contrôles et de gestion des risques bancaires, l'auditeur interne apparaît de plus en plus incontournable dans le processus de supervision bancaire architecturé par les organes de tutelles. Au delà de sa responsabilité de donner un avis indépendant sur la fiabilité des dispositifs de contrôle interne, l'auditeur bancaire devient ainsi un acteur incontournable dans la prévention des risques bancaires. Ainsi, une démarche opératoire d'audit systémique est développée pour quatre lignes métiers (système d'information, salle des marches, ressources humaines et comptabilité) dans la deuxième partie illustrant parfaitement l'originalité et la pertinence de l'approche.
134
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information.
135
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 2 : Mission d'audit de la Direction des Systèmes d'Information. Introduction. Ce chapitre couvre l'audit de la fonction système d’information (SI) dans son ensemble. Il a été divisé en quatre domaines correspondant à un découpage logique des axes d’analyse de ladite fonction : l'organisation et le management, la sécurité, les études et développements et l'exploitation informatique. La maîtrise de la fonction système d'information, au sein de toute banque commerciale comme ailleurs, passe notamment par la maitrise des quatre domaines à savoir : Une organisation claire et un management adéquat avec des procédures générales en place visant à maîtriser la fonction SI dans son ensemble, La maîtrise de la sécurité par une analyse régulière des risques pesant sur le système d'information de l'entité (sécurité logique, sécurité physique, et la continuité des services), L'efficacité, l'efficience et l'intégrité des développements d’applications (en interne ou en externe), des progiciels ou des systèmes existants ayant été modifiés, L'exhaustivité des procédures d’exploitation du SI : indicateurs de qualité, performance, planification et contrôle des travaux. Comme pour toutes les fonctions, une mission d’audit SI comprendra une phase de préparation (collecte de documents et entretiens préparatoires), une phase d’investigation (entretiens systémiques 23 et sondages) et une phase de rédaction. Il conviendra de couvrir chacun des quatre domaines lors de chaque phase. Selon l’importance de la banque auditée, ces quatre thèmes seront déclinés plus ou moins formellement. Dans tous les cas, la mission aura pour objet d’apprécier comment sont couverts les risques liés à la fonction SI. Parmi les familles de risques recensées, seront principalement concernés les risques d'efficacité, d'efficience, de confidentialité, d'intégrité, de disponibilité, de conformité, juridique et d'image. L’audit des systèmes d’information devra mesurer le niveau des risques, leur évolution, et l’avancement des plans d’actions correcteurs. Le présent chapitre reprend : pour la phase de préparation, la liste des documents à recueillir et des entretiens à mener, pour la phase d’investigation, dans chacun des 4 domaines, les objectifs, les points de contrôle, les familles de risques associées et les natures des risques et enfin les sondages et les documents requis.
23
Audit de processus : organisation, fonctionnement, procédures, …
136
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Pour la phase de synthèse, une liste de sondages qui pourraient être repris dans le rapport.
Préparation. Dès le début de la phase préparatoire de la mission, les auditeurs remettent à la Direction des Systèmes d’Information (DSI) une liste de documents à leur envoyer et/ou à tenir à leur disposition : Organigramme de la DSI ; Liste des comités auxquels participe le responsable SI ; Description des missions / rôles / responsabilités des principaux départements de la DSI ; Liste des sites informatiques (développement, archivage,…) et des principaux sites « utilisateurs » ;
production,
back-up,
Liste des principales sociétés externes prestataires de services informatiques, avec indication de la nature et de l’importance (quantitative/qualitative) des services rendus ; Documents budgétaires de synthèse des exercices N et N-1 chiffrées et dossiers d’accompagnement validés) ;
(données
Documents de synthèse récents relatifs aux grandes orientations stratégiques / schémas directeurs / principaux projets informatiques (exemple : plan triennal, notes d’orientation stratégique,…) ; Documents de synthèse de présentation des architectures matérielles, logicielles et réseaux (incluant les principales interconnexions avec l’extérieur); Documents de synthèse de la cartographie applicative et de présentation des principales applications sur les différentes plates-formes ; Comptes-rendus récents (ex : 6 derniers mois) des principaux Comités informatiques (internes DSI / inter-Directions / de Direction Générale) ; Rapports de synthèse d’activité récents de la DSI diffusés à la Direction Générale / aux Directions utilisatrices … (ex : rapport annuel, derniers rapports mensuels / trimestriels,…). Accès au système d’information de la banque auditée.
En cas de besoin d’accéder au réseau local de la banque pour des investigations, demander que les ordinateurs des auditeurs de la mission soient connectés avec des droits d’accès en lecture uniquement (et pour la durée de la mission) sur les répertoires de production des serveurs du réseau local. En cas de besoin pour les membres de la mission de disposer d’un répertoire partagé, demander la mise à disposition d’un tel répertoire, sur un serveur de fichier de la banque. Ne pas oublier de « nettoyer » ce répertoire en fin de mission avant de quitter la banque. Pour les systèmes de production centraux, demander l’attribution d’un ou plusieurs comptes utilisateurs ayant toutes les fonctions de consultation et d’impression sur les
137
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
programmes et données de production. Demander expressément de n’avoir aucune possibilité de création ou de mise à jour des données et programmes de production.
Investigation. Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. Thème : libellé du thème à auditer. Sous-thèmes : libellé du sous-thème appartenant au thème audité. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Risques : risques inhérents au thème/sous-thème audité. Approches d’audit et sondages : approches d’audit et de sondages à réaliser.
Mission d'audit de la Direction des Systèmes d'Information. 1. Organisation et management. Ce domaine concerne l'organisation et les procédures générales en place visant à maîtriser la fonction SI dans son ensemble à travers : une organisation claire et des définitions de responsabilités précises, une planification à court, moyen et long terme formalisée des évolutions des systèmes d'information, la mise en oeuvre de procédures internes formalisées, notamment en matière budgétaire et de suivi d’activité, la formalisation des relations avec les utilisateurs et leurs maîtrises d’ouvrage, la mise en œuvre de dispositifs de pilotage et de contrôle.
1.1 - Structure et organisation générale Organisation et responsabilités de la fonction. Objectifs/points de contrôle. Existe-t-il un organigramme hiérarchique et fonctionnel de la fonction informatique, est-il mis à jour régulièrement ? La définition de la fonction Informatique est-elle clairement établie (missions et responsabilités) et la position de la fonction au sein de l'entité lui permet-elle d'exercer ses missions de façon satisfaisante ? L'organisation de la fonction Informatique est-elle adaptée aux rôles et responsabilités qui lui ont été attribués par la Direction Générale de la banque ?
Risques. Efficacité, Efficience
138
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Pour quelques postes figurant sur l'organigramme informatique, vérifier que le titulaire effectif du poste au sein de la Direction informatique correspond bien à la personne en charge du poste sur l'organigramme. Prendre connaissance de la définition des missions et des responsabilités relatives à l'exercice de la fonction. Analyser les relations hiérarchiques, le pouvoir décisionnel et le positionnement par rapport aux autres fonctions. Le rattachement de la fonction informatique doit être le plus élevé possible (en principe à la Direction Générale de la banque). Analyser la structure de la Direction informatique au travers de son organigramme, en le rapprochant des missions et responsabilités définies par la Direction Générale de la banque. Rôles et responsabilités des différents postes. Objectifs/points de contrôle. Existe-t-il une définition de poste précisant les rôles et responsabilités pour chaque poste figurant sur l'organigramme de la Direction informatique, et est-elle appliquée dans les faits ? Existe-t-il une procédure formalisée précisant les responsabilités des personnes au sein de la Direction informatique concernant les délégations de signature ?
Risques. Efficacité, efficience, conformité. Approches d’audit & sondages. Pour un certain nombre de postes de la Direction informatique, vérifier que la description de poste comporte les éléments suivants : objet du poste, missions, rôles et responsabilités, rattachements hiérarchiques et fonctionnels, principales relations avec d’autres postes internes et externes à la Direction informatique. De plus, interroger la personne qui occupe le poste pour s'assurer qu'il connaît sa description et qu'il l’applique. S'assurer notamment de la formalisation des autorisations pour les embauches, la définition de l'organisation interne, le lancement des projets, les achats et le recours à des prestations externes. Séparation des tâches.
Objectifs/points de contrôle. L'organisation et le fonctionnement effectif de la fonction informatique respectent-ils une correcte séparation des tâches incompatibles?
Risques. Efficacité, efficience. Confidentialité, intégrité. Approches d’audit & sondages. Consulter l'organigramme et déterminer la séparation des tâches en vigueur.
139
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Par analyse des travaux effectués par quelques personnes, vérifier qu'elles ne réalisent pas dans la pratique des tâches d'autres personnes, à l’encontre d’une correcte séparation des tâches. Stratégie informatique Objectifs/points de contrôle. Une stratégie claire et cohérente a-t-elle été définie et formalisée en matière de systèmes d'information, et est-elle respectée ? Les décisions clés en matière de systèmes d'information sont-elles soumises à un Comité réunissant la Direction Générale, les maîtrises d'ouvrage et les maîtrises d'œuvre de la banque ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Consulter les documents décrivant cette stratégie. S'assurer, par consultation des documents de planification informatique, qu'il n'y a pas d’orientations importantes apparaissant comme incohérentes avec la stratégie. S'assurer que ces orientations stratégiques sont respectées et que les maîtrises d’ouvrage sont consultées à l’occasion des orientations prises par la banque. Se faire communiquer la note ou l'instruction de la Direction Générale de la banque instituant le Comité décisionnel en matière de stratégie informatique. Examiner par rapport à la structure générale de la banque la représentativité de ce Comité. Examiner les procès-verbaux ou les comptes rendus des réunions les plus récentes de ce Comité et vérifier si les principales décisions stratégiques en matière d'évolution des SI ont bien été prises dans le cadre de ce Comité. Schéma directeur / plan informatique :
Objectifs/points de contrôle. Les orientations stratégiques, en matière de systèmes d’information, approuvées par la Direction Générale de la banque, sont-elles déclinées sous la forme d'un schéma directeur / plan informatique, périodiquement mis à jour, reprenant ces orientations et recensant les projets envisagés à court et moyen terme dans le cadre de leur mise en œuvre ? Les préconisations du schéma directeur des systèmes d'information font-elles l'objet d'un suivi (avec un reporting) de mise en oeuvre périodique et formalisé à l'intention de la Direction Générale de la banque ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Récupérer le schéma directeur / plan informatique. Analyser son processus d'élaboration et de mise à jour, et notamment le lien avec les orientations stratégiques approuvées par la Direction Générale de la banque. Sélectionner quelques projets et s'assurer qu’ils sont en ligne avec ces orientations stratégiques.
140
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
S'assurer que ce suivi est effectué, soit dans le cadre d'un Comité réunissant les principaux responsables de la banque, y compris la Direction Générale, soit par un reporting formalisé à ces responsables.
1.2 - Conduite des activités. Objectifs/points de contrôle. La fonction informatique est-elle dotée des moyens permettant un pilotage efficace de son fonctionnement et de son évolution ? La fonction informatique dispose-t-elle des moyens financiers adaptés à sa mission et ceux-ci sont-il gérés et contrôlés de façon adéquate ? Un budget informatique est-il élaboré en conformité avec le processus budgétaire global de l'entité, recense-t-il l'ensemble des dépenses et des recettes associées aux systèmes d'information, et fait-il l'objet d'un suivi formalisé ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Se procurer le budget informatique. Vérifier en particulier que l'élaboration de ce budget fait l'objet d'une concertation suffisante entre les Directions de l'entité afin de tenir compte des orientations des Directions "utilisatrices" de l'informatique. Se procurer les documents de suivi du budget informatique. Vérifier en particulier l’adéquation de l’analyse des écarts entre le budgété et le réalisé, et de la justification du prévisible. Plans de travail. Objectifs/points de contrôle. Le plan informatique à long terme est-il régulièrement traduit en plans de travail à court terme qui prévoient l’affectation des ressources humaines et matérielles ? Ces plans sont-ils périodiquement réexaminés et mis à jour ? Les plans de travail sont-ils cohérents par rapport aux budgets informatiques ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Demander la communication des versions successives des plans informatiques à court terme et vérifier leur cohérence avec le plan à long terme. S'assurer que ces plans incluent les développements, la maintenance, et qu'une marge de manœuvre est conservée afin de réaliser des travaux exceptionnels et urgents. S’assurer que les travaux prévus aux plans de travail sont cohérents par rapport aux lignes budgétaires approuvées par la Direction Générale de la banque.
141
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Pilotage et suivi de l'activité. Objectifs/points de contrôle. Des instances permanentes ou ponctuelles permettent-elles de piloter de manière adéquate les activités conduites par la fonction informatique de la banque ? Des tableaux de bord de gestion, comportant un ensemble pertinent et complet d'indicateurs, sont-ils élaborés et exploités pour le pilotage de la fonction informatique au sein de la banque ? Un reporting périodique de l'activité de la fonction informatique de la banque est-il effectué auprès de la Direction Générale de la banque ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Recenser les instances existantes et analyser leurs modalités de fonctionnement. Récupérer les traces formelles des réunions de ces instances et vérifier que des décisions y sont prises et suivies d'effet. Collecter les différents tableaux existants et analyser leur contenu. Vérifier qu'ils contiennent des indicateurs relatifs aux différentes activités de la fonction informatique, y compris les principales évolutions de la structure (effectifs / organisation...), les principaux développements, la volumétrie en exploitation, les principaux incidents, et des éléments de suivi budgétaire. Déterminer si ces tableaux de bord sont utilisés pour des décisions de gestion. Prendre connaissance de ce reporting et vérifier qu'il reprend fidèlement les principaux indicateurs relatifs à l'activité de la fonction informatique. Moyens techniques. Objectifs/points de contrôle. Dispose-t-on d'un inventaire à jour de tous les équipements24 avec leur emplacement et leurs connexions ? Des inventaires physiques périodiques sont-ils effectués et existe-t-il un rapprochement périodique avec la comptabilité ? Existe-t-il une gestion de la performance et de la capacité des équipements ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Apprécier l'exhaustivité, la lisibilité, et les procédures de mise à jour de cet inventaire. Obtenir les résultats du dernier inventaire physique : apprécier les procédures mises en oeuvre, y compris l’analyse des écarts et le rapprochement avec la comptabilité. Obtenir le reporting correspondant : apprécier la couverture des équipements concernés, et déterminer si ce reporting permet d’anticiper correctement des modifications de configuration pour améliorer les performances et la capacité de traitement.
24
Equipements concernés: serveurs, postes de travail, imprimantes, équipements réseau (routeurs, multiplexeurs, concentrateurs, modems...)
142
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Gestion des ressources humaines Objectifs/points de contrôle. La fonction Informatique dispose-t-elle des ressources humaines adaptées à ses missions ? La durée moyenne de formation (interne/externe) du personnel est-elle suffisante par rapport aux besoins et aux évolutions technologiques ? La fonction SI gère-t-elle ses ressources à partir d'un plan de gestion formalisé? Le turn-over des collaborateurs est-il limité (de l’ordre de 5 à 15% par an) ? Des mesures ont-elles été prises de manière à éviter que toute fonction essentielle dépende de la présence d'une personne clé unique (back-up des compétences) ? A-t-on le sentiment que le climat social est correct et qu'il n'y a pas à redouter d'action bloquante pour l'exploitation informatique ou d'action interne malveillante?
Risques. Efficacité, efficience. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Recenser le personnel de la fonction informatique. Analyser pour les différents responsables et catégories de personnel, leur formation initiale et complémentaire, ainsi que leur expérience vis à vis des postes occupés. S'assurer que la durée de formation est suffisante (supérieure à 5 jours par an et par personne), notamment dans les domaines évolutifs (net, réseaux / telecom ...) et dans la conduite de projets,... S'assurer que la planification de la fonction informatique intègre la gestion des ressources. Vérifier que le personnel peut évoluer en fonction de ses aptitudes au sein de la fonction informatique. Identifier les raisons d'un éventuel turnover important. S'assurer que des mesures ont été prises pour le réduire : prime, formation, évolution de carrière, ... Identifier les personnes clés de la fonction sur lesquelles reposent des responsabilités ou connaissances importantes (ex: chef de projet, responsable de l'exploitation, ...). Vérifier l'existence d'une personne susceptible de les remplacer en cas d'absence temporaire ou définitive.
1.3 - Gestion des projets. Objectifs/points de contrôle. La banque a-t-elle établi une structure générale de gestion de projets qui définit la méthodologie à appliquer pour chaque projet entrepris ? Cette méthodologie couvret-elle, au minimum, l’attribution des responsabilités entre la Maîtrise d’Ouvrage (MOA) et la Maîtrise d’œuvre (MOE), le jalonnement des tâches, l’établissement et le suivi du budget temps et ressources, les points de contrôle et de validation ? La MOA des départements utilisateurs participe-t-elle systématiquement à la définition et à l’autorisation d’un projet de développement, de mise en œuvre ou de modification ? La méthodologie de gestion de projet prévoit-elle l’approbation d’un projet par la Direction Générale de la banque et l’approbation des différents lots et des différentes phases par la MOA ? 143
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La méthodologie de gestion de projet prévoit-elle une méthode et un contrôle du suivi des charges de travail et des dépenses engagées tout au long de son développement ? Tout projet fait-il l'objet d'une démarche méthodologique et de l'utilisation d'outils de suivi normalisés ? Le suivi des projets se fait-il de manière rigoureuse pour éviter tout dérapage non contrôlé en termes de délais et de coûts ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Se faire communiquer et apprécier la méthodologie de gestion de projet retenue par la banque. Sélectionner un échantillon de projets en fonction de leur taille et de leur criticité. Pour chacun des projets de l’échantillon, étudier la cohérence et la pertinence de la méthodologie effectivement appliquée. Se faire communiquer les documents attestant de la participation de la MOA des départements utilisateurs (note de cadrage, cahier des charges, avant-projet,...). Vérifier sur l’échantillon sélectionné que les projets ont été formellement autorisés par la Direction Générale de la banque et que la MOA approuve chaque lot et chaque phase du cycle de développement des projets. Contrôler les documents de suivi des projets (contrôle de gestion). Vérifier l’existence d’une méthodologie et d’outils de suivi de projet normalisés. Vérifier sur l’échantillon sélectionné que les projets sont suivis par une instance adaptée, à partir d'un reporting adéquat des travaux effectués, et vérifier l’utilisation effective de la méthodologie et des outils de suivi. Analyser les différences entre les plannings et coûts initialement prévus et effectivement constatés en fin de projet.
1.4 – Gestion de la qualité. Objectifs/points de contrôle. Une personne est-elle en charge de la qualité interne, ou vis-à-vis des tiers, des prestations de la fonction informatique de la banque ? Des niveaux de services ont-ils été définis et sont-ils régulièrement mesurés pour évaluer la qualité des prestations fournies à ses clients (internes / externes) par la fonction informatique de la banque ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Prendre connaissance de la définition de fonction de la personne en charge de la qualité. Vérifier que ce poste dispose de moyens nécessaires à la réalisation de ses objectifs. Recenser les domaines dans lesquels existent des conventions de services. S’assurer que les indicateurs sont pertinents et mesurables de manière objective, et qu’il y a eu concertation entre la fonction informatique et ses clients pour leur détermination.
144
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Vérifier que des mesures régulières des niveaux de services sont effectuées à l’aide de ces indicateurs, et que des actions d’améliorations sont engagées le cas échéant à partir de ces mesures.
1.5 - Assurances. Objectifs/points de contrôle. Le choix des garanties en matière informatique correspond-il à une stratégie résultant d'une étude spécifique, validée par la Direction Générale de la banque ? Le système informatique est-il couvert par un contrat d'assurance couvrant les dommages matériels ? La banque a-t-elle souscrit un contrat couvrant les frais supplémentaires d’exploitation en cas de sinistre ? La banque a-t-elle souscrit un contrat couvrant les frais de reconstitution de médias25? La banque a-t-elle souscrit d'autres contrats liés aux précédents (Globale informatique, Responsabilité civile, Pertes d'exploitation, etc...) ?
Risques. Efficacité, efficience. Approches d’audit & sondages. Vérifier que le montant et la nature des risques couverts ont été déterminés par une étude précise portant notamment sur le matériel (configuration centrale, réseaux...), les risques de fraude ou de détournement, les coûts de reconstitution de supports, les pertes d'exploitation éventuelles, etc ... Vérifier que les risques suivants sont bien mentionnés : la détérioration d'origine externe mais aussi interne, d'ordre électrique ou mécanique, les phénomènes naturels, le vol ou la tentative de vol de matériel (s'assurer que le contrat inclut une garantie de vol sans effraction). S'assurer que le contrat d'assurance prend bien en charge les frais supplémentaires d'exploitation, c'est-à-dire ceux qui sont mis en œuvre au moment du sinistre, la couverture du back-up, les biens et services de remplacement, les frais supplémentaires de transport et de main d'œuvre. S'assurer que le contrat couvrant les frais de reconstitution des médias concerne les programmes développés pour les besoins spécifiques de l'entreprise et les adaptations des progiciels aux besoins particuliers de l'entreprise. Vérifier que les sauvegardes correspondantes existent et sont effectuées régulièrement, pour rendre possible la mise en jeu de la garantie. Vérifier que les risques couverts par les différents contrats sont complémentaires, non redondants, et cohérents par rapport à la stratégie d’assurance de la banque.
1.6 – Conformité aux lois / règlements et aux normes. Objectifs/points de contrôle. Des mesures ont-elles été prises pour faire respecter la législation concernant la protection de la propriété des logiciels 26 ? 25 26
Il s'agit des moyens de stockage de type "unité disques" contenant programmes et données utilisés pour le fonctionnement des systèmes informatiques Il s'agit essentiellement de la protection contre le piratage informatique (copie, utilisation et diffusion illicites de logiciels).
145
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Conformité. Approches d’audit & sondages. Vérifier notamment que les logiciels font l’objet d’une licence.
1.7 - Ethique et déontologie. Objectifs/points de contrôle. Le règlement intérieur comporte-t-il des dispositions spécifiques en matière d'éthique et de déontologie concernant l'usage du système d'information ? Remet-on des documents ad hoc aux nouveaux arrivants dans l'entité et leur fait-on le cas échéant signer des documents relatifs à leurs obligations en matière d'usage du système d'information ?
Risques. Conformité, disponibilité. Intégrité, confidentialité. Juridique, image. Approches d’audit & sondages. S'assurer qu'il existe une définition claire et précise des droits et devoirs auxquels sont soumis les intervenants sur le système d'information, et que ces éléments sont dûment communiqués aux personnes concernées. Vérifier qu'en cas de non respect, des sanctions sont prévues et appliquées. Se procurer ces documents (ex : moyens mis en oeuvre par l’entreprise pour contrôler l’utilisation des services Internet mis à la disposition du personnel). Si un document est signé par les nouveaux arrivants, s'assurer du caractère systématique de cette procédure sur un échantillon.
1.8 – Veille et standards technologiques.
Objectifs/points de contrôle. Une fonction de « veille technologique » a-t-elle été définie ? Quels sont ses objectifs et les moyens qui lui sont alloués ? Les travaux effectués font-il l’objet d’une formalisation ? La fonction informatique élabore-t-elle et diffuse-t-elle des normes / standards pour l’ensemble des domaines placés sous sa responsabilité ? Risques. Efficacité, efficience. Approches d’audit & sondages. Si cette fonction existe, vérifier qu’elle dispose de suffisamment de moyens pour être réellement opérationnelle. Se procurer et analyser les documents produits et diffusés. Recenser ces standards en matière de sécurité, d’architecture technique / fonctionnelle, de conduite de projet, de développement, d’exploitation, de micro-informatique, et vérifier que ces standards sont respectés.
146
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
1.9 - Gestion des services assurés par des tiers.
Objectifs/points de contrôle. Chaque prestation confiée en externe est-elle contractualisée et régulièrement suivie et contrôlée par un responsable de la banque clairement identifié ? Les contrats avec les prestataires de services informatiques font-ils l'objet d'une validation par le département juridique et/ou la Direction des Achats avant signature ? Les contrats incluent-ils systématiquement une clause d'auditabilité des prestations fournies, précisant les modalités d’audit ? Les contrats de sous-traitance incluent-ils systématiquement une clause de réversibilité, précisant les modalités de reprise en interne des prestations ? Risques. Conformité, efficience, efficacité, conformité, juridique. Approches d’audit & sondages. Identifier les principales prestations externes, et vérifier pour chacune d’elles l'existence d’un contrat, d’un responsable du suivi de la prestation et de procédures de suivi et de contrôle effectives (en principe sur la base de conventions de service). Interroger le département juridique et/ou la Direction des Achats pour savoir s'il(s) a(ont) été consulté(s) sur des contrats récemment signés par la fonction informatique avec des tiers. Vérifier sur un échantillon que les avis émis sont formalisés. Recenser les contrats et vérifier l'existence d'une telle clause et sa portée effective. Recenser les contrats de sous-traitance et vérifier l'existence d'une telle clause et son applicabilité effective.
1.10 - Contrôle indépendant de l’activité informatique. Objectifs/points de contrôle. Des audits internes et externes de la fonction informatique sont-ils effectués de manière régulière, et donnent-ils lieu à des plans d’actions correctrices ?
Risques. Efficacité, efficience, conformité. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Recenser ces audits et vérifier que les recommandations ont fait l’objet de plans d’actions correctrices. S’assurer que le périmètre de ces missions couvre l’ensemble de la fonction informatique (absence de « sanctuaire »).
1.11 - Evaluation des risques.
Objectifs/points de contrôle. Existe-t-il une évaluation régulière des risques informatiques qui pourraient mettre en péril la réalisation des objectifs de la banque ? Cette évaluation constitue-t-elle une base afin de déterminer comment gérer les risques pour les réduire à un niveau acceptable ? Existe-t-il un plan d’actions visant à mettre en œuvre des contrôles et des mesures de
147
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
sécurité pour diminuer l’exposition aux risques et ce de façon permanente ? Une mise à jour des analyses et des actions et est-elle périodiquement effectuée en tenant compte notamment des résultats des audits, et des incidents constatés ? Existe-t-il une acceptation formelle des risques résiduels (après mise en oeuvre des plans d’actions correctrices) par le management, en fonction de l’estimation des risques, de la politique organisationnelle, de l’incertitude inhérente à l’approche même de l’évaluation des risques et du rapport coût / efficacité de la mise en œuvre des mesures de protection et de contrôle ? Les risques résiduels sont-ils compensés par une couverture d’assurance adéquate ?
Risques. Efficacité, efficience, conformité. Disponibilité, intégrité, confidentialité.
Approches d’audit & sondages. Prendre connaissance des résultats des analyses récentes des risques informatiques. S’assurer que l’évaluation des risques se fait de manière intégrée au niveau général des activités de la banque et au niveau spécifique des systèmes d’information de la banque. Prendre connaissance des plans d’actions existants visant à réduire les risques identifiés. Déterminer si ces plans d’actions adressent les principaux risques identifiés. Déterminer si les risques résiduels sont clairement identifiés et formellement acceptés par les responsables de la banque, sur des bases objectives. Déterminer si les risques résiduels sont correctement couverts par des assurances.
2. Sécurité. 2.1 - Cadre de la sécurité
Objectifs/points de contrôle. La sécurité du système d'information est-elle une préoccupation effective au sein de la banque ? Cette préoccupation s'est-elle traduite par la mise en place d'une organisation, de procédures et d'outils adaptés, permettant la maîtrise effective des risques auxquels se trouve exposée la banque en matière d'organisation informatique et de systèmes d'information ? Les aspects de sécurité informatique sont-ils intégrés dans les politiques et procédures de la banque 27? Risques. Disponibilité, intégrité, confidentialité, efficacité, efficience. Approches d’audit & sondages. Interroger des membres du personnel de la banque à tout échelon hiérarchique sur le sujet. Rechercher dans les politiques et procédures de sécurité informatique de la banque des éléments accréditant le caractère effectif de cette préoccupation.
27
Ressources humaines, communication, juridique, déontologie, gestion des risques, ...
148
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Rechercher la présence d'une charte sécurité définissant les rôles et responsabilités, ainsi que les droits et devoirs, de chaque type d’intervenants de la banque vis à vis de la sécurité. Faire de même pour les exigences légales et réglementaires en matière de sécurité des systèmes d'information. Procéder par interview et/ou par examen des procédures existantes.
2.2 - Analyse des risques
Objectifs/points de contrôle. Une cartographie des risques de la banque liés à la sécurité des systèmes d’information a-t-elle été réalisée/mise à jour depuis moins d’un an ? La banque a-t-elle déterminé le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de ses métiers ? La banque a-t-elle effectué une classification – selon les critères de la sensibilité / criticité des processus et des informations en fonction de l’impact qu’un « sinistre » touchant ces processus et ces informations aurait sur la banque ? Des missions périodiques de contrôle visant spécifiquement la mise en œuvre de la sécurité des systèmes d’information sont-elles réalisées ? Existe-t-il au sein de la banque des tableaux de bord / indicateurs périodiques de mesure et de pilotage des risques liés à la sécurité des systèmes d’information ? 28
29
30
31
Risques. Disponibilité, intégrité, confidentialité, conformité. Approches d’audit & sondages. Analyser la pertinence de cette étude qui doit comprendre un périmètre, une méthodologie, une évaluation des différents types de risques liés à la sécurité informatique, et le plan d’actions pour traiter ces risques. Prendre connaissance de la manière dont ce niveau a été défini (par exemple, par une étude de vulnérabilité et/ou l’utilisation d’une classification32 déterminée par les propriétaires des processus / des informations). S’assurer de la couverture de l’ensemble des processus et des informations de la banque, notamment dans les domaines transverses (gestion des clients, flux…). Vérifier que ce travail a été effectué par les propriétaires ou par des responsables utilisateurs représentatifs et ayant une bonne connaissance de leur activité. Se procurer les rapports de ces missions. Analyser l’exhaustivité et la périodicité de ces missions sur le périmètre de la sécurité de la banque et leur degré d’approfondissement et de pertinence. Vérifier que leurs conclusions servent à mettre à jour la cartographie des risques au travers de l’appréciation du contrôle interne. Se procurer, quand ils existent les tableaux de bord / indicateurs existants, et vérifier le niveau de couverture des différents types de risques au travers de ces outils.
28
Technologie, sécurité, continuité de service, réglementation, etc Les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Incidents, erreurs, indiscrétion, fraude, sabotage 31 Audit interne et externe, contrôles du responsable sécurité, ... 32 Disponibilité, Intégrité, Confidentialité, Preuve 29 30
149
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
2.3 - Plan sécurité.
Objectifs/points de contrôle. Existe-t-il au sein de la banque un plan sécurité des systèmes d'information remis à jour périodiquement et dont la mise en œuvre est suivie régulièrement ? Ce plan a-t-il été établi à partir d'éléments objectifs ? Ce plan couvre-t-il bien l'ensemble des systèmes informatiques de la banque ?
Risques. Disponibilité, Intégrité, Confidentialité, Efficacité, Efficience.
Approches d’audit & sondages. Analyser le contenu du plan sécurité33. Etudier les modalités de mises à jour du plan : évolution des configurations matérielles et logicielles / applicatives, recommandations faites sur la sécurité (audit interne ou externe, responsable sécurité, ...). S'assurer de la correcte mise en œuvre des actions du plan en termes de contenu et de délais (consulter notamment les comptes rendus des instances de pilotage et de suivi de la sécurité). Vérifier que l'élaboration du plan s'est effectuée à partir d'une évaluation des risques ou d'audits sécurité. Vérifier le niveau de couverture des systèmes d’information à partir de l’inventaire disponible. S'assurer notamment que les micro-ordinateurs (autonomes ou connectés au réseau) et l'I*net34 sont couverts par le plan.
2.4 - Organisation, responsabilités et instances.
Objectifs/points de contrôle. Existe-t-il un Comité chargé d'étudier tous les problèmes liés à la sécurité, se réunissant périodiquement et dont les travaux sont formalisés ? La sécurité informatique dispose-t-elle au sein de la banque d'un poste spécifique (Responsable de la Sécurité des Systèmes d'Information) sur l'organigramme, avec un rattachement hiérarchique élevé assorti d'une définition de fonction et d'un budget spécifique ? Existe-t-il des administrateurs de sécurité, distincts du responsable sécurité , chargés de la gestion quotidienne de la sécurité et des accès ? Existe-t-il des propriétaires nommément désignés des processus / traitements et des informations / données, responsables des règles, procédures et autorisations d'utilisation des processus et des informations dont ils ont la charge ? Existe-t-il au sein de la banque une sensibilisation et une information régulière de l'ensemble des utilisateurs concernant les problèmes de sécurité ? Les règles de sécurité informatique à respecter sont-elles intégrées dans les contrats /Conventions de services signés par les prestataires externes ? L'utilisation des postes de travail (autonomes ou connectés à un réseau local) fait-elle l'objet de procédures de sécurité particulières dont la mise en œuvre est contrôlée ? 35
33
Il doit comprendre une évaluation quantitative des risques, une définition des risques intolérables (en liaison avec les utilisateurs), les moyens de sécurité existants, ceux à mettre en place, le planning et les priorités, un budget annuel de la sécurité, les principes et règles de sécurité à mettre en place, ainsi que les responsabilités et dates prévues de mise en oeuvre 34 Internet, Extranet, Intranet 35 Pour les entités de taille importante, il est recommandé que le responsable sécurité n'administre pas lui-même la sécurité.
150
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Disponibilité, intégrité, confidentialité, efficacité, efficience. Approches d’audit & sondages. Se procurer le document décrivant les objectifs et le fonctionnement du Comité. Analyser sa composition, récupérer les derniers comptes-rendus et évaluer la réalité de son rôle dans le domaine de la sécurité. Prendre connaissance de la définition de fonction du responsable sécurité. Vérifier que le rattachement du poste se fait au moins au niveau du responsable informatique et de préférence directement à la Direction Générale de la banque (pour garantir son indépendance). S'assurer qu'il dispose de véritables moyens pour assumer sa fonction (temps, budget, compétences, ...). Prendre connaissance de leur définition de fonction. S'assurer que leurs travaux sont correctement tracés et contrôlés périodiquement par le responsable sécurité. S'assurer de la couverture de l'ensemble des activités de l'entité notamment dans les domaines transverses (gestion des fichiers clients, flux...) par ces propriétaires. Prendre connaissance des rôles et responsabilités des propriétaires et de la réalité de leur action. Interroger des membres du personnel de la banque à tous les échelons hiérarchiques et évaluer leur degré de sensibilisation et d'information. S'assurer de l'existence de supports pour la sensibilisation / l'information36. Vérifier, dans la manière de travailler du personnel, que la sécurité est une préoccupation permanente. Examiner quelques contrats / conventions. Vérifier notamment qu'ils précisent que toutes les règles37 et procédures de la banque relatives à la sécurité doivent être respectées et qu'elles ont été portées au préalable à la connaissance des prestataires.
2.5 – Sécurité logique. Objectifs/points de contrôle. L’intégrité des informations enregistrées dans (et restituées par) les systèmes informatiques est-elle préservée par les dispositifs de sécurité logique mis en place ? De même, la confidentialité des informations sensibles est-elle préservée ?
Risques. Intégrité, confidentialité. Approches d’audit & sondages. S’assurer que les contrôles mis en place a priori (identification / authentification, habilitations, …) et a posteriori (revue périodique des habilitations, analyse des logs, …) sont complémentaires et permettent de préserver l’intégrité et la confidentialité des informations.
36 37
Par exemple: charte de sécurité, formation / action de sensibilisation (journal interne, ...) Clause de confidentialité, règles d'accès aux matériels, logiciels, données et documentations en plus des procédures applicables à l'ensemble du personnel
151
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
2.6 - Dispositifs / outils de sécurité logique.
Objectifs/points de contrôle. La gestion des droits d'accès est-elle prise en charge par un logiciel spécifique et/ou un composant du système de base ? L'accès aux fonctions de gestion / d'administration des habilitations et des paramètres de sécurité est-il strictement limité ? Risques. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Analyser l'architecture de la sécurité d'accès et les systèmes de sécurité en place38 pour accéder aux traitements et données informatiques. S'assurer qu'elle couvre tous les systèmes : serveurs centraux (mainframe), serveurs décentralisés, micro-ordinateurs connectés ou connectables, réseaux,... Lister les utilisateurs ayant accès à ces fonctions. S'assurer que cette liste est limitée aux personnes en charge de l'administration de la sécurité.
2.7 – Identification et authentification.
Objectifs/points de contrôle. Existe-t-il pour chaque utilisateur une identification et une authentification (mot depasse, clé ou carte personnelle, …) effectivement utilisées et conditionnant l’accès aux systèmes d’information et à leurs données ? Risques. Disponibilité, Intégrité, Confidentialité. Approches d’audit & sondages. S’assurer, pour quelques systèmes / données sensibles sélectionnés, que chaque utilisateur dispose de son propre identifiant (le partage au travers d’identifiants génériques étant à proscrire) pour y accéder. Vérifier que les mécanismes d’identification et d’authentification couvrent tous les points d’accès39 aux systèmes informatiques. S’assurer que des procédures sont en place afin de préserver l’efficacité des mécanismes d’authentification par mot de passe.
2.8 - Procédure de gestion des habilitations.
Objectifs/points de contrôle. Existe-t-il une procédure de gestion des profils et des habilitations des utilisateurs, incluant une approbation formelle pour l'octroi des droits d'accès ? Chaque utilisateur n'a-t-il accès qu'aux systèmes et aux données qui lui sont nécessaires à la réalisation des tâches propres à sa fonction ? Des précautions sont-elles prises pour la protection de l'accès aux données confidentielles conservées sur ordinateur personnel, réseau local ou messagerie.
38 39
Pour les utilisateurs et les informaticiens (interne et externes) Connexion par le réseau commuté et les autres voies d'entrée sur le système (réseau local principalement)
152
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Vérifier si la procédure traite l'ensemble des événements de la gestion des habilitations (création, modification, suppression) incluant une demande écrite et sa validation formelle. Pour quelques utilisateurs sur quelques systèmes sensibles, vérifier l'existence des demandes et leur validation formelle. S'assurer également que les ajouts d'accès font l'objet d'une demande et que la suppression / modification des profils / habilitations est rapide après le départ / la mutation d’un collaborateur. Pour cela, prendre la liste les derniers départs et mutations au sein de l'entité. Sur quelques systèmes sensibles, faire un sondage principalement pour quelques utilisateurs ayant des accès privilégiés (très étendus). S'assurer que chaque utilisateur n'a que les accès (en consultation, ajout, modification ou suppression) qui lui sont nécessaires.
2.9 - Interconnexions avec l’extérieur.
Objectifs/points de contrôle. Tous les systèmes informatiques / serveurs de la banque accédés depuis l’extérieur sont-ils correctement sécurisés ? Dans le cadre d’échanges ou de transactions électroniques entre la banque et l’extérieur, les procédures en place permettent-elles de vérifier l’authenticité de la contrepartie extérieure, de garantir l’authenticité et la non-répudiation et des échanges ou des transactions ? L’intégrité des échanges ou des transactions électroniques entre la banque et l’extérieur est-elle garantie par des dispositifs adaptés ? Les procédures permettent-elles de garantir la protection des clés de chiffrement (clés SWIFT notamment) ? Face aux virus, des mesures adéquates ont-elles été mises en œuvre pour la prévention, la détection et la correction ? L’utilisation des services Internet par le personnel de la banque est-elle effectuée dans des conditions sécurisées ? Si la banque a mis en œuvre des sites Internet, Intranet ou Extranet, des études de sécurisation de ces sites ont-elles été menées ? Ces sites, comme les connexions des utilisateurs à ceux-ci, ont-ils été correctement sécurisés –par le biais de l’utilisation de pare-feu (Firewall ) et de DMZ , et de protocoles tels que SSL pour les connexions ? A-t-on recours à des sociétés de services informatiques pour simuler des attaques externes (tests d’intrusions) afin d’évaluer et d’améliorer le cas échéant le niveau de sécurité en place ? Avant de rendre opérationnel un site, une étude est-elle soumise au service juridique compétent afin de s’assurer du correct traitement des aspects juridiques, fiscaux, réglementaires et prudentiels ? 40
41
42
40
Pare-feu: Mécanisme employé pour protéger le réseau interne d’une entreprise des accès ou usages non autorisés tout en permettant aux utilisateurs locaux d’accéder à l’Internet. DeMilitarised Zone: Il s'agit d'une zone "tampon" entre les systèmes informatiques (réseau interne) de l'entité et le réseau externe (Internet). 42 Secure Socket Layer (SSL): protocole de sécurisation des transactions assurant la confidentialité, l'intégrité et en principe l'authentification des parties et la non-répudiation des transactions par l'usage de la cryptographie à clés publiques, fondé sur le contrôle d'intégrité et le chiffrement des données 41
153
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Obtenir l’inventaire des points d’accès à distance aux systèmes informatiques de la banque. S’assurer qu’ils sont sécurisés par des procédures de « call-back » ou d’accès dûment sécurisés. Vérifier que les accès / tentatives provenant de l’extérieur sont enregistrés dans des logs analysés régulièrement (les tentatives d’accès infructueuses doivent en principe être analysées au jour le jour). Recenser les échanges ou transactions électroniques effectués par la banque avec l’extérieur. Pour chacun d’entre eux, vérifier l’existence d’un mécanisme d’authentification fiable (mot de passe, clé de chiffrement, ...), de non-répudiation (signatures électroniques, horodatage, certificats émis par des tiers de confiance,...). S’assurer que des mécanismes de contrôle d’intégrité adaptés (hash coding / scellement43 par exemple) sont utilisés. Apprécier les dispositifs de protection (sécurité physique et logique, séparation de fonctions,...) en place. Recenser les sites déployés par la banque, et les études de sécurisation existantes. Vérifier que des règles de sécurisation ont été suivies. S’assurer que le paramétrage des firewalls a été effectué par des spécialistes de la sécurité Internet et qu’une DMZ est utilisée. Se procurer les rapports de ces prestations et vérifier que les faiblesses relevées ont été corrigées rapidement et/ou qu’un plan d’actions a été établi. Vérifier auprès du service juridique de la banque la nature du travail effectué sur ce point pour les sites mis en oeuvre, et que d’éventuelles consultations auprès de spécialistes extérieurs à la banque ont eu lieu si en interne les compétences n’étaient pas suffisantes.
2.10 - Contrôle a posteriori des accès (niveaux 1 et 2 ). 44
Objectifs/points de contrôle. Une revue périodique des profils utilisateurs est-elle effectuée par un responsable afin de vérifier le respect des procédures et de confirmer les droits d’accès existants ? A-t-on instauré des règles de journalisation45 d'évènements liés à la sécurité informatique? Existe-t-il un contrôle systématique, périodique et centralisé des événements journalisés? Certains types de violation d'accès sont-ils remontés en temps réel au responsable sécurité pour contrôle ? Les opérations effectuées par les administrateurs de la sécurité sur les systèmes de sécurité sont-elles journalisées sans possibilité d'altération ? Ces traces sont-elles revues périodiquement par un responsable sécurité distinct des administrateurs de sécurité ? Risques. 43
Technique de représentation d’un texte en clair en un équivalent symbolique (« hash code » / sceau) indécodable, qui permet de détecter toute altération du texte en clair. Les contrôles de niveau 1 sont contenus dans le traitement des opérations (contrôles informatiques, contrôles manuels) et ceux du niveau 2 sont effectués par la hiérarchie qui supervise le traitement des opérations. 45 Trace d'enregistrement 44
154
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. S'assurer de l'existence d'une telle revue par un responsable sécurité et/ou un responsable hiérarchique, et consulter les éléments qui la supportent. En l'absence de formalisation de la revue, la refaire sur un échantillon et confronter les résultats avec ceux (oraux) obtenus par le responsable. S'assurer que les principaux événements liés à la sécurité sont enregistrés et conservés sur une période suffisante. S'assurer la formalisation de ces contrôles et des actions qui en sont issues. Vérifier que les logs mis en place sur les firewalls sont analysés fréquemment par une personne compétente. S'assurer que les violations remontées sont les plus pertinentes et risquées, et qu’elles sont effectivement contrôlées. Se faire communiquer les types d’opérations concernées et demander la justification d'éventuelles modifications abaissant le niveau de sécurité. Interroger les administrateurs ou le responsable sécurité pour savoir si ces opérations sont journalisées et revues de manière indépendante. Examiner par sondage les supports de ces revues afin d’évaluer le caractère effectif et la pertinence des contrôles effectués.
2.11 - Sécurité physique.
Objectifs/points de contrôle. Les moyens et procédures mis en œuvre permettent-ils d'assurer la sécurité physique du système d'information (contrôle d'accès physique, protection environnementale, incendie, dégâts des eaux, humidité, chaleur, coupures électriques,...)? Les différents équipements de sécurisation des locaux informatiques et de son environnement sont-ils sous contrat de maintenance et vérifiés / testés périodiquement? Existe-t-il des consignes de sécurité générale affichées, connues et testées?
Risques. Disponibilité, intégrité.
46
Approches d’audit & sondages. Sur ce point de contrôle, une visite des différents locaux hébergeant les équipements informatiques est indispensable pour constater par observation les dispositifs en place (visite à effectuer avec le responsable du centre de production informatique et/ou celui des services généraux / logistiques). Se procurer les contrats de maintenance des matériels, les comptes-rendus d'intervention de maintenance préventive / curative, les comptes-rendus de tests. S'assurer que l'ensemble des équipements sont couverts par des contrats et que des interventions préventives périodiques (une à deux fois par an) ont lieu. S'assurer que les consignes sont affichées, ont fait l'objet d'une information / formation et sont testées périodiquement. Interroger sur ce sujet les membres du personnel et se faire communiquer les consignes et les comptes-rendus de tests.
46
Equipements de contrôle d’accès, détection et extinction incendie, détection humidité, climatisation, onduleurs, batteries, groupes électrogènes, ...
155
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
2.12 - Sécurité de l'environnement.
Objectifs/points de contrôle. Des études ont-elles été réalisées sur les dangers présentés par des facteurs externes sur les locaux informatiques renfermant des équipements informatiques sensibles et les recommandations prescrites ont-elles été suivies d'effet ? Le bâtiment a-t-il été spécialement construit pour l'informatique et/ou est-il à l'usage exclusif de l'informatique ? Le site informatique est-il peu connu et peu repérable ? Le transformateur alimentant les locaux informatiques est-il correctement sécurisé? Existe-t-il une régulation électrique (contre les pannes électriques et les variations de extension) comportant au moins un onduleur complété de batteries garantissant une autonomie suffisante ? Ses caractéristiques répondent-elles aux prescriptions des constructeurs de matériels informatiques ? Est-elle testée régulièrement et dispose-t-elle d'un secours? Existe-t-il un groupe électrogène pouvant être rapidement opérationnel en cas de coupure de l'alimentation électrique ? Pour les salles ordinateurs, dispose-t-on de disjoncteurs séparés par matériel informatique important, d'un tableau électrique d'accès facile et d'une coupure générale "coup de poing"47 ? La conformité des installations électriques a-t-elle été vérifiée par un organisme agréé ? Un système de climatisation (température, hygrométrie, poussière) est-il installé et opérationnel ? Ses caractéristiques répondent-elles aux prescriptions des constructeurs des matériels informatiques utilisés ? Est-il testé régulièrement et dispose-t-il d'un secours?
Risques. Disponibilité, intégrité.
Approches d’audit & sondages. S'assurer que ces études ont bien pris en compte les principales menaces liées à l'environnement extérieur48. En l'absence d'étude particulière, vérifier que le responsable informatique a conscience de ces risques. S'assurer que des dispositifs spécialisés sont installés pour surveiller et contrôler l'environnement. Vérifier si le bâtiment renferme uniquement les locaux et installations informatiques. Si le bâtiment n'est pas à l'usage exclusif de l'informatique, examiner la liste et la nature d'activité des autres services et départements s'y trouvant. Déterminer si ce voisinage se traduit par des facteurs de risque spécifiques49. S'assurer qu'aucun panonceau n'indique la présence du site informatique et qu'aucun matériel du site n'est visible et facilement accessible de l'extérieur. S'assurer que le transformateur est protégé contre les risques d'incendie, de dégâts des eaux et d'accès non autorisés.
47
Il s'agit d'un disjoncteur permettant d'arrêter l'alimentation de l'ensemble des équipements en une seule opération d'un "coup de poing" d'où le nom de la commande.
48
Menaces liées à l'environnement extérieur: phénomènes météo, inondation (cours d'eau, sources et nappes phréatiques), coulée de boue, orages/foudre (paratonnerre), qualité/stabilité du terrain, zone sismique, etc mais également le voisinage à risques pollution, menaces chimiques, voisinage ou stockage de matières inflammables. 49 Allers et venues de personnes extérieures, stockage de matières inflammables, ...
156
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
S'assurer que les équipements/matériels nécessaires50 au fonctionnement de la salle informatique sont branchés sur l'onduleur et sur le groupe électrogène. Vérifier que la capacité de l'onduleur est suffisante pour les matériels branchés. S'assurer que la capacité réelle (testée) des batteries (généralement 20 minutes) permet, soit l'arrêt "propre" des systèmes informatiques, soit de tenir jusqu'à la fin de la montée en puissance du groupe électrogène. Vérifier que la capacité du groupe électrogène est suffisante pour les matériels branchés. S'assurer que le groupe est testé au moins une fois par mois. Vérifier que la réserve de carburant est située dans un endroit sécurisé, à température régulée et suffisante pour tenir environ 48 heures. Vérifier qu'il est prévu une sécurité de démarrage du groupe par redondance ou mode de secours (air comprimé, essence, batterie, ...). S'assurer que la commande "coup de poing" ne puisse pas être actionnée malencontreusement, mais reste cependant aisément accessible. S'assurer que lors de la mise en place des installations électriques et lors de changements importants leur conformité est vérifiée. Prendre connaissance des procès verbaux d'inspection et s'assurer de la mise en conformité de l'installation avec les recommandations formulées, le cas échéant. S'assurer que l'installation de climatisation est systématiquement réétudiée à l'occasion d'aménagement des locaux, ou de mise en place de nouveaux matériels (serveurs, périphériques, ...). Vérifier la présence de thermomètres, hygromètres et leur emplacement. Relever les indications portées par les instruments de mesure et vérifier qu'elles sont conformes aux plages préconisées par les constructeurs des matériels informatiques.
2.13 - Sécurité incendie et dégâts des eaux.
Objectifs/points de contrôle. L'ensemble des bâtiments renfermant les locaux informatiques (y compris les salles de marchés) et les locaux attenants sont-ils protégés par une installation de détection et d'extinction automatique ? Des extincteurs mobiles sont-ils conservés dans les locaux informatiques et les locaux attenants ? Ces extincteurs sont-ils périodiquement vérifiés ? Est-il interdit de fumer dans les salles informatiques et cette interdiction est-elle respectée? Les salles informatiques sont-elles vierges de tout stock de papier ou matériaux inflammables ? A-t-on fait des études sur les dangers présentés par l'eau dans les locaux informatiques et les locaux attenants ? A-t-on vérifié qu'il n'existe pas de canalisations apparentes ou traversant les fauxplanchers ? Les blocs de climatisation sont-ils à l'extérieur des salles ordinateurs ? Les faux-planchers sont-ils dotés d'un système de détection d'eau ou d'humidité, et en cas de besoin existe-t-il un dispositif garantissant l'évacuation de l'eau ? Risques. Disponibilité, intégrité. 50
Il ne suffit pas d'avoir les serveurs sur onduleurs mais également les équipements de communication et les consoles de pilotage des systèmes informatiques
157
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Se faire décrire les systèmes de détection et d'extinction (sprinklers -eau-, halon / CO2 gaz dangereux-, FM200 -poudre-,...). S'assurer que les faux planchers sont protégés contre le risque incendie par l'existence d'un détecteur et d'une bonbonne de gaz d'extinction sous le faux plancher. S'assurer du nombre suffisant d'extincteurs dans les locaux et de leur accès facile. Vérifier que les types d'extincteurs (eau, gaz, poudre) correspondent aux types de matériel à protéger. Vérifier que les consignes d'utilisation des appareils sont correctement lisibles. Contrôler la date de dernière vérification. Vérifier la présence de panneaux d’interdiction de fumer. S'assurer que les impressions sont effectuées dans un local annexe. Etudier l'implantation géographique des locaux informatiques au sein du bâtiment (risque moindre si la salle est située dans les étages supérieurs). S'assurer qu'il n'existe pas de points d'accumulation d'eau situés à proximité ou au dessus de la salle informatique (toit-terrasse, ballons d'eau, sanitaires, ...). S'il existe des canalisations apparentes, vérifier qu'elles concernent exclusivement le système de climatisation. Vérifier leur implantation. S'assurer que le système de détection d'eau (ou d'un taux d'hygrométrie anormalement élevé) est suffisamment sensible, de manière à se déclencher suffisamment tôt. S'assurer de l'éventuelle existence d'un système d'évacuation d'eau dans les locaux (plancher incliné ou pompes).
2.14 - Contrôle d'accès physique.
Objectifs/points de contrôle. Existe-t-il un système de contrôle d'accès aux salles contenant des équipements sensibles tels qu'unités centrales et périphériques, serveurs, équipements de communication, terminaux dédiés aux transactions sensibles (SWIFT, télex, salles des marchés...) ? Les visiteurs internes ou externes à la banque sont-ils accompagnés par une personne habilitée à accéder aux salles informatiques, et un registre des visiteurs est-il tenu et revu périodiquement ? Risques. Disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Vérifier que l'accès aux salles contenant des équipements sensibles est limité par un dispositif de type digicode, lecteur de badges ou commande d'ouverture à distance. S'assurer de la correcte gestion de ces systèmes d'accès. Contrôler la liste des personnes auxquelles a été remis ou communiqué le code ou un badge. Dans le cas d'un digicode, s'assurer que les codes sont périodiquement changés. Interroger les personnes habilitées à accéder aux salles informatiques sur la procédure en place pour les visiteurs. Vérifier que ces derniers sont systématiquement accompagnés pendant leur séjour dans les locaux, et qu’ils ne disposent pas d’un accès permanent aux salles. Consulter le registre des visiteurs, s'assurer qu'il est complet et revu périodiquement et formellement par un responsable informatique et/ou logistique.
158
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
2.15 - Continuité de service.
Objectifs/points de contrôle. La banque s'est-elle dotée des moyens et de l'organisation lui permettant de maintenir son activité même après un incident majeur ou un sinistre générant une indisponibilité prolongée (partielle ou totale) du système d'information ? Risques. Disponibilité, efficacité, efficience, disponibilité, conformité. Approches d’audit & sondages. Se procurer les plans de continuité / reprise d'activité et les plans de back-up (secours informatique). Examiner les contrats éventuels avec les fournisseurs de services de secours. Examiner les comptes-rendus de tests éventuels. Prendre connaissance des éventuels incidents majeurs ou sinistres déjà survenus et des dispositions prises à ces occasions pour y remédier.
2.16 – Sauvegardes.
Objectifs/points de contrôle. La banque s’est-elle dotée des moyens lui permettant de disposer de copies de ses données aisément utilisables en cas de perte des données d’exploitation d’origine ? A-t-on pris en compte la nécessité d’élaborer des sauvegardes de type production d’une part et de type recours d’autre part ? Les cycles de sauvegarde et les durées de rétention sont-ils compatibles avec les caractéristiques des informations sauvegardées ? Existe-t-il une sauvegarde systématique de l’ensemble des informations des serveurs décentralisés et Bureautiques ? La Direction Informatique propose-t-elle des moyens centraux de sauvegarde des données résidant sur les postes de travail connectés ? Contrôle-t-on régulièrement qu’une reprise ou un redémarrage sont effectivement possibles à partir des sauvegardes ? Sait-on relire les supports ? Est-on assuré de l’exhaustivité des données relues (restaurées) ? 51
52
Risques. Disponibilité, efficacité, efficience. Approches d’audit & sondages. Prendre connaissance des procédures de sauvegarde. Vérifier que les procédures sont correctement appliquées. S’assurer que ces deux types de sauvegardes existent et que leur exhaustivité est garantie. Vérifier l’existence d’une procédure permettant d’intégrer les fichiers et programmes des nouveaux développements et maintenances. S’assurer que les sauvegardes de recours sont stockées dans un lieu distinct de la salle informatique. 51 52
Après incident d'exploitation Après sinistre majeur
159
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Recenser ce type de serveurs et vérifier que des sauvegardes périodiques sont réalisées en fonction de leur criticité / de la criticité des données qu’ils contiennent. Interroger les utilisateurs et les informaticiens sur les possibilités de sauvegardes offertes sur un espace serveur dédié et personnel de leurs fichiers résidant sur microordinateurs. Seuls des tests de restauration peuvent permettre d’être sûr de la qualité des sauvegardes. S’assurer que dans le cas de plantages ou d’incidents informatiques, les sauvegardes utilisées ont pu permettre la reprise des traitements. Pour les sauvegardes de recours, seul un test du back-up peut prouver leur qualité.
2.17 – PCA (Plan de Continuité des Activités ). 53
Objectifs/points de contrôle.
Existe-t-il un Plan de Continuité des Activités de la banque remis à jour au moins chaque année ? Le PCA est-il remis à jour en cas d’évolutions qui le nécessiteraient ? Existe-t-il un PCA, pendant « utilisateurs » du plan de secours informatique ? Une coordination entre les deux plans (informatique et utilisateurs) existe-t-elle afin d’éviter tout déphasage ? Le PCA de la banque couvre-t-il en particulier le domaine des micro-ordinateurs « autonomes » (fixes et portables) et les micro-ordinateurs « en réseau » (serveurs, stations de travail, …) ? Une étude sur la vulnérabilité de la banque face à différents types de risques physiques ou non (pas nécessairement informatiques) a-t-elle été réalisée et a-t-elle entraîné la mise en place d’un Plan de Continuité des Activités de la banque ? A-t-on réalisé une étude préliminaire, qui permette de classer les processus et/ou les applications dans l’ordre décroissant des pertes ou préjudices qui surviendraient après un sinistre physique (total ou partiel), une panne grave ou une grève ? Existe-t-il des locaux et/ou des coffres de sécurité permettant de stocker dans des conditions de sécurité acceptables les supports informatiques contenant des informations dont la perte serait préjudiciable à la banque ? Le PCA contient-il bien les procédures alternatives de traitement à mettre en place par les utilisateurs jusqu’à ce que la fonction informatique soit en mesure de restaurer entièrement ses services après un sinistre ? Un plan de communication a-t-il été défini pour permettre la mise en œuvre des actions de communication adaptées tant en interne qu’en externe en cas de survenance d’un sinistre ? Une cellule de crise a-t-elle été organisée pour gérer un sinistre éventuel ? Le PCA est-il testé périodiquement dans des conditions les plus proche possibles de la réalité de la production ? Risques. Disponibilité, intégrité, efficacité, efficience. Approches d’audit & sondages. S’assurer de la mise à jour périodique du PCA en fonction des évolutions de l’organisation de la banque et de son système d’information. 53
Le plan de continuité est l'outil de contrôle interne qui assure la gestion des ressources et des données informatiques sensibles, en cas d'interruption de traitement. Le plan de continuité des activités comprend les éléments suivants: le plan de secours de la fonction informatique qui s'appuie sur des moyens techniques connus sous le nom de back-up et le plan de reprise d'activités qui intègre les schémas fonctionnels et organisationnels complétant les moyens matériels.
160
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
S’assurer que des procédures ont été élaborées par les départements utilisateurs, en collaboration avec le service informatique, pour organiser la reprise et la continuité des activités à partir du déclenchement du sinistre et jusqu’au retour à la normale. S’assurer que les sauvegardes sont stockées sans délai dans un lieu sécurisé une fois leur création effectuée. Vérifier la cohérence des deux plans en termes de déroulement, de priorités de reprise,… S’assurer que les évolutions de systèmes et procédures à la fois côté informatique et côté utilisateurs font l’objet de mises à jour des plans. Recenser les nouvelles applications ou activités sensibles de la banque (ou des modifications significatives récentes), et vérifier que les plans les prennent bien en compte. S’assurer que cette étude est assez récente pour être pertinente. Vérifier que l’étude a été formalisée et validée par les principaux responsables de la banque. Analyser ce document et vérifier son exhaustivité ; S’assurer que les processus / applications couvrent bien l’ensemble des activités de la banque. Vérifier que l’étude est mise à jour en cas de nouveau processus / application ou de modification importante. S’assurer que l’on a pris en considération dans cette étude les interdépendances entre processus / applications. Analyser ce document. S’assurer qu’il a été élaboré avec des professionnels de la communication et les parties prenantes dans le P.C.A. Vérifier que les procédures de reprise couvrent les différentes étapes du déroulement du plan de secours informatique. Vérifier que les cibles des actions de communication ont été identifiées et les « messages » adaptés. Analyser la composition de la cellule. Vérifier qu’elle regroupe les parties prenantes du PCA (informatique, utilisateurs, communication), y compris les principaux responsables de la banque ; S’assurer que les modalités de la réunion rapide de la cellule sont formalisées et communiquées aux participants (coordonnées, y compris personnelles, lieu de regroupement, …). Prendre connaissance des conditions de tests. Se procurer les comptes-rendus de tests et vérifier que les problèmes rencontrés ont fait l’objet d’adaptations dans le PCA.
2.18 – Plan de back-up / de secours.
Objectifs/points de contrôle. Existe-t-il un plan de secours de l’exploitation informatique (éventuellement en mode dégradé54 et/ou éclaté sur plusieurs sites) ainsi que des documents permettant la mise en œuvre rapide des procédures de secours en cas de sinistre ? Le plan de secours prend-il en compte les évolutions prévues dans le plan informatique / schéma directeur ? Une étude a-t-elle été menée pour déterminer le choix des moyens de secours / de backup pour le système d’information de la banque ? 54 En mode dégradé, l'exploitation n'assure que partiellement les services habituels. En général, seules les fonctions indispensables à la continuité des traitements sont assurées. Des procédures manuelles, ou des procédures automatisées de contournement, peuvent se substituer à des procédures automatisées utilisées en mode normal d’exploitation.
161
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les ressources informatiques critiques pour la continuité des activités ont-elles été identifiées et effectivement secourues ? A-t-on effectué une étude de sécurité pour le choix des liaisons de télécommunications entre le site de secours et l’ensemble des sites connectés (internes / externes) ? L’exhaustivité des sauvegardes de recours garantit-elle la reprise de l’activité dans les conditions définies par la banque ? Le plan de secours est-il testé périodiquement dans des conditions les plus proches possible de la réalité de l’exploitation ? Le plan de secours est-il remis à jour (évolutions matérielles et logicielles, configurations réseau, …) de manière régulière ? Les activités nécessitant une haute disponibilité des systèmes informatiques (par exemple les activités de salles de marchés, les systèmes d’échanges interbancaires (SWIFT, …)) bénéficient-elles de solutions de secours en temps réel ? Risques. Disponibilité, efficacité, efficience. Approches d’audit & sondages. Analyser ce document. S’assurer que les procédures sont complètes, claires et détaillées. Vérifier que toutes les parties prenantes disposent d’un exemplaire à jour du plan. S’assurer que les impacts sur le plan de secours des évolutions contenues dans le plan informatique ont été prises en compte. S’assurer que les trois possibilités offertes ont été étudiées (mutualisation de moyens chez un prestataire, secours externe dédié à la banque, secours interne) et que les moyens mis à disposition sont conformes aux choix stratégiques de la banque. S’assurer que ces ressources comprennent les traitements et données d’applications critiques, les systèmes d’exploitation et les logiciels de base, les équipements de télécommunications, et les fournitures. Vérifier que préalablement à cette étude, un recensement des liaisons au(x) sites d’exploitation a été effectué. S’assurer que les lignes principales sont doublées. S’assurer qu’une procédure garantit l’exhaustivité des sauvegardes de recours. Vérifier que les hypothèses de reprise sont cohérentes avec la « fraicheur » des données des sauvegardes. Prendre connaissance des conditions et des résultats de tests. Se procurer les comptesrendus de tests et vérifier que les problèmes rencontrés lors des tests ont donné lieu à des mises à jour du plan de secours. S’assurer que le plan est mis à jour notamment lors des modifications des configurations matérielles, logicielles (nouveau développement, maintenance, …) et réseau. Vérifier que pour les systèmes sensibles concernés, des solutions de haute disponibilité (de type mirroring / clustering55) sont mises en œuvre pour permettre de basculer de manière quasi-transparente (« à chaud ») d’un système informatique défaillant à un autre.
55
Mirroring / clustering : redondance d'une ressource informatique (disques / CPU) fonctionnant en parallèle. La panne d'une ressource étant transparente pour le déroulement des traitement par le passage à la ressource en miroir / cluster.
162
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
3. Etudes et développements. Ce domaine concerne les développements d’applications (en interne ou en externe), l’acquisition de progiciels ou la modification de systèmes (applications, progiciels) existants. Il concerne non seulement les développements effectués par le département informatique, mais aussi ceux directement réalisés par les utilisateurs à l’aide de logiciels bureautique (Microsoft Access ou Excel, par exemple). L’auditeur doit se faire communiquer la liste des développements (applications, progiciels) terminés ou en cours par le département informatique avec la charge de travail des équipes informatiques, les développements effectués par les services utilisateurs à l’aide de logiciels bureautique, les classer par ordre d’importance et de criticité pour déterminer un échantillon représentatif de systèmes sensibles.
3.1 – Expression des besoins.
Objectifs/points de contrôle. Les objectifs, la nature et le périmètre couvert par un projet sont-ils formalisés dans un document écrit préalablement à son lancement ? Ce document définit-il clairement les besoins de la banque déjà satisfaits, ceux auxquels doit répondre le nouveau système (ou la modification du système existant) pour les besoins fonctionnels et opérationnels ? La banque a-t-elle défini une méthodologie lui permettant d’assurer la prise en compte des exigences de sécurité et de contrôle interne dans les projets de développement ou d’acquisition de nouveaux logiciels ? Les exigences de sécurité sont-elles prises en compte lors de l’élaboration du cahier des charges ? Risques. Efficacité, efficience, disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Sur l’échantillon sélectionné, étudier la note de cadrage pour en vérifier le contenu. La note de cadrage doit replacer le projet dans son contexte, en définir les grandes lignes fonctionnelles et les avantages / gains attendus au travers d’une étude économique (retour sur investissement). Vérifier que le cahier des charges / la description fonctionnelle traite des aspects de sécurité et de contrôle interne. S’assurer de la prise en compte du système d’habilitation lors de la conception d’une application.
3.2 – Choix des systèmes.
Objectifs/points de contrôle. La méthodologie de développement des systèmes prévoit-elle une analyse des solutions alternatives susceptibles de satisfaire les demandes des utilisateurs ? La méthodologie de développement prévoit-elle une étude de faisabilité technologique et économique de chacune des solutions envisagées pour répondre aux besoins de la banque ? Dans le cadre de l’analyse des solutions alternatives, la banque réalise-t-elle une analyse des risques qui comprend : l’identification des menaces de sécurité, des points
163
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
de vulnérabilité et des mesures de sécurité et de contrôle à envisager ? La banque a-t-elle défini une stratégie d’acquisition / de développement de logiciel définissant s’il peut être acquis dans le commerce, développé en interne, réalisé en sous-traitance ou par évolution du logiciel existant ? Pour les services fournis par des tiers, la banque fait-elle une évaluation des besoins et définit-elle les spécifications de l’appel d’offre ? La méthode de choix des fournisseurs de progiciels permet-elle d’intégrer les aspects de sécurité ? Préalablement au développement ou à l’achat d’un progiciel, la banque fait-elle une analyse des besoins de piste d’audit et de confidentialité ? Risques. Efficacité, efficience, efficacité, disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Analyser la documentation des projets pour s’assurer que des solutions alternatives ont été étudiées. Analyser la documentation des projets sélectionnés pour contrôler que ces études ont effectivement été menées. Pour l’étude de faisabilité économique, celle-ci doit inclure une analyse des coûts et des bénéfices induits par les solutions envisagées. Vérifier que cette analyse des risques a été menée et qu’elle a conduit à éliminer ou à réduire les risques identifiés. Se faire communiquer le document reprenant la stratégie d’acquisition de logiciel. Pour les projets qui requièrent des services fournis par des tiers (par exemple, fourniture d’un progiciel, intégration de systèmes), contrôler que les besoins ont été quantifiés et qu’un appel d’offre a effectivement été formalisé. Vérifier que le choix d’un progiciel n’est pas uniquement effectué sur sa capacité à couvrir les besoins fonctionnels et techniques de la banque et que les aspects de disponibilité, d’intégrité, de confidentialité des informations et de piste d’audit font partie intégrante des critères de choix.
3.3 – Développement et maintenance.
Objectifs/points de contrôle. Le plan de travail de développement est-il élaboré et mis à jour périodiquement et couvre-t-il le développement et la maintenance (évolutive et corrective), avec une partie réservée aux demandes inopinées non prévues ? Une méthodologie générale est-elle suivie et une étude particulière est-elle réalisée, lors de la conception des applications, sur le choix des contrôles programmés / automatisés et des contrôles utilisateurs en amont et en aval du traitement de l’information et, si cette étude existe, prend-elle en compte le niveau de sensibilité des données ? La banque a-t-elle défini des normes concernant l’utilisation d’outils de développement (langage, Atelier de Génie Logiciel, générateur de code, générateur de jeux d’essai, production de la documentation, …) ? Existe-t-il une séparation effective entre les environnements de développement et d’exploitation ? Les droits d’accès du personnel des équipes de développement interdisent-ils l’accès permanent en écriture (ajout, suppression, modification) aux chaînes de traitement, programmes et données de l’environnement d’exploitation ? Des mesures spécifiques sont-elle prévues pour limiter l’accès en lecture aux données sensibles / confidentielles de l’environnement de production ? 164
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Le département informatique a-t-il défini des normes pour la documentation des développements d’applications ? Le département informatique a-t-il défini des normes de tests (vérifications, documentation et conservation des tests unitaires, de groupes de programmes ou de l’ensemble d’une application) ? Chaque projet de développement fait-il l’objet d’un plan de tests (tests unitaires de programmes, tests d’intégration, tests de capacité et de performance et tests de recette…) ? Les aspects de sécurité et de contrôle interne sont-ils pris en compte dans les tests effectués ? Une documentation complète est-elle tenue à jour pour l’ensemble des applications utilisées par la banque ? La documentation est-elle correctement recensée et archivée ? Les interfaces internes et externes sont-elles correctement identifiées, décrites et documentées ? Des manuels utilisateurs avec les supports adéquats sont-ils élaborés ? Un manuel de mise en exploitation est-il établi par les équipes de développement avant la mise en production d’une application ? Les demandes de modification ou d’évolution sont-elles standardisées et soumises à des procédures formelles de gestion des changements ? La documentation est-elle mise à jour à l’occasion des modifications des applications ? Le stockage et l’accès aux programmes sources sont-ils sécurisés ? Utilise-t-on un outil de gestion des sources ? Existe-t-il un contrôle périodique de l’exhaustivité des sources et de la correspondance entre les sources et les exécutables ? Existe-t-il une procédure de sauvegarde périodique des environnements de développement (sources de programmes, données de test, etc.) ? Cette procédure inclut-elle les applications développées par les utilisateurs ? Les contrats passés avec les fournisseurs de progiciels définissent-ils les modalités de transfert de propriété et les conditions d’accès aux programmes sources, en particulier en cas de défaillance du fournisseur ? Risques. Efficacité, efficience, disponibilité, intégrité, confidentialité. Approches d’audit & sondages. Le plan de travail doit non seulement couvrir le développement de nouvelles applications, mais aussi prévoir des plages de temps réservées à la maintenance corrective des applications ainsi qu’à à la prise en compte de demandes urgentes d’évolution des systèmes (par exemple, réglementation, sécurité, …). Evaluer la pertinence de la méthodologie. L’étude particulière doit être fondée sur l’analyse des schémas de traitement et de circulation des informations et des risques d’erreur ou de malveillance. Les contrôles utilisateurs sont les contrôles manuels opérés par les utilisateurs gestionnaires dans un processus fonctionnel. Leur description et leur mise en oeuvre doivent faire l’objet de procédures écrites. Vérifier que le secteur Etudes utilise des outils de développement homogènes et en respect des normes définies par la banque. Ceci s’applique également aux applications développées directement par les services utilisateurs.
165
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Prendre connaissance de la configuration des environnements et s’assurer que les équipes de développement ont leurs environnements de développement et de tests distincts de l’environnement de production / exploitation. La bonne pratique requiert, au minimum, l’existence de deux environnements distincts : celui de développement et de tests (unitaires et d’intégration) et celui de production. Vérifier les droits d’accès de quelques membres du personnel des études et développements pour s’assurer qu’ils n’ont pas d’accès permanent en écriture à l’environnement d’exploitation. Contrôler la pertinence de ces mesures. Vérifier les droits d’accès des membres du personnel des études et développements pour s’assurer que ces mesures sont respectées. Les normes doivent inclure l’analyse fonctionnelle, l’analyse organique, la documentation des programmes, la documentation des tests, le dossier d’exploitation et la documentation d’utilisation de l’application. Les équipes de développement ainsi que les MOA des départements utilisateurs doivent avoir des instructions précises pour la réalisation, la documentation et la conservation des tests afin de garder la traçabilité des tests effectués. Contrôler que les tests font l’objet d’un planning et que les ressources nécessaires à leur réalisation ont été définies. Vérifier la teneur (nature, exhaustivité) des tests effectués préalablement à la mise en production des systèmes pour garantir un fonctionnement correct des traitements concernés. Vérifier que dans la documentation des tests, des tests sont prévus sur les sécurités et contrôles développés dans les applications pour garantir l’exactitude, l’exhaustivité et l’autorisation des entrées, des traitements, des sorties et des données gérées, ainsi que la piste d’audit.56 Chaque système développé localement ou acquis à l’extérieur doit disposer, au minimum, des dossiers de conception et d’exploitation pour la partie informatique et d’un manuel opératoire pour les utilisateurs. Effectuer un sondage pour s’assurer que la documentation existe, qu’elle est adéquate et qu’elle est correctement mise à jour en fonction de l’importance du système et des évolutions / modifications. La description des interfaces doit permettre de comprendre l’enchaînement des processus / traitements et les flux d’information entre les différents systèmes. Vérifier que les manuels utilisateurs et les procédures / supports sont élaborés en collaboration avec la MOA et/ou le département en charge de l’organisation. Le manuel de mise en exploitation est un document rédigé par les équipes de développement à destination de l’exploitation informatique. Il décrit les procédures qui doivent être suivies pour assurer le bon fonctionnement de l’application. Il doit contenir une description générale des traitements et de leur enchaînement, une description des fichiers en entrée et en sortie, l’estimation de la taille des fichiers et des temps de traitement, les sauvegardes, l’archivage. Il doit également prévoir les contrôles effectués par l’exploitation pour s’assurer de la bonne fin des traitements, et des procédures de reprise et de fonctionnement en mode « dégradé » en cas d’incident d’exploitation. Contrôler que les modifications et évolutions effectuées par le département informatique font l’objet d’une demande formalisée de la part des départements utilisateurs et sont 56 la piste d’audit consiste en des documents, fichiers, journaux, états ou listes, qui permettent de suivre pas à pas une transaction introduite dans le système pour en reconstituer le traitement (et inversement, retrouver les transactions à l’origine d’un traitement).
166
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
intégrées dans un processus de gestion du changement formalisé (analyse et chiffrage de la demande, priorisation, approbation par le département demandeur, recette,…). Vérifier que la documentation est régulièrement mise à jour en fonction des évolutions et des modifications apportées aux applications. La bonne pratique veut que les sources des programmes soient conservées dans l‘environnement de production. La sauvegarde des sources des programmes doit être incluse dans le plan de sauvegarde des systèmes informatiques. Pour permettre la traçabilité et la piste d’audit des traitements, les versions successives des sources des programmes doivent être conservées en fonction des besoins internes et/ou réglementaires. Vérifier la fréquence, l’étendue et le stockage des sauvegardes des programmes et des données de développement. Les fournisseurs peuvent être soit des éditeurs de logiciels, soit des sous-traitants. Dans le cas de sous-traitance, vérifier que le contrat prévoit une clause de transfert de propriété du logiciel développé au profit de la banque. De même, contrôler que les conditions d’accès aux sources des programmes sont définies de manière à ce que l’entité y ait accès en cas de défaillance du fournisseur. Pour garantir cet accès, les sources et la documentation des programmes doivent normalement être déposé chez un tiers agréé (par exemple un notaire).
3.4 - Protocole de recette et de mise en exploitation.
Objectifs/points de contrôle. La méthodologie de développement prévoit-elle une procédure de recette (préalable à la mise en exploitation) par les départements utilisateurs, des nouvelles applications ou des modifications aux applications existantes ? Le dossier de recette des utilisateurs définit-il les règles de gestion et les scénarios à tester qui en découlent ? La recette finale est-elle prononcée après une évaluation et une approbation formalisées des résultats des tests par les départements utilisateurs (ou la MOA) et les services informatiques ? Lorsque nécessaire, la méthode de développement prévoit-elle la conversion / migration / reprise des données de l’ancien système, conformément à un plan prédéfini ? Existe-t-il une procédure formalisée de mise en exploitation de toute nouvelle application ou modification aux systèmes existants ? Cette procédure sépare-t-elle clairement les fonctions de développement et d'exploitation ? Risques. Efficacité, efficience, intégrité, disponibilité. Approches d’audit & sondages. Un procès verbal de recette doit être co-signé par le responsable du projet / de l’application informatique et les responsables des départements utilisateurs (ou la MOA). Contrôler que le dossier de recette identifie correctement les règles de gestion et les scénarios de tests correspondants. Contrôler l’existence des Procès Verbaux de recette, et vérifier que les demandes de mise en exploitation sont formalisées sur un document adéquat et qu’elles intègrent l’approbation des départements concernés (Etudes, Utilisateurs, Exploitation).
167
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Vérifier l’existence d’un plan de conversion / migration / reprise des données des anciennes applications avec une estimation des ressources (humaines et matérielles) nécessaires à ces travaux. Vérifier sur quelques applications ayant nécessité une reprise des données que la méthodologie a été appliquée et que les procédures de reprise ont été correctement formalisées et planifiées. Contrôler l’existence de cette procédure et vérifier la séparation des responsabilités entre les secteurs Etudes et Exploitation. Vérifier que la mise en exploitation des applications et des modifications aux programmes n’est jamais effectuée directement par les équipes de développement.
4. Exploitation informatique. 4.1 – Suivi de l’exploitation.
Objectifs/points de contrôle. Existe-t-il des procédures d’exploitation du système informatique ? Ces procédures décrivent-elles l’exploitation des systèmes centraux et des systèmes décentralisés / distribués (par exemple : les systèmes installés sur des serveurs du réseau local) ? L’Exploitation Informatique a-t-elle défini des contrats de service avec les utilisateurs ? Ces contrats ont-ils été formalisés et signés par les parties ? Le secteur tient-il un tableau de bord reprenant les indicateurs de qualité / performance prévus dans les contrats de service ? Les travaux d’exploitation sont-ils correctement planifiés pour utiliser au mieux les ressources et atteindre les objectifs cités dans les contrats de service ? Les travaux non planifiés (ou exceptionnels) sont-ils analysés et approuvés préalablement à leur inclusion dans le plan de travail ? Existe-t-il des journaux (logs) d’exploitation permettant de vérifier l’exécution et la bonne fin des traitements ? La bonne fin des travaux est-elle contrôlée (réception des fichiers, exécution correcte de tous les programmes, transmissions de fichiers, impression, façonnage) ? Risques. Efficacité, efficience, conformité, intégrité, disponibilité. Approches d’audit & sondages. Prendre connaissance des procédures existantes (documentation disponible). Vérifier l’existence d’une documentation qui recense les diverses tâches d’exploitation (par exemple : manuel opérateur). Vérifier que toutes les applications et plates-formes / systèmes informatiques sont effectivement couverts par ces procédures. Vérifier l’existence de contrats de service entre le département informatique et les utilisateurs.Ceux-ci doivent inclure les indicateurs de niveau de service concernant la disponibilité, la fiabilité, la performance, le support aux utilisateurs, la résolution des incidents et la mise en place des changements. Les niveaux de service doivent être des données facilement quantifiables, par exemple : le taux de disponibilité du système pour les utilisateurs, les temps de réponse, le respect des horaires de production, le nombre d’incidents et leur délai moyen de résolution, les mises en place des changements (nouveaux programmes, évolutions ou corrections dans les programmes existants). 168
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Contrôler que les équipes d’exploitation disposent en permanence d’un plan de travail incluant les travaux journaliers, périodiques et exceptionnels. Vérifier que les heures de mise à disposition des applications ne perturbent pas les activités des utilisateurs. Se faire communiquer le relevé de contrôle et d’analyse des journaux d’exploitation. S’assurer que les contrôles des journaux (logs) d’exploitation permettent de suivre l’exécution et la bonne fin des travaux informatiques. Vérifier, à partir de ces documents, qu’il est possible de retracer facilement les incidents d’exploitation.
4.2 – Gestion des systèmes d’exploitation et des réseaux.
Objectifs/points de contrôle. La capacité et la performance des différents composants du système sont-elles régulièrement mesurées ? Quelle utilisation est faite de ces mesures ? Les achats d’équipements d’informatique distribués (matériels et logiciels) sont-ils effectués sur la base d’un « catalogue » élaboré conjointement par le département des achats et le département informatique ? Les supports originaux et les licences des progiciels, des systèmes d’exploitation et des outils bureautique sont-ils conservés dans un lieu sécurisé ? Le département informatique tient-il un inventaire des matériels et logiciels pour les systèmes informatiques centraux et pour l’informatique distribuée (serveurs de réseau local et postes de travail) ? Un inventaire physique des matériels et des logiciels est-il régulièrement effectué ? Les anomalies relevées lors d’un inventaire sont-elles corrigées dans les meilleurs délais, avec mise à jour appropriée (après analyse), de l’inventaire informatique et comptable ? L’inventaire des progiciels est-il également confronté au stock des licences pour s’assurer de l’adéquation du nombre de licences ? Risques. Efficacité, efficience, conformité, intégrité, disponibilité. Approches d’audit & sondages. Contrôler que les éléments de charge et de performance sont régulièrement mesurés et analysés. Par exemple : les volumes des données traitées, les temps de traitement, l’espace disque utilisé, l’utilisation des imprimantes, la puissance machine utilisée, l’utilisation de la mémoire, la charge du réseau et des lignes de télécommunications, etc. Vérifier que ce catalogue résulte d’une analyse technique et économique des solutions disponibles. Vérifier que les licences de logiciel et les supports sont regroupés et correctement stockés dans un endroit à accès restreint. Vérifier que cet inventaire existe et qu’il est régulièrement mis a jour lors des transferts, des nouvelles acquisitions ou des mises au rebut. Contrôler que l’inventaire est réalisé sur une base périodique (au minimum annuelle) et que les différences sont justifiées.
4.3 – Gestion des incidents et du support aux utilisateurs.
Objectifs/points de contrôle. Existe-t-il une organisation et des outils / procédures adaptés pour identifier et
169
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
journaliser les incidents d’exploitation par nature et pour suivre les actions engagées en vue d’y remédier ? La direction du département informatique a-t-elle défini une procédure d’escalade (remontée) des problèmes afin de s’assurer qu’ils sont résolus de la manière la plus efficace ? Les procédures de gestion des incidents prévoient-elles de rechercher les causes originelles des incidents (par exemple : changement de système d’exploitation ou mise en production d’une nouvelle application) ? Existe-t-il des procédures de reprise des traitements et de restauration des données à partir des sauvegardes et des procédures de mise en œuvre d’un fonctionnement en mode dégradé en cas d’incident ? Existe-t-il, au sein de l’exploitation, une fonction d’assistance / support aux utilisateurs ? Le personnel en charge de cette fonction travaille-t-il en étroite collaboration avec le personnel en charge de la gestion des incidents ? Toutes les demandes d’assistance / requêtes des utilisateurs sont-elles correctement enregistrées par la cellule d’assistance ? Existe-t-il une procédure d’escalade au sein du département informatique pour les demandes des utilisateurs qui ne peuvent pas être résolues immédiatement par l’équipe de support de premier niveau ? Le management du département informatique exerce-t-il un suivi périodique pour s’assurer que le traitement des demandes des utilisateurs s’effectue en temps voulu ? Risques. Efficacité, efficience, intégrité, disponibilité. Approches d’audit & sondages. Vérifier l’existence de cette organisation et de ces outils / procédures, et se faire communiquer le reporting relatif aux incidents afin d’en apprécier l’adéquation. Vérifier que cette procédure prévoit les critères et modalités d’escalade aux niveaux hiérarchiques et d’expertise successifs pour la résolution des problèmes, en tenant compte de la gravité des problèmes et de leur priorité de résolution. Vérifier que les causes des incidents sont analysées au travers des documents de suivi / reporting des incidents. Vérifier l’existence, dans les dossiers d’exploitation, de procédures de reprise / restauration et de mise en œuvre d’un mode dégradé en cas d’incident. Vérifier dans l’organigramme que cette fonction est effectivement couverte et que les ressources sont suffisantes par rapport à la population des utilisateurs. Sonder quelques utilisateurs à cet égard pour évaluer leur niveau de satisfaction. Se faire communiquer le registre des demandes d’assistance / requêtes afin d’évaluer l’adéquation de leur enregistrement. A partir du registre, contrôler que les demandes sont résolues dans les plus brefs délais et que les procédures d’escalade entre les différents niveaux de support sont respectées.
4.4 – Procédures de sauvegarde et d’archivage.
Objectifs/points de contrôle. Des procédures de sauvegarde des données ont-elles été prévues pour les différentes applications et les différents systèmes, conformément à la politique de sauvegarde de la banque ? Ces procédures décrivent-elles les cycles de sauvegarde, les périodes de rétention
170
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
(conservation) et les lieux de conservation pour chaque type de sauvegarde ? Les sauvegardes de recours sont-elles systématiquement conservées dans un lieu différent du centre informatique pour permettre une mise en œuvre du plan de secours en cas de sinistre majeur dans le bâtiment ? L’identification externe des supports magnétiques, le contrôle de leurs mouvements et de leur stockage sont-ils correctement effectués ? Les supports contenus dans la médiathèque sont-ils régulièrement inventoriés ? Les anomalies relevées suite à un inventaire physique sont-elles corrigées en temps voulu ? Les supports magnétiques sont-ils périodiquement testés pour s’assurer qu’ils sont lisibles et que les données qu’ils contiennent sont exhaustives ? Existe-t-il des procédures d’archivage qui prennent en compte la nature des données (fréquence de mise à jour, sensibilité) et les besoins internes et réglementaires ? Ces procédures sont-elles appliquées ? En cas de modification majeure de l’application, de la structure des données ou d’un matériel, le département informatique s’assure-t-il que les supports d’archivage antérieurs peuvent être relus et consultés ? 57
58
Risques. Efficacité, efficience, intégrité, disponibilité. Approches d’audit & sondages. Vérifier que ces procédures couvrent l’intégralité des sauvegardes, à savoir (pour les systèmes centraux et décentralisés) : Systèmes d’exploitation et configurations système (y compris les SGBD ), Sources, exécutables et données de production des applications, environnements de développement / de tests, environnements du réseau local (y compris les serveurs de fichiers et de messagerie et les postes de travail des utilisateurs. Vérifier que la documentation fait également l’objet de procédures de sauvegarde. Vérifier que, pour chaque type de sauvegarde cité ci-dessus, ces éléments ont été définis et qu’ils sont pertinents par rapport aux besoins exprimés en terme d’activité (notamment vis à vis de la nature des données sauvegardées et de leur durée de conservation). Vérifier que les sauvegardes de recours sont transférées vers un site extérieur dans les meilleurs délais. Se faire communiquer les documents de gestion de la médiathèque : mouvements en entrée et sortie, inventaire périodique, correction des anomalies. Si les documents de suivi et d’inventaire sont inadéquats, procéder à un inventaire physique par sondage et le rapprocher de l’inventaire informatique. Se faire communiquer les comptes-rendus des tests et analyser les actions qui sont prises suite à la détection d’anomalies. En cas de doute sur la lisibilité des supports de sauvegarde, faire éventuellement effectuer un test par sondage pour s’assurer qu’ils sont lisibles et qu’ils contiennent effectivement les données prévues par le plan de sauvegarde. Vérifier que les procédures d’archivage ont été élaborées en tenant compte des besoins propres à l’activité et des besoins légaux et réglementaires. 59
57 58
Après sinistre majeur
Cette fonction ne doit pas être confondue avec la sauvegarde, qui vise à permettre une reprise des traitements après un incident . L’archivage représente le besoin de conservation
pour des buts fonctionnels liés à l’activité de l’entreprise (besoins internes, légaux et réglementaires). 59
SGBD : Système de Gestion des Bases de Données.
171
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Vérifier que ces procédures prévoient également le désarchivage quand la durée de conservation des informations est échue. Contrôler que les supports d’archives peuvent être physiquement lus sur les matériels actuels et que les systèmes d’exploitation, les outils et les applicatifs sont en mesure d’interpréter ces informations.
4.5 – Mise en exploitation des modifications.
Objectifs/points de contrôle. Existe-t-il des procédures formalisées pour la mise en production de modifications aux systèmes applicatifs existants ? Risques. Efficacité, efficience, intégrité, disponibilité. Approches d’audit & sondages. Vérifier que ces procédures incluent la mise à jour éventuelle des programmes d’enchaînement des applications, des tests d’intégration, de non régression et de préproduction éventuellement (en cas de modifications importantes ou complexes) préalablement à la mise en exploitation effective. A partir des demandes de mises en exploitation, effectuer un sondage sur des applications récemment modifiées.
4.6 - Administration des logiciels système, des réseaux et des bases de données
Objectifs/points de contrôle. Existe-t-il une fonction d'administration des logiciels système (systèmes d’exploitation...), qui a la responsabilité de leur installation, de leur suivi et de la gestion de leurs évolutions? Existe-t-il une fonction d'administration des réseaux / télécommunications, qui a la responsabilité de leur installation, de leur suivi et de la gestion de leurs évolutions? Risques. Efficacité, efficience, intégrité, disponibilité. Approches d’audit & sondages. Vérifier l’existence de cette fonction dans l’organigramme du département informatique, avec une description de fonction détaillée.
172
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 3 : Mission d'audit de la Salle des Marchés.
173
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 3 : Mission d'audit de la Salle des Marchés. Introduction. Le présent chapitre s'applique à l'audit de la Salle des Marchés. Les objectifs généraux de cet audit sont d'évaluer : La qualité et la fiabilité des informations véhiculées sur la nature des opérations traitées, des positions prises et de leur rentabilité, tant en interne qu'en externe; La qualité de la maîtrise des risques financiers et techniques générés par les opérations qu'elle traite ; La contribution des différents services concernés (front office, middle office, back office, contrôle des risques et contrôle interne) à cette maîtrise. Les orientations majeures de la mission à accomplir se basent sur : Le recensement de l'ensemble des activités, stratégies et instruments traités par la salle auditée, L'inventaire des applications de gestion et de traitement de ces activités et instruments, La revue des procédures de traitement, L'examen des principales procédures comptables, L'analyse du mode d'élaboration des résultats comptables et de gestion, ainsi que la procédure de rapprochement de ces deux résultats, L'inventaire des différents états de reporting et de leur mode d'élaboration. C’est pourquoi ce chapitre met l’accent : Sur l’identification des risques et le recoupement avec les travaux des autres auditeurs en phase de préparation, Sur les liens avec l’audit des autres fonctions concernant les activités de marché en phase d’investigation, En fonction de l’analyse des risques, sur des sondages, transverses à plusieurs fonctions, sur un ou plusieurs échantillons d’opérations à déterminer. Un tel audit couvre cinq domaines : le front office (trading & ventes), le middle office, le back office, le risque de contrepartie, le risque juridique et la sécurité physique. Comme pour toutes les fonctions, une mission d’audit de la salle des marchés comprendra une phase de préparation (collecte de documents et entretiens préparatoires), une phase d’investigation (entretiens systémiques 60 et sondages) et une phase de rédaction. Il conviendra, en théorie, de couvrir chacun des 6 domaines lors de chaque phase.
60
Audit de processus : organisation, fonctionnement, procédures, …
174
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La mission aura pour objet d’apprécier comment sont couverts les risques liés à l'activité de marché. Parmi les familles de risques recensées, seront principalement concernés les risques de gestion, opérationnels, déontologiques, de fraude, d’image, de crédit, commerciaux et juridiques. L’audit de la salle des marchés devra mesurer le niveau des risques, leur évolution, et l’avancement des plans d’actions correcteurs. Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. Thème : libellé du thème à auditer. Sous-thèmes : libellé du sous-thème appartenant au thème audité. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Risques : risques inhérents au thème/sous-thème audité. Approches d’audit et sondages : approches d’audit et de sondages à réaliser.
Mission : Salle des Marchés.
1. Front-Office Trading & ventes. 1.1 - Stratégie, politique, budget.
Objectifs/points de contrôle. Une stratégie a-t-elle été définie? Cette stratégie est-elle en phase avec celle de la banque? La stratégie prend-elle en ligne de compte tous les risques inhérents à l’activité ? Un budget a-t-il été élaboré? La direction de la banque est-elle impliquée dans la procédure budgétaire? Risques. Risque de gestion : une stratégie doit être élaborée et doit être en phase avec celle de la banque. Approches d’audit & sondages. Plan triennal, notes internes, Budget. Ces documents permettront plus probablement de mieux comprendre les activités de la banque que de trouver des anomalies ou dysfonctionnements. Examiner la procédure budgétaire en lisant les courriers, les notes, les projets, etc.
1.2 - Organisation de l’activité.
Objectifs/points de contrôle. L’activité a-t-elle été clairement définie et mise en place ? Les tâches des employés sont-elles clairement définies? n’y a-t-il pas de chevauchements ? La hiérarchie des teneurs de livres comptabilisés en mark-to-market est-elle différente de ceux comptabilisés en couru ? 175
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Sinon, les opérations internes entre des desks animés par la même hiérarchie sont-elles interdites ? La répartition des traders coïncide t’elle avec celle des vendeurs ? Tous les vendeurs peuvent-ils effectuer des opérations avec les clients ? Sont-ils dûment autorisés ? Les vendeurs prennent-ils des positions non couvertes ? Risques. Risque de gestion. Risque de fraude : les gains ou les pertes pourraient être basculés d’un livre à l’autre. Risque opérationnel : les traders pourraient passer plus de temps à coter des opérations qu’à négocier. Risque commercial : des cotations trop longues pourraient entraîner la perte de client. Risque déontologique : les vendeurs pourraient conclure des opérations en dehors de leur délégation. Risque financier : les vendeurs peuvent prendre des positions non couvertes en dehors de leur délégation en matière de risque de marché. Approches d’audit & sondages. Définition de poste, organigramme, notes internes. Analyser l’affectation des traders et des vendeurs aux clients, aux différents produits, aux différentes devises au moyen des statistiques (nombre d’opérations, volumes) et en fonction des résultats. Organigramme, liste des livres de trading avec le plan de comptes. Analyser l’affectation des traders par rapport aux besoins de la force de vente. Vérifier la délégation de chaque vendeur et la comparer avec les produits traités. Point de contrôle difficile à vérifier. Analyser le courant d’opérations pour voir si les vendeurs peuvent à un moment quelconque prendre des positions ouvertes sans les déclarer. Le contrôle le plus important est celui effectué lors de la réception par un secteur indépendant des confirmations et des réclamations des clients.
1.3 - Stratégie de trading.
Objectifs/points de contrôle. Une stratégie a-t-elle été définie pour les activités de trading ?
Risques. Risque financier. La stratégie en matière de trading pourrait être trop risquée. Approches d’audit & sondages. Examiner le livre des positions de trading et vérifier que son évolution correspond effectivement à cette stratégie. Examen des positions du book de trading. Analyser particulièrement les positions des jours qui ont enregistré les plus gros gains ou les plus grosses pertes et demander des explications. L’explication pourrait se trouver dans des risques non pris en ligne de compte (effet smile …) plutôt que dans la stratégie de trading.
176
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
1.4 - Informations relatives au marché.
Objectifs/points de contrôle. Les analyses envoyées au client sont-elles réalisées par des membres du personnel autorisés et qualifiés ? Risques. Risque d’image. Risque déontologique. Approches d’audit & sondages. Examen des analyses sur le marché envoyées aux clients.
1.5 - Comité de gestion.
Objectifs/points de contrôle. Quels sont les différents comités auxquels le responsable du trading participe ? Quelle est la nature des relations qui existent entre le front office et les autres secteurs : back office, middle office, comptabilité, engagements ? La contribution des vendeurs est-elle clairement identifiée (marge, rémunération des vendeurs, mid-market) et calculée par un secteur indépendant ? Risques. Risque de gestion : une mauvaise coordination entre les secteurs pourrait entraîner des pertes financières ou des occasions perdues. Risque financier : un calcul erroné de la contribution pourrait entraîner le paiement de primes injustifiées. Approches d’audit & sondages. Examiner les procès verbaux des réunions. Quelques points peuvent y être évoqués et servir aux investigations : problèmes de partage des gains, mauvaise qualité des traitements, etc Vérifier par un examen ou par des interrogations dans le système l’exactitude de la contribution des vendeurs
1.6 - Avis d’opéré.
Objectifs/points de contrôle. Les avis d’opéré contiennent-ils toutes les informations nécessaires au traitement des opérations ? 61 Les opérations sont-elles pré-affectées à un secteur déterminé ? Existe-t-il une piste d’audit pour chaque ticket ? Les tickets de transaction sont-ils horodatés ? 62 Existe-t-il une piste d’audit en cas d’annulation ou de modification? Dans le cas où le Front Office peut annuler ou modifier des opérations (et particulièrement les opérations échues) dans les systèmes FO et BO, la validité de ces annulations/modifications est-elle contrôlée de façon indépendante ? Des heures limites de traitement des opérations ont-elles été fixées ? sont-elles respectées ? 61
Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs sont responsables des informations renseignées sur les tickets d’opérés. Ils doivent veiller à ce qu’ils soient correctement remplis et visés, et transmis dans les meilleurs délais aux services de traitement. Principes de déontologie spécifiques aux activités de marchés financiers : Les ordres de la clientèle sont enregistrés chronologiquement dés leur réception (horodatage).
62
177
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les opérations hors site sont-elles autorisées ? Dans l’affirmative, les traders ont-ils obtenu préalablement l’autorisation de la direction et l’aval du déontologue ? Ces opérations sont-elles effectuées dans les conditions de sécurité voulues ? 63
Risques. Risque opérationnel et financier. Risque de mauvaise interprétation des ordres par le back office. Risque financier : une affectation a posteriori pourrait amener à un transfert de gains d’un secteur à un autre. Risque opérationnel. En cas de contrôle, la piste d’audit de chaque ticket doit être étayée. Risque de fraude : le FO pourrait modifier les opérations sans que les secteurs administratifs en soient informés. La modification d’une opération échue peut changer le résultat. Risque opérationnel : des opérations peuvent avoir été initiées et non traitées. Risque financier : certaines opérations pourraient être effectuées à l’insu de la banque. Approches d’audit & sondages. Procéder par sondage sur les tickets d’opéré pour s’assurer de leur exactitude. Vérifier que la procédure assure ce contrôle. Les traders chargés de plusieurs desks/portefeuilles devraient faire l’objet d’une attention toute particulière. Des procédures particulières devraient s’appliquer pour ces personnes. Examiner les tickets de transaction. Lorsque les opérations ne sont pas matérialisées par un ticket mais saisies directement dans un système, examiner l’heure de saisie des différentes opérations afin de mettre en lumière d’éventuelles concentrations inhabituelles. Examiner les annulations/modifications. Dans le cas d’un système informatique intégré, examiner les fonctionnalités pour vérifier qu’une piste d’audit est conservée pour les opérations annulées ou modifiées. Procédures internes. Examen des tickets de la salle. Vérifier les procédures relatives aux opérations hors site. S’assurer que l’autorisation a été donnée par la direction et le déontologue. S’assurer que ces opérations sont effectuées dans les conditions de sécurité voulues. : séparation des fonctions, justificatif de l’opération, et contrôles par le Middle Office respectés.
1.7 - Gestion des positions.
Objectifs/points de contrôle. Chaque opérateur tient-il un état récapitulatif des opérations soit manuellement soit par l’intermédiaire d’un système FO? Les opérations sont-elles enregistrées dans l’ordre chronologique sur cet état.64 ? La position (position de change, solde, impasse en taux, sensibilité, delta, …) de chaque trader est-elle toujours disponible et constamment mise à jour ? Le périmètre de la position du trader couvre-t-il exactement ce qu’il est censé couvrir ? 63 Principes de déontologie spécifiques aux activités de marchés financiers : Les négociateurs susceptibles de réaliser une transaction sur un instrument financier en dehors des horaires et de leur lieu de travail habituels doivent préalablement obtenir une habilitation spécifique de leur hiérarchie, visée par le déontologue, de telle sorte que les modalités d’intervention assurent la sécurité requise. 64 Les négociateurs veillent aussi à l’enregistrement chronologique des ordres reçus, transmis et exécutés.
178
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les avis de positions provenant d’autres secteurs sont-ils envoyés en temps opportun et en bonne et due forme ? Toutes les positions du FO sont-elles rapprochées avec celles du BO ? Toutes les positions prises par les autres secteurs sont- elles bien prises en ligne de compte dans le rapprochement? Dans le cas d’un système FO automatisé, une solution de secours de suivi des positions est-elle en place et a -t- elle été testée ? Dans le cas où le client a des positions ouvertes avec la banque (opérations de gré à gré), les vendeurs ont-ils accès en temps réel à la position du client réévaluée ? Dispose-t-on d’une lettre de décharge, signée par le niveau N+1 de la hiérarchie de l’interlocuteur habituel pour les reports de terme à cours historiques ? Risques. Risque opérationnel : l’absence d’une piste d’audit rend impossible tout contrôle de second niveau. Risque financier. La position du trader doit pouvoir être connue à tout moment. Autrement, en cas d’évolution défavorable du marché et d’absence du trader, la banque ne sera pas en mesure de réduire la position. Risque opérationnel : le cambiste pourrait surveiller une position qui ne couvre pas le périmètre qu’elle devrait couvrir (notamment lorsque cette position est suivie à l’aide d’un système FO). Risque financier : le trader peut ne pas être informé des positions (trésorerie, changes, …) prises par d’autres secteurs. Risque financier : les positions non communiquées ou non réconciliées sont responsables de positions inexactes qui peuvent générer des pertes. Risque Financier : la position doit être disponible en cas de panne du système. Autrement des pertes peuvent être encourues. Risque commercial et financier : en cas d’évolution défavorable du marché, les vendeurs doivent être en mesure de conseiller le client, tout particulièrement dans le cas des produits volatils (dérivés). Risque de crédit : le client peut dissimuler des pertes ou des gains. La banque pourrait faire l’objet de poursuites pour soutien illégal ou pour évasion fiscale. Approches d’audit & sondages. Vérifier les états récapitulatifs du trader ou s’assurer que le système FO assure cette fonction. Examiner l’état pour s’assurer que les opérations sont enregistrées dans l’ordre chronologique. S’assurer que l’état récapitulatif du trader est bien disponible. Dans le cas d’un système FO, s’assurer que les opérations sont saisies immédiatement en vérifiant les heures de saisie des opérations pour mettre en évidence d’éventuelles concentrations inhabituelles ou des opérations tardives. Dans le cas d’un système FO, vérifier la codification du portefeuille/périmètre de la position. Examiner les positions communiquées aux traders par les autres secteurs (production, commercial, …). Des positions non communiquées à temps pourraient être mises en évidence au cours du rapprochement des positions entre le FO et le BO. Vérifier le type des rapprochements effectués sur les positions et s’assurer de leur efficacité. S’assurer que ces rapprochements sont effectués régulièrement. Examiner les positions provenant des autres secteurs pour s’assurer qu’elles sont communiquées en temps voulu.
179
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Vérifier les solutions de secours ainsi que les tests réalisés. Vérifier que pour tous les produits volatils, les vendeurs suivent la position du client à l’aide d’un système en temps réel. Vérifier que toutes les opérations avec report au cours historique effectuées avec l’autorisation préalable du client.
1.8 - Suivi des limites de risque.
Objectifs/points de contrôle. Le FO est-il en mesure de suivre ses risques de marché ? Le FO est à même de suivre ses risques de contrepartie ? Risques. Risque financier : le FO peut ne pas être à même de suivre ses risques de marché. Il peut dépasser la limite (dans le cas d’une variation brusque sur le marché par exemple) sans le savoir et sans savoir quelles mesures prendre pour revenir dans les limites. Risque de crédit : le FO peut initier des opérations avec des clients sans que des lignes de crédit soient disponibles ou dans le cadre de lignes de crédit non autorisées. Approches d’audit & sondages. S’assurer que le FO dispose des moyens matériels pour suivre ses limites de risques de marché. Examiner les utilisations afin d’identifier tout dépassement de limites de ce fait. Dans l’éventualité où le FO n’a pas de moyen pour suivre les limites et prétend que les limites sont suivies au “feeling”, s’assurer que l’utilisation n’est pas proche de la limite. S’assurer que le FO a les moyens matériels pour suivre ses limites de risques de contrepartie. Passer en revue les utilisations pour identifier tout dépassement de limites de ce fait.
1.9 - Matérialisation des opérations.
Objectifs/points de contrôle. Existe-t-il des contrôles permettant de s’assurer que toutes les opérations initiées par le FO sont matérialisées ? 65 Existe-t-il une procédure d’enregistrement des conversations téléphoniques ? Les enregistrements sont-ils conservés dans un endroit dont l’accès est limité aux personnes dûment autorisées et interdit aux membres du FO ? Les enregistrements sont-ils conservés pendant une durée minimum de 6 mois conformément aux réglementations locales ? Les personnes habilitées à écouter les conversations ont–elles été approuvées par le déontologue ? Lorsqu’une conversation téléphonique est écoutée, le personnel concerné est-il autorisé à entendre la conversation incriminée ? 66 65 les SDM ont l’obligation de procéder à l’enregistrement des conversations téléphoniques de tous les négociateurs d’instruments financiers et des collaborateurs qui sans être négociateurs participent à la relation commerciale avec les donneurs d'ordres, en tenant compte de l’appréciation du déontologue concerné et des montants et risques en cause. Ces enregistrements ont pour fin de faciliter les contrôles de la régularité des opérations , leur conformité aux instructions des donneurs d’ordres et la résolution d’éventuels litiges. 66 Ces enregistrements sont conservés dans un endroit dont l’accès est strictement réservé aux personnes autorisées. La durée de conservation obligatoire des enregistrements est fixée à 6 mois et ne peut en aucune façon excéder cinq ans, sauf obligation nationale différente. L’audition des enregistrements des conversations téléphoniques, peut être effectuée par le déontologue à des fins de preuve en cas de litiges ou à des fins de contrôle. Si le déontologue ne procède pas lui même à l’audition, celle ci ne peut intervenir
180
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Risque opérationnel : la contrepartie pourrait contester une opération qui ne serait pas étayée par un justificatif (communication téléphonique, communication par Reuter …). Risque opérationnel : la preuve d’opérations pourrait ne pas être suffisamment protégée. Approches d’audit & sondages. S’assurer que la salle dispose des moyens nécessaires pour enregistrer toutes les conversations téléphoniques ou les communications par Reuter ou pour fournir tout autre justificatif des opérations. S’assurer que l’accès au système d’enregistrement de conversations téléphoniques est protégé. Vérifier que les enregistrements sont conservés au moins six mois et conformément aux réglementations locales. S’assurer que le déontologue a bien donné son accord sur les personnes habilitées à écouter les conversations téléphoniques.
1.10 - Séparation des tâches. Objectifs/points de contrôle.
Est-il interdit aux traders et à leurs assistants d’effectuer les tâches suivantes : 67 rédiger, valider et envoyer des confirmations ou des contrats de trading ? enregistrer les opérations de trading, tenir les livres de positions et des échéanciers, préparer des rapports d’activité quotidiens et des états de positions (à l’exception des notes pour informer les traders sur les positions prises) ? réévaluer les positions régulièrement et déterminer les gains ou les pertes pour les comptes officiels ? dénouer les opérations ou effectuer d’autres fonctions de paiement ou de réception de fonds, telles que l’émission ou la réception et le traitement d’opérations par câble ou par courrier, des effets ou des lettres de change ? recevoir les confirmations des contreparties et les marier avec les contrats ou les avis de courtiers, suivre les confirmations en suspens et corriger les erreurs qui s’y rapportent et autres fonctions de traitement similaires ? gérer et rapprocher les comptes Nostri et autres comptes débiteurs et créditeurs concernés par les activités de trading ? préparer, approuver et enregistrer toute autre écriture comptable ?
Le personnel du FO est-il exclu des listes de signatures autorisées et des personnes habilitées à : ouvrir des comptes au nom de la Banque auprès de confrères ou de courtiers ? initier des transferts ou des mouvements sur ces comptes?
Une unité indépendante de la salle est elle chargée de revoir les rapports quotidiens pour détecter les dépassements de limites de trading autorisées ?
qu’avec son accord ou l’accord d’une personne désignée par lui. Le collaborateur dont les conversations sont enregistrées dispose du droit d’écouter l’enregistrement en cause en cas d’audition. 67 Principes de déontologie spécifiques aux activités de marchés financiers – “La sécurité des transactions est notamment assurée par le respect du principe de séparation des fonctions de négociation (« front office ») et de traitement (« middle et back office »). Ces fonctions relèvent d’organisation et de hiérarchie différentes. Elles ne doivent en aucun cas être assumées par la même personne.”
181
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Risque de fraude. Les traders peuvent confirmer des transactions sans en informer le BO. Des positions peuvent être prises à l’insu de la banque. Les traders peuvent manipuler les livres de manière à générer des gains fictifs ou à dissimuler des pertes. Les traders peuvent manipuler les réévaluations pour gonfler les gains artificiellement. Les traders peuvent initier des paiements à l’insu de la banque. Des positions, des gains ou des pertes peuvent être cachés à la banque. Les traders peuvent dissimuler des irrégularités dans les Nostri occasionnées par des opérations effectuées à l’insu de la banque. Les traders peuvent manipuler les écritures comptables pour générer des gains fictifs. Les traders peuvent ouvrir des comptes à l’insu de la Banque afin de dissimuler des pertes ou des gains et de les virer sur d’autres comptes. Risque de fraude : les dépassements de limites peuvent ne pas être signalés et ainsi générer des pertes supérieures aux « stop-loss » officiels. Approches d’audit & sondages. S’assurer que les points de contrôle suivants sont respectés. Examiner les contrats et les confirmations pour s’assurer qu’aucun(e) n’est signé(e) ni envoyé(e) par des traders ou par quiconque leur soit rattaché. Vérifier la liste des signatures autorisées et des pouvoirs pour s’assurer que tous les traders et leurs assistants en sont exclues. S’assurer qu’aucune écriture comptable n’est saisie directement par les traders et qu’aucune position n’est tenue par eux. S’assurer que la comptabilité effectue ces tâches indépendamment sans intervention du FO. Vérifier que le secteur comptabilité est indépendant du FO dans le cadre de ses réévaluations et de ses calculs de pertes et profits. Tous les chiffres utilisés par le secteur comptabilité doivent préalablement être validés par le BO (ou par un secteur administratif). S’assurer que les traders n’ont pas accès aux systèmes (Swift, telex …) ou aux moyens de paiement (lettres de change). S’assurer que ces fonctions sont physiquement séparées. S’assurer que les traders ne reçoivent aucune confirmation. Il conviendrait d’éviter que des télécopies, telex, etc ne soient reçus dans la salle. Si un telex ou un télécopieur est nécessaire dans la salle, il y a lieu de s’assurer qu’aucune confirmation ne peut être reçue exclusivement dans la salle. S’assurer que les comptes Nostri et autres comptes débiteurs et créditeurs sont rapprochés par un secteur indépendant du FO. S’assurer qu’aucune écriture comptable n’est saisie directement par les traders. S’assurer que le secteur comptabilité saisit ces écritures lui-même sans aucune intervention du FO. S’assurer que toutes les personnes rattachées au FO sont exclues de la liste des signatures autorisées et des mandataires. S’assurer que la fonction suivi de limites n’est pas rattachée au FO.
1.11- Politique commerciale.
Objectifs/points de contrôle. Existe-t-il un programme de visites aux clients ?
182
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chaque réunion avec un client fait-elle l’objet d’un compte rendu ? Les vendeurs coordonnent-ils leur action avec le secteur commercial de la banque des entreprises ? Risques. Risque commercial : certains clients peuvent ne pas recevoir la visite d’un exploitant. Des opportunités d’affaires peuvent ne pas être détectées en l’absence de visites régulières chez les clients. Risque de gestion : des renseignements relatifs au client peuvent être perdus. Risque commercial : une mauvaise coordination entre les secteurs peut être préjudiciable à la relation avec le client. Approches d’audit & sondages. S’assurer qu’il existe bien un planning de visites. Passer en revue les visites rendues aux clients pour s’assurer que le planning est respecté. Examiner les comptes rendus de visite. S’assurer que les visites aux clients sont effectuées conjointement avec le secteur commercial. S’assurer que les cadres de la banque commerciale sont informés des positions prises par les clients et qu’elles sont suivies. Demander à voir les comptes rendus de visites, les états des positions des clients.
2. Middle-Office. 2.1 - Séparation des tâches.
Objectifs/points de contrôle. La ligne hiérarchique du middle office est-elle différente de celle des traders et des marketers ?
Risques. Risque financier : la non-séparation des tâches pourrait être source de conflits d’intérêts et occasionner des pertes financières. Approches d’audit & sondages. Vérifier à l’aide de l’organigramme que les lignes hiérarchiques sont bien distinctes.
2.2 - Stocks.
Objectifs/points de contrôle. Le MO calcule-t-il les risques et les résultats sur un stock validé chaque jour par un secteur (BO) indépendant du FO ? 68 S’il existe deux systèmes (FO et BO), le MO vérifie-t-il que le rapprochement des stocks est correctement effectué (contrôle de deuxième niveau) ? Les opérations en suspens sont-elles prises en compte dans les calculs de risques du MO ? Lorsque la salle ne négocie pas sur une amplitude de 24 heures, les risques sont-ils 68 Chaque jour, à partir des positions arrêtées le soir précédent et validées par le back office, la tâche du middle office est de : valider les paramètres de marché utilisés dans les calculs de risques et de résultats en contre-vérifiant auprès de sources extérieures .
183
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
calculés sur toutes les opérations réalisées pendant la journée, y compris celles réalisées après l’heure limite du BO ?
Risques. Risque financier et risque de fraude : les calculs des risques et des résultats peuvent ne pas être indépendants du FO ce qui impliquerait des risques de positions cachées. Risque financier : le BO pourrait ne pas effectuer correctement le rapprochement des stocks ce qui peut affecter les calculs de risques et de résultats. Risque financier : il se peut que toutes les opérations ne soient pas prises en compte, ce qui peut entraîner une estimation erronée des risques de marché. Approches d’audit & sondages. Dans le cas d’un système unique, vérifier que le MO calcule les risques et les résultats postérieurement à la validation du stock par le BO. Lorsqu’il existe deux systèmes (FO et BO), vérifier que le BO ou un secteur indépendant du FO effectue un rapprochement entre les deux stocks avant le calcul du MO. S’assurer que le MO est toujours informé des différences entre les stocks du FO et du BO. S’assurer que le MO vérifie régulièrement les rapprochements des stocks. Vérifier la procédure en matière d’opérations en suspens. Cette procédure devrait assurer un calcul des risques sur toutes les opérations effectuées au cours de la journée écoulée.
2.3 - Prix de marché. Saisie des paramètres de marché
Objectifs/points de contrôle. Existe-t-il une procédure de contrôle et de validation des prix de marché ? Cette procédure précise-t-elle : la référence indépendante des prix de marché (page Reuter, courtier, …)? l’heure de saisie ?
Cette procédure a-t-elle été validée par toutes les parties concernées (MO, FO, contrôle interne, BO, …) ? Cette procédure est-elle respectée ? En cas de saisie manuelle des prix de marché, la saisie est-elle vérifiée ?
Risques. Risque financier : en l’absence de procédure les prix pourraient être manipulés en cas de désaccord entre le MO et le FO. Risque opérationnel : les prix de marché pourraient ne pas être saisis correctement. Approches d’audit & sondages. Vérifier qu’une procédure existe, qu’elle précise la source des données (source, courtier ….) et l’heure de saisie. Vérifier que cette procédure a été validée par toutes les personnes concernées. S’assurer du respect de la procédure. Vérifier que les prix de marché saisis sont correctement contrôlés.
184
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Vérification des prix de marché.
Objectifs/points de contrôle. En cas de chargement automatique, la codification des paramètres de marché est-elle vérifiée ? Les prix de marché utilisés pour les ré-évaluations sont-ils soumis à un contrôle de cohérence? Un contrôle est-il effectué pour détecter des alimentations incomplètes ? Risques. Risque opérationnel : la codification pourrait être incorrecte et par conséquent des prix de marché erronés pourraient être chargés. Risque financier : des prix de marché incohérents pourraient être utilisés, ce qui pourrait donner un résultat incorrect. Risque financier : des alimentations incomplètes pourraient être la cause de résultats incorrects. Approches d’audit & sondages. S’assurer que la saisie de toute nouvelle source d’un paramètre de marché (page Reuter ….) est doublement vérifiée. Vérifier que les changements de source (fusion d’actions, nouveaux marchés) sont traités comme il se doit. S’assurer qu’il existe un contrôle et qu’il est efficace en consultant les prix de marché sur une certaine période et détecter ceux qui seraient incohérents. S’assurer que les états d’anomalies sont bien vérifiés et que cette vérification est documentée. Contrôler que les données de marché sont vérifiées pour s’assurer que les alimentations incomplètes sont détectées avant toute évaluation de stocks. Modifications.
Objectifs/points de contrôle. Chaque modification dans la référence d’un prix de marché est-elle justifiée et documentée ? Les modifications des prix de marché sont-elles documentées? Les prix de marché sont-ils modifiés et validés par un secteur indépendant du FO? Existe-t-il une piste d’audit pour chaque paramètre de marché ? Risques. Risque financier : les références pourraient être modifiées afin de manipuler les prix de marché Risque financier : les prix de marché pourraient être manipulés. Risque financier : en l’absence d’une piste d’audit appropriée, aucun contrôle de second niveau ne peut être assuré. Il existe par conséquent un risque de manipulation des prix de marché. Approches d’audit & sondages. S’assurer que toutes les modifications des références des prix de marché sont documentées.
185
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
S’assurer que toute modification ou intervention sur les prix de marché est étayée par un document qui n’émane pas du FO. Examiner les prix de marché. Pour chacun, la source (page Reuter par exemple) et l’heure de chargement ou de saisie devrait être disponible. Protection des accès.
Objectifs/points de contrôle. L’accès aux prix de marché et aux références des prix de marché est-il protégé ? Le FO peut-il forcer les données de marché ? Les calculs de la courbe des taux, les méthodes d’interpolation, des coefficients d’actualisation et les autres paramètres utilisés sont-ils clairement documentés ? L’accès aux calculs est-il interdit au FO ? Risques. Risque financier : le FO pourrait dissimuler des pertes en manipulant les prix de marché. Risque financier : les paramètres de marché pourraient être inexacts ou manipulés ce qui pourrait entraîner des résultats inexacts. Approches d’audit & sondages. Vérifier que l’accès aux prix de marché et aux références est protégé. Vérifier que le FO ne peut pas forcer les prix de marché et les références que s’il le fait, un contrôle approprié garantit qu’il ne peut pas y avoir de manipulation. Vérifier que la documentation existe et qu’elle est à jour. S’assurer que les calculs sont bien conformes à la documentation. S’assurer que le FO ne peut avoir accès aux calculs et les modifier. Limites.
Objectifs/points de contrôle. La direction de la banque (le directeur de la banque ou le conseil d’administration) et les responsables de desks sont-ils impliqués dans la fixation des limites globales de la banque ? Les limites globales tiennent-elles compte des exigences en matière de fonds propres ? Les limites globales sont-elles revues aussi souvent que nécessaire et au minimum une fois par an ? Le responsable de la salle a-t-il fixé et décomposé des limites de risques de marché opérationnelles en phase avec les limites globales ? Risques. Risque financier : la limite peut ne pas être opérationnelle (parce que trop basse) ou inutilisée parce que trop importante (dans ce cas du capital serait alloué inutilement). Risque financier : les limites de certaines unités peuvent être trop élevées et exposer la Banque à un risque financier (faillite). Risque financier : du fait des fluctuations sur le marché, les limites peuvent être obsolètes (trop faibles ou trop élevées). Risque opérationnel : les traders peuvent ne pas avoir à respecter une limite individuelle les limites globales pourraient par conséquent être dépassées.
186
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Vérifier les utilisations pour estimer si les limites semblent appropriées. Vérifier au moyen de notes internes, de courriers, de procès verbaux de réunion, etc … que la direction locale et le responsable du desk sont formellement impliqués dans la fixation des limites. Vérifier que les limites ont été fixées en tenant compte du capital de la banque et vérifier également que la fixation de ces limites est documentée. Vérifier que le capital à risque (si vous pouvez le calculer) est inférieur au capital de la banque. S’assurer que les limites ont été ré-examinées. Demander le document détaillant les limites fixées à chaque trader.
2.4 - Risques de marché. 2.4.1 - Méthodologie
Objectifs/points de contrôle. La méthodologie élaborée par la SDM pour le suivi des risques de marché est-elle respectée ? Les limites globales couvrent-elles l’ensemble des risques de marché auxquels la banque est exposée ? Risques. Risque financier : les risques de marché pourraient être sous-évalués. Approches d’audit & sondages. S’assurer que la méthodologie est bien respectée S’assurer qu’elle couvre l’ensemble des risques de marché inhérents à l’activité. Vérifier que la méthodologie mise en œuvre fixe des limites spécifiques pour : les échéances, les devises, les produits, le marché. S’attacher à la validité des modèles mathématiques, les risques de liquidité, la position dominante sur un marché donné (importantes positions sur les instruments financiers à terme par exemple)… S’informer sur des perturbations de marché récentes qui ont affecté l’activité de trading de la banque. S’assurer que les pertes ont été contenues dans les limites prévues.
2.4.2 - Suivi des limites.
Objectifs/points de contrôle. Toutes les limites fixées (produits, maturités, devises, marchés) au FO sont-elles suivies par un secteur indépendant ?69 Les limites sont-elles suivies au jour le jour? Les dépassements de limites sont-ils signalés conformément à la procédure ? 70 Les actions correctives sont-elles suivies de près par le MO ?
Risques. Risque financier : le FO pourrait prendre des positions non autorisées.
69 Quotidiennement, sur la base des positions front office arrêtées la veille au soir et validées par le back-office, la mission des suivis d’activité est de : mesurer les niveaux d’exposition en risques de marchés en appliquant la méthodologie en vigueur et contrôler le respect des limites octroyées et des règles spécifiques de gestion spécifiées dans les délégations. 70 En cas de franchissement de limites, alerter immédiatement par écrit les hiérarchies front et middle offices concernées.
187
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risque financier : les dépassements de limites qui ne sont pas signalés pourraient entraîner une exposition à des risques excessifs et par conséquent à des pertes potentielles supérieures aux prévisions. Risque financier : détecter les dépassements sans suivre les actions correctives peut inciter le FO à dépasser continuellement les limites. Une action corrective inadaptée ou trop laxiste pourrait affecter la crédibilité et l’efficacité des contrôles. Approches d’audit & sondages. S’assurer que le MO assure le suivi de toutes les limites fixées au FO (échéances maximum, restrictions relatives aux produits, etc …) S’assurer que le MO est doté d’outils appropriés pour assurer ce suivi. Examiner par sondage les états de risques afin de trouver tout dépassement de limite. Demander à voir tous les états de risque et vérifier par sondage que tous les dépassements de limites ont bien été signalés. Vérifier pour quelques dépassements quelles actions correctives ont été prises et de quelle manière elles ont été suivies : courrier, notes, rapports, etc. Vérifier que les actions correctives entreprises augmentent la crédibilité du contrôle. De trop nombreux dépassements pourraient indiquer un manque de crédibilité dans le contrôle des limites.
2.4.3 – Calcul des limites. Objectifs/points de contrôle.
Æ Si les limites sont calculées par un système :
Les calculs du système ont-ils été validés par un secteur indépendant du FO et du MO ? Le périmètre (desk, portefeuille) des états de risque est-il vérifié régulièrement pour s’assurer que toutes les opérations sont bien prises en ligne de compte ? L’accès à la codification du système de calcul et d’édition des états de risques est-il interdit au FO ?
ÆSi les limites ne sont pas calculées par un système :
L’outil utilisé peut-il calculer correctement les risques de marché ? L’outil utilisé (Excel, états, rapports,…) est-il fiable ? Est-il indépendant du FO, en ce sens qu’il utilise des données vérifiées par un secteur indépendant. ? Un plan de secours/une sauvegarde a-t-il(elle) été mis(e) en place et testé(e) ? Le périmètre (desk, portefeuille) du calcul de risque est-il vérifié régulièrement pour s’assurer que toutes les opérations sont prises en compte ? Risques. Risque financier : les risques de marché pourraient être mal calculés. Les limites pourraient être calculées sur un périmètre incorrect à cause d’une mauvaise codification des systèmes. La limitation de l’accès à la codification du système de calcul des risques met la Banque à l’abri des risques de fraude (manipulations des risques de marché). Risque financier : les risques de marché pourraient être mal calculés.
188
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Vérifier les documents justificatifs des calculs de risques. Vérifier si le périmètre de l’état couvre l’ensemble des transactions et si le MO procède à un contrôle régulier. Vérifier l’accès au système pour s’assurer que le FO ne peut pas modifier les états de risques, son périmètre et les calculs. Vérifier que l’outil utilisé est à même de calculer les risques de marché. Vérifier que l’outil utilisé a des droits d’accès appropriés. Vérifier que les calculs ne sont pas sujets à des erreurs de traitement (dans le cadre d’une utilisation d’un fichier Excel par exemple). Vérifier que les données utilisées pour les calculs sont validées par un secteur indépendant du FO. Vérifier que l’outil utilisé est doté d’un système de secours qui a été testé. Vérifier si le périmètre du calcul englobe toutes les opérations et si le MO procède à des contrôles réguliers.
2.4.4 – Limites intrajour.
Objectifs/points de contrôle. Si les systèmes ne permettent pas un suivi en temps réel des limites de marché, existet-il un contrôle a posteriori par sondage pour s’assurer que les positions en cours de journée ne dépassent pas les limites de marché ? Ces contrôles sont-ils documentés ?
Risques. Risque financier : l’absence de contrôle sur les opérations en cours de journée pourrait entraîner un dépassement de limites par le FO, ce qui pourrait exposer la Banque à des pertes potentielles supérieures aux prévisions. Approches d’audit & sondages. Vérifier que le MO effectue des contrôles a posteriori par sondage. Vérifier que ces vérifications sont documentées.
2.4.5 - Résultats/Réévaluation au cours du jour.
Objectifs/points de contrôle. La banque est-elle en mesure de procéder à une évaluation au cours du jour de toutes ses positions indépendamment du FO ? La banque a-t-elle mis en place une procédure permettant de calculer quotidiennement les gains ou les pertes comptables indépendamment du FO ? Risques. Risque financier : la banque doit être en mesure d’évaluer au cours du jour ses positions pour déterminer son résultat latent, même si le résultat est en couru. Risque financier : les résultats doivent être calculés par un secteur indépendant afin d’éviter toute dissimulation de perte et les risques de fraude. Approches d’audit & sondages. S’assurer que le MO a les moyens de réévaluer toutes les positions au cours du jour.
189
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
S’assurer que le MO a ses propres outils pour procéder à ces ré-évaluations ainsi que des données validées et qu’il est par conséquent indépendant du FO. Vérifier que les calculs sont effectués par un secteur indépendant. S’assurer que ce secteur a les moyens d’assurer l’indépendance de la production : stock validé par le BO, indépendance des paramètres de marché.
2.4.6 - Couverture du risque de change sur les résultats en devises
Objectifs/points de contrôle. Les résultats sur opérations de change (relatifs à la banque) sont-ils couverts auprès de la salle des marchés au moins une fois par mois ? 71 Risques. Risque financier : le risque de change sur les résultats pourrait ne pas être couvert. Approches d’audit & sondages. Vérifier que le résultat sur opérations de change est couvert auprès de la salle au moins une fois par mois.
2.4.7 - Calcul des résultats. Objectifs/points de contrôle.
ÆSi les résultats sont calculés par un système :
Les calculs effectués par le système ont-ils été validés par un secteur indépendant du FO ? Le périmètre (desk, portefeuille) de l’état de résultats est-il vérifié régulièrement pour s’assurer que toutes les opérations sont prises en compte ? L’accès à la codification du système de calcul et d’édition des états de résultats est-il interdit au FO ?
ÆSi les résultats ne sont pas calculés par un système dédié :
L’outil utilisé est-il capable de calculer correctement les résultats ? L’outil utilisé (Excel, états, …) est-il sûr ? Est-il indépendant du FO, en ce sens qu’il utilise des données vérifiées par un secteur indépendant ? Une procédure de secours a-t-elle été mise en place ? testée ? Le périmètre (desk, portefeuille) des calculs de résultats est-il vérifié régulièrement pour s’assurer que toutes les opérations sont bien prises en compte ? Tous les éléments constitutifs du résultat ont-ils été pris en compte : trésorerie interne résiduelle, coût de la liquidité, risques de garantie et risques émetteurs, provisions, etc? Risques. Risque financier : les résultats pourraient être mal calculés. Les limites pourraient être calculées sur un périmètre incorrect du fait d’une mauvaise codification des systèmes. Limiter l’accès à la codification du système dans le cadre des calculs de résultats 71 Dans chaque unité, les résultats en devises sur opérations courantes, qu'ils soient évalués en couru ou en marked to market, doivent être cédés au moins mensuellement contre monnaie locale auprès de la salle des marchés, ou auprès de la Gestion Actif-Passif de la banque.
190
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
protège la Banque des risques de fraude (manipulation des résultats). Risque financier : des résultats mal calculés pourraient donner des informations incohérentes sur la rentabilité de l’activité et l’affectation des primes. Approches d’audit & sondages. Vérifier les documents de validation des résultats. Vérifier que le périmètre des états englobe toutes les opérations et que le MO procède régulièrement à des contrôles. Vérifier l’accès au système pour s’assurer que le FO ne peut pas modifier les états de résultats, leur périmètre et les calculs. S’assurer que l’outil utilisé est capable de calculer les résultats. S’assurer que l’outil utilisé dispose des droits d’accès appropriés. Vérifier que les calculs ne sont pas sujets à des erreurs de traitement (dans l’utilisation d’un fichier Excel par exemple). Vérifier que les données utilisées dans les calculs sont validées par un secteur indépendant du FO. Vérifier que l’outil utilisé dispose d’une sauvegarde et d’une procédure de secours et que les deux ont été testées. Vérifier que le périmètre du calcul englobe toutes les opérations et s’assurer que le MO procède régulièrement à des vérifications. Vérifier que tous les éléments constitutifs des coûts et des produits sont bien pris en compte. Le financement de l’activité de chaque desk par exemple devrait être pris en compte. Vérifier s’il y aurait lieu de facturer le coût de la liquidité.
2.4.8 - Réconciliation des résultats.
Objectifs/points de contrôle. Le calcul des résultats comptables est-il soumis à la validation des traders par le biais d’un rapprochement formel avec les résultats du FO ? Les résultats du MO sont-ils rapprochés régulièrement des résultats comptables? 72 Risques. Risque financier : le rapprochement est une garantie de la validité des résultats. Il permet de s’assurer également que les opérateurs FO sont d’accord avec les résultats. Approches d’audit & sondages. Vérifier le rapprochement et s’assurer que tous les écarts sont expliqués et documentés.
3. Back Office. 3.1 - Structure et gestion de l’activité.
Objectifs/points de contrôle. Qui est chargé de contrôler la productivité ? Avec quelle périodicité la qualité de la productivité est-elle évaluée ? La direction dispose-t-elle de processus et d’outils spécifiques pour mesurer et améliorer 72 Quotidiennement, sur la base des positions front office arrêtées la veille au soir et validées par le back-office, la mission des suivis d’activité est d'effectuer des rapprochements périodiques avec la comptabilité générale de la banque.
191
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
la productivité et la qualité du service ? Existe-t-il des statistiques détaillées par produit sur le nombre d’opérations ? le nombre d’erreurs ? le nombre de réclamations ? Les contrôles effectués par la hiérarchie sont-ils formalisés ? Risques. Des zones de non-productivité pourraient ne pas être mises en lumière. La direction pourrait prendre des décisions inappropriées faute d’une bonne connaissance de l’activité. L’activité pourrait ne pas être correctement suivie. Approches d’audit & sondages. Demander les plans d’actions, les notes de projet ou les statistiques relatives à la productivité tenues par la direction. Demander des statistiques portant au moins sur les deux dernières années afin d’analyser l’évolution. S’assurer que les documents vérifiés par la hiérarchie sont correctement visés.
3.2 - Procédures et organisation.
Objectifs/points de contrôle. Des procédures formelles existent-elles au niveau de la banque ? Ces procédures sontelles mises à jour régulièrement et communiquées aux membres du personnel concernés ? L’application correcte des procédures au niveau de la banque fait-elle l’objet de vérifications régulières ? Risques. La remise de procédures précises aux membres du personnel permet de réduire les risques opérationnels par une intervention rapide et de garantir la poursuite de l’activité dans le respect des procédures en cas de départ ou d’absence d’un employé occupant un poste clef. Des erreurs de traitement peuvent survenir dans le cas d’un non respect des procédures. Approches d’audit & sondages. Demander à consulter les procédures les plus récentes et vérifier qu’elles correspondent à l’activité actuelle. S’assurer que les membres du personnel connaissent parfaitement les procédures en vigueur.
3.3 - Séparation des tâches.
Objectifs/points de contrôle. Le BO est-il hiérarchiquement indépendant du FO ? Existe-t-il une véritable séparation des tâches entre le FO / BO / le secteur règlement?73 Des contrôles spécifiques sont-ils mis en œuvre pour s’assurer qu’il existe une indépendance totale entre le FO (qui initie les opérations), le BO (qui saisit les opérations dans les systèmes de gestion), les personnes chargées des règlements et le 73 La sécurité des transactions est notamment assurée par le respect du principe de séparation des fonctions de négociation (« front office ») et de traitement (« middle et back office »). Ces fonctions relèvent d’organisation et de hiérarchie différentes. Elles ne doivent en aucun cas être assumées par la même personne.
192
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
secteur comptabilité ? Les fonctions de rapprochement et de confirmation sont-elles assurées par des personnes différentes au sein du BO ? Risques. Des opérations frauduleuses peuvent être conclues et traitées en l’absence d’un contrôle approprié et d’une véritable séparation des tâches. Une même personne pourrait être chargée de l’ensemble du processus, ce qui empêcherait le contrôle de deuxième niveau. Approches d’audit & sondages. Demander les organigrammes, les définitions de postes. S’assurer par exemple que les systèmes BO ne permettent pas de saisir des opérations dans les positions tenues par le FO. Vérifier de même que les systèmes FO ne permettent pas le traitement et le règlement des opérations. Par le biais d’entretiens, identifier les personnes chargées de ces différentes fonctions.
3.4 - Saisie des opérations.
Objectifs/points de contrôle. Les tickets d’opéré font-ils l’objet d’un horodatage ? (vérification pour s’assurer que les tickets sont correctement et régulièrement transmis au BO : exhaustivité des opérations enregistrées) . Les tickets d’opéré sont-ils pré-affectés aux opérateurs ou aux desks ? Les tickets d’opéré sont-ils différents selon le type d’instrument ? Les horodateurs sont-ils à jour ? Les tickets d’opéré sont-ils correctement et complètement remplis ? (exactitude des données). Les tickets d’opéré contiennent-ils toutes les informations requises par les règles de marché (cela vaut aussi pour les opérations internes) ? Les tickets d’opéré sont-ils signés par les traders ? Les opérations sont-elles saisies au fil de l’eau et correctement ? Les fonctions de saisie et de validation des opérations sont-elles effectivement séparées ? Si les traders utilisent Reuters, les conversations sont-elles imprimées au BO ? Les impressions de conversations Reuters sont-elles régulièrement vérifiées par le BO ? Les opérations internes sont-elles formalisées par un ticket d’opéré ? Un rapprochement est-il effectué entre les tickets d’opéré et les saisies dans le système? Risques. Les opérations peuvent être saisies avec un certain retard ou incorrectement. Il pourrait en résulter une mauvaise évaluation du risque ou une dissimulation de postions. Une opération conclue par le FO pourrait ne pas être enregistrée par le BO. Il pourrait y avoir un transfert de résultat par une affectation a posteriori. Les tickets d’opéré pourraient être incorrectement saisis. L’horodatage permet de connaître précisément l’heure à laquelle une opération a été conclue, ce qui peut être utile dans le cas d’une réclamation clientèle. Les opérations peuvent être saisies de manière incorrecte.
193
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L’évaluation des positions pourrait être inexacte si le stock de position est lui-même inexact. Le contrôle de deuxième niveau pourrait ne pas être assuré. Certaines transactions pourraient être dissimulées par le FO et certaines opérations pourraient être omises. Les opérations internes pourraient ne pas être documentées et par conséquent difficiles à identifier. Tous les tickets d’opéré pourraient ne pas être enregistrés dans les systèmes de gestion. Approches d’audit & sondages. Vérifier que les tickets d’opérations sont bien horodatés au moment ou l’ordre client est reçu et au moment ou l’exécution est achevée. S’assurer que les tickets d’opéré contiennent des informations relatives au desk. Prendre un échantillon de tickets d’opéré par type d’instrument et vérifier qu’ils sont différents. Vérifier que tous les tickets d’opéré précisent l’heure de conclusion de l’opération. Vérifier au FO que les horodateurs indiquent les bonnes date et heure. Prendre un échantillon de tickets d’opéré et vérifier qu’ils sont complètement remplis et qu’ils ne comportent pas de mots rayés ou effacés. Prendre de façon aléatoire quelques opérations et comparer la date d’opération avec la date de saisie, la date de valeur, la date de paiement. Déterminer le nombre d’opérations saisies de façon incorrecte, rechercher les causes et analyser les conséquences. Vérifier les signatures apposées sur les tickets d’opéré, les droits d’accès aux systèmes et les noms des utilisateurs utilisés pour la saisie. Vérifier la cohérence entre les tickets / les telex / les impressions Reuters. Vérifier que les contrôles relatifs aux conversations Reuters sont documentés et formalisés. Vérifier que les tickets d’opéré relatifs aux opérations internes sont correctement remplis. S’assurer qu’ils peuvent être facilement identifiés par le BO (numéros spécifiques, archivage …). Cette vérification peut être menée de pair avec celle des retards de saisie.
3.5 - Archivage des dossiers.
Objectifs/points de contrôle. Les dossiers sont-ils conservés dans un endroit sûr ? l’accès à ce local est-il protégé? Les dossiers des opérations sont-ils correctement conservés ? sont-ils complets (ticket d’opéré, confirmations, ordres de paiement, fiches de saisie, documentation légale, messages telex et description de produits complexes, s’il y a lieu …) ? Les différents types d’opérations peuvent-ils être aisément individualisés ? opérations en cours ? opérations échues ? Risques. La protection des dossiers pourrait ne pas être suffisamment assurée. Le suivi des opérations peut être difficile faute d’une documentation correcte. Une comptabilisation incorrecte des opérations pourrait cacher des pertes financières éventuelles.
194
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Tester les droits d’accès au local dans lequel les dossiers sont conservés. Choisir quelques opérations et s’assurer que les fichiers peuvent être facilement trouvés et qu’ils sont correctement documentés.
3.6 - Modification / annulation d’une opération.
Objectifs/points de contrôle. Existe-t-il une procédure pour la modification ou l’annulation d’une opération ? Existe-t-il une piste d’audit en cas d’annulation ou de modification d’une opération (registre spécifique, classement des tickets d’opéré correspondants ….) ? Toutes les modifications/annulations sont-elles expliquées, autorisées par la hiérarchie et documentées ? Des états d’anomalie spécifiques sont-ils édités en cas de modification des opérations ? Risques. Les opérations pourraient être modifiées ou annulées par les membres du personnel sans que ces annulations ou modifications soient documentées. Approches d’audit & sondages. Prendre un échantillon d’opérations modifiées et annulées et analyser le processus.
3.7 - Gestion des opérations en dehors des heures d'ouverture.
Objectifs/points de contrôle. Un horaire butoir a-t-il été défini en ce qui concerne l’activité de trading (l’heure limite d’envoi des derniers tickets d’opéré et pour arrêter la journée comptable) ? Existe-t-il une procédure formalisée en ce qui concerne le traitement des opérations conclues en dehors des heures d’ouverture ? Risques. La sécurité des opérations pourrait ne pas être assurée. Approches d’audit & sondages. Demander à consulter la procédure relative aux négociations en dehors des heures d’ouverture. Identifier les opérations effectuées en dehors des heures d’ouverture et analyser de quelle manière elles ont été traitées.
3.8 - Gestion des opérations hors site.
Objectifs/points de contrôle. Existe-t-il une procédure spécifique pour les opérations hors site ?
Risques. La sécurité des opérations pourrait ne pas être assurée . Approches d’audit & sondages. Demander à consulter la procédure relative aux négociations hors site.
195
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Identifier des opérations effectuées hors site et analyser de quelle manière elles ont été traitées.
3.9 - Rapprochement des stocks.
Objectifs/points de contrôle. Les stocks enregistrés dans les applications BO sont-ils constamment rapprochés avec les systèmes FO ? Risques. L’exactitude de la position de la banque n’est pas assurée en l’absence d’un rapprochement des stocks approprié. Les écarts dans les stocks pourraient signifier que certaines opérations n’ont pas été enregistrées dans les systèmes FO ou BO, entraînant des évaluations incorrectes. Approches d’audit & sondages. Vérifier que les stocks sont régulièrement rapprochés (selon quelle fréquence ?) et que ces rapprochements ne mettent pas en évidence des suspens. Analyser au moins trois rapprochements de stocks : identifier le seuil de signification des écarts constatés, le niveau de détail, … Vérifier que des rapprochements sont régulièrement effectués entre le FO et le BO. Demander à consulter au moins trois rapprochements et identifier toute opération en suspens. Les suspens doivent être expliqués et documentés.
3.10 - Contrôle de position.
Objectifs/points de contrôle. Le BO procède-t-il périodiquement (l’idéal étant une périodicité quotidienne) à un rapprochement entre les positions FO et BO ? Sinon de quelle manière les positions à vérifier sont-elles choisies ? Les positions du BO et de la comptabilité sont-elles rapprochées périodiquement (au moins à chaque date d’arrêté comptable)? Risques. Les résultats de la Banque pourraient être inexacts en l’absence d’une position exacte des stocks. Approches d’audit & sondages. Choisir certaines opérations et rapprocher les saisies / la récapitulation des saisies / les tickets d’opéré ou demander à voir des rapprochements effectués par le BO. Si le rapprochement est automatisé, analyser les états d’anomalie. Vérifier que l’état contient toutes les positions à rapprocher. Vérifier que toutes les positions du BO sont bien enregistrées dans le système comptable. En cas de déversement automatique en comptabilité, vérifier qu’il n’y a pas de suspens ou s’il y en a, qu’ils sont identifiés et documentés.
196
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
3.11 - Suspens.
Objectifs/points de contrôle. Existe-t-il une procédure spécifique pour liquider les suspens ? Cette procédure est-elle correctement appliquée ? Les anomalies sont-elles numérotées, enregistrées dans un registre interne et signalées à la direction ? Les suspens sont-ils détectés et réglés ponctuellement ? Une piste d’audit est-elle assurée lorsque le suspens implique la modification ou l’annulation d’une opération ? Une analyse des suspens est-elle faite à l’attention de la direction : origine, conséquences financières ? Cet impact financier est-il systématiquement affecté au desk responsable du suspens ? Quelles actions correctives sont entreprises ? Sont - elles approuvées par la direction ? Risques. Les suspens peuvent suggérer des erreurs de traitement par le BO et peuvent entraîner des pertes financières. Approches d’audit & sondages. Vérifier que le BO est au courant de tous les suspens et qu’il en assure le suivi : si les suspens sont mis dans un fichier spécifique, demander à le consulter et procéder à un examen détaillé ; nombre des suspens, explications, temps nécessaire à leur règlement… Demander à consulter la procédure interne relative au règlement des suspens ou toute note d’information.
3.12 - Processus de confirmation.
Objectifs/points de contrôle. Le BO est-il le seul secteur chargé de l’envoi et de la réception des confirmations? La réception ou l’envoi de confirmations par le FO est-il strictement interdit(e) ? Le processus de confirmation est-il automatisé ? Dans l’affirmative, est-il suffisamment sécurisé (accès à swift, au telex .) ? Les confirmations sont-elles envoyées à l’extérieur en temps opportun (un jour ouvrable au plus tard après la date d’opération) ? (FED) Les confirmations sont-elles vérifiées avant d’être envoyées ? Ces confirmations sont-elles signées par des signataires dûment autorisés ? Existe-t-il un suivi formalisé des confirmations non reçues ? ou non signées ? Est-il procédé à un rapprochement formel entre les tickets d’opéré, les confirmations envoyées et les confirmations reçues de contreparties et les saisies dans le système? Ce rapprochement est-il fait manuellement ou automatiquement ? Les signatures apposées sur les confirmations sont-elles vérifiées ? (FED)75 74
Risques. En l’absence d’une véritable séparation des tâches, des opérations pourraient être dissimulées par le FO. Des opérations frauduleuses peuvent être conclues dans un environnement non 74 75
FED Trading and Capital Markets Activities Manual. FED Trading and Capital Markets Activities Manual Feb 1998
197
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
sécurisé. Des confirmations incorrectes peuvent être la cause de réclamations des contreparties. L’absence de confirmation ou une émission tardive peut entraîner des saisies incomplètes. Un rapprochement incorrect des confirmations peut ne pas mettre les suspens en évidence. Une opération pourrait être mal enregistrée. La Banque pourrait ne pas être l’abri en cas de différend avec la contrepartie. Approches d’audit & sondages. Vérifier que toutes les confirmations sont directement envoyées par le BO et qu’elles sont conservées par ce secteur. Vérifier que le FO ne peut pas avoir accès au processus de génération des confirmations. Vérifier que les confirmations ne peuvent être effectuées que par des personnes autorisées, et qu’il existe une piste de connexion. Prendre quelques confirmations et s’assurer qu’elles contiennent toutes les informations utiles relatives à l’opération et qu’elles sont signées par des personnes autorisées. Examiner les états récapitulatifs des confirmations pour identifier les opérations dont les confirmations sont en suspens depuis plus de 15 jours (FED)76. Vérifier si toutes les différences entre les confirmations envoyées par les contreparties et les états de la Banque sont enregistrées dans un registre des anomalies. Vérifier que toutes les irrégularités sont envoyées pour règlement à un cadre indépendant de la fonction trading. (FED) 77 Vérifier que tous les suspens nécessitant une action corrective sont rapidement identifiés, examinés et réglés en temps opportun. (FED)78 Analyser les états d’anomalies éventuels. Si ce rapprochement n’est pas formalisé, choisir certaines opérations et réaliser le test. Demander à consulter le recueil des signatures autorisées des contreparties conservé par le BO et le comparer à quelques confirmations.
3.13 - Gestion de la trésorerie.
Objectifs/points de contrôle. Les mouvements sont-ils cumulés et enregistrés par date de valeur ? par devise ? par correspondant ? La banque dispose-t-elle d’un système de gestion de trésorerie fiable ? La banque dispose-t-elle d’un outil fiable de gestion de prévisions des flux ? La prévision de liquidité et les soldes comptables sont-ils rapprochés quotidiennement ? Les opérateurs sont-ils informés des nouvelles prévisions de position? Comment?
Risques. Des anomalies pourraient ne pas être détectées.
Approches d’audit & sondages. Prendre quelques comptes et analyser le processus de gestion de la trésorerie en liaison avec la fonction FO. 76 77 78
FED Trading and Capital Markets Activities Manual, Feb 1998 FED Trading and Capital Markets Activities Manual, Feb 1998. FED Trading and Capital Markets Activities Manual, Feb 1998
198
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
3.14 - Analyse des réclamations.
Objectifs/points de contrôle. Existe-t-il une procédure formalisée pour traiter les réclamations des clients ? Toutes les réclamations sont-elles consignées dans un registre ad hoc ? Ce registre estil à jour ? est-il correctement tenu (indique-t-il la nature de la réclamation, la date de règlement, la solution apportée …) ? Ce registre est-il régulièrement soumis à l’audit interne ? Est-il visé par la direction de la banque ? Les réclamations non réglées sont-elles soumises à la direction pour décision ? dans quel délai ? Chaque réclamation de client est-elle étudiée d’un point de vue financier ? l’incidence est-elle affectée en analytique au desk “responsable” ? Des pénalités de retard sont-elles systématiquement demandées et payées ? La personne chargée d’étudier les réclamations est-elle différente de celle qui initie ou traite les opérations ? Est-ce que les conversations téléphoniques sont enregistrées ? Risques. La banque peut avoir à payer des pénalités pécuniaires. La séparation des tâches pourrait ne pas être assurée ce qui fait obstacle à un contrôle approprié. Il existe un risque de fraude du fait que des réclamations peuvent ne pas être suivies. En cas de litige la piste d’audit peut ne pas être assurée. Approches d’audit & sondages. Analyser de quelle manière les réclamations sont traitées par le BO. S’il existe un registre, l’examiner. Vérifier que la fonction examen des réclamations est assurée par des personnes indépendantes (par des entretiens, l’examen de l’organigramme). Vérifier que les conversations sont enregistrées.
4. Risque de contrepartie. 4.1 - Octroi des lignes de Crédit.
Objectifs/points de contrôle. Est-ce que les lignes pour les opérations de marché font partie de la demande globale de lignes de risque pour la contrepartie ? Est-ce que le département des engagements dispose des « master agreements » signés avec chacun des clients utilisant des produits dérivés ? Est-ce que les lignes de risque sont accordées par le Comité de Crédit ? Est-ce que le département commercial est informé des lignes de risque pour les activités de marché sur les clients accrédités ? Risques. Risque de crédit : La demande de lignes pour les opérations de marché insuffisamment documentée et motivée, peut conduire à une sous-estimation du risque sur un client. Risque de crédit : L’absence de la documentation affaiblit la position de la banque en
199
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
cas de conflit avec un client. Risque de crédit : Les lignes pour les opérations de marché ne doivent être données que par le Département des engagements et validées par le Comité de Crédit. Risque de crédit : Le département commercial doit être informé des lignes de risque attribuées pour les opérations de marché de manière à avoir une vue globale de la relation. Approches d’audit & sondages. Ce point doit être vérifié avec les fonctions commerciale et engagements afin de vérifier que le processus global intègre bien les trois départements. Vérifier, par sondage, que les contrats cadres sont bien signés avant/pendant que la banque entre en transaction avec un client. Vérifier que les lignes sont bien accordées par le Département des Engagements. Vérifier que le département commercial est bien informé des demandes de lignes pour les opérations de marché.
4.2 - Système de gestion du risque de crédit. Objectifs/points de contrôle. Existe-t-il un système de gestion du risque de crédit pour les opérations de marché ? Est-il en temps réel ? Couvre-t-il l’ensemble des produits ?
Risques. Risque de crédit : l’absence de système de gestion peut conduire à une sousévaluation du risque de contrepartie. Approches d’audit & sondages. Vérifier que l’ensemble des produits traités sont pris en compte par le système de gestion des risques de contrepartie, notamment des produits comme les instruments à départ dans le futur.
4.3 – Réévaluation.
Objectifs/points de contrôle. Dans le cas où le système n’est pas intégré, est-ce que les réévaluations des positions clients sont réalisées par un service indépendant du Front Office ? Si le système n’est pas intégré : Est-il maîtrisé (qu’il soit développé en interne ou acheté à un fournisseur) ? Est-il sécurisé en terme de droit d’accès, de sauvegarde et de backup ? Est-ce que les paramètres de marché servant à la réévaluation pour le calcul du risque de contrepartie sont validés par un département indépendant ? Risques. Séparation des tâches : Le Front Office peut dissimuler des pertes si c’est lui qui procède aux réévaluations des positions Risque de crédit : le système peut ne pas être assez sécurisé et pour diverses raisons mal évaluer le risque de contrepartie. Risque de crédit : Le risque de contrepartie peut être mal calculé.
200
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Vérifier que les réévaluations sont faites par un service indépendant du Front Office. Il faut vérifier que le système de gestion du risque de contrepartie est suffisamment sécurisé, il faudra veiller à vérifier que les paramètres de marché servant au calcul des positions soient fournis par un service indépendant du Front Office. Vérifier que les paramètres de marché sont validés par un département indépendant du Front Office. Pour plus de précision vous pouvez vous reporter à la section consacrée au Middle Office.
4.4 - Suivi du risque de crédit.
Objectifs/points de contrôle. Est-ce que les risques de contrepartie sont suivis par un service indépendant du Front Office ? Est-ce que les positions sont suivies sur une base continue (temps réel) et contrôlées par un service indépendant du Front Office ? Est-ce que les dépassements de limites sont notifiés au responsable du desk avec copie au management ? Est-ce que les notifications de dépassement sont suivies ? Risques. Risque de Crédit :Le Front Office ne doit pas être impliqué dans le suivi du risque de contrepartie. L’indépendance du contrôle garantit que les dépassements seront notifiés. Risque de crédit : Les franchissements de limites non signalés peuvent conduire à augmenter le risque de crédit sur un client. Risque de crédit : Les dépassements doivent être signalés et corrigés sinon le rôle du département de contrôle sera diminué. Approches d’audit & sondages. Vérifier qu’un département réellement indépendant contrôle le risque de contrepartie. Vérifier que pour chaque dépassement une notification est envoyée au responsable du desk avec copie à sa hiérarchie. Vérifier que pour chaque dépassement, les actions correctrices ont été prises à partir des mails, des mémos etc…
5. Risque Juridique. 5.1 - Capacité légale des personnes.
Objectifs/points de contrôle. Est-ce que l’interlocuteur possède la capacité à engager son entreprise sur des opérations de marché? Est-ce que l’interlocuteur est habilité à traiter pour tous types d’opérations (options, swaps de taux etc…) et de montants ? Est-ce que les employés de la banque sont autorisés à traiter avec les contreparties, pour quels types de montants et de produits ? Risques. Risque Juridique : La banque peut se voir reprocher des opérations au motif que la
201
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
personne qui a traité n’avait pas le pouvoir de le faire. Risque Juridique et financier: Une transaction initiée par une personne non autorisée peut conduire à des pertes en cas de contestation Approches d’audit & sondages. Vérifier dans le dossier client la ou les personnes autorisées à traiter. Vérifier que seuls les employés réguliers sont autorisés à traiter. 5.2 - Contrat cadre.
Objectifs/points de contrôle. Est-ce que les contrats cadres sont signés avec les contreparties traitant des produits dérivés ? Avant de traiter le premier deal, s’il manque des contrats signés, existe-t-il un suivi ? Est-ce que la personne qui a signé avait le pouvoir de le faire ? Est-ce que les contrats cadres sont signés avec les contreparties travaillant en repo et prêt/emprunt de titres avec la banque ? Risques. Risque Juridique : le contrat cadre doit être juridiquement valable. Risque Juridique : l’absence des contrats cadres affaiblit la position de la banque en cas d’action en justice. Approches d’audit & sondages. Demander la validation officielle du Département Juridique. Vérifier que le contrat cadre est signé avant de réaliser la première transaction et que la signature a été authentifiée. 5.3 - Confirmations.
Objectifs/points de contrôle. Est-ce que le contenu des confirmations a été validé par un département juridique?
Risques. Risque Juridique : la confirmation doit être juridiquement valable pour les produits sensibles. Approches d’audit & sondages. Vérifier que les confirmations envoyées aux clients sur les produits dérivés non standards ont été validées par le département Juridique. 5.4 - Conversation téléphonique.
Objectifs/points de contrôle. Est-ce que le système d’enregistrement des conversations fonctionne correctement ?
Risques. Risque Juridique et Commercial : Même si un enregistrement n’est pas une preuve forte, ce système aide en cas d’erreur sur une opération.
202
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la conservation des enregistrements.
6. Sécurité Physique. 6.1 - Accès.
Objectifs/points de contrôle. Est-ce que l’accès à la salle des marchés est réservé aux personnes autorisées ?
Risques. Fraude : Un accès réservé est la première étape pour éviter les opérations frauduleuses. Approches d’audit & sondages. Vérifier que les portes sont fermées et que l’accès est réservé aux membres du FrontOffice. 6.2 - Systèmes.
Objectifs/points de contrôle. Est-ce que les PC et autres systèmes de dealing sont déconnectés en dehors des heures de travail ? Est-ce que le système d’enregistrement des conversations fonctionne correctement ? Risques. Risque de fraude : Ces systèmes sont protégés par des « user » et des « password ». Une utilisation frauduleuse de ces systèmes est impossible lorsque ces systèmes sont déconnectés. Risque juridique et commercial : Même si un enregistrement n’est pas une preuve forte, cet appareil aidera sur d’éventuels litiges. Approches d’audit & sondages. Vérifier que les systèmes informatiques sont bien déconnectés en dehors des heures de travail. Vérifier le fonctionnement du système, vérifier qu’il existe aussi une procédure pour la conservation des enregistrements. 6.3 - Back-up.
Objectifs/points de contrôle. Est-ce que la solution de back-up de la salle est opérationnelle ?
Risques. Risque de continuité d’activité. Approches d’audit & sondages. Pour ce contrôle il faudra s’associer avec l’auditeur en charge de la fonction informatique. 203
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
204
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines.
205
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 4 : Mission d'audit de la Direction des Ressources Humaines. Introduction. La fonction Ressources Humaines couvre cinq domaines : l’administration, la gestion des carrières, le recrutement, la formation et les relations sociales. Elle a, au sein de toute banque commerciale comme ailleurs, quatre missions essentielles à assurer : Administrer (les classifications, l’administration du personnel, la paie); Répondre aux besoins, en fournissant les ressources humaines adaptées (le recrutement, l’orientation, la formation, la motivation); Garantir la continuité du fonctionnement de l’entreprise (le dialogue social, l’environnement du travail); Optimiser les coûts des ressources humaines (les rémunérations, le contrôle de gestion). Selon la taille de la banque, les Ressources Humaines (RH) seront plus ou moins structurées ; une gestion directe par le management assisté d’un secrétariat administratif dans les petites unités, une Direction des Ressources Humaines (DRH) importante dans les plus grandes. Comme pour toutes les fonctions, une mission d’audit de la Direction des Ressources Humaines comprendra une phase de préparation (collecte de documents et entretiens préparatoires), une phase d’investigation (entretiens systémiques 79 et sondages) et une phase de rédaction. Il conviendra, en théorie, de couvrir chacun des cinq domaines lors de chaque phase. Selon l’importance de la banque auditée, ces cinq thèmes seront déclinés plus ou moins formellement. Dans tous les cas, cependant, la mission aura pour objet d’apprécier comment sont couverts les risques liés à la fonction Ressources Humaines. Parmi les familles de risques recensées, seront principalement concernés les risques de management, juridiques, de déontologie et de compliance, opérationnels et fiscaux. L’audit RH devra mesurer le niveau des risques, leur évolution et l’avancement des plans d’actions correcteurs. Le présent chapitre reprend : Pour la phase de préparation, la liste des documents à recueillir et des entretiens à mener, Pour la phase d’investigation, dans chacun des cinq domaines, les objectifs, points de contrôle, familles de risques associées et natures des risques, sondages et documents. Pour la phase de synthèse, une liste de sondages qui pourraient être repris dans le rapport et une indication sommaire des domaines les plus sensibles.
79
Audit de processus : organisation, fonctionnement, procédures, …
206
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les points de contrôle essentiels.
Au cours de la mission, les points de contrôle essentiels seront les suivants : 1. Les cinq fonctions RH sont-elles couvertes (Administration, Gestion, Recrutement, Formation, Relations Sociales) ? 2. Les règles de confidentialité (paie, dossiers personnels) et de sécurité (back up) sont-elles respectées ? 3. Y a-t-il des tableaux de bord fiables à l’intention du Responsable de la banque ? 4. Le processus de révision des rémunérations individuelles est-il formalisé ? 5. Y a-t-il un système de rémunération objectif et connu ? 6. Comment sont gérés les avantages annexes ? 7. Le provisionnement des engagements sociaux (retraites, prévoyance, indemnités, …) est-il adéquat ? 8. Le personnel est-il sensibilisé aux risques de fraude interne et externe ? 9. Les règles de prise de congés sont-elles respectées (prise de tous les congés, durée d’absence minimum, …) ? 10. Existe-t-il un plan de formation ? Est-il suffisant et respecté ? 11. En cas de mouvements sociaux, des activités ou des équipements pourraient-ils être bloqués ?
Préparation. Documentation spécifique à demander à la banque. Parmi la documentation spécifique demandée à la banque au cours de la phase de préparation, les documents suivants concernent plus particulièrement la fonction Ressources Humaines :
Organigramme de la DRH,
Liste des comités auxquels participe le responsable RH,
Liste du personnel en activité (âge, ancienneté, fonction, niveau hiérarchique, statut, diplômes, salaire, emploi temps complet – partiel),
Système de salaires et de bonus, avantages annexes, liste des bonus ou primes des trois dernières années,
Liste des heures supplémentaires par département au cours des trois dernières années,
Liste des absences hors congés annuels au cours des trois dernières années,
Programme de formation des trois dernières années (budget – réalisé),
Principaux éléments de la réglementation du travail,
Le cas échéant, plans sociaux des cinq dernières années,
Liste des organisations syndicales représentées,
Règlement intérieur, 207
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Charte des contrôles (au Secrétariat du Personnel),
Supports de communication de la DRH. Entretiens préalables
Top management,
Responsable RH (DRH).
Investigations. La fonction RH est une fonction support. Les investigations auront donc pour objet de s’efforcer de répondre à deux types de préoccupations : Celles relatives à l’audit de conformité : conformité avec les accords sociaux, avec les aspects juridiques et fiscaux, avec les budgets et avec l’organisation. Celles relatives aux audits stratégiques : quelles sont les pratiques de rétribution, les freins à la mobilité interne, quelle est la politique de gestion des compétences, la formation est-elle efficace, comment peut-on apprécier la qualité du climat social… Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. Thème : libellé du thème à auditer. Sous-thèmes : libellé du sous-thème appartenant au thème audité. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Risques : risques inhérents au thème/sous-thème audité. Approches d’audit et sondages : approches d’audit et de sondages à réaliser.
1. Organisation générale de la fonction RH. Thème : Structure de la DRH Objectifs/points de contrôle
Existe-t-il un organigramme détaillé de la DRH ? Les 5 fonctions sont-elles couvertes (voir supra) ? L’organisation est-elle adéquate ? La répartition des responsabilités au sein de la ligne-métier RH est-elle claire et efficace ? Risques. Risque opérationnel. Non suivi ou suivi imparfait de certaines fonctions RH. Approches d’audit & sondages. Organigramme RH. Définitions de fonctions du personnel RH.
208
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Nombre de personnes dédiées à chaque fonction par rapport à la taille de la banque (en particulier pour l’administration de personnel : Formation du personnel RH (passée et prévue). Stratégie. Objectifs/points de contrôle.
Des objectifs sont-ils fixés annuellement par ligne-métier ? Sont-ils accompagnés de plans d’actions ? La synergie avec le management est-elle suffisante ? La DRH est-elle associée à la détermination des objectifs ? La procédure budgétaire intègre-t-elle les objectifs RH ? Les objectifs annuels généraux de la banque sont-ils communiqués aux différents responsables de la banque ? Risques. Risque lié au management. Risque opérationnel. Non prise en compte des impératifs de la banque. Non respect du budget. Non application des décisions prises. Approches d’audit & sondages. Plans d’actions, instructions en matière de recrutement, formation, gestion individuelle, acquisition de moyens. Communications avec le management (courriers, mails…), existence d’une communication institutionnelle, de règles écrites, de visites régulières. Participation du Directeur des Ressources Humaines à la fixation des objectifs (notes, mails…). Participation du DRH à la procédure budgétaire, budget de la banque. Communication écrite aux responsables sur les objectifs.
Qualité.
Objectifs/points de contrôle. Y a-t-il une démarche qualité au sein de la DRH ? Risques. Risque opérationnel. Efficacité non mesurée. Approches d’audit & sondages. Etudes statistiques sur les délais de traitement des demandes (de congé, de formation, etc.), sur les couvertures de postes, sur le suivi de la formation, la satisfaction des stagiaires, …
209
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Audit.
Objectifs/points de contrôle. Les recommandations de l’Audit Interne et/ou de l’Inspection Générale sont-elles prises en compte ? Risques. Risque lié au management, risque opérationnel. Approches d’audit & sondages. Réponses de la DRH aux rapports d’Audit Interne, respect des délais de mise en œuvre, notes internes. Déontologie.
Objectifs/points de contrôle. La réglementation interne et la déontologie sont-elles respectées ? Les règles de confidentialité sont-elles respectées au sein de la DRH ? Risques. Risque juridique, risque lié au management, Risque opérationnel, risque de déontologie et de compliance. Divulgation d’informations sensibles. Approches d’audit & sondages. Vérifier que le règlement intérieur et le code de déontologie ont été remis à chaque collaborateur, et lus (sondage), Vérifier la sécurité et la confidentialité du système de paie et de bonus, la distribution des fiches de paie sous pli fermé, les dossiers personnels dans un local fermant à clé. Procédures. Objectifs/points de contrôle.
La banque a-t-elle défini des procédures pour le fonctionnement du département RH ? Risques. Risque opérationnel. Suivi non homogène selon les personnes. Approches d’audit & sondages. Procédures existantes, vérification de leur respect (sondage). Information externe. Objectifs/points de contrôle.
Le marché local de l’emploi est-il connu ? Risques. Risque lié au management.
210
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Information récente disponible, abonnements. Information interne. Objectifs/points de contrôle.
Existe-t-il des tableaux de bords pour la Direction Générale, avec indicateurs quantitatifs et qualitatifs (turn-over, démissions, …) ? Pour le responsable de la banque ? Pour la DRH ? Risques. Risque lié au management. Information incomplète ou insuffisante. Approches d’audit & sondages. Copie des tableaux de bord remis à la DG et à la DRH. Ressources. Objectifs/points de contrôle.
Les ressources humaines, matérielles, budgétaires (formation, systèmes d’information, …) sont-elles adaptées ? Risques. Risque lié au management, risque opérationnel. Inadéquation des moyens. Approches d’audit & sondages. Budget des RH, comparaison entre budget proposé et budget adopté, entre besoins exprimés et ressources obtenues. Systèmes d’information
Objectifs/points de contrôle. Y a-t-il un pilotage centralisé de la fonction RH ? Risques. Risque opérationnel. Approches d’audit & sondages. Mode d’enregistrement et de suivi des absences, embauches, départs, formation, … 2. Administration. Dossiers du personnel.
Objectifs/points de contrôle. Les dossiers sont-ils complets ? A jour ? Correctement classés ? Confidentiels ? Qui assure le secrétariat du personnel et la gestion des dossiers ? Existe-t-il un système d’habilitation pour les personnes qui ont accès aux dossiers ? Qui signe les augmentations de salaire, les embauches, les contrats de travail, les
211
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
lettres d’observations ou de sanctions ? Risques. Risque opérationnel, risque juridique. Connaissance incomplète de la formation, des congés, appréciations trop anciennes,… Approches d’audit & sondages. Sondage sur dossiers individuels dans plusieurs directions ou départements. Voir en annexe 2 le contenu standard d’un dossier. Respect des règles de confidentialité. Suivi quotidien. Objectifs/points de contrôle. Liste quotidienne des absences (causes), heures supplémentaires, personnel temporaire, stagiaires. Dans les points de vente recevant du public, les règles de présence minimum sont elles respectées ? Risques. Risque opérationnel, risque juridique, risque lié au management. Absences injustifiées, retards, heures supplémentaires systématiques, … Approches d’audit & sondages. Liste des absences par service, sondage sur exactitude de cette liste sur quelques jours. Idem pour heures supplémentaires. (Voir annexe 3). Contrôle sur présences minimum dans points de vente recevant du public. Traitement de la paie. Objectifs/points de contrôle.
Comment la paie est-elle traitée (interne, externe) ? Par qui (en interne ? par un sous-traitant externe ?) Y a-t-il des contrôles ? Un back-up ? Une séparation des tâches ? Le processus d’établissement de la paie permet-il de s’assurer que les opérations et données traitées sont complètes, exactes, autorisées et effectuées dans les délais ? Risques. Risque lié au management, risque opérationnel. Non confidentialité, fraude interne. Approches d’audit & sondages. Sondage sur les états édités par le système traitant la paie et vérifier leur exhaustivité, fiabilité et délai de traitement. Réglementation. Objectifs/points de contrôle.
La DRH a -t-elle une bonne connaissance de la réglementation ? (droit du travail, …) 212
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Risque juridique, risque lié au management. Non respect des règles locales. Approches d’audit & sondages. Possession et utilisation d’un code du travail à jour. Abonnements aux sources d’information de mise à jour de la réglementation. Statistiques.
Objectifs/points de contrôle. Existe-t-il des statistiques à jour sur : les effectifs (répartition, classes d’âge, ancienneté, qualification, rémunération, taux de rotation), le marché du travail dans le secteur bancaire ? Risques. Risque opérationnel. Non adaptation au marché, connaissance insuffisante des données de base pour gestion à moyen terme des effectifs. Approches d’audit & sondages. Documents statistiques établis par la DRH (et sondage sur fiabilité). Informations générales sur le marché du travail local. Bilan social s'il existe. Comptabilisation des écritures.
Objectifs/points de contrôle. La saisie des écritures est-elle faite par les personnes en charge d’établir la paie ? Y a-t-il des contrôles établis par la Comptabilité ou un autre secteur (autre que DRH) ? Y a-t-il des rapprochements entre les écritures comptables et les états de gestion ? Risques. Risque opérationnel. Risque de fraude. Approches d’audit & sondages. Comparaison des listings comptables des écritures de paie et du listing du personnel en gestion. Comparaison des listings comptables des écritures (paie et rémunérations variables, y compris heures supplémentaires) de rémunérations variables (y compris heures supplémentaires) et des listings de gestion de ces éléments variables. 3. Gestion des carrières. Appréciations.
Objectifs/points de contrôle. Comment fonctionne le système d’appréciation ? Les différents délais (appréciation 213
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
annuelle, temps de réponse par l’intéressé) sont-ils respectés ? Le personnel a-t-il un droit de réponse ? Le système d’appréciation est-il pris en compte pour la détermination des rémunérations ? Pour la détermination des besoins de formation ? Risques. Risque opérationnel. Démotivation du personnel. Risque lié au management. Approches d’audit & sondages. Pour chaque département, consulter les notations des années n et n-1 de quelques collaborateurs. Vérifier leur cohérence d’une année sur l’autre. Vérifier, par sondage dans différents départements, la cohérence entre la période prévue et effective de notation d’une part et la date des mesures individuelles d’autre part. Vérifier la prise en compte des points faibles éventuels dans le plan de formation individuel. Mutations. Objectifs/points de contrôle. Comment sont décidés les changements de poste ? Rôles respectifs de la hiérarchie, de la DRH ; de la DG ? Y a-t-il une Bourse de l’emploi ? Y a-t-il des entretiens de gestion réguliers ? Comment les collaborateurs font-ils remonter leurs desiderata ? Quels sont les délais pour les mouvements de personnel entre une décision et sa mise en œuvre ? Risques. Risque opérationnel. Gestion non optimale et mécontentement du personnel. Mauvaise adéquation possible entre le personnel et les fonctions exercées. Conflit entre intérêt individuel des hiérarchiques et intérêts du Groupe. Approches d’audit & sondages. Entretiens (toutes fonctions). Procédures formalisées sur les changements de postes. Copie de la Bourse de l’emploi. Gestion des carrières.
Objectifs/points de contrôle. Existe-t-il un recensement et un suivi spécifique des cadres à fort potentiel ? Risques. Risque lié au management. Mécontentement de cadres à potentiel. Approches d’audit & sondages. Entretien avec le responsable de la banque. Si le recensement existe : critères ? Conséquences ?
214
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Rémunérations.
Objectifs/points de contrôle. Quel est le système de rémunération de la banque ? Mesures collectives et individuelles, rémunération fixe et variable. La détermination de la partie variable est-elle objective ? Ses critères sont-ils prédéfinis et acceptés formellement par l’intéressé ? Les objectifs individuels sont-ils fixés a priori et non a posteriori ? Quelles sont les modalités de rémunération des cadres supérieurs ? Existe-t-il des systèmes d’intéressement aux résultats ? Comment fonctionnent-ils ? Le personnel du département RH est-il sensibilisé aux risques de fraude interne et externe en matière de rémunérations ? Des dispositions sont-elles prises pour prévenir la fraude ? Risques. Risque opérationnel, risque lié au management. Absence de maîtrise de la masse salariale, non respect du budget, de la politique de rémunération. Démissions de cadres dirigeants. Démotivation du personnel. Risques de fraude. Salaires fictifs, avantages indus. Approches d’audit & sondages. Procédure budgétaire, comptes-rendus de réunions sur mesures individuelles, règles de rémunération variable communiquées au personnel. Par sondage, calcul de rémunérations variables à partir des critères prédéfinis. Vérification de la date de fixation des objectifs individuels. Voir avec le responsable de la banque et la DRH les modalités écrites et pratiques de rémunération. Vérifier que les décisions DRH sont appliquées sans modifications dans la banque. Règles relatives à l’intéressement. Accord d’entreprise le cas échéant. Existence d’un contrôle interne sur l’application des accords (modalités de calcul). 4. Recrutement. Politique de recrutement.
Objectifs/points de contrôle. Comment sont définis les besoins ? Comment sont données les autorisations ? Qui a le pouvoir de recruter ? Risques. Risque lié au management. Approches d’audit & sondages. Procédure budgétaire. Autorisations spécifiques écrites pour recrutements hors budget.
215
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Besoins.
Objectifs/points de contrôle. Existe-t-il une fiche de besoin précise pour chaque poste ? Risques. Risque opérationnel. Inadaptation des postes. Approches d’audit & sondages. Fiches de besoins. Sélection.
Objectifs/points de contrôle. Comment sont sélectionnées les candidatures ? Les modes sont-ils différents selon les niveaux ? Les rôles respectifs du département demandeur, de la DRH et du responsable de la banque sont-ils clairement définis ? Risques. Risque de fraude. Non utilisation du meilleur mode de recrutement. Risque opérationnel. Perte de temps, demandes de personnel mal formulées. Approches d’audit & sondages. Contrat avec prestataire extérieur. Appel d’offres, copie des annonces d’offre d’emploi. Document contractuel général. Profil de poste, salaire proposé décrit par le département demandeur. Embauche.
Objectifs/points de contrôle. Existe-t-il un contrat de travail ? Est-il standard, systématique, revu par le service juridique ? A l’embauche, la DRH distribue-t-elle un document sur le secret professionnel, sur les règles déontologiques, sur l’utilisation de la micro-informatique ? Risques. Risque de déontologie et de compliance. Risque juridique. Méconnaissance des règles de base de la banque. Approches d’audit & sondages. Documents remis aux nouveaux embauchés. (Règles spécifiques pour les métiers sensibles).
216
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Suivi.
Objectifs/points de contrôle. Y a-t-il un suivi formalisé et systématique des jeunes embauchés ? Y a-t-il des statistiques sur les démissions ? Des entretiens avec les démissionnaires ? Risques. Risque opérationnel. Démotivation du personnel. Approches d’audit & sondages.
Modalités de suivi des jeunes embauchés, entretiens. Comptes-rendus d’entretiens avec les démissionnaires. Qualité. Objectifs/points de contrôle. Le recrutement répond-il de manière satisfaisante et dans les délais acceptables aux besoins (profil et niveau de compétence) ? Risques. Mauvaise adéquation entre besoins et ressources. Approches d’audit & sondages. Mesurer les délais entre expression des besoins, propositions de dossiers et embauche des candidats, Comparer les profils demandés et les profils des candidats présentés et recrutés. 5. Formation. Plan de formation.
Objectifs/points de contrôle. Existe-t-il un plan de formation ? Est-il respecté ? Est-il cohérent avec les moyens, les besoins, le budget, les obligations légales ? Des besoins sont-ils exprimés ? Sont-ils pris en compte ? Risques. Risque opérationnel. Formation insuffisante ou coûteuse. Formation inadaptée ou non coordonnée. Approches d’audit & sondages. Plan de formation, suivi par la DRH, mode d’élaboration (entretiens de formation, remontée formalisée des besoins). Mode de détermination des besoins, entretiens annuels de formation. Inscriptions aux actions de formation. Coût de la formation. Objectifs/points de contrôle.
217
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Le coût de la formation en % de la masse salariale est-il acceptable ? Risques. Risque opérationnel. Formation inutile ou insuffisante. Approches d’audit & sondages.
Pourcentage de la masse salariale consacré à la formation (budget et réel). (La moyenne pour le secteur est de 5,00%). 6. Relations et activités sociales. Engagements sociaux.
Objectifs/points de contrôle. Y a-t-il un système de retraite propre à la banque ? Est-il conforme à la législation (code du travail) ? Les engagements pris à l’égard du personnel en matière d’indemnités et de gratifications (départs, retraites, prévoyance, médaille du travail etc…) sont-ils couverts par une provision adéquate ? Risques. Risque opérationnel, risque juridique, risque fiscal. Retraites insuffisamment provisionnées. Approches d’audit & sondages.
Régime de retraite de la banque. Provision pour retraites : vérifier l’adéquation des ressources et provisions du régime de retraite par rapport aux engagements vis-à-vis des ayants-droits. Vérifier si le calcul a été confié à des professionnels (type actuaires). Syndicats.
Objectifs/points de contrôle. Y a-t-il des organisations syndicales dans la banque ? Quels sont leurs poids respectifs ? Risques. Risque opérationnel. Sous ou sur-représentation du personnel. Approches d’audit & sondages. Tracts, entretiens avec les représentants. institutionnelles, réunions formelles. Tableau de résultats des élections.
Existence
de
relations
Mouvements sociaux.
Objectifs/points de contrôle. La banque a-t-elle connu des mouvements sociaux ? Ont-ils été suivis ? Des activités ou des équipements pourraient-ils être bloqués suite à des mouvements sociaux ?
218
sociales
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Risque opérationnel. Mauvais climat social. Rumeurs fondées ou infondées. Approches d’audit & sondages. Taux d’absentéisme pour grève. Existence de plans de secours. Instruments d’évaluation du climat social. Communication interne.
Objectifs/points de contrôle. Existe-t-il un ou des journaux d’entreprise ? Qui les rédige ? Risques. Risque opérationnel. Mauvais climat social. Approches d’audit & sondages. Journaux internes, entretiens avec les rédacteurs. Prêts au personnel.
Objectifs/points de contrôle. Y a-t-il des prêts au personnel à la consommation, immobiliers ? Existe-t-il des règles écrites ? Les taux sont-ils attractifs ? Y a-t-il des impayés ? Les prêts sont-ils remboursables en cas de démission ? Risques. Risque de crédit, risque opérationnel. Coût si les taux sont trop bas, mauvais climat social s’ils sont trop élevés. Approches d’audit & sondages.
Règles écrites pour prêts au personnel. Mode de décision. Contrôle de la DRH sur les prêts à taux bonifiés. Limitations, impayés. Répartition des prêts consentis en fonction des niveaux hiérarchiques. Sécurité du travail.
Objectifs/points de contrôle. Existe-t-il un suivi des accidents du travail ? Risques. Risque opérationnel. Risque financier et juridique. Approches d’audit & sondages.
Suivi au travers du bilan social ou de tout autre indicateur.
219
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Synthèse. La phase de synthèse, consacrée à la rédaction du rapport d’audit, comprendra l’élaboration des constats, mais également l’établissement d’une liste de sondages. Pour mémoire, et pour information, on rappellera ci-dessous quels sont les sondages qui peuvent être effectués et listés dans le rapport, et, s’agissant des constats, les domaines les plus sensibles. Sur ces domaines sensibles, une appréciation claire sera portée dans la synthèse de la fonction RH, autant que possible. Liste des sondages possibles
Nombre de codes de déontologie remis comparé au nombre de collaborateurs de la banque (à travers des accusés de réception). Contenu des dossiers personnels. Volet Gestion, volet Administration. Sont-ils complets ? Liste des absences comparée aux absences réelles sur quelques jours. Liste des heures supplémentaires comparée aux heures supplémentaires réelles sur quelques jours. Appréciations annuelles : établies à la date prévue, cohérence d’une année sur l’autre, cohérence entre notation et mesures individuelles. Rémunération variable : cohérence du montant avec les règles de calcul préétablies. Prêts au personnel : respect des règles, impayés ou retards. Domaines les plus sensibles (doivent faire l’objet d’une appréciation dans la synthèse de la fonction RH)
Respect des règles de déontologie et de confidentialité. Existence de procédures écrites dans la fonction RH. Sécurité, confidentialité du traitement de la paie. Existence et suivi d’un plan de formation.
220
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 5 : Mission d'audit de la Direction Comptable.
221
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Chapitre 5 : Mission d'audit de la Direction Comptable. Introduction. Le présent chapitre s'applique à l'audit de la fonction Comptabilité. Les objectifs de cet audit sont les suivants : S’assurer de la fiabilité de l’information financière et de sa conformité aux normes définies par les autorités de tutelle. On entend par information financière à la fois les comptes sociaux, consolidés et fiscaux ainsi que les états réglementaires, Apprécier la fiabilité du système d’information comptable, Identifier les dysfonctionnements éventuels du dispositif de contrôle interne, Porter une appréciation sur les résultats et la rentabilité de l’entité auditée, S’assurer de la connaissance et du respect des règles de déontologie. Ces objectifs sont donc différents de ceux des auditeurs externes. En effet, ces derniers ont une mission légale à l’issue de laquelle ils doivent donner une opinion sur les comptes (certification avec ou sans réserve, refus de certification). Ces missions sont étendues et ne peuvent être atteintes par le seul audit de la fonction comptable. En conséquence, l’audit de cette fonction doit impérativement s’appuyer sur : les travaux des auditeurs des autres missions (DSI, SDM,..), les travaux des autres auditeurs externes, et des autorités de tutelle, une analyse des risques, afin d’adapter le programme de travail à la dimension de la mission tout en le centrant sur les zones les plus risquées. C’est pourquoi ce chapitre met l’accent sur : l’identification des risques et le recoupement avec les travaux des autres auditeurs en phase de préparation, les liens avec l’audit des autres fonctions (« clignotants comptables ») en phase d’investigation, des sondages, transverses à plusieurs fonctions, sur un ou plusieurs échantillons d’opérations à déterminer. Un tel audit est plus particulièrement applicable dans le cadre d’une banque ayant une comptabilité propre. Il ne couvre pas les spécificités comptables liées à certaines activités (crédit-bail, assurance, affacturage, gestion d’actifs). Il couvre quatre domaines : l’audit systémique du service comptable (appréciation du contrôle interne), les reportings réglementaires, les risques fiscaux et la consolidation.
222
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Comme pour toutes les fonctions, une mission d’audit de la fonction comptable comprendra une phase de préparation (collecte de documents et entretiens préparatoires), une phase d’investigation (entretiens systémiques et sondages) et une phase de rédaction. Il conviendra, en théorie, de couvrir chacun des quatre domaines lors de chaque phase. 80
La mission aura pour objet d’apprécier comment sont couverts les risques liés à la fonction comptable. Parmi les familles de risques recensées, seront principalement concernés les risques de non exhaustivité, de non qualité et de non fiabilité de l’information comptable, de non fiabilité des comptes et des états financiers, de non fiabilité de l’information financière consolidée, réglementaire et fiscale. L’audit comptable devra mesurer le niveau des risques, leur évolution, et l’avancement des plans d’actions correcteurs.
Préparation. Documents à collecter.
Documentation générale :
Organigramme général de la Direction Financière et comptable, Définitions de fonctions des principaux responsables, Tableau de bord des risques opérationnels, Rapports émis par les auditeurs externes au cours des trois derniers exercices : notes de synthèse et lettres de recommandations sur le contrôle interne, Programme annuel d’audit interne de la banque sur les trois derniers exercices et cartographie des risques de la banque, Dernier rapport des autorités de tutelle (BAM, Administration fiscale, Office des changes), Documentation sur les contraintes légales ou réglementaires (ratios prudentiels, etc…).
Documentation spécialisée :
Comptabilité :
Descriptif de l’architecture des systèmes comptables et de reporting, Plan de Comptes des Etablissements de Crédit (PCEC), Balance générale des comptes du dernier arrêté annuel ou trimestriel, Reporting réglementaire local des trois derniers exercices, Liasses de consolidation des trois derniers exercices et détail des retraitements éventuels entre la liasse de consolidation et la comptabilité, Liste des états de contrôle et d’anomalies édités régulièrement (fréquence quotidienne, mensuelle, trimestrielle), Liste des procédures comptables existantes.
80
Audit de processus : organisation, fonctionnement, procédures, …
223
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Contrôle de gestion (documents à utiliser notamment pour l’analyse financière) :
Reporting de gestion destiné au Management de la banque et commentaires. Budget et commentaires. Entretiens préparatoires.
A titre indicatif, nous dressons une liste d’entretiens préparatoires avec certaines entités concernées par la mission d’audit comptable : Direction comptable et financière : s’informer sur les spécificités comptables de la banque auditée, Direction du contrôle interne : obtention des rapports des auditeurs externes, connaître leur plan de travail sur les dernières années et sur l’année à venir (thèmes de revues de procédures), Direction Juridique et Fiscale : identification des risques juridiques ou fiscaux éventuels, Auditeurs externes: dysfonctionnements et zones de risques déjà identifiés lors des précédentes missions. Travaux préparatoires : Analyse financière et appréciation des performances de la banque.
L’objectif de cette analyse financière est double : identifier les principales activités et les variations significatives sur les dernières périodes afin de dégager des zones de risques et d’orienter les travaux de la phase d’investigation, apprécier les performances financières de la banque, au vu d’un certain nombre de ratios (coefficient d’exploitation, Return On Equity, Return Of Weighted Assets,…). Ces performances doivent être évaluées à la fois par rapport aux objectifs fixés (budget) mais aussi par comparaison avec la concurrence. L’analyse porte sur les postes du bilan, du hors bilan et du compte de résultat. Elle s’appuie également sur l’annexe. Ce travail est à réaliser, de préférence, dès la phase préparatoire, en s’appuyant sur les documents de la banque auditée : états financiers, tableaux de bord du contrôle de gestion et commentaires associés.
Informations chiffrées :
Les rubriques suivantes doivent être renseignées dans un tableau (liste indicative, à adapter en fonction de l’activité) : •
Compte de résultat : ( cf . Annexe 5 ) :
224
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Détail de la formation du Résultat Brut d’Exploitation (PNB, frais généraux) par secteur (Commercial, Trésorerie, Gestion du Fonds de Roulement, etc…), puis, pour chaque secteur, par métier (Commercial : activités Particuliers, PME, Entreprises, Groupes ; Trésorerie : Trading, Sales, Dérivés, Change,…). Si l’information est disponible, analyser également la formation du Résultat Brut d’Exploitation par produit. • Bilan et hors bilan : ( cf . Annexe 6 ) : Décomposition détaillée des postes d’actif, de passif et de hors bilan sur les trois dernières années, en date d’arrêté (soldes comptables) et en capitaux moyens. Décomposer également le bilan et le hors bilan par produit.
Points à analyser / informations pertinentes / liens avec les autres fonctions :
•
Mettre en évidence la part de chaque activité dans le PNB,
•
Expliquer les principales variations d’une année sur l’autre, en mettant notamment en évidence la variation des marges et des commissions (s’aider des commentaires du Contrôle de Gestion),
•
Effectuer, tous secteurs confondus, une analyse détaillée de la variation des frais généraux sur les trois derniers exercices. Cette analyse pourra servir lors de l’audit des frais généraux,
•
A partir de l’analyse du bilan, mettre en évidence et expliquer les variations importantes,
•
Analyser l’évolution du portefeuille de créances douteuses et les mouvements de provisions sur les derniers exercices. Regarder notamment l’évolution des ratios suivants : créances douteuses / total créances et provisions / portefeuille de créances douteuses.
Exploitation des travaux des auditeurs externes.
L’objectif est de relever les zones considérées comme risquées par les auditeurs externes, et les intégrer à la démarche d’identification des risques (comprenant notamment la cartographie). Apprécier l’étendue de leurs travaux et notamment les thèmes d’intérim (revues de procédures). Documents à exploiter : Notes de synthèse des auditeurs externes des trois dernières années, annuels et semestriels s’il en existe, Lettres de recommandations ou rapport sur le contrôle interne, Rapports sur la situation fiscale, Rapports spécifiques.
225
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Investigation. Rappel de l’arborescence de la démarche d’audit systémique : Mission : nom de la mission objet de l’audit. Thème : libellé du thème à auditer. Sous-thèmes : libellé du sous-thème appartenant au thème audité. Objectifs/points de contrôle : points de contrôle à vérifier via un questionnaire. Risques : risques inhérents au thème/sous-thème audité. Approches d’audit et sondages : approches d’audit et de sondages à réaliser.
1. Audit systémique du service comptable. 1.1 - Structure et Organisation Générale. Organisation et rattachement hiérarchique.
Objectifs/points de contrôle. L’organisation de la fonction comptable de la banque permet-elle de satisfaire les contraintes ou besoins de la banque et d’assurer la remontée des informations nécessaires à la production des comptes ? Le rattachement hiérarchique du service comptable est-il conforme à son rôle et à l’indépendance nécessaire à la fonction? Risques. Risque de non exhaustivité, de non qualité et de non fiabilité de l’information comptable. Approches d’audit & sondages. Obtenir l’organigramme de la banque et analyser le positionnement hiérarchique du service comptable et le pouvoir décisionnel du responsable. La norme prévoit que le responsable comptable soit rattaché au responsable de la banque ou au directeur financier. Missions.
Objectifs/points de contrôle. Existe-t-il une définition des missions et responsabilités du service comptable ainsi que des règles de fonctionnement qui lui sont applicables ? Les missions du service comptable ont-elles été déclinées au niveau de chaque collaborateur par l’intermédiaire d’une définition de fonction signée par le responsable hiérarchique et le collaborateur ? Risques. Risque de non exhaustivité, de non qualité et de non fiabilité de l’information comptable.
226
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Approches d’audit & sondages. Vérifier que les missions et les responsabilités ainsi que les champs d’intervention du service comptable ont été définis par une structure hiérarchique compétente (Direction Générale ou comité exécutif). Vérifier que le service comptable est en charge des missions suivantes : la production des reportings et des états réglementaires, le contrôle et la justification des comptes, la mise à jour du plan de comptes de la banque, la validation du paramétrage des états financiers sur la comptabilité, la rédaction des procédures comptables conformément aux lois et règlements en vigueur. Ressources humaines et Moyens.
Objectifs/points de contrôle. Le service comptable dispose-t-il des ressources humaines adaptées à ses missions ? La formation des collaborateurs du service comptable est-elle suffisante et adaptée aux besoins du service comptable ? Le service comptable a–t-il une documentation suffisante et mise à jour ? Risques. Risque de non exhaustivité, de non qualité et de non fiabilité de l’information comptable. Approches d’audit & sondages. S’assurer de l’adéquation qualitative et quantitative des ressources avec la charge de travail : nombre de personnes, qualification et niveau de compétence du personnel. Pour cela, vérifier : les dossiers du personnel, les évaluations annuelles, les plans de formation des trois dernières années, les mouvements et la rotation du personnel. Systèmes d’information.
Objectifs/points de contrôle. Le service comptable dispose-t-il des outils adaptés à l’exercice de ses missions ? Risques. Risque de non exhaustivité, de non qualité et de non fiabilité de l’information comptable. Approches d’audit & sondages. Se faire décrire par le responsable comptable le système d’information. Repérer les zones de fragilité du système : délai et qualité des reportings, nature et nombre d’écritures comptables saisies manuellement par le service comptable, mauvaise qualité (ou absence) de l’interface entre les différents sous-systèmes, non blocage du système informatique sur les mois et les exercices précédents (attention aux écritures manuelles rétroactives).
227
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Normes et Procédures comptables
Objectifs/points de contrôle. Existe-t-il des normes et procédures comptables adaptées au fonctionnement du service comptable ? Sont-elles mises à jour en fonction des évolutions de la réglementation ? Sont-elles connues des membres du personnel et accessibles à tous ? Risques. Risque de non exhaustivité, de non qualité et de non fiabilité de l’information comptable. Approches d’audit & sondages. Vérifier que les procédures comptables de la banque sont produites et validées par le service comptable et incluent principalement : le plan de compte, les modalités d’enregistrement, de traitement et de restitution des informations, l’exhaustivité des schémas comptables utilisés, la périodicité et la nature des contrôles mis en œuvre, le calendrier d’arrêté des comptes, les principes comptables en vigueur et la réglementation. Définition des responsabilités de saisie et de contrôle des comptes
Objectifs/points de contrôle. Les responsabilités de saisie et de contrôle des comptes ont elles été définies pour l’ensemble du plan de compte ?
Risques. Risque de non exhaustivité, de non qualité et de non fiabilité de l’information comptable. Approches d’audit & sondages. En règle générale, les saisies comptables sont décentralisées dans les différents départements de la banque auditée (Back Offices, Ressources Humaines, Moyens Généraux, etc…). Il convient de vérifier que le service comptable a :
réparti les comptes par département, édité une « balance par service gestionnaire » qui doit être justifiée par chaque département concerné, établi une fiche de fonctionnement documentée par compte (schémas comptables), listé les contrôles de premier niveau qui comprennent principalement : le pointage des opérations passées en compte, la régularisation des écritures, la justification des soldes comptables et le rapprochement du solde comptable avec les documents internes (détail des écritures composant le solde comptable).
228
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Archivage des données comptables
Objectifs/points de contrôle. Le service comptable a-t-il mis en place une procédure d’archivage des documents comptables selon les normes en vigueur? Risques. Risque fiscal. Approches d’audit & sondages. Vérifier l’existence de cette procédure et sa conformité aux normes. 1.2 - Séparation des Fonctions. 1.2 - 1 Respect du principe de séparation des fonctions.
Objectifs/points de contrôle. La banque respecte-t-elle le principe de séparation des fonctions entre la production, le contrôle et l’analyse ? Risques. Risque de Fraude. Approches d’audit & sondages. S’assurer du respect du principe de séparation des fonctions au sein comptable (stricte séparation entre la saisie, la validation informatique, des comptes). S’assurer du respect de ce principe dans tous les services en charge comptables (travail à réaliser par les auditeurs en charge des autres production, engagements, marchés, gestion des moyens).
du service le contrôle de saisies fonctions :
1.2.2 - Accès aux guides de saisie et habilitations.
Objectifs/points de contrôle. L’accès au système comptable est-il contrôlé, c’est à dire : seul un nombre restreint d’opérateurs a accès au système comptable (le personnel des back offices et de la comptabilité), les habilitations accordées à ces personnes sont elles mêmes limitées aux besoins de leur poste. Risques. Risque de fraude. Approches d’audit & sondages. Vérifier que les profils utilisateurs des collaborateurs correspondent aux besoins de leur poste. S’assurer que les accès aux guides de saisie « ouverts » (permettant de mouvementer n’importe quel compte) sont strictement limités au service comptabilité (travail à réaliser en liaison avec l’auditeur informatique).
229
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
1.3 - Contrôles exercés par le service comptable. 1.3.1 - Contrôles de second niveau exercés.
Objectifs/points de contrôle. Le service comptable effectue-t-il un réel contrôle sur les comptabilités décentralisées dans les B/O ? Risques. Risque de fraude et de non fiabilité de l’information comptable. Approches d’audit & sondages. S’assurer que le contrôle de second niveau effectué par la comptabilité comprend les points de contrôle suivants : vérification mensuelle des justifications de compte, contrôle de la piste d’audit par sondage en allant du solde de la balance générale jusqu’à l’écriture d’origine, mise sous surveillance de certains comptes plus risqués (comptes de passage, compte pivot, comptes nostri), suivi et analyse de la régularisation des suspens comptables. Ces contrôles doivent être matérialisés, conservés dans un dossier (classé par nature de compte, par type d’opération, par devise...) et disponibles pour tout contrôle des auditeurs internes et externes. 1.3.2 - Interfaces entre les systèmes opérationnels et la comptabilité générale.
Objectifs/points de contrôle. Le service comptable vérifie-t-il régulièrement le bon déroulement des interfaces entre les systèmes opérationnels et la comptabilité générale ? Risques. Risque de fraude et de non fiabilité de l’information comptable. Approches d’audit & sondages. Vérifier que le service comptable : • effectue périodiquement (par exemple tous les mois) un contrôle des interfaces entre les systèmes opérationnels et la comptabilité générale, • identifie et analyse les écarts éventuels, et s’assure que les corrections adéquates on été apportées par les Back Offices. 1.3.3 - Opérations saisies par la comptabilité.
Objectifs/points de contrôle. Le responsable comptable a-t-il mis en place une procédure de suivi et de contrôle des opérations saisies par la comptabilité ? Risques. Risque de fraude. Approches d’audit & sondages. Recenser les opérations saisies comptabilisées.
230
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Etudier le processus de comptabilisation de ces opérations : Qui définit le schéma de comptabilisation ? Qui effectue la saisie ? Qui valide la saisie ? Quels sont les contrôles de second niveau exercés ? 1.3.4 - Ouverture, fermeture et modification des comptes.
Objectifs/points de contrôle. Le service comptable a-t-il la responsabilité de la gestion du plan de compte interne (ouverture, fermeture et modification) ? Risques. Risque de fraude. Approches d’audit & sondages. Vérifier que le service comptable fait un suivi rigoureux de son plan de compte. Il doit : être l’unique service à avoir les habilitations pour procéder à l’ouverture, la fermeture et la modification des comptes internes, établir une procédure propre au service comptable pour procéder à l’ouverture, la fermeture et la modification de comptes, éditer régulièrement le plan de compte et vérifier formellement toutes les modifications intervenues, identifier les comptes dormants et en faire un suivi régulier, les fermer s’ils sont non utilisés depuis un certain délai à fixer dans la procédure. 1.3.5 - Rapprochement comptabilité / gestion.
Objectifs/points de contrôle. Le service comptable s’assure-t-il en liaison avec le contrôle de gestion de la correspondance entre les états financiers et les états de gestion ?
Risques. Risque de non fiabilité des comptes et des états financiers. Approches d’audit & sondages. Vérifier la fréquence des rapprochements entre les informations comptables et de gestion (au minimum mensuelle) ? Obtenir les derniers états de rapprochement. Les écarts sont-ils identifiés et analysés ? 1.4 - Les outils de pilotage. 1.4.1 - Contrôle des comptes.
Objectifs/points de contrôle. Le Responsable Comptable dispose-t-il d’indicateurs ou de tableaux de bord permettant de recenser et de quantifier les suspens sur une liste déterminée de comptes sensibles (nostri, débiteurs et créditeurs divers, etc…) ? Le Responsable Comptable utilise-t-il ces tableaux de bord ? En particulier, analyse
231
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
t-il l’ancienneté des suspens ? S’assure-t-il que ses collaborateurs suivent correctement les écritures anciennes non régularisées (demandes de justifications complémentaires, relances des services concernés) ? Le Responsable Comptable (en liaison avec le Directeur Financier) analyse-t-il les variations des différents postes du bilan, du hors bilan et du compte de résultat ? Risques. Risque de fraude. Risque de non fiabilité des comptes. Approches d’audit & sondages. Examiner quelques tableaux de bord récents du Responsable Comptable sur le suivi des comptes sensibles. Points d’attention : Quelle est la fréquence de ces tableaux de bord ? Sont-ils exhaustifs (liste des comptes suivis : s’assurer de la présence des comptes les plus sensibles) ? Les informations qui y figurent sont-elles pertinentes (par exemple date d’enregistrement comptable) ? Le contrôle du chef comptable est-il matérialisé sur ces états ? 1.4.2 - Reporting réglementaire.
Objectifs/points de contrôle. Les indicateurs du Responsable Comptable permettent-ils de s’assurer du respect des délais de production et d’envoi des travaux de reporting réglementaire ? Risques. Risque réglementaire. Approches d’audit & sondages. Examiner le planning de production des états et situations comptables. 1.4.3 - Productivité.
Objectifs/points de contrôle. Dispose-t-il d’autres indicateurs de productivité (temps passés, en jours / homme, pour la production des différents états de reporting réglementaires) ? Risques. Risque d'efficience. Approches d’audit & sondages. Discuter de ce point avec le Responsable Comptable. Par ailleurs, on pourra établir des comparaisons dans le temps entre le nombre d’Unités Temps Plein et le nombre d’écritures. 1.4.4 - Supervision hiérarchique.
Objectifs/points de contrôle. Ces informations (contrôle des comptes, reporting réglementaire, productivité) sontelles également communiquées au Directeur Financier (ou autre hiérarchie de
232
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
rattachement du service comptable) ? Sous quelle forme (même format de reporting ou information plus synthétique préparée par le Responsable Comptable) ? Sont-elles exploitées par le Directeur Financier ?
Risques. Risque de fraude, risque de non fiabilité des comptes, risque réglementaire. Approches d’audit & sondages. Consulter les tableaux de bord mis à la disposition du Directeur Financier par le service comptable. 1.5 - Connaissance et respect des règles de déontologie.
Objectifs/points de contrôle. Les membres du service comptable ont-ils connaissance des règles de déontologie de la banque? Ont-ils déjà eu à appliquer ces règles ? Risques. Risques associés : mise en cause de la banque pour non respect de la réglementation, divulgation d’informations confidentielles. Approches d’audit & sondages. Vérifier la diffusion et la prise de connaissance du code de déontologie de la banque. Les deux points suivants doivent plus particulièrement être soulignés dans le cas d’un personnel comptable :
le respect du secret professionnel, le droit et devoir d’appel.
2. Les reportings réglementaires. 2.1 - Liasse de consolidation.
Objectifs/points de contrôle. La liasse de consolidation est-elle alimentée correctement ? Les informations qui y figurent sont-elles rapprochées de la comptabilité générale ? Les normes comptables appliquées sont-elles conformes aux normes réglementaires ?
Risques. Non fiabilité de l’information financière servant de base à la production des comptes consolidés. Approches d’audit & sondages. Audit systémique : Quel est le mode de production de la liasse : alimentation automatique ou saisie manuelle ? Quels sont les contrôles exercés au sein du service comptable : rapprochement systématique de la liasse avec la comptabilité générale, validation par le Responsable Comptable ? A partir de la liasse de consolidation du dernier arrêté trimestriel :
233
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
vérifier la concordance de la liasse avec le grand livre, analyser et contrôler les éventuels retraitements.
2.2 - Intra-groupes.
Objectifs/points de contrôle. La banque identifie-t-elle ses opérations intra-groupes ? Existe-t-il une procédure de réconciliation avec les contreparties internes (circularisation et rapprochement) ?
Risques. Non fiabilité de l’information financière servant de base à la production des comptes consolidés. Approches d’audit & sondages. Auditer la procédure de réconciliation des opérations intra-groupes : Le service comptable échange-t-il des confirmations avec ses contreparties sur les opérations intra-groupes ? Ces confirmations sont-elles exhaustives (rapprochement avec l’ensemble des contreparties) ? Les écarts sont-ils analysés et expliqués ? 2.3 - Reporting engagements pondérés.
Objectifs/points de contrôle. Le reporting engagements pondérés est-il alimenté correctement : Les informations qui y figurent sont-elles rapprochées de la comptabilité générale ? La réglementation de BAM en la matière est-elle appliquée ? Risques. Non fiabilité de l’information financière communiquée à la Banque Centrale et servant de base au calcul du ratio de solvabilité. Approches d’audit & sondages. Audit systémique : Quel est le département en charge du calcul des engagements pondérés : comptabilité ou engagements ? Existe-t-il un système dédié à la production des engagements pondérés ? Estil interfacé avec le système comptable ? Des ajustements manuels sont-ils nécessaires ? Pour quel type d’opérations ? Existe-t-il une piste d’audit satisfaisante permettant de remonter à la source de chaque ligne de la liasse de reporting ? Quels sont les contrôles, manuels ou automatiques, effectués sur la liasse ? La liasse définitive est-elle contrôlée et validée par le département des engagements ? Test sur un échantillon d’engagements : Sélectionner quelques dossiers dans la liste des dossiers d’engagement revus lors de l’audit de cette fonction. On prendra soin de sélectionner des types d’opération pouvant facilement engendrer des erreurs : émission de garanties intra-groupes, gages espèces reçus en garantie, lignes octroyées pour des opérations de marché. Vérifier pour ces opérations qu’elles sont correctement prises en compte 234
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
dans la liasse d’engagements pondérés. Pour cela, il est nécessaire de suivre la piste d’audit jusqu’à la ligne adéquate de la liasse. 2.4 - Ratio de liquidité.
Objectifs/points de contrôle. Le reporting sur le ratio de liquidité est-il correctement rempli par la banque auditée ?
Risques. Non fiabilité de l’information financière. Approches d’audit & sondages. Auditer le processus de production de ce reporting, Qui produit ce reporting ? Quelle est la source de l’information ? Quels sont les contrôles effectués ? 2.5 - Reporting statutaire.
Objectifs/points de contrôle. La banque auditée respecte-t-elle les règles prudentielles ? Remplit-elle les obligations de reporting imposées par les autorités réglementaires ? Le processus d’élaboration du reporting statutaire garantit-il l’exactitude, l’exhaustivité et le respect des délais ? Risques. Non respect de la réglementation BAM. Risque de sanctions BAM. Approches d’audit & sondages. Afin de valider ces points, il conviendra : de s’informer des contraintes réglementaires en matière de règles prudentielles (par entretien avec le Directeur Financier et consultation des textes officiels), d’obtenir et de contrôler les états de reporting récents envoyés aux autorités réglementaires (Banque Centrale, Ministère des Finances principalement) : s’assurer que tous les états de reporting requis sont envoyés dans les délais requis et que les ratios prudentiels locaux (solvabilité, liquidité,…) sont respectés. NB : on trouvera des informations également dans les rapports des Commissaires aux Comptes (qui signalent le respect ou non de ces ratios) ainsi que dans les derniers rapports de la Banque Centrale.
3. Risques fiscaux. 3.1 - Déclarations fiscales.
Objectifs/points de contrôle. Le reporting fiscal est-il réalisé dans les délais et validé par les personnes habilitées ? La banque a-t-elle effectué les démarches nécessaires pour se documenter et appliquer les règles fiscales en vigueur ?
235
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Risque réglementaire. Approches d’audit & sondages. Consulter les liasses fiscales des derniers exercices et les états de reporting du responsable comptable. Passer en revue la documentation fiscale du responsable financier. S’assurer que les liasses sont revues par le responsable fiscal (s’il en existe un) et par le management. 3.2 - Identification des Risques Fiscaux.
Objectifs/points de contrôle. Les risques fiscaux ont-ils été identifiés par la banque et, si oui, sont-ils correctement provisionnés ? Risques. Risque réglementaire. Approches d’audit & sondages. S’assurer, en cas de pertes fiscales, qu’elles sont justifiées et non répétitives et ne correspondent pas à un habillage fiscal. Vérifier s’il y a eu des redressements fiscaux ou s’il y a des contrôles fiscaux en cours et si oui, qu’une provision passive a été constituée pour le montant du risque. Vérifier que les frais de siège refacturés aux filiales sont justifiés fiscalement quant à leur réalité et à leur montant. Vérifier que les impôts différés sont fiscalement justifiés (plus-values à long terme...).
4. Consolidation. 4.1 – Périmètre.
Objectifs/points de contrôle. Le périmètre retenu par la banque est-il comptablement justifié?
Risques. Risque de non fiabilité de l’information financière, Risque réglementaire. Approches d’audit & sondages. Obtenir et valider la liste des sociétés du périmètre ainsi que les méthodes de consolidation retenues. Pour ce faire, on vérifiera l’exactitude des pourcentages d’intérêt et pourcentages d’intégration calculés pour chaque société. 4.2 - Elimination des opérations intra groupes.
Objectifs/points de contrôle. La banque a-t-elle mis en place une procédure d’identification des intra-groupes ? Ces intra-groupes ont-ils été éliminés pour la production des comptes consolidés ?
236
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risques. Risque de non fiabilité de l’information financière, risque réglementaire. Approches d’audit & sondages. Vérifier que la procédure mise en place par la banque pour rapprocher les montants intra-groupes société par société permet d’identifier la réciprocité et l’exhaustivité des éliminations (confirmations réciproques des intra-groupes par fiches navettes avec les autres unités du périmètre de consolidation). S’assurer que les montants éliminés enregistrés en consolidation ont bien été déclarés sur les liasses de consolidation de chaque filiale concernée et inversement que l’ensemble des intra-groupes recensés ont effectivement été éliminés en consolidation. 4.3 – Retraitements.
Objectifs/points de contrôle. Le passage du résultat social au résultat consolidé de la banque est-il expliqué et les retraitements effectués sont-ils justifiés ? Risques. Risque de non fiabilité de l’information financière consolidée, risque réglementaire. Approches d’audit & sondages. Obtenir le tableau de passage du résultat social au résultat consolidé de la banque. Vérifier la justification des principaux retraitements effectués et leur conformité avec les normes comptables, notamment : la prise en compte des retraitements obligatoires avec l’élimination des écritures purement fiscales (provisions réglementées), les retraitements d’homogénéisation (amortissement des immobilisations selon une durée homogène par exemple).
237
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
238
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Conclusion générale
239
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
240
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Conclusion générale. Le pilotage des risques bancaires via le risk management et l'audit interne est une problématique largement d'actualité. Le paysage bancaire marocain fait actuellement face à un environnement socioéconomique mouvant et de plus en plus complexe. Avec la croissance des volumes d’opérations, le développement des produits diversifiés et sophistiqués, la rapidité de renouvellement des process, l'automatisation accélérée des traitements, les risques auxquels les banques sont actuellement confrontées sont devenus plus nombreux, plus significatifs et plus complexes surtout dans un contexte de baisse des marges. Ces mutations posent d'une part des problèmes de difficultés d’audit et de management des risques et d’autre part, elles accroissent le risque d’audit inadapté voir défaillant. Des systèmes déficients en matière de gestion et d'audit des risques dans le secteur bancaire peuvent rapidement provoquer des pertes financières considérables lesquelles, si elles ne sont pas contenues adéquatement par des tampons solides aptes à endiguer le risque systémique, sont susceptibles d'engendrer un effet de domino auprès d'autres opérateurs sur les marchés avec des conséquences difficilement calculables pour le système financier. S'il est vrai que l'audit bancaire comporte des coûts élevés, il s'est avéré qu'un audit déficient ou insuffisant coûte encore plus cher. L'audit bancaire présente quelques spécificités de part les particularités de l’environnement analysé. En effet, en s’appliquant au système de gestion et de contrôle des risques bancaires, il en découle une pluridisciplinarité des champs observés : ressources humaines, système d'information, comptabilité, activités de marché …. De plus, les risques bancaires sont des phénomènes complexes et difficiles à cerner. Ce qui entraîne des particularités pour l’auditeur concernant la manière d’observer, l’interprétation des résultats et les difficultés d’élaboration du système de référence. Encore s'agit-il de s'assurer que l'audit mis en place est bien apte à accomplir la mission qu'on lui a assignée. L’enquête menée auprès du système bancaire marocain a mis en évidence certaines insuffisances dans la gestion et l'audit des risques au sein des établissements bancaires. Cette gestion longuement assimilée à une simple conformité aux procédures internes et à des règles prudentielles s'est révélée inadéquate dans la mesure où les banques se sont limitées pour la plupart au respect d'un ensemble d'indicateurs plutôt généraux et ont passé sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du management et du conseil d'administration dans le contrôle des organisations bancaires ce qui a induit
241
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
l’absence d’un exercice clair des responsabilités du top management dans l’attribution des rôles et des tâches entre l’audit interne, le risk management et la compliance. L’audit interne tel que pratiqué actuellement dans de nombreuses grandes banques, s’avère inadéquat ou du moins présente des insuffisances. En outre, cet audit doit aller dans le sens de l’importance accrue conférée par les autorités de contrôle bancaire à l’examen exhaustif et pertinent des processus de gestion du risque et de contrôle interne dans une organisation bancaire. Les établissements bancaires sont aujourd’hui conduits à s'investir davantage pour tirer les conclusions de ces évolutions. L’axe de progrès le plus évident est la mise en place d’un système interne d’audit et de risk management et ce, quelle que soit la nature du risque (crédit, marché, opérationnel, conformité, réputation...). Ainsi, les banques doivent plus que jamais disposer d’un système d’audit et de risk management performant, efficace et élaboré, susceptible d’analyser, de mesurer, de maîtriser et d'assurer une réaction rapide face à l’apparition de nouveaux risques. Si les normes prudentielles et réglementaires demeurent un point d'ancrage essentiel, il est de plus en plus pressant que les établissements bancaires puissent s'investir dans le développement d'instruments complémentaires d'analyse fondés sur des méthodes à la fois quantitatives et qualitatives voir systémiques. Le Comité de Bâle impose la mise en œuvre de méthodes plus strictes pour l’évaluation et la gestion du risque de crédit, du risque de marché et du risque opérationnel. Disposer de cette visibilité globale sur le risque, tout en répondant aux exigences réglementaires serait possible avec l'approche de l'audit systémique. Celle-ci a modifié profondément les pratiques utilisées jusque là par l'auditeur bancaire. Instaurée en globalité pour toutes les lignes métiers ou intégrée individuellement pour compléter un système existant, une telle approche permet aux établissements bancaires de disposer d'un outil précieux pour mieux gérer et contrôler leurs risques. Cette approche permet également : d'avoir une vision globale et maîtrisée des risques, quelle que soit la complexité des organisations ou des processus à auditer; de vérifier l'efficacité du dispositif de contrôle interne par ligne métier; enfin, d’accroître la responsabilité, la vigilance et la réactivité des unités opérationnelles et ainsi des risk managers dans la maîtrise, la gestion et la prévention des risques. Parallèlement au développent en interne d'outils et techniques de contrôles et gestion des risques bancaires, l'auditeur interne apparaît de plus en plus
242
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
incontournable dans le processus de supervision bancaire architecturé par les organes de tutelles. Au delà de sa responsabilité de donner un avis indépendant sur la fiabilité des dispositifs de contrôle interne, l'auditeur bancaire devient ainsi un acteur important dans la prévention des risques bancaires. Ainsi, la démarche opératoire d'audit systémique développée dans le présent mémoire pour les quatre lignes métiers (système d'information, salle des marches, comptabilité et ressources humaines) illustre parfaitement l'originalité et la pertinence de l'approche. Par ailleurs, les nouvelles évolutions du cadre réglementaire du secteur bancaire marocain notamment à travers la refonte récente des statuts de Bank AlMaghrib lui conférant l’autonomie en matière d’élaboration et de conduite de la politique monétaire et la nouvelle loi bancaire ayant renforcé les prérogatives de la banque centrale dans le domaine de la supervision bancaire d’une part, et la convergence des dispositifs de contrôle interne au regard des normes internationales et les principes fondamentaux édictés par le Comité de Bâle d’autre part, permettraient au secteur d’être à même de faire face à la concurrence étrangère et d’accompagner l'accès des opérateurs aux marchés extérieurs. Le renforcement de la concentration au sein du secteur bancaire, à travers les économies d'échelle qu'elle induit, constituerait à cet égard un atout majeur. Parallèlement, la Banque centrale veille à ce que les établissements de crédit renforcent leurs dispositifs de contrôle interne, conduisent leurs activités de manière saine et maintiennent leurs fonds propres à des niveaux appropriés au regard des risques qu’ils encourent. Les travaux préparatoires pour l’application du nouvel accord sur les fonds propres ont conduit à opter pour une démarche progressive, adaptée au contexte national, mais incitative à l’adoption d’approches plus fines dites de notation interne pour l’allocation des fonds propres. La transition du secteur bancaire vers le nouveau dispositif de Bâle II dans de bonnes conditions nécessite, néanmoins, l’accélération du processus de restructuration des différentes composantes de ce secteur. L’intensification de la concurrence, inhérente à la libéralisation croissante de l’activité bancaire et à l’ouverture de l’économie nationale, s’est traduite, ces dernières années, par un resserrement de la marge d’intermédiation bancaire, imposant des standards de compétitivité de plus en plus contraignants. Cette évolution a engendré une nouvelle dynamique dans le secteur qui s’est concrétisée par un mouvement de concentration des établissements de crédit et la recherche d’un positionnement sur l’échiquier régional et international.
243
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La situation prudentielle des banques commerciales demeure conforme aux normes observées sur le plan international. Leur ratio de solvabilité dégage globalement un excédent qui devrait, toutefois, être consolidé pour les placer en position de faire face, aisément, aux nouvelles contraintes imposées par le nouveau dispositif de Bâle II. Ce faisant, l’audit interne n’a ainsi pas achevé sa mutation et continuera d’évoluer pour apporter aux banques toujours plus de valeur ajoutée. Les résultats de l’enquête menée permettent d’entrevoir les contours de l’audit interne de demain et de définir les défis et les enjeux futurs de la profession à savoir : affirmer son rôle et ses responsabilités dans le gouvernement d’entreprise à la faveur d’un rattachement hiérarchique à la direction générale et de liens fonctionnels avec le comité d’audit, lorsqu’il existe ; se positionner, plus encore que par le passé, comme un outil majeur de détection, de prévention et de maîtrise des risques, en coordination avec toute autre fonction concernée (Risk management, Compliance,..); maintenir son indépendance, son objectivité et son impartialité ; accroître sa professionnalisation par : une formation permanente; une méthodologie et des outils adaptés et performants basés et sur les risques et sur les systèmes (l’Audit Systémique); En relevant ces défis, l’audit interne apportera aux banques encore plus de valeur ajoutée et sera un acteur incontournable de la bonne gouvernance de l’organisation bancaire. Ce travail de recherche constitue ainsi un support d’analyse qualitative auquel tout responsable d’audit interne ou risk manager est invité à se reporter, d’autant que de fréquentes références aux référentiels et aux normes professionnelles viennent rappeler les bonnes pratiques en la matière. Il reflète l’image d’un audit interne au service tant de la direction générale que du comité d’audit, à même de prévenir la destruction de valeur au sein de l’organisation bancaire et d’apporter une contribution déterminante à une bonne gouvernance.
244
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
245
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexes
246
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
247
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe N°1 Tableau synthétique des principales catastrophes financières. Société
Type de catastrophe
Causes
Erreur
Impact résultats
Année
Barings
Faillite financière
Stratégie erronée avec des 1. Management trop confiant volumes démesurés par 2. Trop grande concentration des rapport à la taille de pouvoirs l'établissement 3. Faiblesse du contrôle interne, faible supervision des employés et manque de reporting 4. Manque de compréhension de l'activité Pertes de 800 millions de £.
Orange County
Cessation de paiements
Pas de reporting en valeur 1. Valorisation des portefeuilles au Pertes de 1,64 des portefeuilles coût historique milliard de dollars 2. Pas de reporting régulier
1993 1995
MGRM 81
Cessation de paiements
Stratégie de vente de produits pétroliers hasardeuse
1. Mauvaise compréhension des risques de l'activité 2. Mauvaise gestion des corrélations entre les risques de marché 3. Négligence sur l'établissement de limites bien définies
Perte de 8,2 milliards de francs
1992
Morgan Grennfell
Perte de confiance des investisseurs
Placement dans des actions non cotées et très spéculatives
1.Trop grande concentration des pouvoirs 2. Faiblesse du contrôle interne
Perte de 400 millions 1994 de dollars 1997
Faillite de la banque 1995 et rachat pour 1 franc symbolique par une banque hollandaise
Bankers Trust Perte d'image
Insuffisante explication des Insuffisante vérification des risques liés aux produits connaissances techniques des vendus clients
93 millions de dommages et intérêts
1994 1996
Daiwa
Fermeture d'une succursale et démission de la direction générale
Manque de ségrégation des tâches
1. Dépassement des limites de position pour récupérer es pertes 2. Ventes d'obligations appartenant aux clients 3. Falsification des relevés bancaires
Pertes de 1,1 milliard de dollars
1995
Lloyds
Pertes financières
Stratégie d'indemnisation de sinistre illimitée à l'époque de la découverte de l'amiante et autres polluants
1. Mauvaise maîtrise des risques à 509 millions de livres 1991 moyen et long terme sterling 1995
Investissements massifs dans le seul marché immobilier, suivi d'une chute des prix.
1. Aucune stratégie de diversification prévue 2. Management trop confiant
Confederation Pertes Life financières
Source : PricewaterhouseCoopers.2002
81
METALLGESELLSHAFT Refining and Marketing (MGRM).
248
Pertes de 1,3 milliards de dollars
1980 1993
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe N°2 Contenu type du dossier administratif du personnel 1. Renseignements, embauches, réintégration, régime (temps plein, partiel) 2. Appréciation 3. Formation 4. Appointements, mutations, titularisation, promotions 5. Absences 6. Etat - civil, Situation de famille, adresse 7. Prêts et avances 8. Intéressement, primes, participation 9. Contrat spécifique (détachement, CDD, ANAPEC …). Pour le personnel détaché, avantages particuliers (logement, voyages, scolarité, etc…) 10. Incidents 11. Médailles du travail 12. Service national 13. Pièces diverses 14. Sortie (démission, retraite, plan social…)
249
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe 3 Etat des Absences Sur base de l’effectif payé mensuel moyen de l’année (en nombre de personnes), avec les jours ouvrés par an.
Maladie Accidents du travail Congés de maternité Congés autorisés (événements familiaux,…) Autres causes Total
n % % % % % %
n-1 % % % % % %
n-2 % % % % % %
Annexe 4 Typologie des risques informatiques OBJECTIF
DEFINITION DU RISQUE DE NON ATTEINTE DE L’OBJECTIF
Efficacité
Risque de traitement et de mise à disposition d’informations inadéquates, non pertinentes, tardives ou inexploitables. Efficience Risque de traitement et de mise à disposition d’informations avec une utilisation des ressources non optimale (productive et économique). Confidentialité Risque de divulgation non autorisée d’informations sensibles. Intégrité
Juridique
Risque de non exhaustivité, d’inexactitude et d’invalidité des informations traitées, gérées et mises à disposition. Risque d’indisponibilité des informations et des ressources (humaines, matérielles, logicielles...). Risque de non respect des lois, réglementations, contrats, standards, normes externes et internes. Risque de ne pas disposer des traces nécessaires à des recherches / contrôles a posteriori ou à titre de preuve en cas de litige. Risque de litige porté devant les tribunaux.
Image
Risque d’atteinte à la réputation de l’entreprise.
Disponibilité Conformité Traçabilité
250
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe 5 Compte de résultats Année 1 Année 2 Année 3 Intérêts et produits assimilés - Intérêts et charges assimilées + Produits sur opérations de crédit-bail - Charges sur opérations de crédit-bail et assimilées + Produits sur opérations de location simple - Charges sur opérations de location simple + Revenus des titres à revenu variable + Commissions (produits) - Commissions (charges) +/- Gains ou pertes sur opérations des portefeuilles de négociation +/- Gains ou pertes sur opérations des portefeuilles de placement et assimilés + Autres produits d’exploitation bancaire - Autres charges d’exploitation bancaire = PRODUIT NET BANCAIRE - Charges générales d’exploitation - Dotations aux amortissements et provisions / immobilisations corporelles et incorporelles = RESULTAT BRUT D’EXPLOITATION - Coût du risque = RESULTAT D’EXPLOITATION +/- Gains ou pertes sur actifs immobilisés = RESULTAT COURANT AVANT IMPOT +/- Résultat exceptionnel - Impôt sur les bénéfices +/- Dotations / reprises de FRBG et provisions réglementées = RESULTAT NET
251
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe 6 Bilan Année 1 Année 2 Année 3 Actif Opérations de trésorerie et interbancaires Opérations avec la clientèle Dont créances douteuses Dont provisions pour créances douteuses Opérations sur titres Comptes de régularisation et divers Valeurs immobilisées
Année 1 Année 2 Année 3 Passif Opérations de trésorerie et interbancaires Opérations avec la clientèle Opérations sur titres Comptes de régularisation Provisions passives et non affectées Dettes représentées par un titre Capitaux propres hors résultat Résultat
Année 1 Année 2 Année 3 Hors bilan Engagements donnés en faveur des établissements de crédit Engagements donnés en faveur de la clientèle Engagements reçus des banques Engagements reçus de la clientèle
-
Ratios / autres informations : Année 1
Effectifs (Unités Temps Plein en fin de période) Engagements pondérés Coefficient d’exploitation (%) ROWA (return on weighted assets) ROE (return on equity) analytique après impôts Ratio créances douteuses / total créances Ratio provisions créances douteuses / créances douteuses
252
Année 2
Année 3
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe N°7 Circulaire BAM N°6/G/2001 BANK AL-MAGHRIB LE GOUVERNEUR Circulaire N° 6/G/2001 Rabat, le 25 Kaada 1421 19 Février 2001
CIRCULAIRE N° 6 RELATIVE AU CONTROLE INTERNE DES ETABLISSEMENTS DE CREDIT Dans le cadre des prérogatives qui leur sont dévolues notamment par le dahir portant loi n°1-93-147 (6 juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle, les autorités monétaires ont édicté un ensemble de règles prudentielles d’ordre quantitatif visant à prémunir les établissements de crédit contre certains risques tels que les risques de liquidité, de solvabilité, de concentration des crédits et de dépréciation des actifs. Afin de renforcer le dispositif prudentiel susvisé et dans le but d’amener les établissements de crédit à maîtriser davantage les risques qu’ils encourent, les autorités monétaires estiment que ces établissements doivent se doter d’un système de contrôle interne. La présente circulaire a pour objet de préciser, en particulier, les modalités et les règles minimales que les établissements de crédit doivent observer pour la mise en place de ce système. ARTICLE PREMIER Les établissements de crédit sont tenus de mettre en place un système de contrôle interne, dans les conditions minimales prévues par les dispositions de la présente circulaire. ARTICLE 2 Le système de contrôle interne consiste en un ensemble de dispositifs conçus et mis en œuvre, par les instances compétentes, en vue d'assurer en permanence, notamment : - la vérification des opérations et des procédures internes, - la mesure, la maîtrise et la surveillance des risques, - la fiabilité des conditions de la collecte, de traitement, de diffusion et de conservation des données comptables et financières, - l’efficacité des canaux de la circulation interne de la documentation et de l’information ainsi que de leur diffusion auprès des tiers. - Conception, mise en oeuvre et suivi des tâches du contrôle interne. - Dispositif de vérification des opérations et des procédures internes. - Dispositif de mesure, de maîtrise et de surveillance des risques. - Dispositif de contrôle de la comptabilité. - Dispositions diverses et transitoires. I- CONCEPTION, MISE EN OEUVRE ET SUIVI DES TACHES DU CONTROLE INTERNE ARTICLE 3 La conception du système de contrôle interne incombe à l’organe de direction (direction générale, directoire ou toute instance équivalente) qui doit, à cet effet : - identifier l’ensemble des sources de risques internes et externes, - définir les procédures de contrôle interne adéquates, - prévoir les moyens humains et matériels nécessaires à la mise en œuvre du contrôle interne. ARTICLE 4 L’organe de direction élabore, également, la structure organisationnelle appropriée pour la mise en œuvre du système de contrôle interne. ARTICLE 5 Le système de contrôle interne ainsi que sa structure organisationnelle, conçus par l’organe de direction, doivent être agréés par l’organe d’administration (conseil d’administration, conseil de surveillance ou toute instance équivalente).
253
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
ARTICLE 6 L’organe de direction est tenu de veiller à la mise en place du système de contrôle interne, une fois adopté par l’organe délibérant. Il doit, à cet effet, désigner un responsable qui relève directement de son autorité et qui a pour tâche d’assurer un suivi exhaustif du système de contrôle interne et de veiller à sa cohérence. ARTICLE 7 Les établissements de crédit constitués en groupe, doté d'un organe central, choisissent le responsable visé au 2ème alinéa de l’article précédent en concertation avec ledit organe. ARTICLE 8 Les fonctions du responsable visé au 2ème alinéa de l’article 6 ci-dessus peuvent être assurées par l'organe de direction lorsque la taille de l'établissement ne justifie pas de confier ces tâches à une personne spécialement désignée à cet effet. Elles peuvent également, dans le cas des établissements contrôlés de manière exclusive par un autre établissement de crédit, être assumées par le responsable du contrôle interne de ce dernier. ARTICLE 9 Le responsable du contrôle interne rend compte de l'exercice de sa mission à l'organe de direction ainsi qu'au comité visé à l'article 15 ci-dessous. ARTICLE 10 L’organe de direction doit veiller au suivi du système de contrôle interne. Il est tenu, dans ce cadre de : - s’assurer, en permanence, de la bonne exécution de la mission confiée au responsable visé au 2ème alinéa de l’article 6 susvisé et du bon fonctionnement global du système de contrôle interne, - prendre les mesures nécessaires pour remédier, en temps opportun, à toute carence ou insuffisance relevée dans les dispositifs de contrôle. ARTICLE 11 L’organe de direction est tenu d’élaborer un manuel de contrôle interne qui précise notamment : - les éléments constitutifs de chaque dispositif et les moyens de leur mise en œuvre, - les règles qui assurent l'indépendance des dispositifs de contrôle vis- à- vis des unités opérationnelles, - les différents niveaux de responsabilité du contrôle. ARTICLE 12 Le manuel de contrôle interne doit être réexaminé périodiquement en vue d’adapter ses dispositions particulièrement aux prescriptions légales et réglementaires ainsi qu’à l'évolution de l'activité, de l'environnement économique et financier et des techniques d'analyse. ARTICLE 13 L’organe de direction doit établir, au moins une fois par an, un rapport sur les activités du contrôle interne qu'il adresse à l’organe d’administration. Ce rapport décrit les actions de contrôle effectuées et les insuffisances relevées, notamment au niveau des domaines que couvre le dispositif de gestion des risques prévu par le Plan Comptable des Etablissements de Crédit, ainsi que les mesures correctrices y afférentes. Il doit, dans le cas des établissements qui détiennent le contrôle exclusif d’autres entités à caractère financier, retracer les activités du contrôle interne au niveau de l'ensemble des entités du groupe. ARTICLE 14 L’organe d’administration est tenu de s’assurer de la mise en place et du suivi, par l’organe de direction, du système de contrôle interne. A cet effet, il procède, au moins une fois par an, à l’examen de l’activité et des résultats du contrôle interne sur la base des informations qui lui sont adressées par l’organe de direction conformément aux dispositions de l’article 13 ci-dessus ainsi que par le comité prévu à l’article 15 ci-dessous. ARTICLE 15 L’organe d’administration est tenu de constituer un comité chargé de l’assister en matière de contrôle interne. Ce comité procède notamment à l’évaluation de la cohérence et de l’adéquation des dispositifs de contrôle mis en place ainsi que de la pertinence des mesures correctrices prises ou proposées pour combler les lacunes ou insuffisances décelées dans le système de contrôle interne.
254
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
ARTICLE 16 Le comité visé à l’article 15 ci-dessus doit être composé, en partie, d’administrateurs non dirigeants ayant les compétences requises. Il relève directement de l’organe d’administration qui en détermine les modalités de fonctionnement et auquel il rend compte. ARTICLE 17 L’organe d’administration doit veiller à ce que l’auditeur externe de l’établissement soit régulièrement invité à assister aux réunions du comité prévu à l’article 15 ci-dessus. ARTICLE 18 Les établissements de crédit qui contrôlent de manière exclusive d’autres entités à caractère financier doivent s’assurer que les systèmes de contrôle interne mis en place au sein de ces dernières soient cohérents et compatibles entre eux de manière à permettre notamment une surveillance et une maîtrise des risques au niveau du groupe. Ils s’assurent également que les systèmes de contrôle interne susvisés sont adaptés à l’organisation du groupe ainsi qu’à la nature des entités contrôlées. ARTICLE 19 L’organe d’administration de tout établissement de crédit habilité à recevoir des fonds du public doit veiller à ce que les auditeurs externes formulent, dans le cadre de leur mission de révision et de contrôle annuels des comptes, un avis sur l'organisation et le fonctionnement du système de contrôle interne. ARTICLE 20 L’organe de direction doit adresser, à la Direction du Contrôle des Etablissements de Crédit de Bank Al-Maghrib, une copie du rapport annuel visé à l’article 13 ci-dessus et ce, au plus tard le 31 mars de l'exercice suivant. Les rapports et les comptes rendus portant sur le contrôle interne doivent également être mis à la disposition des commissaires aux comptes, des auditeurs externes et des contrôleurs de Bank AlMaghrib. ARTICLE 21 Les membres de l’organe d’administration et de l’organe de direction veillent à promouvoir, au sein de leur établissement, une culture de contrôle forte qui met l'accent particulièrement sur la nécessité, pour chaque agent, d'assumer ses tâches dans le respect des dispositions légales et réglementaires en vigueur et des directives internes établies par les organes compétents. Ils adoptent, à cet effet, une politique de formation et d'information qui met en avant les objectifs de l'établissement et explicite les moyens de leur réalisation. II- DISPOSITIF DE VERIFICATION DES OPERATIONS ET DES PROCEDURES INTERNES ARTICLE 22 Le dispositif de vérification des opérations et des procédures internes doit permettre aux établissements de crédit de s’assurer notamment : - de la conformité des opérations effectuées et des procédures internes avec les prescriptions légales et réglementaires en vigueur ainsi qu’avec les normes et usages professionnels et déontologiques, - du respect des normes de gestion et des procédures internes fixées par les organes compétents. La mise en place de ce dispositif doit refaire dans le respect notamment des articles 23 à 25 ci-après, ARTICLE 23 Les modalités d’exécution des opérations quotidiennement effectuées par les entités opérationnelles doivent comporter, comme partie intégrante, les procédures de contrôle appropriées pour s'assurer de la régularité, de la fiabilité et de la sécurité de ces opérations ainsi que du respect des autres diligences liées à la surveillance des risques qui leur sont associés. Des vérifications périodiques doivent être également effectuées en vue de s’assurer du respect des procédures de contrôle interne. ARTICLE 24 Les niveaux d'autorité et de responsabilité ainsi que les domaines d'intervention des différentes unités opérationnelles doivent être clairement précisés et délimités.
255
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
De même, une séparation stricte doit être établie entre les unités chargées, chacune en ce qui la concerne, de l'initiation, de l'exécution et du contrôle des opérations. Les domaines qui présentent des conflits d'intérêts potentiels ou des risques de chevauchement de compétences ou de responsabilités doivent être identifiés, soumis à une surveillance continue et faire l'objet d'une évaluation régulière en vue de leur suppression. ARTICLE 25 Chaque service ou unité opérationnelle doit être doté d’un manuel dans lequel sont consignées les procédures d’exécution des opérations qu’il est chargé d’effectuer. Ces consignes fixent notamment les modalités d'engagement, d'enregistrement et de traitement des opérations ainsi que les schémas comptables correspondants. III- DISPOSITIF DE MESURE, DE MAITRISE ET DE SUREVEILLANCE DES RISQUES ARTICLE 26 Les dispositifs de mesure, de maîtrise et de surveillance des risques doivent permettre de s’assurer que les risques encourus par l’établissement de crédit, particulièrement les risques de crédit, de marché, de taux d’intérêt global, de liquidité et de règlement ainsi que les risques informatique et juridique, sont correctement évalués et maîtrisés. ARTICLE 27 Les risques de crédit, de marché, de taux d'intérêt global, de liquidité et de règlement doivent être maintenus dans le cadre des limites globales arrêtées par la réglementation en vigueur ou fixées par l’organe de direction et approuvées par l'organe d’administration. Ces limites doivent être revues, autant que nécessaire et au moins une fois par an, en tenant compte, notamment, du niveau des fonds propres de l'établissement. ARTICLE 28 Le contrôle du respect des limites visées à l’article précédent doit être effectué de façon régulière et inopinée et donner lieu à l’établissement d’un compte rendu à l’attention des organes compétents. Ce compte rendu doit comporter une analyse des raisons ayant motivé les éventuels dépassements ainsi que, s'il y a lieu, les propositions et/ou recommandations y afférentes. ARTICLE 29 Les dispositifs de mesure, de maîtrise et de surveillance des risques doivent être adaptés à la nature, au volume et au degré de complexité des activités de l’établissement. ARTICLE 30 Les établissements de crédit constituent, si le volume et la diversité de leurs activités le justifient, des comités chargés d’assurer le suivi de certaines catégories de risques spécifiques (comité de risque crédit, comité de liquidité, …). 1- RISQUES DE CREDIT ARTICLE 31 On entend par risque de crédit, le risque qu’un client ne soit pas en mesure d’honorer ses engagements à l’égard de l’établissement de crédit. ARTICLE 32 Le dispositif de contrôle du risque de crédit doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit, du fait de la défaillance de la clientèle, sont correctement évalués et régulièrement suivis. La mise en place d’un tel dispositif doit se faire dans le respect des dispositions minimales prévues aux articles 33 à 42 ci-après. ARTICLE 33 Les critères d’appréciation du risque de crédit ainsi que les attributions des personnes et des organes habilités à engager l’établissement doivent être définis et consignés par écrit. Ces consignes doivent être adaptées aux caractéristiques de l’établissement, en particulier, à sa taille, à la nature et au volume de ses activités. ARTICLE 34 Les demandes de crédit doivent donner lieu à la constitution de dossiers comportant toutes les informations quantitatives et qualitatives relatives au demandeur notamment les documents
256
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de revenu ou tout autre document en tenant lieu. Les informations portent tant sur le demandeur de crédit lui-même que sur les entités avec lesquelles il constitue un groupe d’intérêt, compte tenu des liens juridiques et financiers qui existent entre eux. Les dossiers de crédit doivent être régulièrement mis à jour. ARTICLE 35 L'évaluation du risque de crédit prend en considération, notamment, la nature des activités exercées par le demandeur, sa situation financière, la surface patrimoniale des principaux actionnaires ou associés, sa capacité de remboursement et, le cas échéant, les garanties proposées. Elle prend également en compte toutes autres informations permettant une appréciation plus complète du risque tels que la compétence des dirigeants et l'environnement économique dans lequel le demandeur de crédit exerce son activité. ARTICLE 36 Les décisions d'octroi des crédits prennent en considération la rentabilité globale des opérations effectuées avec le client et ce, à travers l’analyse prévisionnelle des charges et produits y afférents (coûts opérationnels et de financement, charge correspondant au risque de défaillance éventuelle de la contrepartie et rémunération des fonds propres). ARTICLE 37 L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note par référence à une échelle de notation interne. ARTICLE 38 Les risques de crédit encourus sur une même contrepartie (client individuel ou groupe de personnes physiques ou morales liées entre elles et présentant un risque unique pour l’établissement de crédit) doivent être recensés et centralisés quotidiennement. Ceux encourus par secteur, pays ou zone géographique doivent l’être au moins une fois par mois. ARTICLE 39 Les risques de crédit encourus sur des clients bénéficiant de concours relativement importants doivent faire l'objet d'une surveillance particulière, tant sur une base individuelle qu'au niveau du groupe. ARTICLE 40 Les concours consentis aux personnes physiques ou morales apparentées à l’établissement de crédit ainsi que l’évolution de leurs encours doivent être régulièrement portés à la connaissance de l’organe d’administration. L’organe d’administration doit être également informé de toute opération susceptible d’engendrer un conflit entre les intérêts de l’établissement et ceux des personnes précitées. ARTICLE 41 Les concours qui, au regard de la réglementation en vigueur, sont considérés comme créances en souffrance doivent être enregistrés dans les comptes appropriés du plan comptable des établissements de crédit et donner lieu à la constitution des provisions requises. ARTICLE 42 Les encours des créances en souffrance ainsi que les résultats des démarches, amiables ou judiciaires, entreprises pour leur recouvrement doivent être régulièrement, et à tout le moins deux fois par an, portés à la connaissance de l’organe d’administration. Celui-ci doit également être tenu informé des encours des créances restructurées et de l’évolution de leur remboursement. 2- RISQUES DE MARCHE ARTICLE 43 On entend par risques de marché, les risques de pertes qui peuvent résulter des fluctuations des prix des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles d’engendrer un risque de change, notamment les opérations de change à terme et au comptant. Le portefeuille de négociation susvisé comprend : - les titres acquis, dès l’origine, avec l’intention de les revendre à brève échéance en vue de tirer bénéfice des écarts entre les prix d’achat et de vente, et ce dans le cadre d’une activité de marché, y compris les titres à livrer ou à recevoir, - les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le marché gris,
257
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
-
les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer avantage de l’évolution des prix ou à couvrir les risques de marché encourus sur les instruments visés aux tirets précédents. ARTICLE 44 Le dispositif de contrôle des risques de marché doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit, du fait des fluctuations qui pourraient affecter les prix des instruments financiers visés à l’article 43, font l’objet d’une évaluation appropriée et d’une surveillance régulière. La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des articles 45 à 47 ci-dessous. ARTICLE 45 Les transactions sur les instruments financiers visés à l’article 43 doivent faire l’objet d’un suivi quotidien de manière à : - appréhender les positions détenues en chaque instrument et en calculer les résultats, - mesurer le risque de taux d’intérêt, le risque de change et le risque sur titres de propriété liés à ces positions, - s’assurer du respect des limites et des procédures internes mises en place pour la maîtrise de ces risques. ARTICLE 46 La mesure des risques de marché doit être effectuée de façon à en cerner les diverses composantes et ce, par le recours à des procédés qui permettent une agrégation, aussi bien sur une base individuelle que consolidée, de l’ensemble des positions relatives à des instruments financiers ou à des marchés différents. ARTICLE 47 Des évaluations régulières, notamment en cas de fortes variations affectant un marché ou l'un de ses segments, doivent être effectuées pour suivre l’évolution des risques susvisés. Les modèles d'analyse retenus pour ces évaluations doivent, eux aussi, régulièrement faire l’objet de révisions, à l’effet d’en apprécier la validité et la pertinence au regard de l’évolution de l’activité, de l’environnement des marchés et des techniques d’analyse. ARTICLE 48 Le dispositif visé à l’article 44 ci-dessus doit également permettre de s’assurer du respect des dispositions réglementaires prévues en la matière, des normes et usages professionnels et déontologiques ainsi que des limites fixées par les instances compétentes. 3- RISQUE GLOBAL DE TAUX D'INTERET ARTICLE 49 Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir une évolution défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit. ARTICLE 50 Le dispositif de contrôle du risque global de taux d’intérêt doit permettre de s’assurer que les risques susceptibles d’affecter négativement les éléments de l’actif, du passif et du hors bilan de l’établissement de crédit, du fait d’une évolution défavorable des taux d’intérêt, sont correctement mesurés et font l’objet d’une surveillance régulière et adéquate. Le dispositif susvisé doit être mis en place dans le respect notamment des prescriptions des articles 51 à 53 ci-après. ARTICLE 51 Les positions et les flux certains et prévisibles résultant de l’ensemble des opérations de bilan et de hors bilan doivent être correctement mesurés et faire l’objet d’une surveillance régulière. De même, l’ensemble des facteurs de risque global de taux d’intérêt ainsi que leur impact sur les résultats et les fonds propres doivent être identifiés et évalués. ARTICLE 52 Les paramètres et les hypothèses retenus pour l’évaluation du risque global de taux d’intérêt doivent être choisis en tenant compte notamment du niveau d’activité de l’établissement de crédit sur les différents marchés.
258
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
ARTICLE 53 Les paramètres et les hypothèses visés à l’article précédent doivent faire l’objet de réexamens périodiques pour s’assurer de leur cohérence et de leur validité au regard de l’évolution de la structure des activités exercées et des conditions du marché. 4- RISQUE DE LIQUIDITE ARTICLE 54 Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir s’acquitter, dans des conditions normales, de ses engagements à leur échéance. ARTICLE 55 Le dispositif de contrôle du risque de liquidité doit permettre de s’assurer que l’établissement de crédit est en mesure de faire face, à tout moment, à ses exigibilités et d’honorer ses engagements de financement envers la clientèle. La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des articles 56 et 57 ci-dessous. ARTICLE 56 La trésorerie immédiate ainsi que les entrées et sorties de trésorerie prévisionnelles à des échéances déterminées doivent être évaluées de manière correcte, en tenant compte notamment de l'incidence des fluctuations des marchés de capitaux. ARTICLE 57 Les possibilités d’accès aux marchés des capitaux dont bénéficie l’établissement, en particulier les lignes de crédit ouvertes par les correspondants, doivent être revues périodiquement afin de tenir compte des éventuels changements qui pourraient affecter la situation ou la renommée de l’établissement lui-même ou la situation financière ou juridique de ces correspondants. 5- RISQUE DE REGLEMENT ARTICLE 58 Le risque de règlement s’entend comme le risque de survenance, au cours du délai nécessaire pour le dénouement de l’opération de règlement, d’une défaillance ou de difficultés qui empêchent la contrepartie d’un établissement de crédit de lui livrer les instruments financiers ou les fonds convenus, alors que ledit établissement a déjà honoré ses engagements à l’égard de ladite contrepartie. ARTICLE 59 Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les risques auxquels peut s’exposer l’établissement de crédit sont correctement évalués et font l’objet d’un suivi rigoureux et régulier. ARTICLE 60 Le dispositif de contrôle du risque de règlement doit permettre de s’assurer que les différentes phases du processus de règlement sont identifiées et font l’objet d’une attention particulière, notamment l'heure limite pour l'annulation unilatérale de l'instruction de paiement, l'échéance de la réception effective des fonds relatifs à l'instrument acheté et le moment où la réception de ces fonds ou instruments est confirmée. 6- RISQUE INFORMATIQUE ARTICLE 61 Le risque informatique s’entend comme le risque de survenance de dysfonctionnements ou de rupture dans le fonctionnement du système de traitement de l’information, imputables à des défaillances dans le matériel ou à des erreurs, des manipulations ou autres motifs (virus) affectant les programmes d’exécution. ARTICLE 62 Le dispositif de contrôle des risques informatiques doit assurer un niveau de sécurité jugé satisfaisant par rapport aux normes technologiques et aux exigences du métier. La mise en place d’un tel dispositif doit se faire dans le respect notamment des dispositions des articles 63 à 65 ci-dessous. ARTICLE 63
259
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les supports de l'information et de la documentation relatifs à l'analyse et à l'exécution des programmes doivent être conservés dans des conditions présentant le maximum de sécurité contre les risques de détérioration, de manipulation ou de vol. ARTICLE 64 Des procédures d'urgence ainsi que du matériel et des logiciels de secours doivent être prévus pour faire face à tout dysfonctionnement du système informatique ou à la survenance d'événements pouvant le rendre inopérant. ARTICLE 65 Les dispositifs de sécurité, d'urgence et de secours susvisés doivent faire l’objet de vérifications périodiques en vue de tester leur bon fonctionnement. 7- RISQUE JURIDIQUE ARTICLE 66 Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la responsabilité de l’établissement de crédit du fait d’imprécisions, de lacunes ou d’insuffisances dans les contrats et autres actes de nature juridique le liant à des tiers. ARTICLE 67 Le dispositif de contrôle du risque juridique doit permettre de s’assurer que les contrats et les autres actes de nature juridique liant l’établissement de crédit à toute contrepartie sont rédigés et conclus dans le respect des dispositions légales et réglementaires en vigueur et sont soumis à un contrôle strict en vue de parer à toutes insuffisances, imprécisions ou lacunes. 8- AUTRES RISQUES ARTICLE 68 Les autres risques englobent tous les risques qui pourraient être engendrés par des procédures inefficientes, des contrôles inadéquats, des erreurs humaines ou techniques, des fraudes ou par toutes autres défaillances. ARTICLE 69 Le dispositif de contrôle des risques visés à l’article 68 doit permettre de s’assurer que les risques qui pourraient découler de défaillances ou d’insuffisances, de quelque ordre que ce soit, sont identifiés et font l’objet de mesures de nature à en limiter la survenance et l’impact sur le fonctionnement global de l’établissement. La mise en place d’un tel dispositif doit se faire dans le respect notamment des prescriptions des articles 70 et 71 ci-après. ARTICLE 70 L’organe d’administration et l’organe de direction doivent prendre les précautions et les mesures adéquates pour empêcher que leurs établissements ne soient impliqués, à leur insu, dans des opérations financières liées à des activités non autorisées par la loi et plus généralement pour éviter la survenance de tout événement susceptible d'entacher leur réputation ou de porter atteinte au renom de la profession. ARTICLE 71 Les dispositifs mis en place pour assurer la sécurité des personnes et des biens doivent être conformes aux normes usuellement requises en la matière. De même, les dommages auxquels peuvent se trouver exposés les personnes et les biens doivent être couverts par des contrats d'assurances dûment souscrits. IV- DISPOSITIF DE CONTROLE DE LA COMPTABILITE ARTICLE 72 Le dispositif de contrôle de la comptabilité doit permettre aux établissements de crédit de s'assurer de la fiabilité et de l'exhaustivité de leurs données comptables et financières et de veiller à la disponibilité de l’information au moment opportun. La mise en place de ce dispositif doit se faire dans le respect notamment des prescriptions du plan comptable des établissements de crédit ainsi que de celles des articles 73 à 77 ci-après. ARTICLE 73 Les modalités d’enregistrement comptable des opérations doivent prévoir un ensemble de procédures, appelé piste d'audit, qui permet :
260
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
-
de reconstituer les opérations selon un ordre chronologique, de justifier toute information par une pièce d'origine à partir de laquelle il doit être possible de remonter par un cheminement ininterrompu au document de synthèse et réciproquement. - et d'expliquer l'évolution des soldes d'un arrêté à l'autre par conservation des mouvements ayant affecté les postes comptables. ARTICLE 74 Le bilan et le compte de produits et charges doivent être obtenus directement à partir de la comptabilité. ARTICLE 75 Les opérations qui comportent des risques de marché doivent donner lieu, à tout le moins à la date d'arrêté de fin de mois, à un rapprochement entre les résultats calculés par les unités opérationnelles et les résultats comptables obtenus sur la base des règles d'évaluation en vigueur. Les écarts significatifs constatés doivent être justifiés et portés à la connaissance de l’organe de direction. ARTICLE 76 Les titres et autres valeurs de même nature détenus ou gérés pour le compte de tiers doivent être suivis à travers une comptabilité matière qui en retrace les entrées, les sorties et les existants et faire l'objet d'inventaires périodiques. Distinction doit être faite entre les valeurs reçues en dépôt libre et celles servant de garanties en faveur de l'établissement de crédit lui-même ou de tiers. ARTICLE 77 Des évaluations régulières du système d'information comptable et de traitement de l’information doivent être effectuées en vue de s’assurer de sa pertinence au regard des objectifs généraux de prudence et de sécurité et de la conformité aux normes comptables en vigueur. V- DISPOSITIONS DIVERSES ET TRANSITOIRES ARTICLE 78 Les établissements de crédit créent une structure chargée de l’information du public et des rapports avec la clientèle. Cette structure a principalement pour mission la diffusion de l’information à l’intention du public et l’examen des réclamations et doléances de la clientèle. ARTICLE 79 Les établissements de crédit doivent prendre toutes les mesures nécessaires pour entamer immédiatement la mise en place du système de contrôle interne prévu par les dispositions de la présente circulaire. Ils doivent adresser à la Direction du Contrôle des Etablissements de Crédit, à fin juillet et à fin décembre 2001, un rapport retraçant l’état d’avancement de la mise en place de ce système. ARTICLE 80 Les manquements aux dispositions de la présente circulaire sont passibles des sanctions prévues par les prescriptions du dahir portant loi n° 1-93-147 précité. Signé : M. SEQAT
261
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe N°8 Circulaire BAM devoir de vigilance BANK AL-MAGHRIB -------------------LE GOUVERNEUR Circulaire n° 36/G/2003 Rabat, le 29 Chaoual 1424 24 Décembre 2003
CIRCULAIRE N°36 RELATIVE AU DEVOIR DE VIGILANCE INCOMBANT AUX ETABLISSEMENTS DE CREDIT Considérant les dispositions du troisième tiret du deuxième alinéa de l’article 5 du dahir n° 1-59-233 du 23 hijja 1378 (30 juin 1959) portant création de Bank Al-Maghrib ; Considérant le Code de commerce notamment son article 488 ; Considérant les normes édictées par le Comité de Bâle en matière de devoir de diligence au sujet de la clientèle et les standards internationaux relatifs à la lutte contre la criminalité financière organisée notamment les recommandations du Groupe d’Action Financière sur le Blanchiment de Capitaux (GAFI) ; Considérant les dispositions de l’article 70 de la circulaire de Bank Al-Maghrib n°6/G/2001 relative au contrôle interne. Bank Al-Maghrib fixe, ci-après, les règles minimales que les établissements de crédit sont tenus d’adopter au titre du devoir de vigilance au sujet de la clientèle. Article 1 : Les établissements de crédit sont tenus de mettre en place les procédures nécessaires qui leur permettent : - D’identifier leur clientèle et d’en avoir une connaissance approfondie ; - D’assurer le suivi et la surveillance des opérations de la clientèle notamment celles présentant un degré de risque important ; - De conserver et de mettre à jour la documentation afférente à la clientèle et aux opérations qu’elle effectue. Ils doivent, en outre, sensibiliser leur personnel et le former aux techniques de détection et de prévention des opérations à caractère inhabituel ou suspect. Article 2 Les procédures visées à l’article premier ci-dessus sont consignées dans un manuel qui doit être approuvé par l’organe d’administration de l’établissement de crédit. Ce manuel doit être périodiquement mis à jour en vue de l’adapter aux dispositions légales et réglementaires en vigueur et à l’évolution de l’activité de l’établissement de crédit. I - IDENTIFICATION DE LA CLIENTELE Article 3 Les établissements de crédit sont tenus de recueillir les éléments d’information permettant l’identification de toute personne qui : - Souhaite ouvrir un compte, quelle que soit sa nature, ou louer un coffre fort ; - Recourt à leurs services pour l’exécution de toutes autres opérations, même ponctuelles, telles que le transfert de fonds. Article 4 Préalablement à l‘ouverture de tout compte, les établissements de crédit doivent avoir des entretiens avec les postulants et, le cas échéant, leurs mandataires, en vue de s’assurer de leur identité et de recueillir tous les renseignements et documents utiles relatifs aux activités des titulaires des comptes et à l’environnement dans lequel ils opèrent notamment lorsqu’il s’agit de personnes morales ou d’entrepreneurs individuels.
262
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les compte rendus de ces entretiens doivent être versés aux dossiers des clients, prévus aux articles 5 et 6 ci-après. Article 5 Une fiche d’ouverture de compte doit être établie au nom de chaque client personne physique, au vu des énonciations portées sur tout document d’identité officiel. Ce document doit être en cours de validité, délivré par une autorité marocaine habilitée ou une autorité étrangère reconnue et porter la photographie du client. Sont consignés dans cette fiche les éléments suivants : - Le(s) prénom(s) et le nom ; - Le numéro de la carte d’identité nationale, pour les nationaux ainsi que sa durée de validité ; - Le numéro de la carte d’immatriculation, pour les étrangers résidents ainsi que sa durée de validité ; - Le numéro du passeport ou de toute autre pièce d’identité en tenant lieu, pour les étrangers non résidents et sa durée de validité ; - L’adresse exacte ; - La profession ; - Le numéro d’immatriculation au registre de commerce, pour les personnes physiques ayant la qualité de commerçant ainsi que le centre d’immatriculation. Les éléments d’identification ci-dessus doivent également être recueillis des personnes qui pourraient être amenées à faire fonctionner le compte d’un client en vertu d’une procuration. La fiche d’ouverture de compte ainsi que les copies des documents d’identité présentés doivent être classées dans un dossier ouvert au nom du client. Article 6 Une fiche d’ouverture de compte doit être établie au nom de chaque client personne morale dans laquelle doivent être consignés, selon la nature juridique de ces personnes, l’ensemble ou certains des éléments d’identification ci-après : - La dénomination ; - La forme juridique ; - L’activité ; - L’adresse du siège social ; - Le numéro de l’identifiant fiscal ; - Le numéro d’immatriculation au registre du commerce ainsi que le centre d’immatriculation. Cette fiche doit être conservée dans le dossier ouvert au nom de la personne morale concernée ainsi que les documents complémentaires, ci-après précisés, correspondant à sa forme juridique. Les documents complémentaires devant être fournis par les sociétés commerciales incluent notamment : - Les statuts mis à jour ; - La publicité légale relative à la création de la société et aux éventuelles modifications affectant ses statuts ; - Les procès-verbaux des délibérations des assemblées générales ou des associés ayant nommé les administrateurs ou les membres du conseil de surveillance ou les gérants ; - Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte bancaire. Dans le cas de sociétés en cours de constitution, l’établissement de crédit doit exiger la remise du certificat négatif, le projet des statuts et recueillir tous les éléments d’identification des fondateurs et des souscripteurs du capital. Les documents complémentaires devant être fournis par les associations incluent : - Les statuts mis à jour ; - Le certificat ou récépissé de dépôt légal du dossier juridique de l’association auprès des autorités administratives compétentes ;
263
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
-
-
Les procès-verbaux de l’assemblée générale constitutive portant élection des membres du bureau, du président et la répartition des tâches au sein du bureau ; Les noms des dirigeants et les personnes mandatées pour faire fonctionner le compte bancaire. Les documents complémentaires devant être fournis par les coopératives incluent : Les statuts mis à jour ; Le procès-verbal de l’assemblée constitutive ; L’acte portant nomination des personnes habilitées à faire fonctionner le compte ; La décision portant agrément de la constitution de la coopérative. Les documents complémentaires devant être fournis par les établissements et autres entités publics incluent : L’acte constitutif ; Les actes portant nomination des représentants ou fixant les pouvoirs des différents organes de l’établissement ; Les noms des personnes habilitées à faire fonctionner le compte. Pour les autres catégories de personnes morales (groupement d’intérêt économique, groupement d’intérêt public, société anonyme simplifiée, etc), les établissements de crédit exigent les éléments complémentaires d’identification spécifiques en se référant aux textes législatifs qui les régissent.
Article 7 Les établissements de crédit recueillent des personnes qui ne disposent pas de comptes ouverts sur leurs livres et souhaitent louer un coffre fort ou effectuer des opérations ponctuelles auprès de leurs guichets les éléments nécessaires à leur identification et à celle des personnes qui en sont les bénéficiaires. Article 8 Sont soumises aux mêmes exigences visées aux articles 4, 5 et 6 ci-dessus, les demandes d’ouverture de comptes à distance (par voie d’Internet, par exemple). Article 9 A défaut des originaux, les photocopies des documents d’identité visés à l’article 5 et celles des statuts, des procès verbaux et des documents délivrés par une autorité administrative prévus à l’article 6 ci-dessus doivent être dûment certifiées conformes par les autorités compétentes. Dans le cas des personnes morales ayant leur siège social à l’étranger, ces documents doivent, sauf dispositions particulières prévues par une convention internationale, être certifiés conformes auprès des services consulaires marocains installés dans leur pays ou auprès des représentations consulaires de leur pays au Maroc. Les documents rédigés dans une langue autre que l’Arabe ou le Français doivent être traduits dans l’une de ces deux langues par un traducteur assermenté. Article 10 Les documents visés aux articles 5 et 6 ci-dessus doivent faire l’objet d’un examen minutieux pour s’assurer de leur régularité apparente et, le cas échéant, être rejetés si des anomalies sont détectées. Lorsque les informations fournies par le client ne concordent pas avec celles figurant sur les documents présentés, des justificatifs complémentaires doivent être exigés. Article 11 En vue de s’assurer de l’exactitude de l’adresse donnée par tout nouveau client, « une lettre de bienvenue » lui est adressée. En cas d’adresse erronée, l’établissement de crédit doit s’assurer par tous moyens de l’adresse exacte. A défaut, il peut décliner l’entrée en relation et procéder à la clôture du compte. Article 12 Les établissements de crédit doivent être en mesure de connaître, lors de l’ouverture d’un compte, si le postulant, dispose déjà d’autres comptes ouverts sur leurs livres et si c’est la cas, l’historique de ces comptes. Ils se renseignent sur les raisons pour lesquelles la demande d’ouverture d’un nouveau compte est formulée.
264
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
II - SUIVI ET SURVEILLANCE DES OPERATIONS DE LA CLIENTELE Article 13 Les établissements de crédit doivent classer leurs clients par catégories, selon leur profil de risque. A cet effet, les fiches d’ouverture de compte doivent retracer le profil de risque du client, établi sur la base des documents reçus en application des dispositions des articles 5 et 6 ci-dessus, des résultats des entretiens visés à l’article 4 ci-dessus et en tenant compte de certains indicateurs tels que le pays d’origine du client, l’origine des fonds, la nature de l’activité exercée, la nature des opérations effectuées et l’historique du compte. Article 14 Les établissements de crédit doivent instituer, pour chaque catégorie de clients, des limites au delà desquelles des opérations pourraient être considérées comme inhabituelles ou suspectes. Article 15 Les opérations inhabituelles ou suspectes visées à l’article 14 ci-dessus, incluent notamment les opérations qui : - Ne semblent pas avoir de justification économique ou d’objet licite apparent ; - Portent sur des montants sans commune mesure avec celles habituellement effectuées par le client ; - Se présentent dans des conditions inhabituelles de complexité. Article 16 Les établissements de crédit doivent porter une attention particulière aux opérations financières effectuées par des intermédiaires professionnels (tels que les notaires, les avocats, les entreprises qui effectuent, à titre de profession habituelle l’intermédiation, le conseil et l’assistance en matière de gestion de patrimoine) pour le compte de leurs clients personnes physiques ou morales. Article 17 Les établissements de crédit doivent prêter une attention particulière aux opérations exécutées par des personnes dont le courrier est domicilié chez un tiers, dans une boîte postale, aux guichets de l’établissement ou qui changent d’adresse fréquemment. Article 18 Les conditions d’ouverture de nouveaux comptes et les mouvements de fonds d’importance significative doivent faire l’objet de contrôles centralisés en vue de s’assurer que tous les renseignements relatifs aux clients concernés sont disponibles et que ces mouvements n’impliquent pas d’opérations à caractère inhabituel ou suspect. Toute opération considérée comme ayant un caractère inhabituel ou suspect doit donner lieu à l’élaboration d’un compte rendu à l’intention du responsable visé à l’article 19 ci-après. Article 19 Chaque établissement de crédit doit désigner un responsable et un suppléant chargés d’assurer les relations avec Bank Al-Maghrib en ce qui concerne les questions ayant trait au devoir de vigilance. Ce responsable a également pour tâches : - De centraliser et examiner les comptes rendus des agences sur les opérations ayant un caractère inhabituel ou suspect ; - D’assurer un suivi particulier des comptes qui enregistrent des opérations considérées comme inhabituelles ou suspectes ; - De tenir la direction de l’établissement continuellement informée sur les clients présentant un profil de risque élevé. Article 20 Les établissements de crédit doivent se doter de systèmes d’information qui leur permettent, pour chaque client : - De disposer de la position de l’ensemble des comptes détenus ; - De recenser les opérations effectuées ; - D’identifier les transactions à caractère suspect ou inhabituel visées à l’article 14 ci-dessus. III - CONSERVATION ET MISE A JOUR DE LA DOCUMENTATION Article 21 Les établissements de crédit conservent pendant dix ans les justificatifs relatifs : - A l'identité de leurs clients et ce, à compter de la clôture des comptes de ces derniers ;
265
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
-
A l’identité des personnes visées à l’article 7 ci-dessus ; Aux opérations effectuées avec leurs clients et ce, à compter de leur date d’exécution.
Article 22 L'organisation de la conservation des documents doit notamment permettre de reconstituer les transactions individuelles (montant et nature de l'opération) et de communiquer dans les délais requis, les informations demandées par toute autorité habilitée. Article 23 Les établissements de crédit veillent à la mise à jour régulière des informations relatives à leurs clients. Article 24 Les établissements de crédit doivent veiller, autant que possible et progressivement, à mettre à jour les dossiers relatifs à l’identification de leurs clients avec lesquels ils sont en relation avant l’entrée en vigueur des dispositions de la présente circulaire. IV - FORMATION DU PERSONNEL Article 25 Les établissements de crédit doivent veiller à ce que leur personnel, directement ou indirectement concerné par la mise en œuvre des dispositions de la présente circulaire, bénéficie d’une formation appropriée. Ils doivent sensibiliser le personnel aux risques auxquels pourraient être confrontés leurs établissements s’ils viendraient à être utilisés à des fins illicites. V - AUTRES DISPOSITIONS Article 25 Les établissements de crédit ayant des filiales ou des succursales, installées dans des zones offshore ou dans des pays ne disposant pas de réglementation en matière de vigilance, au moins équivalente à celle applicable au Maroc, doivent veiller à ce que ces entités soient dotées d’un dispositif de vigilance similaire à celui prévu par la présente circulaire. Article 26 Les établissements de crédit incluent, dans le cadre du rapport sur le contrôle interne qu’ils sont tenus d’adresser à la Direction du Contrôle des Etablissements de Crédit conformément à l’article 20 de la circulaire n° 6/G/2001 précitée, un chapitre consacré à la description des dispositifs de vigilance mis en place et des activités de contrôle effectuées en la matière. Article 27 Les dispositions de la présente circulaire entrent en vigueur à compter du 1er janvier 2004. Signé : A.JOUAHRI
266
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Annexe N°9 Circulaire Relative A L 'Audit Externe Des Etablissements De Crédit BANK AL-MAGHRIB LE GOUVERNEUR C N° 9/G/2002 Rabat, 05 Joumada I 1423 16 Juillet 2002
CIRCULAIRE RELATIVE A L 'AUDIT EXTERNE DES ETABLISSEMENTS DE CREDIT Les dispositions des articles 38 à 41 du dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle stipulent respectivement ce qui suit : «Article 38 Les établissements de crédit recevant des fonds du public sont tenus de faire procéder, par des auditeurs externes, à la révision et au contrôle annuels de leur comptabilité afin de s’assurer que cette dernière reflète fidèlement leur patrimoine, leur situation financière et leur résultat. Les auditeurs externes vérifient, également, à la demande de Bank Al-Maghrib, que l’organisation de l’établissement de crédit présente les garanties requises usuellement pour préserver le patrimoine et prévenir les fraudes et les erreurs. Article 39 Le gouverneur de Bank Al-Maghrib peut, s’il le juge utile, demander aux établissements de crédit ne recevant pas de fonds du public de procéder à des audits externes. Article 40 Les auditeurs externes sont agréés par le gouverneur de Bank Al-Maghrib. Ils ne doivent avoir, ni directement ni indirectement, aucun lien de subordination ou aucun intérêt de quelque nature que ce soit avec l’établissement de crédit, ou un rapport de parenté ou d’alliance avec ses dirigeants. Article 41 Les rapports et les résultats des audits sont communiqués au gouverneur de Bank Al-Maghrib. Celui-ci peut, s’il le juge utile, en tenir informés les membres du conseil d’administration de l’établissement concerné. Les rapports et les résultats des audits sont également communiqués aux commissaires aux comptes de l’établissement de crédit ». La présente circulaire a pour objet de préciser les modalités d’application des dispositions susvisées. Article premier Les dispositions de la présente circulaire s’appliquent : - à l’ensemble des banques - et aux sociétés de financement recevant des fonds du public. Leur champ d’application peut, toutefois, être étendu aux autres établissements de crédit, si Bank AlMaghrib le juge utile. TITRE I : AGREMENT DES AUDITEURS EXTERNES Article 2 Les établissements de crédit adressent à la Direction du Contrôle des Etablissements de Crédit de Bank Al-Maghrib (DCEC) les demandes d’agrément relatives aux auditeurs externes qu’ils envisagent d’engager pour assurer la mission d’audit définie par la présente circulaire. Article 3
267
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les demandes d’agrément relatives aux auditeurs externes exerçant à titre indépendant doivent être accompagnées de dossiers comportant les documents suivants : 1) un document attestant de l’inscription de l’auditeur externe sur le tableau de l’ordre des expertscomptables et de l’exercice effectif de la fonction d’expert-comptable ; 2) le curriculum vitae, dûment daté et signé, de l’auditeur externe et de chacun de ses collaborateurs susceptibles de prendre part aux travaux d’audit des établissements de crédit ; 3) une déclaration sur l’honneur, conforme au modèle joint en annexeI, datée et signée par chacune des personnes visées au point 2 ci-dessus, par laquelle le signataire atteste, notamment, qu’il ne tombe pas sous le coup de l’une des incompatibilités prévues par : - la loi n° 15-89 réglementant la profession d’expert-comptable et instituant un ordre des expertscomptables, promulguée par le dahir n° 1-92-139 du 14 rajeb 1413 (8 janvier 1993), - le dahir portant loi n° 1-93-147 du 15 moharrem 1414 (6 juillet 1993) relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle - et la loi n° 17-95 relative aux sociétés anonymes, promulguée par le dahir n° 1-96-124 du 14 rabii II 1417 (30 août 1996) ; 4) une note faisant ressortir l’expérience professionnelle de l’auditeur externe, les moyens techniques et humains dont il dispose et, le cas échéant, l’appui dont il pourrait bénéficier de la part d’autres partenaires qualifiés, nationaux ou étrangers, ainsi que les références des missions d’audit antérieures réalisées auprès des établissements de crédit et les services de consultation et de conseil, rendus par l’auditeur, y compris par le biais de filiales spécialisées. Article 4 Les demandes d’agrément concernant les auditeurs externes exerçant en qualité de sociétés d’expertscomptables doivent comprendre, outre les informations visées à l’article 3, les documents ci-après : - une fiche de renseignements, conforme au modèle joint en annexeII, dûment datée et signée par le représentant statutaire de la société ; - une copie certifiée conforme des statuts de la société mis à jour ; - le curriculum vitae de chacun des associés appelés à participer aux missions d’audit des établissements de crédit. Article 5 Toute demande d’agrément doit être accompagnée d’une attestation, conforme au modèle joint en annexeIII, dûment datée et signée par un responsable habilité à le faire, par laquelle l’établissement de crédit certifie que le choix de l’auditeur externe a été effectué dans le respect des dispositions prévues par la présente circulaire. Article 6 Dans le cas où l’auditeur externe fait appel, dans le cadre de sa mission, à des experts ne faisant pas partie de son effectif pour effectuer des travaux ponctuels, il est tenu de s’assurer que ces personnes n’enfreignent pas les dispositions légales relatives aux incompatibilités visées au point 3 de l’article 3 ci-dessus. Article 7 La DCEC peut demander communication de tous autres renseignements qu’elle estime nécessaires pour l’instruction des demandes d’agrément. Article 8 Les auditeurs externes sont agréés pour un mandat de 3 ans renouvelable. Les demandes de renouvellement des agréments doivent être adressées à la DCEC selon les modalités prévues aux articles 2 à 5 ci-dessus. Article 9 Le renouvellement de l’agrément des auditeurs externes ayant exercé leur mission, auprès d’un même établissement, durant deux mandats consécutifs ne peut intervenir : - qu’à l’expiration d’un délai de trois ans, dans le cas des auditeurs externes exerçant à titre indépendant, - que sous réserve du remplacement de l’associé responsable de la mission d’audit, en ce qui concerne les auditeurs externes exerçant en qualité de sociétés d’experts-comptables. Article 10
268
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
La décision d’octroi de l’agrément ou, s’il y a lieu, de refus de l’agrément dûment motivée, est notifiée à l’établissement de crédit concerné, 30 jours maximum à compter de la date de réception définitive du dossier de demande d’agrément. Article 11 Bank Al-Maghrib peut adresser un avertissement à tout auditeur externe qui ne s’acquitte pas de sa mission avec la compétence et la diligence requises ou faillit à ses engagements. Article 12 Bank Al-Maghrib peut suspendre ou, le cas échéant, retirer l’agrément à un auditeur externe, lorsque celui-ci : - se trouve, en infraction au regard des dispositions législatives relatives aux incompatibilités prévues par la loi 15-89, le dahir portant loi n° 1-93-147 ou la loi 17-95 précités, - fait l’objet de mesures disciplinaires de la part de l’ordre des experts-comptables ou de sanctions pénales en application des dispositions de la loi n° 15-89 susvisée, - ne tient pas compte de l’avertissement qui lui a été adressé par Bank Al-Maghrib, en application des dispositions de l’article 11 ci-dessus. Article 13 La décision de suspension ou de retrait de l’agrément est notifiée à l’établissement de crédit concerné qui doit soumettre à la DCEC une demande d’agrément d’un nouvel auditeur externe, selon les modalités prévues aux articles 2 à 5 ci-dessus. Article 14 La décision de révocation du mandat d’un auditeur externe, par l’établissement de crédit lui-même, doit être préalablement notifiée à Bank Al-Maghrib et dûment motivée. L’auditeur externe peut, à sa demande, être entendu par Bank Al-Maghrib. Article 15 Les établissements de crédit communiquent, chaque année, à la DCEC, copie de la lettre de mission précisant notamment l’étendue des travaux devant être entrepris par l’auditeur externe ainsi que les moyens humains qu’il prévoit à cet effet. TITRE II : MISSION DES AUDITEURS EXTERNES Article 16 La mission de l’auditeur externe consiste à établir : - un rapport dans lequel il formule une opinion sur la régularité et la sincérité de la comptabilité et atteste que celle-ci donne une image fidèle du patrimoine, de la situation financière et des résultats de l’établissement de crédit, - un rapport détaillé dans lequel sont consignées : * ses appréciations sur l’adéquation et l’efficience du système de contrôle interne de l’établissement de crédit, eu égard à sa taille, à la nature des activités exercées et aux risques encourus, * les observations et anomalies relevées au cours de ses investigations dans les différents domaines prévus par a présente circulaire. Article 17 Les travaux nécessaires à l’accomplissement de la mission d’audit doivent être planifiés et exécutés sur la base d’un programme qui tient compte de la qualité du système de contrôle interne de l’établissement de crédit et des normes professionnelles prévues en la matière. CHAPITRE I : EVALUATION DU SYSTEME DE CONTROLE INTERNE Article 18 L’auditeur externe procède à l’évaluation de la qualité du système du contrôle interne de l’établissement de crédit eu égard aux dispositions de la circulaire de Bank Al-Maghrib n° 6/G/2001 relative au même objet. Article 19 L’auditeur externe procède à l’appréciation de l’organisation générale et des moyens mis en œuvre pour assurer le bon fonctionnement du contrôle interne, compte tenu de la taille de l’établissement de crédit, de la nature des activités exercées et des risques encourus.
269
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
L’évaluation de l’organisation générale et des moyens du contrôle interne est faite à l’occasion du premier rapport établi dans le cadre de la présente circulaire. Les rapports ultérieurs peuvent ne comporter que les changements qui affectent les domaines susvisés. Article 20 L’auditeur externe évalue la qualité et l’adéquation du dispositif mis en place pour la mesure, la maîtrise et la surveillance du risque de crédit en procédant notamment à l’analyse : - des modalités de décision, d’exécution et de gestion des crédits ; - des procédures de recouvrement des créances et des modalités de classification des créances en souffrance et de leur provisionnement ; - des procédures de centralisation des risques, de reporting interne et de surveillance du respect des limites réglementaires et de celles fixées par les organes compétents de l’établissement de crédit. Article 21 L’auditeur externe apprécie la qualité et l’efficience du dispositif de mesure, de maîtrise et de surveillance des risques de marché, en procédant notamment à l’examen : - des modalités de décision, d’exécution et d’enregistrement des opérations de marché ; - des procédures de mesure de l’exposition aux risques inhérents à ces opérations ; - de la méthode de calcul des résultats opérationnels et de leur rapprochement avec les soldes comptables ; - des procédures d’appréhension du risque de règlement ; - des mécanismes de reporting interne et des méthodes de surveillance du respect des limites réglementaires et de celles fixées par les organes compétents de l’établissement. Article 22 L’auditeur externe apprécie la qualité et l’adéquation du dispositif de mesure, de maîtrise et de surveillance du risque global de taux d’intérêt et de liquidité, en procédant, en particulier, à l’évaluation : - des procédures d’appréhension de l’exposition globale au risque de taux d’intérêt ; - des procédures de mesure et de suivi des principaux déterminants de la liquidité ; - des mécanismes de reporting interne et des modalités de surveillance du respect des limites réglementaires et de celles fixées par les organes compétents de l’établissement. Article 23 L’auditeur externe apprécie l’adéquation des dispositifs mis en place pour : - prévenir les fraudes, manipulations et erreurs susceptibles d’engager la responsabilité de l’établissement de crédit ou de porter atteinte à l’intégrité de ses actifs ou de ceux de la clientèle ; - empêcher que l’établissement ne soit impliqué, à son insu, dans des opérations financières liées à des activités illicites ou de nature à entacher sa réputation ou de porter atteinte au renom de la profession ; - garantir la sécurité des personnes et des biens. Article 24 L’auditeur externe apprécie la fiabilité et l’intégrité du système de traitement de l’information comptable et de gestion en procédant notamment à l’évaluation : - du dispositif de sécurité du système d’information - de la fiabilité de la piste d’audit ; - des procédures comptables et de contrôle de l’information. Article 25 Les lacunes significatives relevées dans les différents dispositifs du contrôle interne doivent être portées, dès leur constatation, à la connaissance de l’organe de direction et du Comité d’audit de l’établissement de crédit. Article 26 L’auditeur externe fait état dans son rapport détaillé des insuffisances significatives constatées au niveau : - de l’organisation générale du contrôle interne ; - des dispositifs de contrôle visés aux articles 20 à 23 ci-dessus, tout en précisant le nombre et les montants des dépassements des limites réglementaires et/ou internes ; - du système de traitement de l’information.
270
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Il signale si ces anomalies sont portées de manière régulière à la connaissance des organes d’administration et de direction de l’établissement et si elles donnent lieu aux mesures de redressement appropriées. Il fait, également, état des recommandations susceptibles de pallier les faiblesses et insuffisances relevées. Article 27 L’auditeur externe est tenu de signaler à Bank Al-Maghrib, dans les meilleurs délais, tout fait ou décision dont il a eu connaissance au cours de l’exercice de sa mission et qui est de nature à constituer une violation des dispositions législatives ou réglementaires applicables aux établissements de crédit, à affecter la situation financière de l’établissement audité ou à porter atteinte à la renommée de la profession. CHAPITRE II : REVISION DE LA COMPTABILITE Article 28 L’auditeur externe vérifie que les comptes annuels de l’établissement de crédit sont élaborés dans le respect des principes comptables et des méthodes d’évaluation prescrites par le plan comptable des établissements de crédit (PCEC) et qu’ils sont présentés conformément aux règles prévues par ce plan. Article 29 L’auditeur externe vérifie par sondage, sur la base d’un échantillon représentatif, la régularité et la correcte comptabilisation des opérations ainsi que la conformité et la cohérence des soldes comptables. il procède également, à l’examen des mouvements des comptes et à l’analyse des pièces justificatives. Article 30 L’auditeur externe procède à l’examen des principes comptables et méthodes d’évaluation adoptées par l’établissement de crédit et ayant trait notamment à : - la classification des créances en souffrance et leur couverture par les provisions ainsi qu’à la comptabilisation des agios y afférents ; - l’évaluation des garanties prises en considération pour le calcul des provisions ; - la comptabilisation et au traitement des créances restructurées et des provisions et agios y afférents ; - l’imputation des créances irrécouvrables au compte de produits et charges ; - la comptabilisation et l’évaluation à l’entrée et en correction de valeur des différents portefeuilles de titres ; - l’évaluation des éléments libellés en devises et à la comptabilisation des écarts de conversion ; - la constitution des provisions pour risques et charges ; - la prise en compte des intérêts et des commissions dans le compte de produits et charges ; - l’évaluation et à l’amortissement des immobilisations corporelles et incorporelles ; - la réévaluation des immobilisations corporelles et financières. Article 31 L’auditeur externe apprécie la qualité des actifs et des engagements par signature de l’établissement de crédit à l’effet notamment d’identifier les moins-values et les dépréciations, réelles ou potentielles, et de déterminer le montant des provisions nécessaires à leur couverture, compte tenu des dispositions réglementaires en vigueur. Article 32 L’évaluation de la qualité du portefeuille de crédits se fait sur la base d’un échantillon représentatif tenant compte de la nature de l’activité, de la taille et de la qualité du système de contrôle interne de l’établissement de crédit ainsi que des dispositions précisées ci-après. L’examen des risques est effectué en donnant la priorité : - aux crédits dont l’encours, par bénéficiaire tel que défini par la circulaire n° 3/G/2001 relative au coefficient maximum de division des risques, est égal ou supérieur à 5 % des fonds propres de l’établissement de crédit ; - aux concours consentis aux personnes physiques et morales apparentées à l’établissement, telles que définies par le PCEC ; - aux autres dossiers de crédit présentant un risque anormal (créances ayant enregistré des impayés ou fait l’objet de consolidation, crédits consentis à des clients opérant dans des secteurs connaissant des difficultés, etc).
271
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Les critères au vu desquels est déterminé l’échantillon susvisé doivent être précisés et justifiés dans le rapport détaillé, en indiquant la part examinée dans l’encours total des crédits. Article 33 Les anomalies et insuffisances significatives relevées dans la comptabilité ou dans les états financiers ainsi que les omissions d’informations essentielles pour la bonne appréciation du patrimoine, de la situation financière et des résultats de l’établissement, doivent être portées à la connaissance de l’organe de direction en vue de leur redressement. Article 34 L’auditeur externe fait état dans ses rapports des ajustements, considérés comme significatifs au regard des normes de la profession en vigueur, qui doivent être apportés aux états de synthèse en précisant en particulier : - le montant des créances en souffrance non classées ; - le montant de l’insuffisance des provisions nécessaires pour la couverture des créances en souffrance ; - le montant de l’insuffisance des provisions nécessaires pour la couverture des dépréciations du portefeuille titres ; - le montant de l’insuffisance des provisions pour dépréciations des autres actifs ; - le montant de l’insuffisance des provisions pour risques et charges ; - le montant des soldes injustifiés ; - tout autre écart matériel constaté par rapport aux normes comptables et méthodes d’évaluation prescrites par le PCEC. Il mentionne également les autres ajustements qui, à son avis, doivent être apportés aux déclarations adressées à Bank Al-Maghrib, en particulier, celles ayant trait à la réglementation prudentielle et aux emplois obligatoires. TITRE III : DISPOSITIONS DIVERSES ET TRANSITOIRES Article 35 Les rapports visés à l’article 16 ci-dessus, dûment datés et signés par l’auditeur externe, doivent être adressés, par celui-ci, à la DCEC au plus tard : - 15 jours, avant la date de la réunion de l’assemblée générale ordinaire des actionnaires de l’établissement de crédit concerné ou de l’organe social en tenant lieu, en ce qui concerne le rapport d’opinion ; - le15 juin de l’exercice suivant celui au titre duquel l’audit est effectué, pour ce qui est du rapport détaillé. Article 36 La DCEC peut saisir les auditeurs externes pour leur demander tous éclaircissements et explications à propos des conclusions et opinions exprimées dans leurs rapports et, le cas échéant, de mettre à sa disposition les documents de travail sur la base desquels ils ont formulé ces conclusions et opinions. Elle peut également, à cette fin, tenir des réunions de travail avec les auditeurs externes. Article 37 Les établissements de crédit sont tenus de mettre à la disposition des auditeurs externes tous les documents et renseignements que ceux-ci estiment nécessaires pour l’accomplissement de leur mission. Article 38 Les établissements de crédit organisent des réunions périodiques entre leurs auditeurs externes et leurs auditeurs internes, à l’effet d’examiner les questions ayant trait au système de contrôle interne et aux autres questions d’intérêt mutuel. Article 39 Les établissements de crédit communiquent à la DCEC, à sa demande et dans les délais fixés par elle, les mesures prises et celles qu’ils envisagent de mettre en œuvre pour remédier aux lacunes, erreurs et insuffisances relevées par l’auditeur externe. Article 40 Les demandes d’agrément relatives aux auditeurs externes qui, à la date de publication de la présente circulaire assurent la mission d’audit auprès des établissements de crédit, doivent être adressées à la
272
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
DCEC dans un délai de 60 jours maximum à compter de cette date, accompagnées de la lettre de mission visée à l’article 15 ci-dessus. Article 41 Les dispositions de la présente circulaire entrent en vigueur à compter de la date de sa publication.
273
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Bibliographie
274
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
275
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
BIBLIOGRAPHIE Ouvrages.
Antoinne Sardi, Audit et inspection bancaires - l'audit interne- Editions Afges, Septembre 2002. Antoinne Sardi, Pratiques de la comptabilité bancaire, Editions Afges, 1999. Coopers & Lyberland, IFACI, La nouvelle pratique du contrôle interne - Editions des organisations, Octobre 1994. Michel Rouach, Gérard Nauleau, Le contrôle de gestion bancaire et financier - Edition Economica, Septembre 1999. Jean-Michel Errera, Christian Jimenez, Pilotage bancaire et contrôle interne - Edition les Eska, Juillet 1999. Amine Tarazi, Risques bancaires, déréglementation financière et réglementation prudentielle : Une analyse en terme d'espérance-variance. Siruwet, Jean Luc, Roessler, Lydia, Le contrôle comptable bancaire, un dispositif de maitrise des risques : normes, techniques et mise en œuvre. Azedine Berrada, Techniques de banques et de crédit. Edition 2000. COBIT (Gouvernance, Contrôle et Audit de l’Information et des Technologies Associées) Brokers and dealers in securities : Guide d’audit publié par l’American Institute of Certified Public Accountant. R.VATIER, "L'audit : Qu'est-ce que c'est?", Personnel, n°362, juillet 1995. R.VATIER, "L'audit social", Personnel, n°365, décembre 1995. A.AUBERT, "L'audit : Des représentations éclatées", Education Permanente, n°132/1997-3, 1997. "Audit social au service du management des ressources humaines : professionnalisme des consultants", ISEOR, Economica, Paris, 1994.
Thèses & mémoires.
Gestion des risques bancaires : enjeux réglementaires et opérationnels, Hamid Atide, Mémoire d'Expertise Comptable Marocain, Session Mai 2004. Evaluation du risque de crédit en matière bancaire, Ilhame Loubna Lahlou, Mémoire d'Expertise Comptable Marocain, Session Novembre 1999. Le suivi des risques d'une banque : approche méthodologique et outils d'analyse, Lorin Christophe, Mémoire d'Expertise Comptable Français, Session Mai 2000.
Publications des organismes professionnels.
Principes fondamentaux pour un contrôle bancaire efficace- Comité de Bâle sur le contrôle bancaire- Septembre1997. Note de Stratégie du Secteur Financier, Rapport de la Banque Mondiale sur le Maroc, Septembre 2000. Rapport de la Banque Mondiale sur le respect des normes et codes (RRNC) Royaume du Maroc Comptabilité et Audit 25 juillet 2002. North African Banks Lack Momentum Amid Turbulent Regional Environment , Standard & Poor's, September 2003. Bank Industry Risk Analysis : Morocco (Kingdom of) , Standard & Poor's, November 2003. Value and Reporting in the Banking Industry, Edition PricewaterhouseCoopers. Challenges of the new Basel Accord - Actions for senior management, Edition PricewaterhouseCoopers. Implementation the New Basel Accord, Edition PricewaterhouseCoopers.
276
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Operational Risk Management, Basel Committee on Banking Supervision , September 1998. Nouvel accord de Bale sur les fonds propres : note explicative, Secrétariat du Comité de Bale sur le Contrôle bancaire, Janvier 2001. Nouvel accord de Bale sur les fonds propres : Comité de Bale sur le Contrôle bancaire, Janvier 2001. Internal Control and Audit Weakness for Foreign Banks US Branches, GAO, September 1997. Principes fondamentaux pour un contrôle interne efficace, Comité de Bale sur le contrôle bancaire, Septembre 1997. Internal control Management and Evaluation Tool, GAO (United States General Accounting Office), August 2001. Rapports de Bank Al Maghrib 2003,2002 et 2001.
Publications réglementaires.
Rapport annuel sur le contrôle, l’activité et les résultats des établissements de crédit, exercice 2004. Circulaires de Bank Al Maghrib N°6,N°9,N°19. Circulaires de Bank Al Maghrib relatives aux ratios prudentiels "ratio cooke, ratio de division des risques, ratio de liquidité, réserve monétaire" Règlement Français N°97-02 sur le contrôle interne bancaire. Loi bancaire marocaine de 1993. Livre blanc de la commission bancaire française relatif à la sécurité des systèmes d'information 1995. Circulaire D1/EB/2002/6 : sur le contrôle interne ainsi que sur la fonction d’audit interne et la fonction de Compliance des entreprises d’investissement. Commission bancaire et financière Bruxelles, le 14 novembre 2002.
Publications spécialisées.
Le secteur bancaire au Maroc © MINEFI – DREE/TRÉSOR Prestation réalisée sous système de management de la qualité certifié AFAQ ISO 9001, le 26 juillet 2004. Le rôle du contrôle interne, Georges Ravet ( de la caisse d'epargne) - Revue Banque Magazine N°616, Juillet-Aout 2000. Bale II - Plus de règles, moins de fonds propres? Yves Burger (Standard & Poor's) Revue Banque Magazine N°654, 01/01/2002. Le Contrôle interne des systèmes d’information. Revue Banque Magazine N°558, 01/09/1998. Une méthode pour les procédures de contrôle. Revue banque Magazine N°598, 01/12/1998. Risques de marché : la construction des modèles internes. Revue Banque Magazine N°592 01/05/ 1998. Le système de Contrôle interne des établissements de crédit - Institut Monétaire Européen - Revue d’économie financière n°48 (juillet 1998). Banque et Risque - Revue Horizons bancaire du Crédit Agricole N°313 – Mai 2002. Gestion des risques : Comptabilité et évaluation des risques bancaires, Etienne Boris (PricewaterhouseCoopers) - Revue Banque Magazine N°654, 01/01/2002, Revue Banque magazine - (N°616)- (ISBN/ISSN)- 01/07/2000. La chronique du risk management avec PricewaterhouseCoopers - Systèmes d'information - Technologie XBRL : une réelle opportunité pour Bal II, Jimmy Zou (PricewaterhouseCoopers) - Marie-Jeanne Deverdun (PricewaterhouseCoopers), Banque Magazine - (N°656) - 01/03/2004.
277
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Risque opérationnel : l'apport des outils automatisés de gestion des risques, Marie Agnès Nicolet (Deloitte Touche Tohmatsu) - Banque magazine - (N°654) - 01/01/2004. Méthodologie : le suivi du risque opérationnel, Sylvie Lépicier (LGB Finance) - Yann Le Tallec (LGB Finance) - Banque magazine - (N°652) - 01/11/2003. Métiers de la banque - IAS/Bale II : quels nouveaux profils ? , Anne Drif (Revue Banque) - Banque magazine - (N°652) - 01/11/2003. Débat : Bale II et la stabilité financière, Michel Dietsh (Institut d'études politiques de Strasbourg) - Dominique Garabiol (Groupe Caisse d'Epargne) - Pierre-Yves Thoraval (Commission Bancaire) - Alain Duchâteau (Secrétariat général commission bancaire) Banque magazine - (N°651) - 01/10/2003. Bale II- Asset managers et risque opérationnel : les nouveaux paradoxes, Didier Benâtre (PricewaterhouseCoopers)- Isaak Look (PricewaterhouseCoopers) - Banque magazine(N°651) - 01/10/2003. Audit Committee and Governance Survey Results. Deloitte and Touche , Avril 2003 Global Internal Audit : The New Reality , Deloitte Touche Tohmatsu 2003. Global Banking Industry Outlook : Top 10 Issues , Deloitte Touche Tohmatsu 2004. Doyon, M. (1996) “Tuned in Management”, Internal Auditor, december. Hopkins, D. (1996) The Auditing Business, Internal Auditor, october. Audit Committee Newsletter KPMG’s Audit Committee Institute Edition 1, avril 2003 L’audit et le contrôle internes - Mise à niveau en Audit - Mounim Zaghloul, Consultant CIA et Rachid Seddik Seghir Expert Comptable DPLE et Membre du Réseau BKR International, 12 au 14 Septembre 2002. Bale II : Genèse et enjeux Conférence-débat association d'économie financière Commission Bancaire, Banque de France et Eurosysteme jeudi 27 mai 2004. L’approche risque au centre de l’audit bancaire par Barbara Lambert Partner, Ernst & Young SA/Switzerland et Antonio Mira Senior Manager, Ernst & Young SA/Switzerland Revue L’AGEFI – Haute Finance Novembre 2003. Analyse, mesure et contrôle des risques dans le monde bancaire Pierre-Yves Thoraval (Secrétariat général de la Commission bancaire), Directeur de la Surveillance générale du Système bancaire 1ères Rencontres Internationales Institut Europlace de Finance - 4 juillet 2003 Evaluation du risque de crise bancaire - Rapport trimestriel BRI (Banque des Règlements Internationaux) , décembre 2002. Basel Committee on Banking Supervision Internal audit in banks and the supervisor’s relationship with auditors - A survey August 2002 Bank For International Settlements (BRI). Le système bancaire dans la tourmente - Par Ibrahim Warde Chercheur au Center for International Studies, Massachusetts Institute of Technology (Cambridge), auteur de The Financial War on Terror (IB Tauris, Londres, à paraître) - Le Monde Diplomatique novembre 1998. L'analyse des risques opérationnels : un enjeu qui dépasse le secteur bancaire - Par Jean-François Pirus PDG de la société de conseil Internet Business Services, et responsable du site BPMS.info, deux entités spécialisées dans le management des processus. (19/03/2004). Le nouveau métier de "Responsability Manager" par Yves Medina, déontologue de PricewaterhouseCoopers, conseiller-maître à la Cour des comptes et vice-président de l'Observatoire sur la responsabilité sociétale des entreprises (ORSE). Les Echos, L'Art de la gestion des risques 13 décembre 2000. Vers une nouvelle approche de risque par Dominique Chesneau, associé chez PricewaterhouseCoopers, Les Echos, L'Art de la gestion des risques 13 décembre 2000.
278
L’audit systémique bancaire, un outil d’efficacité du risk management. __________________________________________________________________________________________
Sites Internet.
http://www.federalreserve.gov/boardocs/supmanual : http//pwc.com http//bpms.info http://www.iviq.org http://www.nbb.be http://www.monde-diplomatique.fr
279
View more...
Comments