Analyse de la contribution de l`audit interne à la maîtrise des risques

UNIVERSITE D’ANTANANARIVO
------------------------------------------FACULTE DE DROIT, D’ECONOMIE, DE GESTION ET DE SOCIOLOGIE
---------------------------------------------------------------------DEPARTEMENT GESTION
Mémoire de maîtrise en GESTION
Option : Audit et Contrôle
Analyse de la contribution de l’audit interne à
la maîtrise des risques opérationnels :
Cas de la BFV-Société Générale Présenté par : RATSIMBAZAFY Rova Nambinina
Sous l’encadrement de :
Encadreur pédagogique
Encadreur professionnel
Mr Cousin Germain RAVONJIARISON
Mr Jean Luc LAROCHE
Docteur, enseignant chercheur
Directeur de l’Audit interne de la
BFV-Société Générale
Année Universitaire : 2009/2010
Session : Décembre 2010
Date de soutenance : 13 Décembre 2010
UN
NIVERSIT
TE D’ANTA
ANANARIV
VO
--------------------------------------------FA
ACULTE DE
D DROIT,, D’ECONO
OMIE, DE
E GESTION
N ET DE SO
OCIOLOG
GIE
-------------------------------------------------------------------------DEPART
TEMENT GESTION
G
Mém
moire de maîtrise en
e GESTIION
O
Option
: Audit
A
et Contrôlee
Analy
lyse dee la coontrib
bution
n de l’audi
l
it inteerne à
l ma
la
aîtrisee des risque
r
es opéérationnelss :
Ca
as de la
l BF
FV-Socciété Génér
G rale Présentéé par : RAT
TSIMBAZ
ZAFY Rovva Nambin
nina
Sous l’eencadremennt de :
Enncadreur péédagogique
Encadreur pprofessionn
nel
Mr Cousin Germ
main RAV
VONJIARIISON
Mr Jean Luc LAROCH
HE
Docteur, enseeignant cheercheur
Dirrecteur de l’Audit interrne de la
B
BFV-Sociét
té Généralee
Année Unniversitaire : 2009/2010
2
Sessioon : Décembree 2010
Date de souteenance : 13 Décembre 20100
Remerciements
A cœur vaillant rien d’impossible. Ces cinq longues années d’études nous ont permis de
bien comprendre la signification de cette phrase toute simple. Ce parcours, en effet, ne s’est
pas réalisé sans défis et sans soulever de nombreuses questions pour lesquelles les réponses
nécessitaient de longues heures de travail.
Nous tenons tout d’abord à exprimer notre profonde gratitude à Dieu de nous avoir
donné le courage et la force pendant la réalisation de ce mémoire comme pendant nos études
Ce travail n’aurait pu être réalisé sans le concours de ceux qui ont consacré leur temps
et qui nous ont prodigué leurs connaissances ainsi que leurs précieux conseils. Ensuite, nous
tenons à présenter particulièrement nos vifs remerciements à :
9 Monsieur Abel ANDRIATSIMAHAVANDY, Professeur titulaire, Président de
l’Université d’Antananarivo.
9 Monsieur Andriamaro RANOVONA, Maître de conférences, Doyen de la Faculté de
Droit, d’Economie, de Gestion, et de Sociologie de l’Université d’Antananarivo.
9 Monsieur Origène Olivier ANDRIAMASIMANANA, Maître de conférences, Chef de
Département GESTION de la Faculté de Droit, d’Economie, de Gestion, et de
Sociologie de l’Université d’Antananarivo.
9 Monsieur Cousin Germain RAVONJIARISON, Docteur, notre encadreur
pédagogique, pour son encadrement exemplaire, ses conseils précieux et sa grande
disponibilité.
9 Tous les enseignants permanents et vacataires du Département Gestion pour nous
avoir transmis des connaissances et des compétences et ainsi que tous les membres du
personnel administratif.
9 Monsieur Jean Luc LAROCHE, Directeur de l’Audit Interne de la BFV-Société
Générale, notre encadreur professionnel pour ses commentaires pertinents et pour
tous les apprentissages durant notre stage dans son département.
9 Je suis hautement reconnaissante à tout le personnel du département « Audit
Interne » de la banque étudiée.
Enfin, nous voulons témoigner notre profonde gratitude à nos parents, frères et sœurs, à
notre grande famille pour leurs encouragements et leurs soutiens moraux ou financiers ; ainsi
qu’à tous nos amis qui ont, de près ou de loin, contribué à la réalisation de ce mémoire.
(Groupe AMAS)
SOMMAIRE
REMERCIEMENTS
Pages
SOMMAIRE
LISTE DES TABLEAUX
LISTE DES FIGURES
LISTE DES ABREVIATIONS ET ACRONYMES
INTRODUCTION ............................................................................................................... 1
PREMIERE PARTIE : PRESENTATION DU CADRE DE L’ETUDE
CHAPITRE I : Généralité sur la société étudiée ............................................................ 2
Section 1. Présentation de la société .......................................................................... 5
Section 2. Les domaines d’activités stratégiques de la société .................................. 11
CHAPITRE II : Théorie Générale sur l’audit interne et les risques opérationnels ........ 15
Section 1. L’audit interne........................................................................................... 15
Section 2. La gestion des risques opérationnels ........................................................ 20
DEUXIEME PARTIE : ANALYSES DES EXISTANTS
CHAPITRE III : La gestion des risques opérationnels de la BFV-Société Générale..... 27
Section 1. Identification et évaluation des risques opérationnels .............................. 27
Section 2. Prévention et pilotage des risques opérationnels ...................................... 33
CHAPITRE IV : Méthodes d’intervention de l’audit internes aux détections des risques
opérationnels ...................................................................................... 37
Section 1. Planification des missions ......................................................................... 37
Section 2. Conduite des missions d’audit interne ...................................................... 42
TROISIEME PARTIE : PROPOSITION DE SOLUTIONS
CHAPITRE V : Environnement opérationnel et audit interne ....................................... 49
Section 1. Promotion de la culture de contrôle .......................................................... 49
Section 2. Développement de compétences des auditeurs internes ........................... 56
CHAPITRE VI : Organisation des travaux de mission .................................................. 59
Section 1. Harmonisation des travaux ....................................................................... 59
Section 2. Solution au manque d’effectif................................................................... 60
CONCLUSION ................................................................................................................... 63
BIBLIOGRAPHIE ET WEBOGRAPHIE
ANNEXES
TABLE DES MATIERES
Liste des tableaux
Tableau n°1 : fiche signalétique de la BFV-Société Générale ................................. page 5
Tableau n°2 : Typologies des risques opérationnels selon le comité Bâle .............. page 22
Tableau n°3 : Illustration de la répartition des risques en nombre et en montant page 41
Liste des figures
Figure 1 : Répartition du capital social de la BFV-Société Générale ……………………page 7
Figure 2 : Organigramme de l’audit interne de la BFV-Société Générale……………...page 10
Figure n°3 : Le Risk Management Global…………………………………………………...page 51
Figure 4 : Système de contrôle…………………………………………………………………page 51
Liste des abréviations et acronymes
AUDI : Direction Audit Interne
BDDF : Banque de Détail en France
BFV-SG : BFV-Société Générale
BHFM : Banque Hors France Métropolitaine
BICM : Banque Industrielle et Commerciale de Madagascar
BMOI : Banque Malgache de l’Océan Indien du Groupe BNP
BNI CA : BNI Crédit Agricole Madagascar
BOA: Bank Of Africa Madagascar
CDIST :Centre de Documentation
COGES: Service Contrôle de Gestion
COSO: Committee Of Sponsoring Organizations of the Treadway Commission
CSBF : Commission de Supervision Bancaire et Financière
DRE : Direction des Relations Entreprises
DRCP : Direction du Réseau et de la Clientèle des Particuliers
DRIS : Direction des Risques
HUM : Direction des Ressources Humaines
IMF : Institution de Micro Finance
IFACI : Institut Français de l’Audit et du Contrôle Interne
ISO : Organisation Internationale de la Normalisation
KRI: Key Risk Indicator
LOG: Service Logistique
LSF : Loi sur la Sécurité Financière
MCB : Mauritius Commercial Bank Madagascar
MID : Marché Interbancaire des Devises
ONG : Organisation Non Gouvernementale
PDG : Président Directeur Général
PME : Petites et Moyennes Entreprises
PNB : Produit Net Bancaire
RESO : Réseau et Optimisation
SEGL : Secrétariat Général
SBM: State Bank of Mauritius
SWIFT: Society for Worldwide Inter Financial Telecommunication
INTRODUCTION
Etre pérenne et être compétitive dans son secteur d’activité, sont parmi les grandes
préoccupations stratégiques de chaque entreprise quelque soit leur taille .Or, atteindre ces
objectifs paraît un peu difficile, dans un marché de forte concurrence et dans un monde en
pleine évolution technologique où nous sommes. Cela représente à la fois des menaces et des
opportunités que l’entité doit veiller quotidiennement et implique la participation de tous ses
membres.
Gérer une entreprise est de toujours tenir compte de ses environnements internes et
externes parce que ces derniers pourraient causer des dysfonctionnements sur ses activités ou,
au contraire, lui offrir des circonstances favorables à l’atteinte de ses objectifs. Cette
incertitude est une donnée intrinsèque à la vie de toutes organisations. Généralement, ce
premier cas inquiète tant les dirigeants que le second à cause de la gravité des pertes
occasionnées par ces risques. Ces risques connaissent plusieurs types mais dans cet ouvrage,
nous allons nous intéresser aux risques opérationnels.
Pour ne pas parler que les plus médiatisées, par exemple : l’impact des évènements à
New York en septembre 2001, ou encore la série de fraudes survenues dans des institutions
bancaires européennes qui ont fait faillite à la suite d’activités et de transactions non
autorisées ayant occasionné des pertes colossales. C’est la complexité et l’envergure des
menaces associés aux risques sur les opérations bancaires qui obligent les dirigeants à
mobiliser toutes leurs équipes surtout les opérationnels afin de les maîtriser.
Plusieurs comités comme ceux du Bâle et du COSO se sont rendus compte alors que
les risques devenaient de plus en plus difficiles à identifier du fait qu'ils étaient présents à tous
les niveaux d'une organisation, de plus en plus difficiles à mesurer du fait de la conjonction de
pertes directes et de pertes indirectes beaucoup plus délicates à quantifier, et de plus en plus
difficiles à gérer. Leurs objectifs étaient d’améliorer les pratiques de pilotage des risques et de
permettre l’utilisation des systèmes internes d’évaluation des risques, jugés plus proches de la
réalité économique. Ils ont diffusé des méthodes et normes reconnues internationalement pour
mieux gérer les risques dans les institutions financières et les entreprises.
1 L’existence de ces comités a favorisé le développement des considérations de la gestion
des risques dans les entreprises, en particuliers les risques opérationnels. Il y a même ceux qui
créent de nouveau département pour se prémunir des risques opérationnels dont la plupart des
cas, les grandes sociétés et surtout les institutions financières.
Mais ce qui a captivé notre esprit, c’est de savoir le rôle de l’audit interne à la maîtrise
des risques opérationnels tout en étant une fonction indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations. D’où le choix du thème
de mémoire : « Analyse de la contribution de l’audit interne à la maîtrise des risques
opérationnels » cas de la BFV-Société Générale.
L’objectif de notre étude est alors de formuler des propositions d’amélioration de la
participation de l’audit interne à la maîtrise des risques opérationnels de la banque étudiée.
Pour mieux développer le thème et mieux atteindre cet objectif, nous nous posons alors
comme problématique la question suivante : Comment l’audit interne contribue-t-il à la
maîtrise des risques opérationnels ?
La collecte des données et des informations concernant le sujet nous a fallu l’adoption
de plusieurs techniques à titre de méthode de recherche pour effectuer cette étude et pour
répondre à la question ci-dessus. Outre notre participation aux travaux des auditeurs internes
d’autres données sont obtenues à l’intérieur de la banque, et celles qui sont obtenues en
dehors par différentes techniques. Ces derniers comportent les volets suivants :
- La recherche bibliographique dans les centres de documentation et des
bibliothèques comme la bibliothèque universitaire, CDIST, documentation à la
Direction d’Audit interne de la banque…
- Entretien libre qui nous a permis de connaître les généralités sur la banque étudiée
et son fonctionnement.
- L’observation nous a aidés à connaître les activités et les domaines de la Direction
d’audit interne.
- Entretien dirigé avec des questionnaires concernant les détails de leur travail au
Responsable de la Direction et aux auditeurs.
- La recherche webographique sur internet, le site interne de la BFV-Société
Générale.
2 Cette méthodologie nous a fourni des informations que nous qualifions suffisantes pour
l’exposition du thème choisi. Pour son explication harmonieuse, cet ouvrage va comporter
trois parties bien distinctes.
La première partie consiste à présenter le cadre théorique et le champ d’études pour une
meilleure compréhension de notre sujet. Nous présenterons, d’abord, la BFV-Société
Générale et la Direction de l’Audit interne dans laquelle nous avons effectué notre stage. Puis,
essayons de définir les mots clés du thème à savoir l’Audit interne et les risques
opérationnels. Citons les théories concernant ces derniers.
La deuxième partie va porter sur l’analyse des existants c'est-à-dire explication des faits,
causes et conséquences des risques opérationnels de la société en traçant les responsabilités de
l’audit interne. Nous analyserons les méthodes de gestion de ces risques dans la banque.
La troisième partie qui est la dernière, sera consacrée pour les propositions
d’amélioration qui pourraient être mise en place face aux lacunes ou problèmes constatés dans
la précédente partie. Nous allons voir quelles sont les bonnes pratiques adoptées à renforcer et
les faiblesses à améliorer dans la Direction de l’audit interne en matières de gestion des
risques opérationnels.
3 PREMIERE PARTIE
PRESENTATION DU CADRE DE L’ETUDE
Connaître dans quel contexte se situe le sujet, tel est le principal objet de cette première
partie. Généralement, avant de discuter un sujet, il faut définir les mots clés et énoncer ou
expliquer tout ce qui est essentiel à savoir. Ce sera cette logique que nous allons adopter dans
ce travail. Dans notre cas, l’idée Générale du thème réside dans les expressions suivantes :
Audit interne et maîtrise des risques opérationnels.
Mais d’abord, essayons de faire une présentation de la BFV-Société Générale en parlant
de son identité, son historique, sa structure organisationnelle, ses domaines d’activités
stratégiques. Ce sont notamment le management des risques de la société ainsi que sa clientèle
et ses concurrents. Tout cela nous les verrons dans le premier chapitre.
Ensuite, le second chapitre va être consacré à l’approche théorique du thème. Ou plus
précisément les théories sur l’audit interne et la gestion des risques opérationnels. Après les
définitions, citons les normes et standards professionnels qui régissent leurs applications.
Enfin, portons notre attention sur la relation entre eux.
4 Chapitre I . Généralités sur la société étudiée
Afin de nous permettre de bien nous imprégner du contexte, il est utile de délimiter le
cadre qui fera l’objet de l’étude. Aussi, le premier chapitre de ce travail se focalisera d’abord
sur l’historique et la description structurelle Générale de la BFV-SG. Ensuite, il est aussi
important de savoir l’organisation de sa Direction d’Audit interne et le système de contrôle de
la banque. Enfin, parlons de son type de clientèles, ses principaux concurrents.
Section 1 . Présentation de la société
Dans cette section, commençons par la description de la société étudiée, les essentiels à
savoir sur son historique et ses missions pour mieux placer le thème.
1.1. Identité de la BFV-SG
Voici en forme de tableau la récapitulation de l’identité de la société étudiée.
Tableau n°1 : fiche signalétique de la BFV-Société Générale
Raison sociale
BFV- Société Générale ou BFV-SG
Capital social
14 Milliards d’Ariary (MGA 14.000.000.000)
Statut juridique
Société Anonyme
Siège social
14, rue Général Rabehevitra Antananarivo 101 (BP 196)
Activité
Banque de détail
Site Web
www.bfvsg.mg
Tel
22 206 91 à 95
Fax
22 371 40
Source : www.bfvsg.mg
1.2.
Historique
La BFV-Société Générale est une filiale du groupe français Société Générale à
Madagascar. Mais avant elle était une banque nationale dont voici son historique.
5 1.2.1. La BFV-Société Générale depuis sa création
Deux institutions financières : « Banque Commerciale de Madagascar ou BCM et
Banque Financière et Commerciale Malgache Mandroso ou BFCMM se sont fusionnées le
01janvier 1977 pour n’en former qu’une seule. BFV ou bien Banky Fampandrosoana ny
Varotra (Banque Nationale pour le Développement du Commerce) était le nom de cette
société anonyme nouvellement créée. A l’époque son capital social s’élevait à 11 538 450 000
de FMG. L’Etat malgache était l’actionnaire majoritaire de la société qui détenait soixante dix
pourcent 70% de ce capital. Les vingt cinq pourcent 25% étaient détenus par la Banque San
Paolo ; et le reste, cinq pourcent 5%, par le personnel. Elle n’a pourtant été opérationnelle
qu’après 6 mois de sa constitution ; plus précisément le 01 juillet 1977.
Initialement, cette banque s’est spécialisée dans le secteur du commerce : le
financement, la promotion et la diversification des activités commerciales et plus
particulièrement, dans celles du commerce extérieur. Ensuite, elle a apporté son concours aux
autres secteurs d’activités, et essentiellement au secteur industriel. Malgré la concurrence et
les situations politico-économiques d’antan, elle a su tenir son positionnement dans ce
marché.
Après une vingtaine d’année d’existence de la banque, l’Etat était dans la nécessité
d’appliquer la politique de privatisation des entreprises nationales. La mondialisation, mais
aussi l’échec du système socialiste et la reprise des relations avec les bailleurs de fonds
traditionnels, ont abouti à la privatisation de ces établissements financiers repris des grandes
banques internationales comme la française Société Générale qui a repris la BFV suite à un
appel d’offre international lancé par le gouvernement malagasy au mois de juin 1998.
Ce groupe, est devenu le détenteur de la majorité des actions de la BFV. Le 19
Novembre 1998, la privatisation a été concrétisée par une signature d’accord entre les deux
parties de sorte que l’Etat malgache participe dans le capital de la Banque à hauteur de 30%
du capital. Depuis, le sigle BFV a été gardé avec le nom du groupe pour former sa nouvelle
dénomination de cette institution: BFV-SOCIETE GENERALE. Son capital social s’élève à 70
milliards FMG soit 14 milliards d’Ariary reparti entre le groupe acheteur, l’Etat et le
personnel comme la suivante figure nous montre.
6 Fiigure 1 : rép
épartition duu capital soocial de la BFV-Société
B
é Générale.
1,5%
28,5
5%
Société Généralee
Etat
70%
Personn
nel
Source : Prrésentation bfvsg audit initial OCC
COM 2008
A
Après
la privvatisation, elle est, jussqu’aujourd
d’hui, une des
d filiales du groupe Société
Généralle. Une brève
b
préseentation duu groupe va permeettre de nnous apporrter des
éclaircisssements suur l’étude dee cette entitéé.
1.2.22. Brève desscription du
u Groupe Société
S
Générale
Ce groupe fut
f créé enn France enn 1864 parr Napoléonn. Depuis, lle groupe a connu
beaucouup d’évolution et de crroissance, d’abord
d
en France, puiis dans toutte l’Europe et enfin
dans le Monde. L’’intégrationn des sociétés d’enverg
gure internaationale com
mme le « Crédit
C
du
Nord » en 1997, et la multinattionale « Roosbank » en
n 2008 a forggé la puissaance du grou
upe. Ces
intégrattions lui onnt facilité la conquêtee du Mondee, y comprris Madagaascar. En 20
009, ses
filiales se
s repartisseent dans 82 pays et danns les cinq continents.
c
A
Actuellement
t, pour bienn gérer sonn portefeuillle, le grouppe a subdivvisé ses actiivités en
cinq (066) grands pôôles bien disstincts :
♣ Réseaux
R
de détail en
n France : Société Géénérale BDDF les Bannques de Détail
D
en
F
France.
♣ Crédit
C
du Nord
N
appelés autremennt CDN
♣ Réseaux
R
d détail hoors Francee : disperséés dans 37 pays (en E
de
Europe Cen
ntrale et
O
Orientale,
d
dans
le Baassin Méditterranéen, en
e Afrique,, en Outre--mer et en Russie)
i
indiqués
sous le sigle BHFM
B
(Bannques Hors France Méttropolitainee)
♣ Services fin
nanciers sp
pécialisés ouu Direction
ns Services Financiers
F
S
Spécialisés (DSFS).
p
présents
daans 47 payys et acteuurs majeurs en Europe sur diffférents méétiers de
f
financemen
nt et services aux entrepprises, crédiits à la conssommation eet assurancees.
7 ♣ Gestion d’actifs et Services aux investisseurs : ce pôle regroupe les activités de
gestion d’actifs, banque privée et métiers titres et banque directe avec un rayonnement
mondial.
♣ Banque de financement et d’investissement : pôle des marchés des capitaux, des
produits dérivés et des financements structurés.
Les trois valeurs fondamentales du Groupe sont le Professionnalisme, l’Innovation, et
l’Esprit d’équipe. Toutes filiales dont fait partie la BFV-Société Générale, ont leurs propres
moyens et outils pour que chacun partage, enrichisse, et mette en œuvre ces valeurs dans le
cadre de leur activité
1.3. Missions et structure organisationnelle
Après avoir raconté le passé de la société étudiée et celui du groupe où il appartient,
nous allons présenter à travers cette section ses missions, ses activités ainsi que sa structure
organisationnelle.
1.3.1. Activités et missions de la BFV-Société Générale
La branche BHFM travaille dans les financements et services aux entreprises, crédit à la
consommation et assurances à travers ses filiales dont la. BFV-Société Générale en fait partie.
Toutes les grandes décisions stratégiques de la banque sont dictées par ce pôle mais elle
pourrait les adapter selon son organisation et/ou selon les réalités contextuelles du pays.
Depuis l’époque où elle s’est affiliée au groupe, ses activités s’élargissaient sur divers
services bancaires : recevoir et gérer des dépôts, octroyer des crédits, proposer et gérer des
moyens de paiement et des services financiers, effectuer des opérations de change, proposer
des conseils en matière de placement ou de patrimoine pour ces différents clients.
La banque, étant une filiale d’un groupe international, utilise également d’autres
moyens de distribution, comme les opérations bancaires par Internet ou les guichets
automatiques dans les lieux publics. Nous pouvons dire qu’elle offre une large gamme de
produits et de services aux clients locaux tout comme aux clients étrangers.
8 1.3.2. Organisation de la société
L’organigramme qui sera présenté en annexe I montre les différents départements
existants au sein de BFV-SG, ainsi que les rattachements hiérarchiques existants. En termes
d’effectif, la banque est composée de 869 employés dont 436 travaillent dans les agences et
413 travaillent au Siège1. Ces employés sont respectueusement repartis dans quatre grandes
Directions : la Présidence ou PRES en abrégé, la Direction du Réseau et Optimisation ou
RESO, la Direction des Relations Entreprises ou DDRE et le Secrétariat Général ou SEGL.
Ci-après des brèves présentations des attributions de chaque Direction pour nous permettre de
comprendre le contexte :
Le Président Directeur Général (PDG) est assisté par 04 quatre Directions :
• Direction CONTROLES PERMANENTS,
• Direction des RISQUES,
• Service QUALITE ET ENVIRONNEMENT,
• Service STRATEGIE MARKETING.
Les Directions commerciales de la BFV-SG sont subdivisées en deux : la DRE qui gère
les relations commerciales avec les clientèles des entreprises et celle du RESO pour les
particuliers, les associations et les professionnels.
Au sein de la DRE, Le Directeur est adjoint par trois agents à savoir :
ƒ Un superviseur Provinces,
ƒ Un adjoint commercial DRE qui a sous sa responsabilité : Le responsable
Animation Marchés PME, les Commerciaux ENTREPRISES et Grandes
Entreprises, les Conseillers Technico-commerciaux et les cambistes,
ƒ Un adjoint Administratif DRE qui se charge du bon fonctionnement du service
ETRANGER et du service BANQUE.
La Direction RESO est la Direction de rattachement de toutes les agences de la BFV-SG
reparties dans toute l’Ile. D’autres services sont aussi regroupés sous cette Direction mais
pour plus de détails, l’organigramme est présenté en annexe.
1 Portail interne de la BFV‐Société Générale
9 La majorité des services fonctionnels de la BFV-SG sont sous la supervision du SEGL
comme le Service Logistique, la Direction des Ressources Humaines, la cellule Formation,
Informatique et Organisation, Contrôle de Gestion,…pour ne citer que ceux-là.
1.3.3. La Direction audit interne (AUDI)
Cette Direction est rattachée hiérarchiquement à une Direction fonctionnelle au Groupe
Société Générale afin de conserver toute son indépendance vis-à-vis du Président Directeur
Générale. Elle se charge de la constatation périodique des opérations réalisées par chaque
service ou fonction afin de s’assurer leurs conformités et leurs cohérences aux procédures,
aux normes ainsi qu’aux dispositions légales auxquelles la société est soumise
Figure 2 : Organigramme de l’audit interne de la BFV-Société Générale
Directeur de l’audit interne
Adjoint du Directeur/
Superviseur
Coordinateur Assistante
Chef de Mission
Chef de Mission
Auditeur
Auditeur
Chef de Mission
Auditeur
Chef de Mission
Auditeur
Auditeur
Source : Direction de l’audit interne de la BFV-SG
10 D’après cet organigramme, décrivons brièvement les attributions de chaque poste de la
Direction d’audit interne de la banque.
Le Directeur de l’audit interne met en place la politique et le plan de travail du
département sous la validation des Conseils d’Administration. Il révise en détail le rapport du
Chef de mission, les préconisations avant de les soumettre au Directeur Général. Son adjoint
qui est aussi superviseur peut accomplir les tâches de chefs de mission.
Les deux sont assistés par une assistante chargée de l’archivage des rapports de
missions, la gestion des fournitures de la Direction, l’enregistrement journalier des erreurs de
caisse.
Le chef de mission qui établit le plan individuel des auditeurs dirige la mission d’audit
jusqu’à sa conclusion. Il prépare le rapport et les préconisations. Parfois certain peut être aussi
auditeur en fonction des besoins.
Les auditeurs exécutent les travaux définis par le chef de mission en respectant les
délais. Ils rédigent des fiches de constats que le chef de mission a besoin pour le rapport.
Le coordinateur se charge de l’émission et du suivi des préconisations déterminées par
les chefs de missions, et assiste les misions dans l’élaboration des requêtes.
Section 2 . Les domaines d’activités stratégiques de la société
Si nous avons pu décrire la présentation de la banque dans la précédente section ; c’està-dire son historique, ses missions et sa structure, nous pensons qu’il est aussi important de
connaître ses domaines d’activités stratégiques en parlant du management de risque, puis de
sa clientèle et de sa concurrence.
2.1. Management de risque de la banque
Contrôle et gestion des risques sont deux choses interdépendantes au management de
risques d’une organisation.
11 2.1.1. Système de contrôle
Comme toute organisation, la banque dispose d’un contrôle interne, approprié à leurs
objectifs et leurs stratégies, qui a pour but d’un côté d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information ; de l’autre de vérifier l’application des instructions
de la Direction et de favoriser l’amélioration des performances. « Le contrôle interne est
l’ensemble des sécurités contribuant à la maîtrise de l’entreprise »2. Il se manifeste par
l’organisation, les méthodes et les procédures de chacune des activités de la banque.
L’attribution de chaque agent sur les activités de la banque est dictée par les procédures,
les instructions, les règlements intérieurs, quelque soit son poste et sa fonction. Le système de
contrôle de la banque est hiérarchisé en trois niveaux.
- Contrôle de niveau zéro : effectué par les responsables opérationnels eux-mêmes.
- Contrôle de premier niveau : dirigé par la Direction des contrôles permanents.
- Contrôle de second niveau : mené périodiquement par l’audit interne.
- Contrôle de troisième niveau : mené par l’Inspection Générale du Groupe Société
Générale.
2.1.2. .La gestion des risques bancaires
Les banques, en tant qu'entreprises, sont soumises aux risques. Toutefois, elles sont
exposées à plus de formes de risques et la maîtrise de ceux-ci devient un défi important à
relever. Ces risques sont, entre autres: les risques de crédit, les risques opérationnels, les
risques de change, les risques de taux d’intérêt, les risques de marché.
Pour la BFV-SG, la Direction des risques gère et évalue ces risques en les quantifiant de
façon à ce qu’ils soient plus près de la réalité. Le pilotage des risques opérationnels de la
filiale est confié à un Responsable de risques opérationnels. La Direction adopte plutôt les
méthodes quantitatives dans la gestion de ces risques. Mais c’est la Direction de l’Audit
Interne qui les évalue et justifie qualitativement.
2.2. La clientèle et la concurrence
Nous pouvons constater de la précédente sous-section le système de contrôle ainsi que
la gestion des risques de la BFV-Société Générale Mais à présent, nous allons répondre à ces
deux questions : Comment se reparti la clientèle? Et qui sont ses concurrents dans ce marché à
Madagascar ?
2 ème
Cours 4
année en salle
12 2.2.1 La clientèle
Avant la privatisation les produits et services de la BFV se sont principalement
concentrés sur les activités commerciales. Mais depuis son affiliation à Société Générale, elle
s’est ouverte sur plusieurs marchés et dans toutes les catégories de clients.
A fin septembre 2009, le nombre des comptes à vues actifs s’est élevé à 97 301 avec
127 000 clients physiques. La banque classifie en quatre grandes catégories ses clientèles qui
sont reparties actuellement presque dans toute la Grande île.
♣ La clientèle commerciale englobe toutes entreprises ayant de relations d’affaires
avec la banque et ayant des chiffres d’affaires supérieures à MGA 50 000 000. La gestion de
leurs comptes se fait au niveau de la Cellule Commerciale Entreprise rattachée à la Direction
des Relations Entreprises au siège.
♣ La clientèle des professionnels, contrairement à la clientèle commerciale, elle
regroupe toutes les entreprises qui réalisent des chiffres d’affaires inférieures à 50 000 000
Ariary. Leurs comptes sont gérés au niveau des agences par les conseillers clientèles (CCL).
♣ La clientèle des associations : Toute organisation à but non lucratif qu’elle soit
publique, non-gouvernementale, à vocation culturelle, religieuse, ou sociale constitue cette
catégorie. Cette mise à part est due à leurs buts qui est différent des sociétés commerciales.
Par conséquent, leurs besoins sont Généralement distincts de ceux de ces dernières.
Ce sont les « Conseillers de clientèle Association » qui s’occupent de l’administration
de leur compte. Mais au niveau des agences hors de la Capitale, ces organisations sont
placées sous la supervision des conseillers de clientèle de particuliers.
♣ La clientèle des particuliers : Quant à ce dernier type clientèle, il est constitué par
toutes personnes physiques, salariés ou non, fonctionnaires, dont le compte est alimenté par
des opérations pour des besoins personnels. Cette catégorie détient le premier en termes
d’effectifs parmi les quatre parce que 86% de la clientèle de la BFV-SG sont des particuliers.
2.2.2. La concurrence
Nombreux sont les établissements financiers opérant à Madagascar qui rivalisent à cette
filiale de Société Générale sur ce marché en offrant presque les mêmes produits et services.
Ces principaux concurrents sont notamment :
13 • Bank Of Africa Madagascar (BOA),
• CA BNI Madagascar,
• Banque Malgache de l’Océan Indien groupe BNP Paribas (BMOI),
• SBM Madagascar,
• The Mauritius Commercial Bank Madagascar ou MCB,
• Accès Banque Madagascar,
• Banque Industrielle et Commerciale de Madagascar (BICM),
• Union Commercial Bank ou UCB.
Ces grandes banques mènent chacune leurs propres stratégies et politiques
commerciales pour fidéliser et multiplier leurs clients. Toutefois, force est de constater que la
BFV-SG veut affirmer sa présence dans son environnement à travers son ambition de se
rapprocher de la clientèle qui peut être traduite à travers l’extension de ses agences. En termes
de nombre d’agences ouvertes, elle possède actuellement 47 agences reparties dans chaque
région du pays ; dont deux parmi elles ont été récemment créées. (cf. annexe II et annexe III)
Outre ces grandes banques citées ci-dessous, les Institutions de Micro Finances (IMF)
font partie des ses concurrents indirects. Elles peuvent être considérées comme des
concurrents des établissements bancaires dans la mesure où elles octroient aussi des crédits.
En effet, pour les catégories de la clientèle des professionnels et des particuliers, les offres des
IMF peuvent facilement être considérées comme produits de substitution aux crédits
bancaires.
A travers ce premier chapitre, nous avons fait une brève description de la société étudiée
dans l’optique de bien situer le cadre de notre étude. Savoir l’historique, la structure
organisationnelle et missions de la société étudiée est une étape essentielle pour les études
comme celle-ci. Mais cela parait encore insuffisant sans connaître ses produits et services, sa
clientèle ainsi que la concurrence où elle se trouve pour comprendre le domaine de ses
activités.
« Maîtrise des risques opérationnels » et « audit interne », ces deux expressions
constituent les mots clés de la problématique de ce mémoire. Pour apporter une bonne
précision au sujet, nous allons essayer d’éclaircir ces deux concepts tout au long de ce second
chapitre. Nous croyons indispensable d’expliquer théoriquement ces deux termes pour
faciliter davantage la compréhension et de mieux saisir l’intérêt de cet ouvrage.
14 Chapitre II Théorie Générale sur l’audit interne et les
risques opérationnels
Déterminer le cadre théorique de l’étude, c’est ce que nous allons exposer dans ce
nouveau chapitre. Etant donné le thème de cet ouvrage, il est indispensable, d’abord, de
définir l’audit interne puis ses normes professionnelles selon l’Intitut of Internal Auditors
(IIA). Enfin, discutons des théories sur les risques opérationnels selon Bâle II et COSO II.
Section 1 L’audit interne
L’audit est au sens large défini comme : « une démarche ou une méthodologie menée de
façon cohérente par des professionnels utilisant un ensemble de technique d’information et
d’évaluation afin de porter un jugement motivé et indépendant, faisant référence à des
normes sur l’évaluation, l’appréciation, la fiabilité ou l’efficacité des systèmes et procédure
d’une organisation »3. La définition de l’audit interne a bien évidement le même objet que
celle-ci.
1.1 Définition et objectifs
Selon l’IIA (The Institute of Internal Auditors) : « L’audit interne est une activité
indépendante et objective qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de
la valeur ajoutée »4.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.
Dans le cadre de métier d’assurance, l’audit interne procède à une évaluation objective
en vue de formuler en toute indépendance une opinion ou des conclusions sur un processus,
un système ou tout autre sujet. Il détermine la nature et l’étendue de ses missions qui
comportent Généralement trois types d’intervenants :
• la personne ou le groupe directement impliqué dans le processus, le système ou le sujet
examiné autrement dit le propriétaire du processus.
• la personne ou le groupe réalisant l’évaluation – l’auditeur interne.
• la personne ou le groupe qui utilise les résultats de l’évaluation – l’utilisateur.
3 Collins.L- Valin .G, (1992) « Audit et contrôle interne –aspects financiers, opérationnels et stratégiques », Editions Dalloz, 4è édition.
4 Normes internationales pour la pratique professionnelle de l’Audit Interne
15 1.2. Normes et standards professionnels en audit interne
L’évolution de l’audit interne a été stimulée par la création de l’IIA, fondé en 1941 à
New York, cette organisation a défini la nature, l’objectif et champ d’action de la fonction
d’audit interne et réussi à créer une unité réelle au sein de la profession. Cet institut a formulé
des normes internationalement admises pour que les auditeurs puissent s’acquitter de leurs
responsabilités et de leurs missions.
Ces normes sont composées de qualification et de fonctionnement.
1.2.1 Normes de qualification :
) Mission, pouvoirs et responsabilités :
La mission, les pouvoirs et les responsabilités de l’audit interne doivent être
formellement définis dans une charte, être cohérents avec les Normes et dûment approuvés
par le conseil. La nature des missions d’audit réalisées pour l’organisation doit être définie
dans la charte d’audit. S’il est prévu d’effectuer des missions d’audit à l’extérieur de
l’organisation leur nature doit également être définie dans la Charte. La nature des missions
de conseil doit également être définie dans la Charte d’Audit.
) Indépendance et objectivité :
L’audit interne doit être indépendant et les auditeurs internes doivent effectuer leur
travail avec objectivité.
Le responsable de l’audit interne doit relever d’un niveau hiérarchique permettant aux
auditeurs internes d’exercer leurs responsabilités ».Cette phrase stipule la place de cette
fonction dans l’organisation de sorte que les auditeurs puissent accomplir leurs responsabilités
L’audit interne ne doit subir aucune ingérence lors de la définition de son champ
d’intervention, de la réalisation du travail et de la communication des résultats.
) Objectivité individuelle :
Les Auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugé, et
éviter les conflits d’intérêts.
) Atteintes à l’indépendance et à l’objectivité.
Si l’objectivité ou l’indépendance des auditeurs internes sont compromises dans les faits
ou même en apparence, les parties concernées doivent en être informés de manière précise. La
forme de cette communication dépendra de la nature de l’atteinte à l’indépendance.
16 Les auditeurs internes doivent s’abstenir d’auditer des opérations particulières dont ils
ont été auparavant responsables. L’objectivité d’un auditeur interne est présumée altérée
lorsqu’il réalise une mission d’Audit pour une activité dont il a eu la responsabilité au cours
de l’année précédente.
) Nature de travail :
L’auditeur interne doit évaluer les processus de management des risques, de contrôle et
de gouvernement d’Entreprise et contribuer à leur amélioration sur la base d’une approche
systématique et méthodique.
) Compétence et conscience professionnelle
Les missions doivent être remplies avec compétence et conscience professionnelle ». La
Direction audit interne doit garantir que l’indépendance technique et la formation Générale
des auditeurs internes sont d’un niveau compatible avec les audits à effectuer et que les
travaux sont supervisés de façon appropriée. Elle devrait posséder ou acquérir les
connaissances, les aptitudes et les compétences techniques nécessaires à l’exercice de ses
responsabilités d’audit.
Les auditeurs internes doivent respecter les règles du code de déontologie posséder les
connaissances, aptitudes et compétences techniques nécessaires à la bonne exécution des
travaux d’audit interne. Etre apte aux contacts humains et savoir communiquer efficacement
sont parmi de leurs qualifications. Leur compétence technique devrait être entretenue par une
formation continue.
1.2.2 Normes de fonctionnement.
Ces normes décrivent la nature des activités d’audit interne et définissent des critères de
qualité permettant d’évaluer les services fournis.
Ces normes stipulent en premier lieu l’étendu des travaux ou autrement dit le domaine
d’intervention de l’audit. « Le domaine de travail de l’audit interne doit comprendre
l’examen et l’appréciation de la pertinence et de l’efficacité du système de contrôle interne de
l’organisation, et de la qualité d’exécution des responsabilités confiées. » Les auditeurs
internes doivent :examiner la fiabilité des informations ainsi que les systèmes établis en vue
d’assurer le respect des politiques, plans, procédures, lois et réglementations qui peuvent avoir
une incidence significative sur les opérations de l’organisation et sur la présentation des
17 informations ; et doivent vérifier que l’organisation s’y conforme effectivement. Les
dispositions prises pour les actifs et l’existence de ces derniers devraient être contrôlées :
vérification physique des stocks, des immobilisations…Ils doivent apprécier si les ressources
sont utilisées de façon économique et efficace et examiner les opérations de l’organisation et
ses programmes afin de s’assurer que les résultats répondent aux objectifs fixés et de
déterminer si les opérations et programmes sont exécutés conformément aux prévisions.
Quant aux normes sur l’exécution du travail d’audit, ils précisent le contenu d’un
travail d’audit comme : la planification des missions, l’examen et l’évaluation des
informations recueillies, la communication des résultats obtenus et le suivi.
) Planification des missions :
Les auditeurs internes doivent planifier chaque mission d’audit. Il devrait y avoir une
planification annuelle des missions à effectuer qui seront identifiées et exécutées par ordre de
priorité selon les critères suivants : le risque, l’importance monétaire, les préoccupations de la
Direction Générale, les demandes des gestionnaires.
) Examen et évaluation des informations :
Les auditeurs internes doivent recueillir, analyser, interpréter les informations et
documenter ce travail pour étayer les résultats des rapports d’Audit.
) Communication des résultats :
Les auditeurs internes doivent faire un rapport sur les résultats de leur travail d’audit.
) Suivi :
Les auditeurs internes doivent effectuer un suivi pour que des actions appropriées soient
entreprises à la suite du rapport d’audit.
1.3.L’audit interne et le management de risque
Le management des risques est un processus mis en œuvre par le Conseil
d’Administration, la Direction Générale, le management et l'ensemble des collaborateurs de
l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les
activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles
d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le
risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de
l'organisation.
18 D’après cette définition, aucun membre de l’organisation n’est exclut de la
responsabilité à la maîtrise des risques. L’audit interne est parmi les services qui tiennent des
rôles importants dans le management des risques. L’IIA a proposé les normes suivantes pour
les auditeurs internes à ce sujet.
L’audit interne doit
) surveiller et évaluer les processus de management des risques, de contrôle.
) surveiller et évaluer l’efficacité du système de management des risques de
l’organisation.
) évaluer les risques afférents au gouvernement d’entreprise aux systèmes d’information
de l’organisation au regard :
• de la fiabilité et l’intégrité des informations financières et opérationnelles ;
• de l’efficacité et l’efficience des opérations ;
• de la protection du patrimoine ;
• du respect des lois, règlements et contrats ;
) au cours des missions de conseil, considérer l’ensemble des risques rencontrés, y
compris ceux qui n’entrent pas dans le périmètre de la mission, dans la mesure où ils
sont significatifs.
) intégrer dans le processus d’identification et d’évaluation des risques significatifs de
l’organisation, les risques révélés lors de missions de conseil.
) évaluer la conception, la mise en œuvre et l’efficacité des objectifs, des programmes et
des activités de l’organisation liés à l’éthique.
) concevoir et formaliser un plan pour chaque mission. Ce plan précise le champ
d’intervention.
) évaluer les processus de management des risques, de contrôle et de gouvernement
d’entreprise et contribuer à leur amélioration sur la base d’une approche systématique
et méthodique.
Pour certaines normes, nous nous sommes contentés d’en énumérer la liste dans les cas
où des précisions ne s’avéraient plus nécessaires. Nous ne saurions pas être exhaustifs dans
l’analyse de chacune de ces normes. Celles qui sont jugées adaptées et pertinentes au cas de la
société et au sujet ont été traitées. Ces normes IIA nous ont permis de comprendre en quoi
consiste l’audit interne sur quel objet il se porte et comment devrait-il être exécuté.
19 Mais notre approche théorique resterait incomplète si nous négligions de parler du
risque opérationnel et sa gestion.
Section 2 La gestion des risques opérationnels
Gérer les risques opérationnels n’est pas l’affaire des dirigeants seuls. Cela requiert la
contribution de tout le monde y compris l’audit interne. Voyons dans cette dernière section de
la partie les normes professionnels en matière de risques et la participation de l’audit interne à
leur maîtrise du point de vue théorique.
2.1. COSO II et Bâle II
COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the
Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition
standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce
standard s'appelle aussi COSO. Ce référentiel initial a évolué depuis 2002 vers un second
corpus dénommé COSO 2 qui propose un cadre de référence pour la gestion des risques de
l’entreprise (Enterprise Risk Management Framework). Ce dernier est basé sur une vision
orientée vers risques de l’entreprise et s’applique à l’ensemble de l’entreprise, aussi bien au
niveau le plus haut qu’au niveau opérationnel.
Quant au comité de Bâle, créé en 1975, a pour objectif d’assurer la surveillance de
l’activité bancaire internationale et définit des politiques prudentielles. Les normes Bâle II (le
Nouvel Accord de Bâle de 2004) constituent un dispositif prudentiel destiné à mieux
appréhender les risques bancaires. Outre les risques de crédits et ceux du marché, cette
reforme a été marquée par la prise en considération des risques opérationnels qui est le sujet
de cette ouvrage. Une des principales innovations de cet accord Bâle II a été non seulement
d'exiger l'allocation de fonds propres à la couverture contre les risques opérationnels mais
aussi de prôner un dispositif de gestion des risques opérationnels.
La crise économique mondiale de 2008 a contraint le régulateur à adapter ces ratios
prudentiels dans le cadre de Bâle 3 qui sera progressivement délayé jusqu’en 2013.
20 2.1.1 Définition des risques et des risques opérationnels
a) Le risque
Le risque est, un danger bien identifié, associé à l'occurrence à un événement ou une
série d'événements, parfaitement descriptibles, dont on ne sait pas s'ils se produiront mais
dont on sait qu'ils sont susceptibles de se produire dans une situation exposante5.
D’après COSO 2, La gestion des risques de l’entreprise est un processus mis en œuvre
par le Conseil d’Administration, les dirigeants et le personnel d’une organisation, exploité
pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à :
• identifier les événements potentiels pouvant affecter l’organisation,
• maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite » qui
est le niveau de prise de risque accepté par l’organisation dans le but d’accroître
sa valeur. (appétence au risque)» de l’organisation,
• fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.
b) Le risque opérationnel
Le comité Bâle II définit le risque opérationnel comme celui de pertes directes ou
indirectes dues à une inadéquation ou à une défaillance des procédures, du personnel et des
systèmes internes. Cette définition inclut le risque juridique; toutefois, le risque de réputation
(risque de perte résultant d'une atteinte à la réputation de l'institution bancaire) et le risque
stratégique (risque de perte résultant d'une mauvaise décision stratégique) n'y sont pas inclus.
Cette définition recouvre les erreurs humaines, les fraudes et malveillances, les
défaillances des systèmes d'information, les problèmes liés à la gestion du personnel, les
litiges commerciaux, les accidents, incendies, inondations, … Autant dire que son champ
d'application semble tellement large qu'on n'en perçoit pas d'emblée l'application pratique.
2.1.2Typologies des risques opérationnels.
Puisque la société étudiée est une institution financière nous allons prendre comme
modèle les types de risques opérationnels de Bâle II. Ce comité a établi des listes de rubrique
standard applicable dans ces domaines, présentées sous formes de tableau ci-dessous. Cette
liste est classifiée selon les événements de risque opérationnel qui sont les manifestations
5
http://fr.wikipedia.org/wiki/COSO
21 concrètes de ces risques. Selon les cas, les pertes internes peuvent être associées à un ou
plusieurs cas.
La catégorie d’événement est la manifestation concrète possible des risques
opérationnels d’une banque. Et la déclinaison de chacune des catégories constitue ce que nous
définissons par sous-catégorie d’évènement. Par exemple, une fraude interne qui est une
catégorie d’évènement peut être déclenchée par plusieurs évènements comme des activités
non autorisées, vols ou fraudes proprement dites.
Les filiales de la BHFM dont la BFV-SG fait partie ont adapté les événements de risque
opérationnel Bâle 2 au contexte du pays. Nous trouverons en annexe IV cette liste ainsi que
les typologies des risques opérationnels avec des exemples en annexe V.
Tableau n°2 : Typologies des risques opérationnels selon le comité Bâle
Catégories d’évènements
Fraude interne
Définitions
Pertes dues à des actes visant à frauder, détourner des biens ou à
tourner des règlements, la législation ou la politique de l’entreprise
Sous catégories
-Activité non autorisée
-Vol et Fraude
(à l’exception des atteintes à l’égalité et des actes de
discrimination) impliquant au moins une partie interne à
l’entreprise.
Fraude externe
Pertes dues à des actes visant à frauder, détourner des biens ou
-Sécurité des systèmes
contourner la législation de ma part d’un tiers
Pratiques en matière d’emploi et
Pertes résultant d’actes non conformes à la législation ou aux
sécurité sur le lieu de travail
conventions relatives à l’emploi, la santé ou la sécurité, de
-Relations de travail
-Sécurité du lieu de travail
-Egalité et discrimination
demandes d’indemnisation au titre d’un dommage personnel ou
d’atteintes à l’égalité/actes de discrimination.
Clients, produits et pratiques
Pertes résultant d’un manquement, non intentionnel ou dû à la
commerciales
négligence, à une obligation professionnelle envers des clients
spécifiques (y compris exigences en matière de fiducie et de
conformité) ou de la nature conception d’un produit.
Dommages aux actifs corporels
Destruction ou dommages résultant d’une catastrophe naturelle ou
-Conformité,
diffusion
d’informations
et
devoir
fiduciaire
-Pratiques commerciales/de place
incorrectes
-Défaut de production
-Sélection,
parrainage
et
exposition
-Services conseil
-Catastrophes et autres sinistres
d’autres sinistres.
Dysfonctionnement de l’activité
Pertes résultant de dysfonctionnements ou de l’activité ou des
et des systèmes
systèmes
Exécution, livraison et gestion
Pertes résultant d’un problème dans le traitement d’une transaction
des processus
ou dans la gestion des processus ou des relations avec les
contreparties commerciales et fournisseurs
-Systèmes
-Saisie, exécution et suivi des
transactions
-Surveillance
et
notification
financière
- Admission et documentation
clientèle
-Gestion des comptes clients
- Contreparties commerciales
-Fournisseurs
Source : http://www.fimarkets.com/pages/risque_opérationnel.htm#top
22 2.2. Rôles des auditeurs internes aux risques opérationnels
De nos jours plusieurs entreprises commencent à se doter d’une Direction ou service qui
s’occupent de la gestion des risques opérationnels, mais surtout dans les institutions
financières. Mais la création de cette nouvelle fonction n’enlève pas les attributions de l’audit
interne à la maîtrise des risques de l’organisation où il se trouve.
La nécessité de mesurer le risque opérationnel provient des préconisations du comité de
Bâle, qui requièrent des banques d'allouer une quantité de capital adéquate pour couvrir leur
risque opérationnel. Il propose aux institutions financières plusieurs méthodes plutôt
quantitatives pour gérer les risques bancaires y compris les risques opérationnels. La gestion
de ces risques ne peut se fonder sur les seules méthodes quantitatives. En effet, les démarches
d’évaluation des risques pilotées par des Directions de risques sont conduites par les
opérationnels eux-mêmes, ce qui nécessitera comme l’a d’ailleurs prévu le Comité de Bâle,
une validation indépendante.
L’audit interne aura un rôle majeur à jouer dans la validation des démarches de nature
qualitative permettant de réaliser une cotation des risques et des contrôles. Il valide, par une
méthode d’audit, la valeur des expositions résiduelles par la réalisation de tests de validation
sur certains axes, ainsi que par l’analyse de la cohérence entre les résultats des missions
d’audit, d’une part, et du self-assessment5, d’autre part.
L’évaluation des dispositifs de contrôle interne et de maîtrise des risques est une étape
particulièrement importante dans la démarche d’évaluation des risques opérationnels. En
effet, c’est par la définition des écarts entre le référentiel-cible et les dispositifs existants que
seront cotés les systèmes de contrôle interne afin de mettre en place les plans d’action destinés
à sécuriser les processus et diminuer les risques. L’évaluation des dispositifs de contrôle est
donc une étape essentielle des démarches de gestion des risques opérationnels, permettant à la
fois de tracer la cotation des risques en justifiant le résultat obtenu, tout en assurant un
pilotage des plans d’actions afin de sécuriser les processus.
5
Self assessment : Ce sont des tableaux qui fournissent une première analyse du profil de risque et du dispositif de contrôle de la société
considérée. Il permet en effet de mesurer et d’évaluer l’exposition intrinsèque d’une société aux risques opérationnels, d’évaluer l’efficacité
des systèmes de contrôle et de prévention et de mesurer l’exposition aux risques résiduels.
23 Conclusion de la première partie
En un mot nous pouvons dire que la BFV-Société Générale n’est autre que la banque
nationale qui s’est spécialisé sur le commerce international, connue sous le nom de Banky
Fampandrosoana ny Varotra, après la privatisation de ce dernier en 1998. Depuis, où elle est
devenu une filiale du groupe Société Générale, ses services et produits se sont multipliés et
diversifiés dans plusieurs domaines économiques. Malgré la concurrence dans le secteur
bancaire, elle possède un grand nombre de clients ainsi que d’agences dans toute la Grande
Ile. La présentation de la société étudiée ne suffit pas pour délimiter le cadre de notre étude.
C’est pourquoi nous avons exposé la définition ainsi que les normes professionnelles de la
pratique de l’audit interne de même pour la gestion des risques opérationnels.
D’après les normes IIA ; l’audit interne devrait travailler avec qualifications bien
définies à savoir son indépendance, son objectivité, sa compétence et sa conscience
professionnelle, en considérant les normes de fonctionnement dans leur domaine
d’intervention comme dans l'exécution de leur travail. Nous avons expliqué dans cette partie
que la gestion de risques opérationnels est en quelque sorte une des innovations apportées
dans les nouveaux accords des comités Bale et COSO. Ces derniers expliquent chacun à
travers leurs normes les manières de gérer ces risques. Et nous avons parlé en particulier de la
participation de l’audit interne à la maîtrise de cette gestion.
24 DEUXIEME PARTIE
ANALYSE DES EXISTANTS
Dans l’histoire du système bancaire international, nombreuses sont les institutions
financières qui ont engendré des pertes à cause de la non maîtrise des risques opérationnels
comme Société Générale, Barings, Kerviel. Conscientes de ce grand risque, les autorités
réglementaires ont lancé le débat sur la définition, l’identification, la mesure et la gestion du
risque opérationnel à partir de juin 1999.
Suite à l’accord de Bâle II, les banques sont invitées à développer leur propre méthode
de mesure de capital pour ce risque opérationnel. D’où le groupe Société Générale auquel fait
partie la BFV-SG, a leur propre méthode pour gérer ces risques.
Voyons dans la présente partie alors la manière dont la société gère ses risques
opérationnels en analysant. Nous allons parler d’abord des caractéristiques des risques
opérationnels de la filiale sur leur fréquence et leur ampleur. Ensuite, discutons de ses moyens
et ses techniques de gestion de ces risques. Comment se manifestent –t-ils ? Quels sont les
impacts que pourraient endurer la société.
Enfin, de même pour les méthodes d’intervention de la Direction de l’Audit interne de
la société, expliquons les obstacles, les faits ainsi que les conséquences de la planification et
de la conduite de leurs missions.
26 Chapitre III La gestion des risques opérationnels de
la BFV-Société Générale
Depuis le milieu de la dernière décennie, les connaissances en matière de risques de
crédit et de marché ont alimenté un large débat et ont fait l'objet de très nombreux travaux de
recherche. Normalement, ces travaux auraient dû contribuer à des progrès significatifs dans
l'identification, la mesure et la gestion des risques au sein du système bancaire. C’est la raison
de la considération des risques opérationnels. A partir de ce chapitre, nous allons attaquer le
vif du sujet qui est la maîtrise des risques opérationnels par l’audit interne de la banque
étudiée.
Section 1 Identification et évaluation des risques opérationnels
Dans cette section nous allons voir les risques opérationnels auxquels la banque est
exposée en distinguant ceux qui sont maîtrisés et ceux qui ne les sont pas. Essayons
d’expliquer leurs causes, leurs conséquences et les responsabilités des auditeurs internes
envers ces risques en énumérant les sept types de risques opérationnels bâlois.
1.1 Fraude interne et fraude externe
Ces événements sont favorisés par la faiblesse des procédures, qualité des surveillances
permanentes et des contrôles hiérarchiques ou les moyens disposés aux agents. Il existe un
petit nombre d'individus qui sont toujours honnêtes, quelles que soient les opportunités de
fraude ou l'absence ou non de sanctions. Il existe un nombre également restreint de personnes
qui agissent toujours de façon malhonnête, même lorsqu'elles s'exposent à de lourdes
sanctions. La plupart des gens se situent entre les deux : ils évitent de se comporter de
manière frauduleuse si des sanctions et des contrôles adéquats viennent renforcer leur propre
sens moral. Pour la BFV-Société générale ces évènements sont entre autre : extorsion de
fonds, détournement des biens, vols, transactions non autorisées, falsifications de chèques,
usurpation de compte.
Les pertes engendrées par ces évènements dépendent de leur ampleur et leurs
fréquences. Ces pertes sont immédiates ou futures telles que dédommagements clients, des
sanctions à payer à un régulateur, des frais liés au rachat de matériel informatique. Elles
27 génèrent non seulement des pertes financières mais aussi des conséquences en terme de
réputation.
Face à ces évènements des risques opérationnels, le rôle de l’auditeur est d’abord de
prouver la culpabilité de l’agent soupçonné d’avoir commis une fraude. Il essaye de mettre en
lumière les éléments constituants de l’incident. Puis, il mène des investigations pour
constituer le dossier de preuves. Ensuite, chiffrer le préjudice pour la banque et les clients en
cas de pertes ou vol.
Pour être plus concret nous allons prendre des exemples.
Une fraude sur des comptes clients a été commise par un agent de la banque. Il se
permet d’accéder dans les comptes de certains clients de la banque en faisant des transactions
non autorisées ou proprement dit voler. De ce fait, les clients concernés se retrouvent victimes
d’escroquerie et la banque risque un certain montant de perte occasionné par cet incident.
Après l’investigation de l’audit interne, la fraude a été confirmée avec un montant du
préjudice d’Ar 1 000 000 pour la banque et d’Ar 3 400 000 pour les clients. Ces incidents ont
été favorisés par le manque de contrôles ou de surveillance des responsables hiérarchiques de
l’agent. Enfin, les auditeurs émettent des préconisations pour le service où l’incident a été
découvert pour que les faits ne se reproduisent plus.
Non seulement l’image de la banque est en jeu envers. C'est-à-dire les incidents ont
amenés certains clients à quitter la banque. Mais son produit net bancaire sera imputé du
montant des dédommagements clients et même des frais juridiques pour les cas qui ont fini en
justice. Par conséquent, cela vont amener des tiers à ne pas devenir client.
Citons un autre exemple ; faute de la négligence de contrôles des enregistrements
journaliers des caissiers dans une agence du réseau de la banque. Une falsification des
chèques a été détectée lors des visites des auditeurs internes dans cette agence. Grâce à la
vérification de la cohérence entre des données informatiques et les pièces économiques c’est
dire la somme écrite sur le chèque est inférieur de celle enregistrée dans les outils
informatiques. Ceci a généré des pertes financières pour la banque. A cet effet, les auditeurs
internes évaluent le montant de ces pertes et émettent des préconisations afin que les contrôles
au niveau opérationnel soient effectués quotidiennement.
28 1.2 Pratiques en matière d’emploi et sécurité sur le lieu de travail
Pour le cas de la BFV-Société Générale, ce type d’évènement de risque est très rare. Ce
qui veut dire que la réglementation des lois contre la discrimination, de travail ainsi que les
normes de sécurité et de santé sont plus ou moins respectées.
Ces risques sont dus généralement aux actes non conformes à la législation ou aux
conventions relatives à l’emploi, la santé ou la sécurité, de demande d’indemnisation au titre
d’un dommage personnel ou d’atteintes aux actes de discrimination, violation des règles
d’hygiène.
L’audit interne, lors des visites en agence observe l’état des lieux de travail et leur
sécurité. Ils vérifient si les pratiques appropriées à ce sujet sont exécutées conformément aux
procédures comme l’hygiène aux niveaux des agences, les instructions des sécurités des lieux
de travail, le respect des droits des employés en matière de pratique d’emploi. Les écarts
constatés entre les procédures et les pratiques ont fait l’objet des préconisations pour prévenir
la répétition des faits à l’avenir.
Par exemple, la voiture d’un Directeur d’agence et son Adjoint s’est fait braqué lors de
ce transport. La banque n’a pas confié à un sous-traitant le transport des fonds. Ceci a entraîné
l’hospitalisation des deux collaborateurs. En effet, elle a supporté des pertes financières du
même montant que la valeur du fond perdu et des frais d’hospitalisations des agents. Les
auditeurs ont conseillé la Direction Générale de sorte que le transport de fonds de toutes les
agences de la banque soit confié à des sous-traitants pour préserver la sécurité des biens mais
surtout des agents de banque.
1.3 Clients, produits et pratiques commerciales
Cette catégorie d’évènements de risques opérationnels rassemble tous risques de pertes
occasionnés par un manquement, non intentionnel ou dû à la négligence, à une obligation
professionnelle envers des clients spécifiques. Ces évènements sont souvent dus à la violation
du secret bancaire, aux opérations fictives, à l’utilisation abusive d’informations
confidentielles, aux activités sans agrément, aux blanchiments d’argent, aux conflits sur
l’efficience des prestations.
29 Les conséquences de ces évènements de risques varient selon leur type mais elles
tendent tous à générer des pertes financières ou des impacts à la réputation de la société.
L’audit interne ne fait que justifier les incidents qui ont favorisé ces risques et éclaircir leurs
causes pour pouvoir donner des appréciations indépendantes concernant les faits en se
référant aux procédures existantes.
Par exemple la non exécution d’ordre de virement des clients. Une entreprise
d’importation cliente demande à la banque de passer un virement au compte de la Douane le
vendredi 2 Avril. Or l’agent bancaire n’a pas exécuté l’ordre du client qu’à la date du premier
5 Avril, non à la date demandée par le client. Suite à cet incident la douane a pénalisé
l’entreprise. De ce fait cette dernière réclame à la banque l’explication de cet incident et le
remboursement de cette pénalité. Cela veut dire que le client est insatisfait du service de la
banque et risque de la quitter même. C’est la réputation de la banque qui est en jeu. Après
investigation de l’audit interne le 2 Avril est tombé en jour férié. Par conséquent, il a formulé
des préconisations aux responsables de l’incident à toujours vérifier les dates des ordres de
virements demandés par les clients.
Pour ce type de risque, les auditeurs internes ont procédé à la vérification de l’exécution
des ordres de virement des clients lors des visites en agence. Selon les faits constatés à ce
propos, ils sensibilisent chaque responsable de l’agence, concerné à cette transaction, à la
bonne exécution des pratiques commerciales de l’agence en se référant aux procédures mise
en place par le service Informatique et celui de l’Organisation.
1.4 Dommages aux actifs corporels et dysfonctionnements de l’activité et des
systèmes
Ils sont parmi les risques opérationnels les plus difficiles à maîtriser. Leurs probabilités
d’occurrence sont très rares mais l’ampleur des pertes associées à ces risques est considérable.
Ils sont dus aux catastrophes et autres sinistres comme les aléas naturels : cyclone, inondation,
séisme, pertes humaines dues à des causes externes ; et aux dysfonctionnements des systèmes
comme le matériel, logiciel, télécommunications, panne électricité. Ces évènements sont rares
pour le cas de la banque. Mais la sévérité de pertes engendrées par ces risques pourrait être un
peu inquiétante.
30 Prenons le cas d’un cyclone, cette catastrophe naturelle ne se produit que pendant la
saison de la pluie. Les actifs corporels d’une agence de la BFV-Société Générale ont été
victimes des dégâts causés par cette catastrophe comme voiture endommagée, effondrement
des constructions, destruction des matériels de travail. Cela a généré des colossales pertes
pour la banque. Or des mesures de précaution à la survenance des cyclones sont déjà à la
disposition de chaque agence.
A titre d’exemple des systèmes, suite à un mauvais paramétrage des matériels
informatiques, une panne des progiciels utilisés par la banque s’est produite. Un montant
$25000 a été enregistré au lieu de Ar25000 à titre de commission sur crédit documentaire. De
ce fait les clients étaient mécontents c'est-à-dire qu’ils aient été insatisfaits de la conséquence
de l’incident.
La responsabilité des auditeurs internes face à ces risques consistait à trouver les
origines des faits et de sensibiliser les responsables des incidents à partir des procédures de la
banque concernant les instructions de précautions face aux sinistres, les utilisations et
manipulations des matériels disposés aux agents de la banque.
Mais récemment la banque a mis en place un plan de continuité d’activité qui consiste à
prévenir la survenance des risques de système comme celui-ci.
1.5 Exécution, livraison et gestion des processus
Durant notre stage dans la société BFV-Société Générale, nous avons constaté que les
risques les plus fréquents dans la société sont les risques occasionnés par les transactions ou
par la gestion des processus. La banque désigne ces évènements sous le nom d’erreur
d’exécution. Pour la présente banque, ils sont dus au retard ou à une omission de traitement
d’une transaction par les agents de la banque. Les évènements de ces risques sont dus entre
autres aux problèmes de communication, au non respect de délais ou d’obligations,
documents juridiques absents ou incomplets, données clients incorrects, manquements à
l’obligation de notification.
Ces évènements ont généré des pertes financières et même amputé la réputation de la
banque. Par exemple, un client a souscrit à un abonnement d’une carte sur salaire. Par
conséquent, le compte du client est débité mensuellement des frais de cette carte. A un
31 moment donné, il a décidé de résilier son contrat sur ce produit. Or, après sa résiliation le
client constate toujours sur le débit de son compte les frais de cette carte qui vont être
enregistré comme un profit pour la banque. Ceci a été dû au retard d’exécution du processus
de résiliation de contrat. De ce fait le client réclame à ce que ces frais soient remboursés. Par
conséquent, ces frais qui avaient été enregistrés comme profit de la banque vont être
remboursés à ce client. Evidement le client était insatisfait du service de la banque et cela a
amputé l’image de la société. C’est ce qu’nous appelons risque de réputation.
Les auditeurs internes cherchaient à expliquer et justifier les situations qui ont favorisé
l’apparition de ces évènements ; puis formulaient des préconisations de façon à ce que ces
erreurs d’exécution ne se reproduisent plus à l’avenir. Ils sensibilisent les gestionnaires de
comptes sur l’importance des suivis des régularisations entreprises.
La souscription à la BFVSGnet6 est sur internet sans vérification des données réelles du
client. Faute de la nouvelle technologie, un mal intentionné a réussi à avoir les coordonnées et
le numéro de compte d’un client de la banque. Il a fait une demande de code d’accès au nom
du client et passer des ordres virements. Le client a constaté après que son compte a été débité
des frais de ce produit dont il n’est pas souscrit. Evidement le client a demandé une
explication à la banque et le remboursement des frais de ce BFVSGnet. Cela a engendré des
pertes financières pour la banque.
Quant aux auditeurs internes ont fait des révisions du processus de souscription à ces
produits. Puis ils diffusent des préconisations rappelant aux responsables leurs obligations en
matière de souscription.
La responsabilité des auditeurs est de trouver les situations qui ont favorisé l’apparition
de ces évènements pour mieux formuler des préconisations de façon à ce que ces erreurs
d’exécution ne se reproduisent plus. Leur rôle consiste aussi à sensibiliser et/ou à éduquer les
gestionnaires de comptes sur l’importance des suivis des régularisations entreprises.
6 BFVSG net est un service moderne et pratique qui permet la consultation de l’ensemble des comptes d’un client et
de passer des ordres à distance via Internet.
32 Section 2 Prévention et pilotage des risques opérationnels
Prévenir les risques opérationnels est une fonction difficile à remplir dans une
institution financière, en particulier si l'auditeur interne s'attache à vérifier la conformité de
l'ensemble des documents administratifs, comme la plupart des auditeurs y sont formés.
2.1 Les méthodes de prévention
Pour prévenir les incidents des risques opérationnels, la société est dotée d’un dispositif
de prévention et de contrôle qui devrait être mise à jour au minimum chaque année pour
prendre en compte :
) la mise en œuvre des plans d’actions générés lors de chaque exercice.
) la défaillance des contrôles traduite par des pertes internes supérieurs à
l’évaluation du risque résiduel.
) la présence d’anomalies dans les résultats de la Surveillance Permanente.
Normalement, il appartient à chaque société de mettre en place un dispositif de contrôle
interne adapté à sa situation. Dans le cadre du groupe, la société mère c'est-à-dire BHFM
veille à l’existence de dispositifs de contrôle interne au sein de la BFV-Société Générale. Ces
dispositifs sont adaptés à leurs caractéristiques propres et aux relations entre la Société mère
et ses filiales. Il comprend un ensemble de moyens, de comportements, de procédures et
d’actions adaptées aux caractéristiques propres de chaque société qui :
• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation
efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs,
qu’ils soient financiers ou de conformité et surtout opérationnels.
Les contrôles internes correspondent à l'ensemble des ressources et procédures utilisées
par les dirigeants pour contrôler efficacement les activités. Grâce à eux, la Direction et le
personnel peuvent être raisonnablement certains d'atteindre les objectifs. Ils aident à corriger
les contradictions et à détecter les anomalies survenant dans les opérations et transactions
bancaires différents centres décisionnels (par exemple, les chefs d'agence) dotés de niveaux
d'autonomie variés. Les contrôles internes doivent être préventifs.
33 2.2 Le pilotage des risques opérationnels de la filiale
C’est l’ensemble des mesures entreprises après la détection des anomalies ou les
événements ayant exposés la société un ou plusieurs risques opérationnels. La filiale a sa
propre manière de piloter les risques opérationnels d’après la recommandation du comité
Bale.
2.2.1 La cartographie de ces risques.
La Banque a sa propre méthode de gérer les risques opérationnels qui vise à maîtriser et
si possible à réduire ces risques. Cette méthode consiste à cartographier les risques. Ce
pilotage s’appuie sur deux tableaux de bord7:
♣ Tableau de bord trimestriel :
Celui-ci rassemble un certain nombre d’indicateurs facilitant le pilotage des risques
opérationnels :
-
Evolution des pertes internes,
-
Evolution des indicateurs clés des risques (Key Risk Indicators),
-
Réalisation de la Surveillance Permanente.
Il comporte également une synthèse des principaux faits marquants du trimestre ainsi
qu’un suivi de l’avancement des plans d’actions décidés pour renforcer le dispositif de
maîtrise des risques opérationnels. Ce tableau de bord met en évidence :
-
Le commentaire de synthèse du Responsable Risques Opérationnels de la filiale,
-
Le montant des pertes consolidées par trimestre sur un an glissant,
-
Les catégories d’évènements de risque le plus génératrices de pertes,
-
Les pertes unitaires significatives (>100 000 €),
-
Les KRI8 les plus inquiétants du trimestre,
-
Les résultats de la Surveillance Permanente,
-
Les principaux plans d’actions décidés durant le trimestre,
7 C’est un ensemble d’indicateurs, peu nombreux, devant donner aux responsables une information significative destinée au
pilotage de leurs activités. « Manuel de Gestion (Université Francophone), livre 3 volume I
8 Le KRI est un élément tangible et mesurable du dispositif de gestion des risques opérationnels qui a pour but
d’évaluer et suivre l’évolution de zone de risque clés potentielles.
34 -
Les principaux plans d’actions décidés durant le trimestre précédents.
♣ Tableau de bord annuel
C’est la compilation des quatre (04) trimestres c'est-à-dire un tableau synthétisant
annuellement les tableaux de bord trimestriels.
- Le commentaire de synthèse du Responsable Risques Opérationnels de la filiale,
- Les 5 catégories d’événement de risque présentant le risque intrinsèque le plus élevé,
- Les 5 catégories d’évènement de risque présentant le risque résiduel le plus élevé,
- Les pertes internes annuelles sur les 8 catégories d’évènement de risque,
- Les pertes unitaires significatives de l’année (>100 000 €),
- Les résultats de la Surveillance Permanente de l’année,
- Les plans d’actions mise en place sur l’année susceptibles de faire évoluer
l’évaluation des scorecards9 et des risques résiduels,
- Le suivi des plans d’actions mis en place les années précédentes dont la réalisation
n’est pas achevée.
Ce pilotage des risques opérationnels a pour objectif de permettre une allocation
efficace des ressources pour remédier aux disfonctionnement éventuellement constatés et
réduire ainsi les niveaux de perte, et de communiquer à la Direction, aux contrôleurs externes
et aux autres tiers concernés une information pertinente sur les risques opérationnels auxquels
est exposées l’entité. Le seuil de déclaration des pertes internes pour l’ensemble des filiales de
BHFM a été fixé à 10 000 €.
Cette nécessité de mesurer le risque opérationnel provient des préconisations du comité
de Bâle, qui requièrent des banques d'allouer une quantité de capital adéquate pour couvrir
leur risque opérationnel.
Malgré l’existence d’une méthode pertinente comme celle que nous venons d’expliquer
dans la société, nous avons constaté que les risques persistent toujours. Ce qui explique la
complexité de la maîtrise des risques opérationnels. Cette méthode contribue effectivement à
atténuer la sévérité et l’occurrence des évènements des risques de la filiale.
9 Tableau de bord
35 2.2.2 Le RCSA (Risk and Contrôle Self Aseessment)
C’est l’ensemble des processus d’auto évaluation de risques et des contrôles. Il fournit
une première analyse du profil de risque et du dispositif de contrôle de la société. Il permet en
effet de mesurer et évaluer l’exposition intrinsèque de la banque aux risques opérationnels,
d’évaluer l’efficacité des systèmes de contrôle et de prévention et de mesurer l’exposition aux
risques résiduels. Le RCSA permet de mettre sur une échelle le niveau de risque des
différentes catégories et sous catégories d’évènement. Il constitue des indicateurs à évaluer
sur une base annuelle l’évolution des risques et leur couverture.
Ce chapitre a mis en évidence la maîtrise des risques opérationnels à la BFV-Société
Générale en parlant de leur fréquence et leur sévérité à savoir les risques les plus fréquents,
les moins fréquents et les risques maîtrisés Puis, il nous explique le pilotage de ces risques au
niveau de la filiale et même la prévention. Maintenant, parlons de l’intervention de l’audit
interne de la banque pour la gestion de ces risques dans leur domaine et à travers leur mission.
Source : note méthodologique pour le pilotage et l’évaluation des risques opérationnels pour les filiales BHFM
36 Chapitre IV . Méthodes d’interventions de l’audit
interne aux détections des risques opérationnels
Le domaine d’intervention de l’audit interne est très étendu puisqu’il inclut non
seulement les agences et les points banques mais également toutes les fonctions et les services
de la société. Cela veut dire que détecter les risques opérationnels dans une telle dimension
parait un peu difficile. Il nécessite une méthode d’intervention appropriée à sa grandeur. Nous
allons voir comment l’audit interne de la BFV-Société Générale accomplit-il ses
interventions.
Section 1
Planification d’une mission
Comme nous l’avons mentionné dans la première partie, la banque est une institution
d’envergure nationale. Cela nécessite une intervention bien planifiée pour que les risques
soient bien détectés à temps avant qu’ils n’affectent pas les activités et surtout le résultat de la
société.
1.1
Planification des travaux
D’après la norme du groupe Société Générale, les missions sont prévues sur trois (03)
ans. Elles sont planifiées dans un plan d’audit pluriannuel. Mais pas annuel comme ceux des
autres sociétés. Leur objectif est de s’assurer que l’ensemble du périmètre est couvert en 36
mois. C’est le Directeur de l’audit interne qui le prépare.
Par contre, celui-ci élabore le plan d’audit de l’année N+1 en mois d’Août ou
Septembre d’une année N et doit être terminé pour le début Octobre. Après cela, le Directeur
doit le présenter au Conseil d’Administration de la banque pour validation. Dans le cas
contraire, le plan devrait être modifié avant de le présenter à nouveau.
1.1.1 Choix et fréquences des missions
Le choix des missions à réaliser est en fonction du risque intrinsèque et du risque
résiduel de chaque entité que se soit au siège ou aux agences. Plus précisément, prise de
considération des risques auxquels sont exposées les activités de par leur nature et leur
environnement opérationnel, en faisant abstraction de son environnement de prévention et de
37 contrôle. Et en fonction de ceux auxquels sont exposées les activités après prise en compte de
leurs dispositifs de prévention et de contrôle, abstraction faite des couvertures d’assurance.
La fréquence des missions des entités auditées dépendent de leur exposition aux risques
opérationnels que nous venons de citer ci-dessus. La périodicité des missions au niveau des
agences et autres entités ne sont donc pas identiques.
De ce fait les entités ne figurent pas toutes dans un plan d’audit d’une année donnée. En
plus nous avons vu dans la première partie de ce mémoire que les agences de la filiale
comptent 47 dans toute la Grande île. Cet effectif peut aussi expliquer l’irrégularité de ces
périodes.
Ainsi une cartographie des risques est réalisé en juillet/aout afin de déterminer les
niveaux de risque (la détermination du niveau est une agrégation entre - notre dernière
mission d'audit local, note dernière mission d audit central - qualité de la SP - niveau des
engagements / niveau contentieux - note du RCSA... et d'autres indicateurs).
1.1.2 Choix des auditeurs
D’après l’organigramme de l’Audit interne de la filiale, présenté à la première partie, la
Direction compte quatre (04) chefs de missions et (05) auditeurs. La répartition des tâches,
c'est-à-dire l’affectation de ces auditeurs internes aux missions, dépend des disponibilités et
des compétences de chacun sur les différents domaines.
Ils n’ont pas les mêmes compétences parce qu’ils proviennent des services ou
Directions différentes de la banque ou encore certains sont auditeurs depuis leurs entrées dans
la société. Peut être qu’ils n’ont pas fait les mêmes compétences ou tout simplement ils ne
possèdent pas les mêmes formations.
Le risque à cette situation c’est que lorsqu’un chef de mission ou un auditeur compétent
à un domaine donné quitte la Direction sans avoir transmis sa compétence aux autres. Dans ce
cas, son départ va être une lacune à l’équipe de l’Audit interne ainsi qu’à leur mission. Par
exemple, avant la fin de notre stage, deux chefs de mission ont quitté la Direction de l’audit
interne pour d’autre poste. Donc, maintenant il ne reste que deux chefs de mission pour le
reste des tâches de l’année.
38 Cela pourrait entrainer des impacts à l’évaluation ou à l’identification des risques
opérationnels comme risques d’incompétences des auditeurs au domaine audité. Ou l’auditeur
qui va se charger du domaine de compétence de l’auditeur affecté sera obligé de demander à
ce dernier de lui transmettre ces connaissances en l’interrogeant ou par entretien. Or ceci peut
durer un certain moment ou temps.
1.2 Problèmes d’exécution des travaux
Pendant leur mission, les auditeurs rencontrent parfois des difficultés à l’exécution de
leurs tâches qui les empêchent à identifier et à évaluer à temps les incidents des risques
opérationnels parce que le risque de perte de demain ne sera pas le même qu’aujourd’hui en
termes de sévérité. Ces problèmes proviennent soit de l’auditeur même, soit des responsables
opérationnels ou les agents de l’entité auditée. En général, tous ces problèmes entraînent des
retards d’exécution des travaux de l’Audit interne.
1.2.1 Connaissance du domaine
Le discernement des risques opérationnels requiert la connaissance du domaine
d’intervention de l’audit parce que logiquement ou d’après les normes professionnelles de
cette fonction connaître le domaine audité est une chose essentielle à la phase d’étude d’une
mission d’audit. Par exemple, pour mener une mission concernant les services monétiques de
la banque, il faut que les auditeurs possèdent des informations suffisantes à propos de toutes
opérations ou les tâches dans ce service. Les auditeurs sont munis d’une fiche de travail qui
leur sert de guide à leur intervention. A part cela, ils peuvent consulter les procédures citées
dans les portails internes par l’intranet de la société : des instructions et des procédures, des
notes.
Le problème c’est que ces références ou ces outils de discernements de risques ne sont
pas suffisantes pour remplir cette fonction. Les auditeurs sont parfois obligés d’appeler les
responsables de l’entité pour leur demander une certaine précision sur le détail de leur travail ;
ou bien de leur demander par mail. Et cela pourrait entraîner d’autres problèmes au niveau
opérationnel comme pertes de temps, déconcentration au travail.
En plus, la collaboration de l’audit avec ces opérationnels connait aussi d’autres
problèmes au niveau de la qualité dés informations recueillies.
39 1.2.2 Recueil des informations
Le retard dans le recueil des informations ont un impact sur l’établissement du rapport
d’audit et donc sur le respect des échéances d’exécution des travaux. En effet, pour diverses
raisons qui dépendent de l’entité faisant l’objet d’audit : tâches prioritaires, rapports
périodiques par département suivant leurs échéances, organisation interne de l’entité, toutes
autres contraintes propres à chaque entité les informations demandées ne parviennent pas à
temps au sein de l’audit interne. Ces informations non recueillies à temps bouleversent ainsi le
plan d’exécution des tâches au sein de l’Audit interne et peuvent avoir des impacts sur
l’évaluation des risques opérationnels.
Prenons par exemple, les auditeurs demandent au service informatique de faire une
extraction des comptes débiteurs de certains clients à une date donnée, supposons le 12
Octobre. Le service n’a pas pu donner la réponse que le 17 Octobre. Or, l’extraction présente
des comptes en devise. Dans ce cas, le cours de devises du 12 Octobre et du 17 Octobre ne
sera pas évidement le même. Donc, l’auditeur est obligé de choisir une date précise pour
convertir les devises en monnaie locale qui est l’Ariary. L’évaluation des risques s’avère
approximative mais non exhaustive.
1.2.3 Disponibilités des interlocuteurs
Le problème de disponibilité de l’interlocuteur est fréquemment constaté lors des
diverses missions d’audit et constitue également l’une des raisons de retard dans
l’établissement des rapports d’audit. Le raisons peuvent être multiple comme : réunions
internes, ou tout autre motif d’ordre interne à chaque département.
Dans ce cas, les auditeurs sont toujours obligés d’attendre leur disponibilité pour faire
leur travail. Cela pourrait fausser l’évaluation et l’identification des risques parce qu’au
moment où l’interlocuteur sera disponible il se peut qu’il s’est déjà préparé de répondre aux
questions de l’auditeur. En effet, le caractère de contrôle inopiné d’une mission d’audit
interne n’est plus respecté. De ce fait, la crédibilité des réponses de l’interlocuteur sera mise
en doute et pourra obliger les auditeurs à utiliser une autre méthode de recueil d’informations
pour les justifier.
40 1.2.4
Délai d’exécution des tâches
Les délais d’exécution des tâches varient selon les types de mission menés. Par exemple
une mission complète (mission en agence) dure en général 35 jours ouvrés mais cela peut être
dépassé selon les circonstances. Le délai des missions ne figure pas dans le plan de suivi des
missions dans une année. Seules les dates de début et celles de fin sont mentionnées dans ce
plan. Nous pouvons déduire de cela que le respect du délai ne soit pas très strict.
Ce problème peut être les conséquences des autres sous sections expliquées ci-dessus.
C'est-à-dire le retard d’exécution des tâches provient du retard de recueil des informations ou
de l’indisponibilité des interlocuteurs. Cela peut encore être de l’auditeur lui-même.
1.2.5 Responsabilité de l’audit interne
L’audit interne n’est pas un service à qui incombe la mise en place de contrôles et de
procédures. L’audit interne ne fait qu’apprécier ou constater la bonne application des ces
derniers. Malgré les contrôles périodiques menés par les auditeurs internes et les
préconisations émises après leurs missions, ces risques existent toujours. Cela peut être
expliqué par un manque d’interaction de travail entre les opérationnels et les auditeurs. Nous
pouvons dire alors que les opérationnels négligent l’importance des contrôles ou les auditeurs
qui ne parviennent pas à évoquer réellement aux audités la culture de contrôle au travers de
leur mission.
A maintes reprises, certains pensent que le rôle de l’audit interne est de contrôler toutes
les opérations, de prendre les décisions, de donner des approbations …Ils ont tendance à
oublier ou feindre de ne pas savoir que la responsabilité première incombe à chaque
responsable opérationnelle d’effectuer le contrôle de premier niveau. Le rôle de l’audit interne
est seulement de s’assurer que ces contrôles soient effectués. L’inconvénient d’une telle
attitude est que l’absence de contrôle par l’audit interne, aucune initiative n’est prise quant à
la mise en place de procédures et de contrôle.
41 Section 2
Conduite des missions d’audit interne
Cette section sera consacrée à l’analyse de la manière dont une mission d’audit interne
est menée. Ces missions d’audit sont divisées en trois types biens distinctes, à savoir les
missions complètes, les missions transversales, et les missions spéciales. Elles ont chacune
leurs spécificités dans la manière et dans la méthode d’exécution des tâches mais tendent vers
un même objectif en matière de risques opérationnels. C'est-à-dire elles visent toutes à
identifier, à évaluer puis à préconiser les risques opérationnels dans chaque entité auditée.
Déterminons les problèmes qui peuvent empêcher les auditeurs internes à accomplir
leurs des misions pour maîtriser ces risques. Comme nous avons vu dans la précédente
section, le choix des missions à réaliser est fonction des risques auxquels est exposée l’entité.
En premier lieu nous allons parler des missions complètes qui sont les missions menées
dans les agences et les Back Office de la banque.
2.1 Missions complètes ou classiques
Mission complète se définit comme les missions que les auditeurs mènent aux agences
de la BFV-Société Générale. D’après les cartographies des risques opérationnels faites au
mois Juillet et Aout de l’année 2010, plus de la moitié des pertes constatées dans le RCSA de
la filiale sont au niveau des agences que ce soit en termes d’occurrence ou soit en termes de
sévérité de pertes constatées. Cela signifie que les agences sont les entités les plus exposés
aux risques opérationnels.
Supposons que le nombre des pertes totales de la filiale est de 100. Et le montant de ces
pertes s’élève à 100 000 en millier d’Ariary. Voici sous formes de tableau cette répartition.
Tableau n°3 : illustration de la répartition des risques en nombre et en montant
Nombre total des pertes
Montant total des pertes
Agences
51
52000
Autres entités
49
48000
Total
100
100000
Entité
(en millier d’Ariary)
Source : Auteur
42 Autrement dit, ce résultat explique les dysfonctionnements des opérations au niveau des
agences. Malgré les contrôles de niveau zéro effectués par les responsables opérationnels ;
puis ceux de premier niveau par les Contrôles Permanents et ceux de l’Audit interne en
second niveau, cette proportion déséquilibrée persiste.
Au niveau de l’Audit interne beaucoup sont les causes qui peuvent expliquer cette
répartition.
2.1.1 Les outils de travail et de contrôles
Pour bien accomplir une mission, l’Audit interne est muni des outils de travail et de
contrôle. Pour la BFV-Société Générale ces outils proviennent de 03 sources.
) Les documents collectés en central ou sur site : derniers rapports d’audit (interne
ou externe de la filiale) et en particulier les conclusions des diagnostics et les
principaux constats, procédures, instructions, requêtes informatiques,…
) Informations obtenues à l’issue des entretiens menés avec la hiérarchie de
l’entité auditée.
) Résultats des premières saisies réalisées.
A propos de ces outils, nous pouvons dire qu’ils sont suffisants pour mener à bien une
mission. Mais le problème c’est que leurs disponibilités empêchent parfois les auditeurs à
faire leur travail. Par exemple, attente des requêtes auprès du service informatique. Le retard
de réponse auprès de ce service peut retarder aussi les travaux de l’Audit interne.
2.1.2 Les phases de missions et cotation des risques
Celle-ci dure normalement 35 jours ouvrés dont son déroulement comporte 3 phases :
) Phase de préparation : cette étape est consacrée à la réalisation des extractions
informatiques à partir des requêtes, entretien, réalisation du diagnostic, à la
sélection des travaux à réaliser. Cela dure 10 jours au Siège. Cette phase consiste
à identifier et à évaluer les risques intrinsèques et résiduels liés au traitement de
chaque type d’opération.
43 ) Phase des travaux : ajuster les travaux sélectionnés en fonction des premiers
constats identifiés lors de la saisie, réaliser les travaux et rédiger au maximum
les fiches de constats pendant 15 jours.
) Phase de rédaction : Les auditeurs finissent la rédaction des fiches de constat.
Les auditeurs rédigent la synthèse de la présentation de l’entité auditée, de
l’objet de la mission et contexte d’intervention de l’audit et remettent le projet de
rapport au superviseur pour correction. Tout cela se fait en 10 jours.
Dans la deuxième phase, les auditeurs évaluent l’efficacité du dispositif de contrôle
interne de l’entité auditée. Plus précisément, ils identifient les risques et les évaluer dans leurs
fiches de constat. Une fiche de constat équivaut à un travail. Par exemple, saisie d’une agence
fait l’objet d’une fiche de constat. Et ce dernier va être attribué d’une cotation des risques
auxquels cette rubrique est exposée.
Les critères d’attribution de la cotation de l’entité et/ou des services, opérations,
comptes ou systèmes audités sont :
• Satisfaisant :
- Le dispositif de contrôle interne fonctionne conformément aux attentes, ce qui
permet une gestion raisonnablement efficace et sécurisée des traitements et des
activités.
- Risques maîtrisés.
- Un petit nombre d’amélioration sont nécessaires, qui peuvent être effectués
dans le cadre courant de l’activité.
• Perfectible :
- Risques correctement maîtrisés dans l’ensemble.
- Bien que le dispositif de contrôle interne soit globalement sain, quelque
faiblesses ou lacunes ont été constatées dans les procédures ou contrôles clés.
- Certaines d’entre elles nécessitent un suivi par les responsables concernés.
• Réserves significatives :
- Risques insuffisamment évalués ou maîtrisés.
44 - Des faiblesses ou lacunes importantes ont été relevées dans différentes
composantes des contrôles ou procédures, induisant une fragilité globale du
dispositif de contrôle interne.
- La Direction de l’entité auditée doit effectuer un pilotage rapproché des
actions convenues pour corriger la situation.
• Non satisfaisant :
- Des risques majeurs non maîtrisés : l’activité ne peut être exercée de façon
sécurisée.
- De graves lacunes dans le dispositif de contrôle interne ont été constatées,
pouvant même générer des impacts potentiels sur l’exposition financière de
l’entité ainsi que sur ces opérations : des plans d’actions correctifs sont
nécessaires dans les meilleurs délais.
- L’implication des Directions concernées dans le suivi du plan d’action est
nécessaire.
2.1.3 Etablissement des rapports des Unités Commerciales
Une Unité Commerciale ne bénéficie que d’une seule mission classique c’est-à-dire un
seul rapport pour l’unité. Lors des missions, les agences de l’unité fait chacun l’objet des
constats mais dans le rapport d’audit, les cotations des risques sont fait pour l’ensemble. Par
exemple, les agences de Sambava, d’Antalaha et de Vohémar ont eu respectivement les
constats suivant à propos de leurs compte sans mouvement : satisfaisant, satisfaisant et
réserves significatives. Dans ce cas, le Chef de mission va prendre le recul nécessaire pour
coter au mieux le constat en fonction du périmètre de chaque agence.
45 2.2 Les autres missions et les préconisations
A part les missions classiques, il existe trois (03) autres types de mission d’Audit
interne de la société. A savoir :
2.2.1 Mission spéciale
Une mission spéciale est déclenchée soit à demande de la Direction General ou d’un
membre du co-directeur, soit à l’initiative de l’Audit. En effet, ils peuvent avoir des
connaissances des dysfonctionnements et ou des fraudes exposant la Banque à des risques
conséquents. Son objectif est de collecter les preuves visant à :
-
Analyser la nature et les conséquences des dysfonctionnements pour adapter au
besoin, le dispositif de contrôle interne.
-
Vérifier la réalité de la faute professionnelle ou de la fraude éventuellement
commise, susceptibles de déclencher une procédure de sanction.
-
Chiffrer le montant des préjudices avéré ou potentiel pour la banque et ses
clients.
Cette mission est spécialement pour les risques d’erreur de saisie ou d’exécution faites
par les agents de la banque. Elle vise à prouver la culpabilité d’un agent soupçonné d’avoir
commis une fraude ayant causé un préjudice à la banque et /ou à ses clients.
Ce type de mission joue un rôle très important à la détection et à l’évaluation des risques
opérationnels menés par la Direction de l’Audit interne. Prenons un exemple, un agent a été
soupçonné d’avoir commis des fraudes sur des comptes clients. Pour vérifier l’exposition de
la banque à ce risque, l’Audit interne mène une mission spéciale et évalue le montant du
préjudice pour la banque et les clients.
2.2.2 Mission transversale
Ce type mission vise à vérifier si toutes activités de la banque suivent les procédures, les
instructions, les règlements, les normes qui les orientent. Elles favorisent la mise en évidence
des risques opérationnels communs à plusieurs services.
46 2.2.3 Les préconisations de l’Audit interne
Après chaque mission ou plus précisément après l’évaluation des dispositifs du système
de contrôle interne de l’entité audité, les chefs de mission formulent des préconisations qui
définissent les actions à entreprendre par les entités, de façon à corriger les causes ayant
engendrées les anomalies constatées et afin qu’ils ne se répètent plus à l’avenir. C’est le
coordinateur de l’audit interne qui se charge de leur émission et de leur suivi. La durée de ce
suivi dépend de l’ampleur des plans d’action mis en place afin de réaliser les préconisations
émises, cela peut aller de 02 jours à 01an. Au cas où elles sont délaissées c'est-à-dire la
réalisation des préconisations dépasse cette période, l’audit interne prend des mesures
adéquates soient en appliquant la procédure d’escalade (information du PDG ou BHFM) ;
soient la clôture par abandon avec information au PDG pour les préconisations les moins
importantes.
Conclusion de la deuxième partie
Les critères de gestion des risques opérationnels reposent sur leurs occurrences et leurs
sévérités. D’où l’évaluation et l’identification des risques dépendent de ces critères. L’objectif
est de mieux les gérer c'est-à-dire réduire le moins possible les menaces occasionnés par ces
risques. Quant à la BFV-Société Générale, elle a sa propre méthode de les gérer mais le
problème c’est que même cette méthode, les risques subsistent encore. Il y a ceux qui sont
maîtrisés et ceux qui ne les sont pas. Nous avons vu les raisons et les conséquences à cela.
La maîtrise des risques opérationnels requièrent l’implication de tous niveaux de la
société en commençant par les responsables opérationnels. Mais ici nous avons parlé de la
participation des auditeurs internes à ce sujet. Les missions des auditeurs internes sont liées à
la maîtrise des risques opérationnels de la banque. Toutes attributions de l’audit ont rapport à
ces derniers. Ainsi, dans cette deuxième partie, nous avons pu constater que beaucoup sont les
obstacles qui peuvent les empêcher à faire ce travail. Par contre il existe des domaines où la
Direction de l’audit interne maîtrise parfaitement.
47 TROSIEME PARTIE
PROPOSITION DE SOLUTIONS
Nous venons de voir dans la précédente partie les existants en matière de gestion des
risques opérationnels dans la BFV-Société Générale. Nous avons mis en évidence les
responsabilités des auditeurs internes et les problèmes qui les empêchent à remplir leurs rôles
à la maîtrise de ces risques.
D’après la définition de l’audit interne retenue par l’IFACI, l’audit interne se définit
comme étant : « a l’intérieur d’une entreprise ou d’un organisme, une activité d’appréciation
du contrôle des opérations ; il est au service de la Direction. C’est, dans ce domaine, un
contrôle qui a pour fonction d’estimer et d’évaluer l’efficacité des autres contrôles. » Ce sera
dans cette optique que nous allons essayer d’apporter ou proposer des solutions sur les
imperfections constatées dans la partie précédente.
Cette nouvelle et dernière partie va être consacrée à la formulation des propositions de
solutions sur les difficultés à l’identification, l’évaluation et même la prévention des risques
opérationnels par l’audit interne. Nous allons parler des cultures de contrôles internes qui
devraient être renforcé pour faciliter les travaux des auditeurs internes à la maîtrise des
risques. A part cela, nous parlerons de la formation et la compétence des ces auditeurs. Pour
terminer, nous allons présenter des solutions à l’amélioration de conduite des missions de
cette Direction ainsi qu’à l’organisation interne des missions.
48 Chapitre V Environnement
opérationnel
et
les
auditeurs internes.
Selon le comité de Bâle : les banques devraient adopter des politiques, processus et
procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles
devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et
ajuster leur profil de risque opérationnel en conséquence par l'utilisation de stratégies
appropriées, compte tenu de leur sensibilité au risque et de leur profil de risque globaux.
Dans le présent chapitre, nous essayons d’apporter des propositions sur la gestion des
risques opérationnels par les auditeurs internes à chaque type de risques opérationnels en
mettant en évidence la culture de contrôle.
Section 1 Promotion de la culture de contrôle.
Les contrôles internes constituent le principal outil de gestion du risque opérationnel.
Toute gamme décrite dans le document du Comité de Bâle sur les contrôles internes a été
citée, par exemple la séparation des tâches, des responsabilités hiérarchiques claires et des
procédures opérationnelles adéquates. De plus, la plupart des incidents opérationnels sont
associés à des déficiences des contrôles internes ou au non-respect de leurs procédures.
1.1 Renforcement de la culture de contrôles.
Dans la deuxième partie nous avons constaté que la principale cause des risques
opérationnels repose sur les qualités de contrôles au niveau de chaque unité opérationnel.
Donc un renforcement de la culture de contrôle pourrait atténuer et /ou réduire la probabilité
d’occurrence et l’ampleur des pertes des risques opérationnels. Cette solution va faciliter
l’intervention de l’audit interne et la meilleur évaluation et identification des risques
opérationnels. Il est essentiel de mettre en place une structure capable de diffuser une culture
de contrôle interne au sein de la société pour une meilleure maîtrise des risques. La culture de contrôle peut être définie comme une culture qui souligne et démontre à
tous les niveaux du personnel, l’importance des contrôles internes. Il appartient à la Direction
Générale d’instaurer cette culture au sein de l’organisation et de promouvoir en même temps
49 des critères élevés d’éthique et d’intégrité. En effet, tout le personnel de l’organisation doit
comprendre son rôle dans le contrôle interne et s’impliquer activement dans ce processus.
L’un des éléments essentiels d’un système de contrôle interne efficace réside dans une
culture de contrôle forte. Il incombe à la Direction Générale de souligner, dans les termes
utilisés et les actions entreprises, l’importance du contrôle ; cela passe notamment par les
valeurs éthiques mises en avant par la Direction dans son comportement professionnel, tant à
l’intérieur qu’à l’extérieur de l’organisation. Les termes, actes et attitudes de la Direction
Générale affectent l’intégrité, l’éthique et les autres aspects de la culture de contrôle d’un
établissement.
Le contrôle interne relève de la responsabilité de chacun à tous les niveaux. Presque
tous les employés produisent des informations utilisées dans le système de contrôle interne ou
effectuent d’autres actions indispensables à l’exercice du contrôle. Un élément clé d’un
système de contrôle interne fort est la conscience, pour chaque employé, de la nécessité
d’assumer ses tâches de manière efficace et de notifier au niveau de la Direction appropriée
tout problème rencontré dans le cadre des opérations, toute infraction au code de conduite
ainsi que toute violation des politiques établies ou action illégale constatée. Pour ce faire, les
procédures opérationnelles doivent être clairement précisées par écrit et mises à la disposition
de l’ensemble du personnel concerné.
En effet, mettre en place des systèmes de contrôle interne ne suffit pas, il faut veiller
également à ce que tout le personnel de l’organisation y comprenne son rôle et s’y implique
activement.
1.2 Organisation de contrôle et de management de risque.
L'audit interne a évolué dans le temps. Ainsi, en matière de management des risques, il
doit s'implique aujourd'hui dans la vérification du processus et doit apporter un soutien actif et
continu dans son élaboration. L’audit interne tient le rôle de contrôleur périodique dans ce
système d’organisation après les contrôles des responsables opérationnels et les contrôles
permanents. Cette structure est chapotée par la Direction Générale.
Pour une organisation idéale de management de risque, l’organisation des contrôles
devrait se reposer sur trois niveaux comme nous montre le schéma ci-dessous. Ce
50 management doit composer avec des fonctions ayant des responsabilités et des niveaux de
contrôles différents y compris l’audit interne.
Figure n°3 : Le Risk Management Global
Direction Générale Contrôle de 1er niveau Contrôle permanent Contrôle de 2nd niveau Contrôle périodique Contrôle interne : Surveillance des risques de dysfonctionnement interne Audit interne/inspection Générale : Surveillance des risques structurels et de l’application des procédures et des contrôles opérationnels de second niveau Compliance/Conformité Déontologie Surveillance des risques d’image et de réputation Contrôle de niveau zéro Resp. Opérationnels : Surveillance des risques de l’outil de production / interruption d’activité Source : contrôle interne du groupe-Société Générale
Figure 4 : Système de contrôle
Niveau 3. Inspection Générale Niveau 2. Audit interne Niveau 1 supervision Formalisée Contrôle Permanent Niveau 0…Day to Day 51 Les contrôles de niveau zéro regroupent tous les contrôles quotidiens ou « day to day »
mis en place afin qu'aucune erreur ne se produise. Ils sont effectués au niveau de chaque
entité opérationnelle et permettant de vérifier l'exhaustivité et la régularité des opérations
traitées ; de surveiller les risques de l’outil de production ou l’interruption d’activité.
Les contrôles de 1er niveau, à posteriori, rassemblent les supervisions formalisées qui
ont pour objectif de détecter les anomalies que les contrôles à priori n'ont pas permis d'éviter
et de surveiller les risques de dysfonctionnement interne. Ces contrôles visent aussi à veiller
les risques d’images et de réputation.
Les derniers niveaux de contrôles c'est-à-dire le deuxième et troisième sont ceux des
périodiques. Ils sont confiés à l’Inspection Générale et l’audit interne de vérifier
périodiquement que les contrôles de niveau zéro et ceux du 1er sont correctement réalisés :
contrôle du fonctionnement de la surveillance permanente, de vérifier l'application des
procédures, d'apprécier la qualité des traitements effectués et de s'assurer de la prise en
compte des exigences de contrôle interne.
1.3 Typologies des risques et contrôles
L’audit interne est un contrôle au dessus des autres contrôles. Son objectif est d’assister
les membres de la Direction dans l’exercice efficace de leurs responsabilités en leur
fournissant des analyses, des appréciations, des recommandations et des commentaires
pertinents concernant leurs activités examinées.
1.3.1
Contrôle des systèmes opérationnels
L’audit interne n’a ni de responsabilité ni d’autorité sur les activités qu’il vérifie et par
voie de conséquence, l’audit interne n’est pas une assurance qu’aucune fraude ne sera
commise ou que toute fraude sera découverte. La Direction Générale doit mettre en place les
contrôles internes nécessaires pour prévenir et détecter les fraudes. L’audit interne doit
s’assurer que de tels contrôles existent, qu’ils sont appropriés et qu’ils sont appliqués de la
façon prévu. La recherche et la découverte de fraudes peuvent résulter de cette analyse.
Outre les tâches des auditeurs internes qui consiste à vérifier si les normes comptables
sont respectées ; les procédures administratives sont correctement appliquées et si l'institution
52 financière est en conformité avec la législation et la réglementation locales. Les auditeurs
internes doivent élargir cette fonction en mettant au point des programmes de travail ou des
procédures opérationnelles permettant de réduire le risque de fraude. Ils doivent conseiller les
responsables sur leurs plans d’autocontrôle et participer à la mise en place des procédures et
outils nécessaires pour contrôler les risques opérationnels. Ce qui signifie que le risque de
fraude doit être alors contrôlé par des systèmes opérationnels. Et la responsabilité de l’audit
interne reste à vérifier si ce contrôle existe réellement.
1.3.2
Emploi et sécurité du lieu de travail
Dans ce type de risque les auditeurs internes doivent faire des vérifications à ce que les
règles d’hygiène et de sécurité des employés soient respectées. Ils doivent s’assurer que les
réalités constatées en matière d’emploi et de sécurités des lieux de travail soient conformes
aux lois et réglementations en vigueur à ce propos.
A part cela, ils doivent contrôler si des mesures de préventions à ce type de risque
existent et est ce qu’elles sont bien respectées telle qu’elles sont.
1.3.3
Pratiques commerciales
Faire rappeler aux responsables de l’entité auditée leurs rôles et leurs responsabilités sur
les contrôles et suivis des tâches de leurs subordonnés en pratique commerciale fait partie des
principaux rôles de l’audit interne. Mais la bonne application de ces sensibilisations ne sera
pas apprécier sans voir ce qui est appliqué réellement. Les auditeurs internes doivent constater
les points suivant :
-
Le respect des secrets bancaires
-
Le respect des règles de fonctionnement des pratiques commerciales
-
La pertinence des conseils
-
La conformité des contrats
1.3.4
Sécurité des biens corporels et des systèmes
Gérer le risque des dommages aux biens physiques et de pannes des systèmes, s’avère
un peu difficile à cause des pertes potentielles qu’il pourrait générer et de leur probabilité
d’occurrence faible.
53 Pour maîtriser ces types de risque, l’audit interne doit vérifier les mesures de
précautions adopté par la banque et les matériels et les dispositifs de prévention des risques
sur les actifs corporels et les systèmes comme :
-
La sécurité des portes et des caisses
-
La présence des bouches d’incendie et des extincteurs
-
La surveillance et vérification de l’état des matériels (mobilier, matériels
informatiques, matériel de bureau).
-
Les systèmes de préventions des pannes ou des protections des matériels.
-
Le respect des règles d’exploitation des biens et/ou des consignes de sécurité.
-
La vérification des stocks de différents matériels
L'audit interne a, dans ce champ, une responsabilité importante ; celui de réaliser
d'abord des missions régulières, ensuite et surtout en contribuant à maintenir un « état de
vigilance » face aux risque, non seulement à l'égard de l'informatique mais aussi de chaque
utilisateur et des outils qu'il utilise.
1.3.5
Exécution des opérations, les livraisons et les processus.
L’audit interne doit renforcer les sensibilisations des agents de la banque sur
l’importance de suivi et de contrôle de leurs transactions. Il doit surveiller les enregistrements
des données, les notifications financières, les gestions des comptes clients faites par les
opérationnels.
Ils devraient les vérifier de façon à ce que les opérations exécutées par les opérationnels
soient conformes aux procédures et aux réglementations en vigueur.
1.4 Priorisations des risques opérationnels inquiétants
Un élément clé du processus de gestion des risques est le classement par priorité. Cela
peut se faire en utilisant une matrice pour classer les risques selon la possibilité qu'un
évènement arrivera (la fréquence) et une estimation du coût potentiel (l'impact).
La fréquence des évènements de risques opérationnels montre que la défaillance des
contrôles à chaque niveau de l’organisation. Mais l’étonnant, c’est la répétition des ces
54 événements après plusieurs missions d’audit c'est-à-dire après diffusions de plusieurs
préconisations.
Face à cela, les auditeurs internes devraient être stricts sur la formulation des
préconisations à ces types d’évènements de façon à réduire leur occurrence. Ou bien, ils
doivent conseiller la Direction Générale de revoir ou de renouveler si nécessaire les
procédures qui ont favorisée la répétition de ces incidents de risque. Par exemple, le retard
d’exécution des transactions a causé un mécontentement d’un des clients de la banque. C'està-dire le gestionnaire de compte du client a surpassé la date limite d’exécution à cause de son
travail. L’audit interne pourrait conseiller le management s’il est possible de revoir le délai
d’exécution des tâches pour un ajustement ou une rectification.
Effectuer des suivis spéciaux des préconisations émises à ces types de risques est aussi
une solution envisageable. Le coordinateur devrait suivre de près la réalisation de ces
préconisations. Mais cela ne veut pas dire qu’il pourrait négliger les autres.
1.5 Rappel aux agents des attributions des auditeurs internes
Afin d’assurer la conduite efficace des missions d’audit interne et mieux appréhender
les risques opérationnels des entités auditées, il faut que les auditeurs internes et les audités
s’entendent bien. Faire comprendre à travers leurs missions que la Direction d’audit interne
n’est pas un organe policier tel que perçu par d’autres gestionnaires. Mais une fonction qui
incombe à vérifier la bonne application des procédures afin de réduire les risques
opérationnels auxquels l’entité est exposée.
Cette fausse perception sera éliminée, seulement si l’audit interne parvient à gagner sa
crédibilité par sa compétence professionnelle, son attitude constructive. Cela favorisera une
meilleure collaboration entre les auditeurs et les audités. Ce sera facile à l’audit interne de
contrôler et d’identifier les évènements afin de maîtriser les risques opérationnels dans un
climat de confiance.
Les auditeurs doivent être aptes aux contacts humains et savoir communiquer. Ils
doivent adapter l’attitude adéquate afin de mettre ce dernier en confiance. En effet, ce qui est
55 important c’est de s’assurer que l’interlocuteur se sente à l’aise, ne se sente pas crispé. Ceci
est d’autant plus important que de mettre en place une culture de contrôle afin que l’auditeur
interne ne soit perçu comme un agent de police dans l’entreprise.
En somme, les auditeurs internes devraient faire preuve à travers leur mission que leur
fonction est de contrôler les activités de l’audité et d’en fournir des conseils dans le but
d’améliorer et d’assurer la bonne maîtrise des risques de la banque. La négligence de cette
proposition pourrait nuire à l’atteinte des objectifs d’audit interne qui est d’évaluer et
identifier les risques opérationnels de façon à formuler des préconisations pertinentes.
Section 2 Développement de compétences des auditeurs internes
Le rôle des responsables sur leurs plans d’autocontrôle et participer à la mise en place
des procédures et outils nécessaires pour contrôler les risques opérationnels.
Il est évident alors que les auditeurs internes possèdent les compétences et les
formations suffisantes concernant leur domaine d’interventions. C’est pourquoi il est
indispensable de planifier des formations pour les auditeurs.
2.1 Formation périodique.
Les auditeurs doivent entretenir leur compétence technique par la formation continue.
La mise à jour des compétences est très importante en matière d’audit interne. Il faut s’assurer
que l’auditeur reçoit la formation adéquate afin de pouvoir accroitre son efficacité et d’élargir
davantage les domaines de compétence. Le but c’est de pouvoir maîtriser les domaines
d’intervention, d’évaluer les risques, de modifier, si nécessaire, la planification afin de se
mettre au parfum des évolutions techniques. Cet entretien des compétences techniques doit
s’étendre également à la formation sur les nouveaux systèmes utilisés : logiciels, méthodes et
techniques de travail,…
Comme nous avons pu le constater au cours des chapitres précédents, la fonction de
l’audit interne exige des compétences et développement professionnel progressif dans le souci
56 d’assurer, de maintenir l’efficacité de ses activités surtout de bien identifier et évaluer les
risques auxquels la société est exposée.
Comme nous l’avons vu dans la première partie concernant les normes internationales
pour la pratique de l’audit interne, la formation des auditeurs est indispensable. L’audit
interne étant une profession évoluant dans un environnement en constant changement, les
auditeurs doivent se mettre au parfum des courants de changement interne. Ainsi, des plans de
recrutement et de développement de l’équipe de l’audit interne doivent être établis.
C’est vrai que les auditeurs internes peuvent consulter à l’aide du réseau interne de la
banque les nouveaux changements concernant leurs activités comme les nouveaux produits,
les notes et instructions de la Direction Générale, les nouvelles stratégies…Mais cela ne suffit
pas toujours de tout comprendre en lisant ce qui est écrit dedans. Donc, il existe des
changements qui nécessitent des formations pour que les auditeurs les saisissent vraiment.
Comme cela il n’y aura pas des risques de mal compréhension des instructions sur le
changement ou l’innovation qui pourraient tromper les auditeurs internes à la détection des
risques opérationnels y afférents ou falsifier leur évaluation de ces risques.
2.2
Echange de connaissances entre les auditeurs.
Faute de temps, de disponibilité ou encore de l’organisation interne de la Direction de
l’audit, il pourrait être impossible que tous les auditeurs internes bénéficient les mêmes
formations. En plus les jours, le mois ou l’année d’entrée de chaque auditeur dans la Direction
ne sont pas les mêmes. Donc il est bien envisageable que les auditeurs qui ont bénéficié d’une
telle ou telle formation transmettent leurs connaissances à leurs co-équipiers.
Mais ce sera encore mieux si tous les auditeurs en sont bénéficiaires d’une même
formation. Ou encore la Direction pourrait former le plus d’auditeurs possible selon leurs
disponibilités. Comme ça au moins il y a plus d’un auditeur que les autres pourraient
consulter.
Le but est d’éviter les pertes de temps à consulter les sites internes ou de demander
d’explication au service concerné. Par exemple un nouveau produit a été lancé, certes il sera
diffuser dans les portails internes de la société mais ce sera mieux si un auditeur au moins
57 bénéficie une formation concernant ce produit pour que les autres auditeurs puissent lui
consulter au cas où il y aurait quelques choses qui les échappent à ce propos.
Nous avons pu avancer dans ce chapitre que la culture de contrôle interne est un outil
d’aide à la maîtrise des risques opérationnels non seulement pour les responsables des
services mais surtout pour l’intervention des auditeurs internes. Aussi, ces derniers devraient
avoir les compétences et connaissances suffisantes et nécessaires pour mieux déceler les
risques auxquels la banque est exposée. D’où la nécessité des formations continues et les
échanges de connaissances entre les auditeurs.
A part cette culture de contrôle, une bonne maîtrise des risques opérationnels nécessite
une organisation bien appropriée. Pour que notre proposition de solutions soit exhaustive,
nous allons également parler des améliorations qui peuvent être adoptées pour la conduite des
missions et l’organisation de travail de la Direction de l’audit interne.
58 Chapitre VI Organisation des travaux de mission.
Une bonne organisation des travaux dans chaque mission d’audit interne permet une
bonne identification et évaluation des risques opérationnels de l’entité auditée. Dans ce
dernier chapitre nous proposons quelques améliorations sur les techniques d’évaluation des
risques par les auditeurs internes, d’abord. Puis présentons notre suggestion sur les effectifs
des auditeurs harmoniser les travaux et rationnaliser l’effectif des auditeurs que la banque
possède vont être les deux sections suivantes.
Section 1 Cotation des constats du rapport.
Harmonisations des travaux des missions de l’audit interne favorisent une bonne
identification et une évaluation des risques opérationnels au niveau de cette Direction. Nous
proposons d’améliorer dans cette section quelques points importants que nous trouvons
sensible à la gestion des risques opérationnels.
1.1 Standardisations des constats
A propos des rapports d’audit au niveau des unités commerciales. Nous ne proposons
pas de rectifier la méthode qui consiste à réunir dans un même rapport les constats auprès des
agences et points banques d’une même unité commerciale. Ce que nous voulons proposer de
rectifier, ce sont les cotations de constats des risques des agences de cette unité sur un même
point de contrôle.
L’unité commerciale de Manakara est composée de trois agences: Manakara,
Farafangana, Mananjary. Par exemple, choisissons un point de contrôle : les comptes sans
mouvement (CSM). Après constatation des auditeurs internes, ils ont trouvé les résultats
suivants concernant les risques sur ce point :
-
Manakara : modéré
-
Farafangana : modéré
-
Mananjary : faible
59 Donc, les auditeurs devraient mettre en exergue ces trois cotations même s’il y a une
cotation pour l’ensemble. Ou encore ils mettent toutes les trois sans faire l’ensemble. La
raison de cette suggestion c’est que lors de l’établissement du risk assessment, les agences
sont cotées une par une. De ce fait, nous pensons que dans les rapports de mission elles les
devraient aussi. Nous voulons proposer donc que les agences d’une unité commerciale seront
cotées individuellement même dans un même rapport.
L’avantage de cette méthode est de fournir une meilleure évaluation des risques
opérationnels de chaque agence constituant la même unité commerciale et facilite
l’établissement du risk assessment.
1.2 Sensibilité des chefs de mission
Les chefs de mission ont chacun leur sensibilité à l’évaluation des risques opérationnels
donc il se peut que qu’ils n’aillent pas les mêmes constats pour le même risque. Par exemple,
lors des pointages des prêts Soafeno10, 30 % des dossiers vérifiés sont des dossiers incomplets.
L’un des chefs de mission trouve cela modéré alors que l’autre le trouve élevé. Nous
proposons alors de mettre en place des jalons pour tout contrôle permettant d’avoir une
harmonisation des constats sans tenir compte des sensibilités de chacun.
Par conséquent les auditeurs n’auront plus besoins de faire l’équivalence des cotations
de constat lors du remplissage risk assessment. Ce qui signifie que cela favorisent une bonne
évaluation des risques opérationnels des points de contrôle ainsi que de l’entité auditée.
Section 2
Effectif du personnel de l’audit interne.
L’effectif du personnel de l’audit interne joue aussi un rôle à la gestion des travaux
d’audit interne ou plus à la gestion des risques auxquels la société est exposée. Nous avons
aussi constaté que la Direction de l’audit interne manque d’effectif. Nous proposons deux
solutions face à ce problème. D’une manière Générale, il faut atteindre un nombre suffisant
d’auditeurs internes pour mener à bien l’intégralité des missions d’audit qui leur incombent.
10 Prêt Soafeno est un des produits de la BFV‐Société Générale
60 2.1. Répartition optimale des auditeurs internes
Le choix des auditeurs internes pour une certaine mission est en fonction de leur
compétence ou de leur disponibilité. Mais ce que nous proposons dans cette sous-section sans
parler du recrutement tout en sachant le manque d’effectif consiste à la mobilisation optimale
des auditeurs internes.
Le Directeur doit tenir compte aussi de la dernière mission des auditeurs de façon à ce
qu’un auditeur ne fera pas toujours les mêmes missions et n’interviendra pas toujours la
même entité. L’objectif est de permettre des changements des auditeurs non seulement pour
leur compétence mais également pour que les auditeurs ne soient pas familiers aux entités
auditées.
Cette proposition permet à chaque auditeur de connaître tous les domaines
d’intervention de l’audit et leur permet de bien identifier et évaluer les risques opérationnels
de la banque. Elle leur offre aussi l’opportunité au développement de leurs connaissances et
de compétences et la mutualisation de l’expérience d’une mission à l’autre.
2.2. Recrutement des nouveaux auditeurs
Vu que l’effectif des auditeurs internes de la société ne suffira pas pour bien cerner les
risques. Nous avons dit aussi que des chefs de missions viennent juste d’être affectés à
d’autres postes. Or, si un auditeur effectue trop de tâches. Ces dernières pourraient être fini à
temps mais sans attention ou dépasser la date limite d’exécution.
Donc nous proposons alors que la Direction de l’audit interne devrait faire des
recrutements pour que leurs missions soient bien accomplies à temps de manière à ce que les
risques soient bien identifiés et évalués. Au cas où le recrutement interne est impossible, il
pourrait faire appel au recrutement externe.
61 Conclusion de la troisième partie
En bref, cette troisième partie a été consacrée à la proposition des solutions. Les
principales raisons constatées qui favorisent l’apparition des risques opérationnels sont la
défaillance de contrôles au niveau des opérationnels. C’est pourquoi nous avons proposé que
les auditeurs doivent conseiller la Direction Générale à renforcer la culture des contrôles
internes. Le développement des connaissances et de compétences des auditeurs est aussi un
outil indispensable à la gestion des risques opérationnels.
Nous avons proposé, à part tout cela, des solutions sur l’organisation des travaux de
missions : les rapports des missions, cotations des risques. Le manque de personnel au sein de
cette Direction est aussi un enjeu sur la gestion des risques opérationnels. Nous pouvons dire
alors que les propositions suscitées tendent toutes à la maîtrise des risques opérationnels de la
BFV-Société Générale. Cela nous permet de dire que cette maîtrise des risques est un des
principaux objectifs des misions d’audit interne.
62 CONCLUSION
Pour conclure, le risque opérationnel, même s’il est connu depuis longtemps comme
pour les fraudes par exemple, est un risque qui est géré par les banques de façon récente.
Encore aujourd’hui, seules les banques et institutions financières de premier plan sont
capables d’évaluer leur risque opérationnel avec un certain degré de confiance ou disposent
d’une base de données des pertes.
La gestion du risque opérationnel constitue une des préoccupations majeures des
dirigeants des institutions financières pendant ces dernières années. En effet, plusieurs champs
de sa gestion sont encore à explorer et à découvrir alors que les autorités réglementaires
mettent de la pression pour une quantification rigoureuse du capital risque opérationnel.
L’audit interne donne à toute organisation une assurance sur le degré de maîtrise des
opérations, lui apporte des conseils pour améliorer ses activités. Il permet ainsi à l'entreprise
d'atteindre ses objectifs dans la mesure où il évalue par une approche systématique et
méthodique, ses processus de management des risques, de contrôle et de gouvernement
d'entreprise en faisant des propositions pour renforcer leur efficacité. Cette définition nous
pousse à affirmer alors que l’audit interne tienne un rôle important dans la gestion de ces
risques opérationnels.
Dans ce mémoire, nous avons démontré la maîtrise des risques opérationnels par l’audit
interne. Nous avons pu expliquer que l’Audit interne a une responsabilité majeure dans la
validation des démarches de nature qualitative permettant de réaliser une cotation des risques
et des contrôles. Cette gestion requiert aussi les compétences des auditeurs internes ainsi que
leur méthode d’intervention.
La première partie de ce mémoire nous a permis de délimiter le cadre d’études du
thème. Elle parle de l’historique de la BFV et l’acquisition du groupe Société Générale de
cette banque depuis 1998. Activités, structure organisationnelle, système de contrôle, et
concurrence de l’institution financière ont fait l’objet des brèves descriptions ; en tout, la
présentation de la société étudiée.
Toujours dans la première partie, nous avons exposé les théories qui définissent les
pratiques de l’audit interne et de la maîtrise des risques opérationnels. Pour le premier, nous
63 avons choisis les normes de l’IIA (institute of Internal Auditors) qui sont internationalement
admis. Quant à la gestion des risques opérationnels nous avons emprunté les normes des
comités Bâle et COSO.
L’explication du fonctionnement des normes sur ces idées Générales du sujet nous a
permis à analyser dans la deuxième partie les différents types des risques opérationnels et la
responsabilité des auditeurs internes face à ces risques. Cette partie explique aussi les
méthodes de gestion dudit type de risques par la société. Elle a fait apparaître les points
faibles qui constituent les obstacles empêchant les auditeurs à réaliser leur travail
d’évaluation, d’identification et de prévention des risques opérationnels. Ceux-ci concernent
leurs outils de travail, leur méthode d’intervention et leur conduite de missions.
La dernière partie a été consacrée à la proposition des solutions. Les principales raisons
constatées qui favorisent l’apparition des risques opérationnels sont la défaillance de contrôles
au niveau des opérationnels. C’est pourquoi nous avons proposé que les auditeurs doivent
conseiller la Direction Générale de renforcer la culture des contrôles internes. Le
développement des connaissances des auditeurs et aussi un outil indispensable à
l’identification et à l’évaluation des risques opérationnels. A part tout cela, nous avons
proposé des solutions sur les méthodes d’interventions et de conduites des missions : les
rapports des missions, cotations des risques.
L'audit interne est une fonction d'évaluation à la disposition d'une organisation pour
examiner et apprécier le bon fonctionnement, la cohérence et l'efficacité de son contrôle
interne de façon périodique. Par contre, les risques opérationnels sont des risques de pertes
provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou
d'événements externes" presque de façon quotidienne. Pouvons-nous avoir donc la certitude
que l’évaluation et l’identification des risques opérationnels des auditeurs internes sont
sincères?
64 BIBLIOGRAPHIE ET WEBOGRAPHIE
Ouvrages
-
Extrait des Normes internationales pour la pratique d’audit interne (The Institute of
Internal Auditors)
-
IFACI Institut de l’Audit Interne PRICEWATERHOUSECOOPERS Landwell &
Associés,
(2005)
« Le
management
des
risques
de
l’entreprise »
Edition
d’Organisation, 13pages
-
IFACI, (2005) « Résultat de l’enquête sur la pratique de l’audit interne en France en
2005 »12 bis Place Henri Bergson, 75008 Paris, 53 pages.
-
MAURER, F. (2007) « Les développements récents de la mesure du risque
opérationnel » Université Montesquieu-Bordeaux IV, Avenue Léon Duguit, 33608
Pessac Cedex, 19 pages.
-
Note méthodologique pour le pilotage et l’évaluation des risques opérationnels pour les
filiales BHFM (2008) (document interne de la BFV-SG)
-
RENARD, J. (2006) « Théorie et pratique de l’audit interne » 6èmeédition, Editions
d’Organisation, groupe Eyrolles, pages 25 à 41
- SCHICK, P. (2007) « METHODOLOGIE DE L'AUDIT INTERNE : Comment
préparer, mener et conclure les missions d'audit opérationnel », Dunod, Support PSK
- Audit interne, 133pages
Articles et Revues
-
Audit interne et contrôle de la fraude AUDIT EXTERNE DES INSTITUTIONS DE
MICROFINANCE : GUIDE PRATIQUE, Volume1, Chapitre 3, pages 14 à 18.
- LAMBERT, B. & MIRA, A (Novembre 2003) « L’approche risque au centre de
l’audit bancaire », revu « marchés », AGEFI- Haute finance, pages.88 à 91.
- LEMANT, O. & SCHICK, P. (12 Avril 2007) « AUDIT ET MANAGEMENT : à quoi
sert l’audit interne ?», revue française de l’audit interne (RFAI), n°113 et 117, page
6à10 et page 25 à 27
-
NICOLET, M.A. & MAIGNAN, M. (Avril 2005) « Contrôle interne et gestion des
risques opérationnels » risques & règlementations (RB), Banque Cantonale de Genève,
revue banque n°668, page 51et 52.
Site web
-
http://www.amrae.fr « Les risques opérationnels bancaires : progrès réalisés,
retombées pour les entreprises » « AMRAE LES RENCONTRES, Atelier n°25, du
25-26-27 Janvier 2006, Deauville.
-
http://www.fimarkets.com/pages/risque_opérationnel.htm
« Typologies des risques
opérationnels selon Bale II » du 21/09/10.
-
http://fr.wikipedia.org/wiki/COSO du 21/09/10.
-
http://www.memoireonline.com/01/09/1920/m_le-processus-de-gestion-et-de-mesuredu-risque-operationnel-selon--les-exigences-de-comite-de-Bale du 24/09/10.
-
http://www.memoireonline.com « Gestion des risques bancaires: définition, mesures,
gestion, déterminants et impact sur la performance » du 24/09/10.
-
http://www.memoireonline.com Le risque opérationnel au sein des Banques: Quelle
stratégie pour une meilleure maîtrise? du 24/09/10.
ANNEXES
Liste des annexes
Annexe I : Organigramme de la BFV-SOCIETE GENERALE
Annexe II : Liste des agences de la BFV-Société Générale
Annexe III : Carte de la repartition des agences et des points banques dans la Grande île
Annexe IV : Liste des catégories des risques opérationnels selon le comité Bâle
Annexe I : Organigramme de la BFV-SOCIETE GENERALE
PRESIDENT
DIRECTEUR GENERAL
DIIRECTEUR
CONTROLES PERMANENTS
RESP.SERICE QUALITE
ET ENVIRONNEMENT
DIRECTEUR DES RISQUES
DIRECTEUR AUDIT INTERNE
RESP. SERVICE
STRATEGIE ET MARKETING
DIRECTEUR
RESEAU ET OPTIMISATION
Western Union
SUPERVISEUR
Provinces
OPT.PRD
(Production)
OPT.ADM
(Administratif)
DIRECTEUR
RELATIONS ENTREPRISES
Service Après Vente
ADJOINT
COMMERCIAL DRE
SECRETAIRE GENERAL
ADJOINT
ADMINISTRATIF DRE
RESPONSABLE
RESSOURCES HUMAINES
RESP. FORMATION
OPT.ENG
(Engagement)
Resp. Animation
Marchés
RESO
RESO
RESO
CLIENTELE
PROFESSIONNELS
CLIENTELE
ASSCIATIONS
RESPONSABLE
SYSTEME D’INFORMATION
ET ORGANISATIOJN
Service
BANQUE
CC PME
CLINETELE PRIVE
Service
ETRANGER
RESPONSABLE
INFORMATIQUE
Unité Commerciale
ENTREPRISES
RESPONSABLE
ORGANISATION
RESPONSABLE
FLUX ET FINANCES
Unité Commerciale
PRI-ASSOC
Agence isolée
Agence 1
CC PRI
Commerciaux
Grandes Entreprises
Conseillers
Technicocommerciaux
Responsable
Moyens de Paiement
Responsable
Trésorerie
Responsable
Comptabilité
CC PRI
Cambistes
Clientèle
RESPONSABLE
CONTROLE DE GESTION
Caisse
Accueil
Caisse
Accueil
RESPONSABLE
LOGISTIQUE
Agence 2
Responsable
Moyens Généraux
Agence 3
Source : Portail interne de la BFV-Société Générale
Responsable
Moyens Techniques
Resp. Relations
Fournisseurs et Achats
Annexe II : Liste des agences de la BFV-Société Générale
A TANA
Unités Commerciales
Indépendance
Ampefiloha
67 Hectares
Antaninarenina
Digue
Ivandry
Behoririka
Agences Isolées
Espace CLIPRO (DRE)
Espace CLIPRO (DRE)
Agence (DRE)
Agence / Point Banque / Espace
Agence mère
Agence
Agence
Point Banque
Agence mère
Point Banque
Agence mère
Point Banque
Agence
Agence mère
Point Banque
Agence mère
Point Banque
Agence mère
Point Banque
Point Banque
Point Banque
Agence mère
Agence
nom de l'agence
Indépendance
Analakely
Tsaralalana
Antsakaviro
Ampefiloha
Anosy
67 Ha
Itaosy
Tanjombato
Antaninarenina
Espace premier
Digue Ivato
Ivandry
Ambatobe
Galaxy
Fitaratra
Behoririka
Antanimena
Agence / Point Banque / Espace
Espace
Espace
Espace
nom de l'agence
Espace CLIPRO Indépendance
Espace CLIPRO 67 Ha
Espace Entreprise Ankorondrano
HORS TANA
Unités Commerciales
Antsirabe
Fianarantsoa
Toamasina
Antsiranana
Manakara
Sava
Mahajanga
Agences isolées
Moramanga
Toliara Tolagnaro
Morondava Nosy‐Be
Tsiroanomandidy
Fenerive Est
Agence / Point Banque / Espace
Agence mère
Agence
Agence mère
Point Banque
Agence mère
Espace Entreprise (DRE)
Point Banque
Agence
Agence mère
Point Banque
Agence mère
Agence
Agence
Agence mère
Agence
Agence
Agence mère
Point Banque
nom de l'agence
Antsirabe
Ambositra
Fianarantsoa
Antarandolo
Toamasina
Espace entreprise Toamasina
Ambolomadinika
Sainte Marie
Antsiranana
Grand Hotel
Manakara
Farafangana
Mananjary
Sambava
Antalaha
Vohémar
Mahajanga
Mahabibo
Agence / Point Banque / Espace
Agence
Agence
Agence
Agence
Agence
Agence
Agence
nom de l'agence
Moramanga
Toliara Tolagnaro
Morondava Nosy‐Be
Tsiroanomandidy
Fenerive Est
Source : Portail interne de la BFV‐Société Générale Annexe III: Carte de la repartition des agences et des points banques dans la Grande île
(…) : nombre des agences et des points banques Source : document interne de la BFV-SG
Annexe IV : Liste des catégories des risques opérationnels selon le comité Bâle
Source : http://www.fimarkets.com/pages/risque_opérationnel.htm
Annexe IV : Liste des catégories des risques opérationnels selon le comité Bâle (suite)
Source : http://www.fimarkets.com/pages/risque_opérationnel.htm TABLE DES MATIERES
REMERCIEMENTS
Pages
SOMMAIRE
LISTE DES TABLEAUX
LISTE DES FIGURES
LISTE DES ABREVIATIONS ET ACRONYMES
INTRODUCTION .................................................................................................... 01
PREMIERE PARTIE : PRESENTATION DU CADRE DE L’ETUDE
CHAPITRE I : Généralités sur la société étudiée ..................................................... 02
Section 1.Présentation de la société............................................................... 05
1.1. Identité de la BFV-SG0 ................................................................... 05
1.2. Historique ........................................................................................ 05
1.2.1. La BFV-Société Générale depuis sa création ........................ 06
1.2.2. Brève description du Groupe Société générale ..................... 07
1.3. Missions et structure organisationnelle ........................................... 08
1.3.1. Activités et missions de la BFV-Société Générale................ 08
1.3.2. Organisation de la société ..................................................... 09
1.3.3. La direction audit interne (AUDI) ........................................ 10
Section 2.Les domaines d’activités stratégiques de la société ...................... 11
2.1. Management de risque de la banque ............................................... 11
2.1.1. Système de contrôle .............................................................. 12
2.1.2. La gestion des risques bancaires ........................................... 12
2.2. La clientèle et la concurrence .......................................................... 12
2.2.1. La clientèle ............................................................................ 13
2.2.2. La concurrence ...................................................................... 13
CHAPITRE II : Théorie générale sur l’audit interne et les risques opérationnels .... 15
Section 1.L’audit interne ............................................................................... 15
1.1. Définition et objectifs ...................................................................... 15
1.2. Normes et standards professionnels en audit interne ...................... 16
1.2.1. Normes de qualification ........................................................ 16
1.2.2. Normes de fonctionnement ................................................... 17
1.3. L’audit interne et le management de risque .................................... 18
Section 2.La gestion des risques opérationnels ............................................. 20
2.1 COSO II et Bâle II ............................................................................ 20
2.1.1. Définition des risques et des risques opérationnels ................. 21
2.1.2. Typologies des risques opérationnels ...................................... 21
2.2. Rôles des auditeurs internes aux risques opérationnels................... 23
Conclusion de la première partie ............................................................................... 24
DEUXIEME PARTIE : ANALYSES DES EXISTANTS
CHAPITRE III : La gestion des risques opérationnels de la BFV-Société Générale 27
Section 1.Identification et évaluation des risques opérationnels ................... 27
1.1. Fraude interne et fraude externe ...................................................... 28
1.2. Pratiques en matière d’emploi et sécurité sur le lieu de travail ....... 29
1.3. Clients, produits et pratiques commerciales. ................................... 29
1.4. Dommages aux actifs corporels et dysfonctionnements de l’activité et des
systèmes ...................................................................................... 30
1.5. Exécution, livraison et gestion des processus ................................. 31
Section 2.Prévention et pilotage des risques opérationnels ........................... 33
2.1. Les méthodes de prévention ............................................................ 33
2.2. Le pilotage des risques opérationnels de la filiale ........................... 34
2.1.1. La cartographie de ces risques ................................................. 34
2.1.2 Le RCSA (Risk and Controle Self Assessment) ...................... 36
CHAPITRE IV : Méthodes d’intervention de l’audit internes aux détections des risques
opérationnels ................................................................................. 37
Section 1.Planification des missions ............................................................. 37
1.1 Planification des travaux ................................................................. 37
1.1.1 Choix et fréquences des missions ........................................ 37
1.1.2 Choix des auditeurs ............................................................. 38
1.2 Problèmes d’exécution des travaux ................................................. 39
1.2.1 Connaissance du domaine ...................................................... 39
1.2.2 Recueil des informations ....................................................... 40
1.2.3 Disponibilités des interlocuteurs ............................................ 40
1.2.4 Délai d’exécution des tâches.................................................. 41
1.2.5 Responsabilité de l’audit interne ........................................... 41
Section 2.Conduite des missions d’audit interne ........................................... 42
2.1 Missions complètes ou classiques ................................................... 42
2.1.1 Les outils de travail et de contrôle ....................................... 43
2.1.2 Les phases de missions et cotation des risques ................... 43
2.1.3 Etablissement des rapports des Unités Commerciales ........ 45
2.2 Les autres missions et les préconisations ........................................ 46
2.2.1 missions spéciale ................................................................. 46
2.2.2 mission transversale............................................................. 46
2.1.1 Les préconisations de l’Audit interne……………………...47
TROISIEME PARTIE : PROPOSITION DE SOLUTIONS
CHAPITRE V : Environnement opérationnel et audit interne .................................. 49
Section 1.Promotion de la culture de contrôle............................................... 49
1.1 Renforcement de la culture de contrôles ......................................... 49
1.2 . Organisation de contrôle et de management de risque……………..50
1.3 Typologies des risques et contrôles………………………………...52
1.3.1 Contrôle des systèmes opérationnels…………………………..52
1.3.2 Emploi et sécurité du lieu de travail…………………………...53
1.3.3 Pratiques commerciales………………………………………..53
1.3.4 Sécurité des biens corporels et des systèmes………………….53
1.3.5 Exécution des opérations, les livraisons et les processus……..54
1.4 Priorisations des risques opérationnels inquiétants………………..54
1.5 Rappel aux agents des attributions des auditeurs internes………...55
Section 2.Développement de compétences des auditeurs internes ................ 56
2.1
Formation périodique .................................................................... 56
2.2
Echange de connaissances entre les auditeurs .............................. 57
CHAPITRE VI : Organisation des travaux de mission ............................................. 59
Section 1.Cotations des constats du rapport .................................................. 59
1.1 Standardisations des constats .......................................................... 59
1.2 Sensibilités des chefs de mission .................................................... 60
Section 2.Solution au manque d’effectif ....................................................... 60
2.1. Répartition optimale des auditeurs internes .................................. 61
2.2. Recrutement des nouveaux auditeurs............................................ 61
CONCLUSION ......................................................................................................... 63
BIBLIOGRAPHIE ET WEBOGRAPHIE
ANNEXES
TABLE DES MATIERES