Mémoire Audit : Audit des établissements de crédit
[sociallocker]Première partie : présentation du contexte
1 Présentation générale du secteur
1.1) Vue générale sur le secteur bancaire
1.2) Rappel Historique
1.3) Réforme du 20 Février 2006
1.4) Conditions d’exercice de l’activité des établissements de crédit
2 Typologie des établissements de crédit (Zoom sur les Sctés de Financement)
2.1) Les établissements de crédit agrées en qualité de Banques
2.2) Les établissements de crédit agrées en qualité de Sctés de Financement
3 Le Plan Comptable des Etablissements de crédit
3.1) Dispositions générales et particulières
3.2) Etats de synthèse
3.3) Analyse des principales zones de risques
4 Diagnostic des risques bancaires
4.1) Définition du risque bancaire
4.2) L’importance de la gestion du risque
4.3) Typologie des risques bancaires
Deuxième partie : Démarche d’audit d’un établissement de crédit
1 Les différents types d’audit bancaire
1.1) L’audit interne
1.2) L’audit externe
1.3) Audit interne et externe : différences et complémentarités
2 La stratégie d’audit, définitions et normes en la matière
3 Méthodologie de l’approche d’audit en milieu bancaire
3.1) Prise de connaissance globale de l’entreprise
3.2) Evaluation des procédures de contrôle interne
3.3) Le contrôle des comptes
4 Evaluation du dispositif de contrôle interne des créances dans un établissement bancaire : l’apport en matière de gestion du risque de crédit
4.1) Comptes PCEC concernées par les opérations de crédit
4.2) Analyse du dispositif comptable et fiscal relatif aux créances en souffrance
4.3) Evaluation du dispositif de contrôle interne de gestion des créances (évaluation illustrée par un cas pratique)
CONCLUSION
4.3) Evaluation du dispositif de contrôle interne de gestion des créances
L’appréciation des bases du contrôle interne vise à s’assurer que le système de procédures mis en place permet de maîtriser les risques liés à la classification et au provisionnement des créances en souffrance, et que l’organisation de l’établissement de crédit assure une maîtrise administrative suffisante.
Il est nécessaire de rappeler que l’évaluation du contrôle interne d’un établissement de crédit, de même que toute autre phase d’une mission d’audit bancaire, présente certaines particularités. L’existence de la circulaire de BAM n°40/G/2001 relative au contrôle interne des institutions bancaires vient accroître la responsabilité de l’auditeur externe ainsi que les diligences qu’il est tenu de mettre en oeuvre. Dans ce sens, ce dernier veillera, dans un premier temps, à ce que des procédures écrites existent dans l’établissement. Dans un deuxième temps, il s’assurera qu’elles sont fiables et correctement appliquées, tel que prévu par le législateur.
Ainsi, l’objectif principal du contrôle interne et d’analyser, de surveiller, de détecter et de prévenir les risques auxquels les établissements de crédit sont confrontés. Les principaux risques sont : le risque de marché, de taux, de liquidité, de règlement, opérationnel et juridique et surtout le risque de crédit auquel nous allons nous intéresser particulièrement dans le traitement des créances en souffrance car son évaluation a un impact très significatif sur les comptes ce qui concerne au plus haut point le commissaire aux comptes qui a la charge de formuler une opinion sur la sincérité et l’image fidèle présentée par ces comptes.
En effet, le volume des crédits traités dans une banque est généralement très important. Le contrôle de l’ensemble des opérations est impossible. On est donc amené à privilégier une approche par les risques : les contrôles sont renforcés dans les domaines qui paraissent les plus risqués et allégés dans les autres.
4.3.1 Risques d’audit
Toute démarche cohérente en matière d’audit commence par une identification claire des risques, étape indispensable, qui permettra de définir et de mettre en oeuvre la stratégie d’audit.
4.3.1.1 Risque inhérent
Il s’agit du risque qu’un compte ou qu’une catégorie d’opérations comporte des anomalies significatives isolées ou cumulées avec des anomalies dans d’autres soldes ou catégories d’opération nonobstant les contrôles internes existants.
Certes, les établissements bancaires en présentent plusieurs, dont : les risques liés aux facteurs économiques externes difficilement appréhendables sur le moment, la multiplicité des transactions, la complexité de certaines opérations et la multiplicité des implantations géographiques entre les front- offices, back- offices et le siège.
Les principaux risques inhérents à l’activité de crédit qui sont : le risque de contrepartie, le risque « pays» et le risque opérationnel.
Risque de contrepartie
Le risque de contrepartie peut être défini comme celui lié à la détérioration de la situation du débiteur ou de la valeur des garanties obtenues par le créancier entraînant le non-remboursement partiel ou total de la créance. Ce risque peut être augmenté par la situation de certains marchés ou secteurs d’activité mais aussi par la politique d’octroi et de diversification des engagements adoptés par l’établissement de crédit.
A cet effet, l’auditeur doit veiller à ce que les procédures d’octroi des engagements assurent à l’établissement une adéquation entre les sommes octroyées, les moyens et la surface financière du créancier, dans le strict respect des règles prudentielles. Le rôle du contrôle interne sera alors primordial en ce qu’il permettra de vérifier que le niveau de prise de risques s’insère dans le dispositif de pilotage global mis en place dans l’établissement.
Risque « pays »
Le risque « pays » concerne les créances ou les engagements hors-bilan détenus sur des débiteurs privés ou publics résidant dans des pays dont la situation financière peut motiver la constitution de provisions, notamment le rééchelonnement de la dette dans un cadre multilatéral ou la cessation de paiements au titre de leur endettement. Contrairement au risque de contrepartie qui est fondé sur l’incapacité du débiteur à faire face à ses engagements, le risque « pays » repose sur l’incapacité de transfert des sommes correspondantes et sur le non-respect de ses obligations de la part du pays où résident les débiteurs.
Risque opérationnel
Le risque opérationnel découle quant à lui des insuffisances des procédures d’octroi des crédits ou de leur suivi administratif, notamment la perte d’informations, le mauvais archivage des dossiers juridiques relatifs au débiteur, etc.
4.3.1.2 Risque lié au contrôle
Il s’agit du risque de non-détection d’une anomalie dans un compte ou une catégorie d’opérations malgré les systèmes comptables et de contrôles internes mis en place dans l’entité ; soit donc, du fait propre des systèmes de l’entité elle-même.
4.3.1.3 Risque de non-détection
Le risque que les contrôles substantifs mis en oeuvre par l’auditeur ne parviennent pas à détecter les erreurs dans un compte ou une catégorie d’opérations ; soit donc, propre à la démarche d’audit. 4.3.2 Revue des procédures d’engagements
L’analyse des procédures relatives aux crédits peut se dérouler en quatre étapes :
4.3.2.1 L’examen de la procédure définie par l’établissement
Cet examen se fait à l’aide de manuels de procédures, d’entretiens avec les principaux responsables du crédit et des risques, des cartographies existantes et des rapports internes (Inspection générale, audit interne…) et externes (autorités de tutelle) ;
Au sein de l’établissement X, le manuel de procédures d’engagement décrit de manière détaillée la procédure d’octroi de crédit à partir de la demande client jusqu’à sa validation et la constitution de protections et sécurités nécessaires. Le manuel définit aussi les responsabilités et les habilités de toutes les personnes impliquées dans la procédure.
Ce manuel est mis à la disposition de tous les services concernés. Ces derniers étant tenus à le respecter.
4.3.2.2 Identification des forces et faiblesses des procédures
L’auditeur doit identifier lors de cette étape les points forts et les points faibles et détecter les possibilités de fraudes et erreurs.
4.3.2.3 Les tests de conformité
Validation des points forts de la procédure à l’aide des tests de conformité (visant à s’assurer que la réalité est conforme à la description qui en a été faite) et de permanence dans le temps, essentiellement sur un échantillon de dossiers de crédit.
Afin de mieux cerner la politique de crédit de l’entreprise, l’auditeur peut recourir à un questionnaire de contrôle interne purement descriptif. Ce dernier lui permet d’obtenir, à travers une série de questions, une information juste quant au déroulement d’une procédure, afin de pouvoir savoir exactement ce qui se passe en pratique.
Les tests effectués par les auditeurs externes doivent se limiter aux éléments fondamentaux de la méthodologie de crédit et aux principales procédures de gestion des crédits.
Après la compréhension des politiques de crédit de l’établissement X, on s’est penché sur les tests de conformité de ces politiques.
Pour ce faire, il fallait suivre la démarche suivante :
- Récupérer la base de données des dossiers de crédit traités au cours de l’exercice ;
- Effectuer une sélection parmi ces dossiers selon l’importance de ces derniers et en respectant le seuil de signification ainsi que suivant la notation de risque s’y rattachant. La sélection doit comprendre des dossiers constitués au cours de périodes différentes pour s’assurer de la permanence des méthodes dans le temps.
- Demander les dossiers physiques relatifs à ces clients regroupant toutes les pièces justificatives et sécurités nécessaires ;
- Valider la procédure adoptée avec le responsable dans le but de rédiger une check list des documents à fournir et des contrôles à effectuer.
- S’assurer de l’application de cette procédure pour la sélection effectuée.
On effectue ce test pour l’ensemble des dossiers de l’échantillon afin d’émettre une conclusion globale sur la procédure testée.
4.3.2.4 Les tests de procédures
Réalisation des tests de procédures, visant à s’assurer que l’application des procédures apporte bien les résultats escomptés en termes de sécurité.
Afin de réduire le risque de crédit, il faut étudier quelques éléments-clés lors des tests de procédures portant sur la section des créances clients :
A- Modalités de décision, d’exécution et de gestion des crédits
L’auditeur doit vérifier si les dispositions prévues dans l’article 43 et 45 de la circulaire relative au contrôle interne des établissements de crédit sont correctement appliquées.
En effet, selon l’article 43, les critères d’appréciation du risque de crédit ainsi que les attributions des personnes et des organes habilités à engager l’établissement doivent être définis et consignés par écrit. Ces critères doivent être adaptés aux caractéristiques de l’établissement, en particulier, sa taille, la nature et la complexité de ses activités.
Les établissements mettent en place des procédures d’approbation de l’extension, du renouvellement et de la restructuration des crédits.
L’article 45 de la même circulaire stipule que l’évaluation du risque de crédit doit prendre en considération, notamment, la nature des activités exercées par le demandeur, sa situation financière, la surface patrimoniale des principaux actionnaires ou associés, sa capacité de remboursement et, le cas échéant, les garanties et sûretés proposées.
B- Tenue des dossiers de prêts
Dans ce sens, BAM a émis la circulaire n°36 relative au devoir de vigilance incombant aux établissements de crédit. Selon cette dernière, les établissements de crédit sont tenus de mettre en place les procédures nécessaires leur permettant :
- L’identification de leur clientèle : Pour ce faire, l’établissement bancaire est tenu de recueillir tous les renseignements et documents utiles relatifs aux activités des titulaires des comptes et à l’environnement dans lequel ils opèrent notamment lorsqu’il s’agit de personnes morales ou d’entrepreneurs individuels.
- Le suivi et la surveillance des opérations de la clientèle : en classant les clients par catégories, selon leur profil de risque. Pour chaque catégorie de client, l’établissement doit instituer des limites au-delà desquelles des opérations pourraient être considérées comme inhabituelles ou suspectes.
- La mise à jour de la documentation afférente à la clientèle et aux opérations qu’elle effectue : L’établissement de crédit doit se doter de systèmes d’information qui lui permettent, pour chaque client, de disposer de la position de l’ensemble des comptes détenus ; de recenser les opérations effectuées et d’identifier les transactions à caractère suspect ou inhabituel.
Ainsi, on a essayé d’évaluer l’exhaustivité et la conformité des dossiers de prêts aux politiques et procédures définies par la circulaire susmentionnée. Pour cela, on a constitué un échantillon de dossiers en se basant sur l’importance des clients et de leurs transactions effectuées avec l’institution. On vérifie alors l’existence :
– D’une demande initiale indiquant toutes les parties impliquées dans un prêt avec tous les garants.
– D’informations sur le client et son activité.
– De l’approbation par l’agent de crédit et par le comité ou le superviseur de crédit.
– Du contrat de prêt signé et daté stipulant les conditions de remboursement et les taux d’intérêt.
– Etc.…
Les résultats sont par la suite résumés dans un tableau similaire à celui présenté en annexe 1dans le but de faciliter le jugement sur le niveau de satisfaction du test.
C- Procédures de sauvegarde des sûretés
L’établissement de crédit sécurise généralement ses crédits avec des garanties (hypothèques, cautions solidaires, nantissement de fonds de commerce…). Toutefois, il est possible qu’il y ait des irrégularités potentielles ou de fraude dans la collecte, le magasinage et la sortie de cette garantie physique. L’employé responsable pourrait collecter la garantie mais ne va pas la déposer au magasin. Il peut aussi collecter une fausse garantie ou il va carrément la négliger. L’analyse des sûretés réelles et personnelles est donc une autre composante majeure de l’analyse du risque de crédit. Dans ce sens, l’auditeur veillera à ce que les garanties constituées sont protégées de tout événement ou comportement susceptible de causer leur perte (vol, négligence, …). Ceci est possible soit à travers des entretiens avec le responsable pour évaluer l’importance et la qualité des mesures prises en la matière ; soit à travers l’observation directe de la procédure de sauvegarde des sûretés… Il pourra aussi étudier le dispositif de gestion et de suivi des garanties, la gestion des mains levées, le renouvellement des garanties échues…
L’auditeur doit vérifier si les garanties hypothécaires, dont le montant dépasse un million de dirhams, sont justifiées d’une expertise comme prévu dans l’article 20 de la circulaire 19/G/2002 relative à la classification et au provisionnement des créances en souffrance. Par la même occasion, si l’expertise n’est pas confiée à un cabinet spécialisé et est effectuée par l’établissement lui-même, l’auditeur s’assurera, que des procédures précises, claires, de nature à assurer une évaluation appropriée existent au sein de l’établissement.
D- Politique de provisionnement des créances en souffrance
En matière de provisionnement des créances, les textes sont clairs et précis. Les critères de classification sont définis, les taux de provisionnement sont déterminés et les quotités de déduction des garanties éventuelles sont citées. Toutes ces données figurent dans la circulaire n°19 relative à la classification des créances et à leur couverture par les provisions comme indiqué dans la première partie de ce rapport.
L’auditeur doit donc vérifier si les dispositions de BAM sont rigoureusement respectées, en ayant recours, bien entendu, à la technique d’échantillonnage.
L’analyse des procédures, à ce stade, doit permettre de vérifier :
- l’adéquation entre la connaissance des règles de fonctionnement des procédures et leur application permanente par le personnel de l’établissement.
- L’existence d’un système de scoring et d’un système de délégation ;
- L’existence d’un système de limites et de suivi des autorisations ;
- La qualité de la formalisation des décisions d’octroi des engagements et des dossiers.
4.3.3 Gestion des engagements sains
Les points d’attention concernent notamment :
- Le suivi du règlement des échéances et le traitement des relances des premiers impayés
- Le respect des règles BAM passe nécessairement par l’existence d’un suivi à même d’identifier le nombre d’impayés par catégorie (impayés escompte, amortissable ou rééchelonnés) et par conséquent déterminer la catégorie de classement des créances.
- La mise à jour permanente des informations relatives à la vie du dossier, notamment en ce qui concerne les garanties.
- La gestion des événements affectant la situation des crédits (renégociation des termes du contrat de prêt, remboursements anticipés, restructurations pour difficultés financières…).
La revue des engagements sains doit par ailleurs conduire l’auditeur à s’assurer qu’il n’y a pas de dossiers susceptibles d’être classés en souffrance.
4.3.4 Dispositif de surveillance des risques
La revue du dispositif de surveillance des risques a pour principaux objectifs, d’une part, de s’assurer de la capacité de l’établissement à recenser de manière exhaustive ses encours à risque, d’autre part, de porter une opinion sur le niveau de maîtrise dont dispose l’entité sur les provisions qu’elle constitue.
La revue du dispositif de suivi des risques passe par deux étapes :
4.3.4.1 Evaluation du recensement des encours à risque
La qualité du recensement des engagements risqués dépend largement :
- Des modalités de surveillance des risques sains (analyse des dépassements de limites autorisées, constitution de fiches de crédit…)
- De l’existence d’une procédure de notation interne : les établissements de crédit sont tenus de mettre en place un système de notation interne des engagements, étant entendu qu’il peut être plus prudent que les règles BAM. A défaut, les notes de BAM s’appliquent ;
- De l’existence d’une organisation sectorielle sur des domaines traditionnellement sensibles ;
- De l’analyse des procédures de déclassement sains / pré- douteux / douteux/ compromis : existence d’un déclassement automatisé en fonction des règles BAM ou déclassement par « intervention humaine ». Les modalités de déclassement prévues doivent par ailleurs garantir le respect du principe de contagion selon lequel le déclassement d’un engagement sain vers la catégorie en souffrance entraîne le déclassement de tous les engagements détenus sur cette même contrepartie.
4.3.4.2 Evaluation des méthodes de provisionnement
Les règles de provisionnement sont fixées par la circulaire 19. Néanmoins, l’établissement de crédit peut avoir retenu des règles plus conservatrices.
De manière générale, les méthodes de provisionnement doivent répondre à un souci de formalisation et être appliquées de façon permanente dans le temps.
S’agissant des encours pré- douteux et douteux, la circulaire prévoit la possibilité de les provisionner globalement, en les traitants par classes homogènes de risques. Les établissements de crédit développent alors une approche globale fondée sur la taille des entreprises, de la durée ou du taux pratiqués ou encore de la nature du segment de clientèle.
4.3.5 Maîtrise du risque informatique
Il est unanimement admis que l’ampleur du risque de crédit dépend fortement de la qualité du système de suivi des crédits mis en place. En conséquence, bien avant d’entamer les tests de procédures, l’auditeur doit d’abord déterminer si l’établissement possède un système d’audit interne qui contrôle régulièrement le système de suivi des crédits. Si ce n’est pas le cas, ou si ce système ne fonctionne pas correctement, ou encore si l’auditeur découvre des faiblesses importantes dans le système de suivi des crédits, alors le nombre d’opérations à tester doit être plus élevé, afin de s’assurer que le portefeuille et le montant des provisions indiqués dans les états financiers ne comportent pas d’anomalie significative.
Conclusion
Face à une concurrence accrue sur les activités de crédit, la maîtrise des risques devient un enjeu central. De ce fait, et à côté des réglementations diverses, les autorités de réglementation et de contrôle bancaire ont pris de nombreuses initiatives en vue de développer et de renforcer le métier d’audit dans les établissements de crédit. Le but étant de limiter le plus possible les risques encourus par ces entités.
Ainsi, l’audit bancaire constitue une étape importante pour toutes les banques qui cherchent une meilleure optimisation de leur gestion globale.
En effet, La banque exerce dans un environnement en perpétuel changement. Sa survie est conditionnée par la capacité des responsables banquiers à s’adapter à ces évolutions. Toutefois, le développement et la complexité croissante des opérations bancaires ont saturé les services chargés du contrôle… Vient alors le rôle de l’audit bancaire, qui dans cet environnement devient vital.
L’auditeur bancaire, dans son rôle d’organe de révision statutaire, ne vérifie pas seulement les états financiers, il doit également constater le non-respect de la réglementation bancaire, se prononcer sur la situation financière et présenter des indications quantitatives et qualitatives sur la situation des risques.
La problématique d’audit des risques, à travers un processus continu de fiabilisation de l’information financière, apparaît donc comme une donnée omniprésente et essentielle dans l’appréciation de la qualité des établissements de crédit. Le processus est certes différent de l’audit des autres entreprises mais converge vers une même finalité qui est l’expression d’une opinion sur les comptes conformément au référentiel comptable utilisé à travers notamment la mise en œuvre des diligences nécessaires en vue de tirer profit du système comptable de l’établissement de crédit et de le rendre un outil indispensable pour évaluer le dispositif de maîtrise du risque.