La fonction d’audit interne dans l’industrie bancaire est aujourd’hui maîtrisée. Les associations professionnelles ont défini le cadre général du contrôle interne par des normes professionnelles qui font référence et la réglementation bancaire détaille de manière très précise le rôle et l’organisation de la fonction de contrôle, de même que ses différents niveaux et leurs objectifs. Le dispositif de contrôle interne bancaire est structuré de manière à garantir un niveau élevé de maîtrise de l’ensemble des risques de l’établissement.
Ainsi, la structure de l’audit interne retenue dans les groupes bancaires est souvent organisée en deux fonctions, selon la taille de l’établissement :
- une fonction de macrocontrôle, qui consiste à s’assurer de l’adéquation de l’organisation d’une entité avec les enjeux déterminés par le groupe, dans une logique de contrôle du respect de la stratégie ;
- une fonction orientée sur la maîtrise des risques de chaque macroprocessus qui répond plus précisément au contrôle de troisième niveau défini à l’article 6a du CRBF 97-02 modifié, qui nous intéresse ici.
Les attentes du comité d’audit
L’analyse des risques de chaque macroprocessus et processus sous-jacents n’est pas aisée lorsque l’auditeur n’est pas spécialiste d’un métier, et la construction d’un programme de travail nécessite une bonne compréhension de la chaîne des risques. Sont exclus ici les audits de conformité réglementaire puisque les normes concernant les risques de non-conformité sont détaillées par la réglementation.
Pour chaque processus, l’éclairage que le comité d’audit attend de l’auditeur est double :
- d’une part, s’assurer de l’efficacité opérationnelle du processus, pour garantir une allocation optimale des ressources de l’établissement ;
- d’autre part, s’assurer du niveau de la maîtrise des risques liés aux processus, afin de maîtriser les conséquences d’une éventuelle survenance du risque.
Nous avons vu dans un
Les processus métiers incorporent le risk management
L’incorporation du risk management aux processus métiers est fondamentale pour l’auditeur. En effet, toute méthodologie de construction d’un programme de travail qui tend à juxtaposer une succession de processus et d’étapes, d’une part, et une prétendue qualification des risques sous-jacents à chaque étape, d’autre part, deviendrait caduque. Les constituants du risk management ne forment pas un macroprocessus unique, mais sont désormais constitutifs des processus métiers. En outre, manager un risque sur le résultat d’un processus revient à manager la survenance des causes de ce risque tout au long des étapes dudit processus.
Pour un macroprocessus donné, la préoccupation de l’établissement est d’abord binaire : le processus s’achève-t-il conformément aux attentes, ou au contraire, s’achève-t-il avec des caractéristiques inattendues ? Les conséquences peuvent être multiples selon la nature de la défaillance, tout comme les causes. Le risque n’est donc pas afférent aux étapes du processus mais à son résultat. En revanche, le management du risque, et donc de ses causes de réalisation, est afférent aux étapes du processus et constitue le principal enjeu de l’auditeur lors de la construction de son programme de travail.
En somme, pour l’auditeur, l’analyse de la maîtrise des risques métiers associés à un macroprocessus passe par l’analyse du dispositif de couverture des risques opérationnels des processus sous-jacents (voir Encadré 1).
Le programme de travail de l’auditeur peut être organisé en trois étapes
La première étape consiste à caractériser le résultat du processus, c’est-à-dire à identifier les caractéristiques du résultat du processus qui pourraient être défaillantes et porteuses de conséquences (voir Encadré 2). Elles peuvent être ordonnées par niveau de criticité en termes de conséquences et ainsi aider à la modulation de la conclusion globale sur le niveau de maîtrise de risque, ou même à la priorisation des contrôles à effectuer au moment de la phase de réalisation de l’audit.
Vient ensuite la cartographie des processus et des risques opérationnels. Cette seconde étape vise à identifier l’origine des événements de risque : la cause de leur réalisation. Si elle est interne à l’établissement, celle-ci est nécessairement liée à la défaillance partielle ou complète d’une étape du processus : la cause interne est nécessairement opérationnelle. Une cause externe constitue également un risque opérationnel qui interagit avec le processus considéré. La méthodologie d’élaboration du programme de travail passe inévitablement par la cartographie détaillée des processus audités et leurs étapes constituent autant de points de contrôle.
La troisième étape porte sur l’analyse du dispositif de maîtrise des risques opérationnels. Elle consiste, pour chacun des points de contrôle identifiés, à analyser le dispositif de risk management associé, c'est-à-dire le management de la survenance des défaillances des étapes du processus. Le contrôle de ce dernier s’articule autour de trois axes :
- la prévention de la survenance des causes internes : l’organisation du processus est-elle à même d’éviter que les causes opérationnelles ne se produisent ? Les mesures de prévention peuvent s’exprimer en termes d’organisation, de documentation, de dispositif de sensibilisation, etc. ;
- l’identification de la survenance des causes internes et externes : l’organisation mise en place permet-elle de détecter toute survenance d’un événement susceptible d’enrayer le bon fonctionnement d’une ou plusieurs étapes du processus ? Les mesures de détection sont constituées de reportings, dispositif de surveillance et alertes de flux, dispositif de contrôle de premier et second niveau, etc. ;
- la correction des conséquences immédiates de réalisation d’une cause : l’organisation du processus est-elle à même de réagir à la survenance de la cause de manière à atténuer les impacts sur la progression du processus ou sur son résultat directement ? Les mesures de correction peuvent être des mesures d’urgence, mode dégradé, retour à l’étape précédente, plan de continuité d’activité, etc.
Au-delà de l’approche de Bâle II
La méthodologie d’analyse des risques pour l’auditeur bancaire interne que nous proposons ici s’appuie sur l’identification des causes de réalisation du risque afférent aux différents sous-processus du processus métier. Cette démarche en trois étapes vise à identifier ensuite les mesures de prévention, de détection et de correction de la survenance des causes de réalisation du risque. Elle s’écarte de l’approche de Bâle II qui consiste à concevoir le risque opérationnel en soi, indépendamment des risques métiers, et à ne le restreindre qu’à l’analyse de ses seules conséquences financières. Au contraire, nous pensons que le risque opérationnel doit être analysé comme le déclencheur d’un risque métier, préoccupation centrale de l’auditeur.
