Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020

IGAD/AUD/IRB/AFCE/AFO C2

SOMMAIRE

1. PRESENTATION DU PERIMETRE DE LA METHODOLOGIE ET DES RISQUES ASSOCIES.....................................2

1.1. INTRODUCTION..........................................................................................................................................................................2
1.2. DÉFINITION D’UNE MISSION FLASH AGENCE............................................................................................................................2
1.3. CONTEXTE ET CYCLE DE REVUE..............................................................................................................................................2
1.4. DOCUMENTS DE RÉFÉRENCE...................................................................................................................................................3
1.5. CARTOGRAPHIE DU RÉSEAU:...................................................................................................................................................3
2. LANCEMENT DE LA MISSION ET DIAGNOSTIC...................................................................................................................3
3. LES TRAVAUX D’AUDIT..............................................................................................................................................................5
1.4 CONSOLIDATION DES TRAVAUX.......................................................................................................................................................6
1.5 SUSPICION DE FRAUDE....................................................................................................................................................................6
1.6 MISE À JOUR DE LA DIAGMATRIX....................................................................................................................................................6
1.7 TOLLGATE INVESTIGATION..............................................................................................................................................................6
4. RÉDACTION....................................................................................................................................................................................6
4.1. RÉDACTION DU PRÉ-RAPPORT ET DU RAPPORT DE LA MISSION FLASH AGENCE.................................................................6
4.2. COTATIONS...............................................................................................................................................................................6
4.3. PRÉCONISATIONS......................................................................................................................................................................6
5. PISTE D’AUDIT ET QUALITE......................................................................................................................................................7
5.1. ARCHIVAGE...............................................................................................................................................................................7
5.2. QUALITÉ....................................................................................................................................................................................7
6. ANNEXES........................................................................................................................................................................................7

Cette méthodologie fournit l’encadrement nécessaire pour la préparation et la réalisation d’une mission d’audit du réseau de
points de vente de la phase diagnostic à la rédaction du rapport consolidé.

Classification : C2 - Confidentiel

Page 1 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

1. PRESENTATION DU PERIMETRE DE LA METHODOLOGIE ET DES RISQUES

ASSOCIES

1.1. Introduction

Le présent document a pour objectif d’établir un cadre méthodologique pour la conduite des missions d’audit des réseaux
d’agences d’Afrique Sub-saharienne en l’occurrence les régions AFCE 1 et AFO2. Il se propose de servir de guide lors de la
revue des entités commerciales en définissant les grandes phases inhérentes à la réalisation d’une mission Flash agence
ainsi que les thématiques prioritaires à revoir.

Il reprend ainsi les contrôles clés à réaliser par l’Audit afin d’apprécier le degré de maîtrise des risques opérationnels. Ces
contrôles visent à s’assurer de l’application des règles de sécurité relatives aux personnes, aux biens et aux valeurs, de la
correcte prise en charge des sujets liés à la conformité, de la qualité de l’information remontée au siège ainsi que de la bonne
gestion des opérations de la clientèle.

Les Superviseurs et/ou chefs de mission sont en charge de la mise à jour régulière de ce document afin de tenir compte des
spécificités (locales ou Groupe), des évolutions organisationnelles ou réglementaires, des nouvelles techniques/approches
d’audit, ou encore, en fonction des nouvelles zones de risques identifiées.

1.2. Définition d’une mission Flash agence

Une mission Flash agence se définit comme la revue des activités réalisées au sein des agences des filiales d’Afrique Sub-
saharienne à l’exception de celles dites transversales c’est à dire trouvant leur source ou leur fin au sein d’autres entités de la
banque. En effet, ces processus seront pris en charge par des missions d’audit thématiques couvrant ces aspects de bout en
bout.

Les missions Flash agence ne couvrent de ce fait pas l’ensemble des prérogatives d’une mission de vérification générale et
les travaux qui y sont associés sont préalablement connus et définis (cf. sections 2, 3 et 4 du présent document) permettant
une optimisation des contrôles à travers des contrôles standardisés (ajustables en fonction des spécificités des agences) et
un budget JH3 sur site réduit (travaux préalables en central, réduction collecte données sur place,…)

1.3. Contexte et cycle de revue

Une mission Flash agence consiste en une revue des périmètres du risque opérationnel sur la base d’une matrice de
contrôles. Elle contribue à l’identification de dysfonctionnements et répond au besoin de :

- Évaluation dynamique des risques portés par les bases avant (réseau d’agences, front office, ligne commerciale),
- Couverture géographique des agences par région,
- Évaluation des contrôles réalisés par les LOD1 et LOD2 sur le réseau d’agences,
- Évaluation, sur site, de la robustesse des contrôles opérationnels (ex : sécurité au quotidien) et de l'environnement
de contrôle.

L’inscription d’une mission Flash agence au plan d’audit est la résultante de l’exercice annuel du Risk Assessment, et du
cycle d’audit fixé à 05 ou 03 ans sauf pour la Mauritanie (cycle fixé à 2 ans par le régulateur local).

Les résultats des différentes missions d’audit thématiques qui incluent les processus réseau, le niveau de maturité des lignes
de défenses (LOD1 et LOD2), ou encore, les cotations des derniers rapports d’audit sont également des éléments pouvant
amener à inscrire une mission flash au plan d’audit.

1 Afrique Centrale et de l’Est

2 Afrique de l’Ouest
3 Jours Hommes
Classification : C2 - Confidentiel

Page 2 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

1.4. Documents de référence

 Références internes
Les documents de référence régissant les activités de l’ensemble des entités appartenant à la Business Unit AFMO4 sont
disponibles dans la banque normative disponible en ligne.

Les instructions internes et modes opératoires en vigueur au sein de l’Afrique Sub-saharienne sont disponibles sur les
intranets et/ou dossiers de partage de chacune des filiales constituant cette zone.

 Références externes
L’ensemble des réglementations des zones monétaires et pays où sont implantées les filiales d’Afrique Sub-saharienne.

1.5. Cartographie du Réseau:

a- Subdivision du réseau

Les agences des filiales d’Afrique Sub-saharienne sont regroupées, pour la grande majorité des filiales, en unités
commerciales /secteurs ou groupe d’agences rattachées hiérarchiquement à des directions dédiées.
Les filiales du Congo, du Bénin, de la Mauritanie, de la Guinée équatoriale et du Mozambique qui ne comptent qu’un
nombre restreint d’agences ne font pas l’objet de regroupement.

b- Typologie des agences

Au sein des différentes filiales, les agences sont classées par catégorie suivant :
- la taille de leurs portefeuilles : nombre de clients, volumes d’activité ;
- les activités menées : agences classiques, points de vente, banque privée, agence dédiée aux ressortissants
étrangers.

2. LANCEMENT DE LA MISSION ET DIAGNOSTIC

La phase de lancement vise à fixer les objectifs ainsi que le périmètre d’intervention de la mission et à obtenir une vue
d’ensemble de ce périmètre à travers la collecte de premières informations. Compte tenu du caractère inopiné des missions
Flash audit, les audités ne sont informés que le jour de la « saisie ».

1. La réunion de lancement5
La réunion de lancement d’une mission Flash agence constitue la première phase du diagnostic de la mission. Elle permet
d’établir un cadre d’échanges entre le superviseur et le chef de mission à l’entame de la mission. Elle doit permettre au
superviseur de rappeler au chef de mission les objectifs de la mission, les enjeux d’ordre stratégique ou encore les motifs
justifiant la priorisation de la mission Flash à l’issue du processus du Risk Assessment.
Elle doit permettre également au superviseur de communiquer au chef de mission la composition de l’équipe d’audit ainsi que
le budget jour/homme de la mission.
La réunion de lancement de la mission doit être formalisée dans un compte rendu validé par le superviseur ainsi que le chef
de mission et archivé dans le dossier de la mission.

2. La préparation de la logistique
Pour les missions nécessitant des déplacements, le chef de mission (ou un auditeur qu’il aura désigné) se chargera de
coordonner avec les services des Moyens Généraux les démarches afférentes. Le caractère confidentiel des déplacements
doit être rappelé à l’occasion des demandes introduites auprès des différents services en charge de :
- L’achat de billets d’avion pour les missions hors implantation du Hub d’audit ;
- La location de véhicules pour les missions en provinces ;
- L’hébergement ; Etc…
3. Diagnostic

4 AFMO : Afrique et Moyen Orient

5 A différencié de la réunion de lancement tel que défini dans la bibliothèque normative GIGANET (réunion entre l’équipe de mission et
les audités responsables) qui n’est pas possible dans le cas des missions Flash agences.
Classification : C2 - Confidentiel

Page 3 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

Le diagnostic doit permettre de circonscrire le périmètre des agences devant faire l’objet d’investigation. Il s’agira de
l’ensemble des agences retenues à l’issue de la priorisation et devant faire l’objet de revue.

Il doit permettre d’identifier les zones de risques et comprendre les processus clés du périmètre audité. De manière générale,
il vise à construire une vue d’ensemble de l’environnement audité.

L’équipe d’audit devra recourir à l'analyse des données de masse et des informations contextuelles afin de mettre en place
une stratégie d'audit pertinente. Pour ce faire, elle devra effectuer au préalable une analyse à travers la consultation des
documents (non exhaustifs) suivants :
- L’ensemble des activités réalisées en agence ;
- Les données de masse de toute nature (comptes inactifs créditeurs, comptes de personnes âgées, état des
réclamations etc…) ;
- Les pertes opérationnelles ;
- Le RCSA ;
- Les supports des comités d'audit ;
- Les derniers rapports des lignes de défense (LOD 1, LOD 2, IGAD), etc.

Dans le cadre de la priorisation des agences telle que évoquée ci-dessus, une méthode de scoring est utilisée pour identifier
les agences les plus exposées au risque de fraude. Elle devra être basée sur une approche par les risques suivant des
critères qualitatifs/quantitatifs définis au préalable par l’équipe d’audit en fonction de la sensibilité de chaque filiale et/ou unité
commerciale/secteur/groupe d’agences (cf. Critères de scoring en annexe 1). Ces critères devront par ailleurs être pondérés
avec des scores compris entre 1 et 10 en fonction de leur exposition au risque de fraude. En effet, plus les critères de risque
retenus exposent l’agence à un risque de fraude, plus le score de pondération devra également se rapprocher du score le
plus élevé.
Les agences disposant d'un score élevé/moyennement élevé doivent être celles retenues et devant faire l'objet de revue.
Dans ce sens, il revient à l'équipe de définir un seuil de signification à partir duquel elle estime que le score présente un
risque élevé/moyennement élevé.

Point d’attention : Au regard du caractère inopiné des missions Flash audit, les entretiens de diagnostic ne sont pas réalisés
en amont avec les audités et la présentation du Diagnostic aux audités n’est pas applicable.

Le processus de priorisation des agences sera documenté et archivé dans le dossier de mission afin de sauvegarder la piste
d’audit. De plus, un mémorandum de diagnostic adapté et une DiagMatrix (Cf. Giganet) doivent être établis par le chef de
mission, validés par le Superviseur et archivés dans le dossier de la mission. Pour l’élaboration de la Diagmatrix, le chef de
mission s’appuiera sur les contrôles repris dans la section du présent document.

Avant le lancement de la mission, le chef de mission doit également s’assurer que l’équipe d’Audit dispose des accès
nécessaires aux différents outils ci-dessous :
- Le Core Banking System (Delta bank et ses modules),
- Les outils de gestion (SG4U, Siron, les Workflow si applicables),
- Les outils de collecte de data et d’interrogation des bases de données : Business Object, Jira
- Les outils de visualisation et d’analyse de data : Spotfire, Python…
- Les outils de surveillance managériale (GPS) et de supervision comptable (Narval pour certaines filiales).

4. Phase de préparation et constitution des dossiers de travail

Le chef de mission devra initier une réunion avec l’ensemble des auditeurs devant participer à la mission. Cette réunion a
pour objectif de rappeler à l’équipe les enjeux et objectifs de la mission. Il est également nécessaire de constituer un dossier
de travail reprenant les différentes extractions et sources de données. Sur la base des résultats obtenus, des échantillons
seront établis selon les critères définis par le chef de mission tout en intégrant ses orientations ainsi que celles du
superviseur définies lors de la réunion de lancement.
En cas de problèmes liés aux extractions (indisponibilité des données, délais de réception longs,…) il est nécessaire pour
l’équipe d’audit d’informer immédiatement le chef de mission et/ou le superviseur. Le but étant de préparer la liste de
l’ensemble des documents à solliciter à l’arrivée en agence.

5. Lettre de mission et ordre de mission

La mission Flash agence comporte un aspect inopiné et confidentiel. De ce fait, contrairement aux missions thématiques, le
lancement de la mission (lettre de mission, Cf. Giganet) n’est notifié aux audités ainsi qu’au comité de Direction que le
premier jour d’investigations sur place.

Classification : C2 - Confidentiel

Page 4 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

Pour permettre aux auditeurs d’accéder aux locaux des agences objet de l’audit et de réaliser les contrôles sur place, chacun
devra disposer d’un ordre de mission signé par le Responsable d’Audit (ou toute autre personne habilitée en son absence).

3. LES TRAVAUX D’AUDIT

1. La réalisation des travaux

La phase de réalisation des travaux a pour but de s’assurer que les risques sont correctement adressés au travers de
contrôles détaillés définis dans la Diagmatrix et les modes opératoires locaux dédiés aux « saisies » (cf. Mode opératoire en
annexe 2). Elle peut notamment permettre d’identifier des contrôles inefficaces ou des faiblesses dans les processus audités.
Ces constats devront s’appuyer sur des preuves factuelles et être soigneusement documentés, en vue de l’élaboration du
rapport d’audit final.

Les travaux d’audit portent essentiellement sur 5 thématiques à savoir :

- La sécurité des biens et des personnes (cf. Fiche de pointage en annexe 3)
- La gestion des valeurs (cf. Fiche de pointage en annexe 4)
- La gestion des moyens de paiement (cf. Fiche de pointage en annexe 5)
- La conformité des registres (cf. Fiche de pointage en annexe 6)
- Le contrôle permanent (cf. Fiche de pointage en annexe 7)

Les travaux d’audit des missions Flash agences se déroulent en 2 phases. En effet, on distingue les contrôles à réaliser en
agence (in situ) et les contrôles à réaliser au niveau du siège (ex situ).

1.1 Les contrôles sur place (In situ)

Pour la réalisation des contrôles sur place, il est primordial de se présenter avant l’ouverture de l’agence, muni des ordres de
mission afin de procéder aux contrôles inopinés. Ces contrôles concernent essentiellement la saisie des valeurs, des moyens
de paiement et la revue du dispositif de sécurité des biens et des personnes. (Cf fiches de pointage en annexe 3, 4, 5,6 et 7).
Les résultats de la saisie des valeurs et des moyens de paiement doivent être consignés dans un procès-verbal (Cf : modèle
procès-verbal cartes, codes et chéquiers en annexe 8). Les procès-verbaux doivent être signés conjointement par IGAD et le
Responsable d’agence le jour de la saisie et archivés dans le dossier de la mission.

Point d’attention : Il est nécessaire de garder à l’esprit que les travaux de vérification ne doivent pas perturber, dans toute la
mesure du possible, le fonctionnement de l’agence.

Les contrôles sur place doivent permettre également à l’équipe d’Audit de réaliser des entretiens avec les Responsables
d’agences ainsi que les opérationnels si nécessaire. Les entretiens devront être menés de sorte à apprécier la sensibilité aux
risques des audités et d’identifier les zones de risques ainsi que les spécificités liées l’organisation des activités au sein de
l’agence.
En marge des entretiens, l’équipe d’Audit devra tenir une réunion de débriefing avec le Responsable d’agence afin de
présenter et discuter des constats relevés au cours de la saisie inopinée. Les explications apportées par le Responsable
seront prises en compte lors de la rédaction du Compte rendu de saisie. Le détail des constats doit être également transmis
par mail (Cf : modèle de mail de synthèse en annexe 9) au Responsable d’agence avec en copie le Responsable de l’unité
commerciale/secteur/groupement d’agences.

1. 2 Contrôles au niveau du siège (Ex situ)

Les contrôles réalisés au niveau du siège sont ceux nécessitant un budget jour homme supérieur à 2 jours (Ex : Analyse de
données, revue des dossiers du personnel, …). Les demandes de documents sont adressées au responsable d’agence le
premier jour de la saisie afin de recueillir les documents qui feront l’objet d’investigations au niveau du siège.

1.3 Fiches de contrôle

Les travaux menés, les résultats obtenus et les preuves associées doivent être enregistrées dans des fiches travaux,
fournissant ainsi une piste d’audit qui permet de lier la phase d’investigation aux comptes rendus et rapport final.

Classification : C2 - Confidentiel

Page 5 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

Les fiches de contrôle permettent de recenser les points de contrôles à effectuer dans le cadre d’une revue de dossiers. La
fiche de contrôle doit être construite à l’aide des instructions et des modes opératoires en vigueur au sein de l’entité. Ils
doivent être expliqués, en début de la phase d’investigations, à l’ensemble des auditeurs qui seront amenés à les utiliser afin
d’éviter des incompréhensions et/ou déviations de traitement. Cette phase de tests permet également de s’assurer de la
couverture exhaustive des zones de risques identifiées.

1.4 Consolidation des travaux

Le chef de mission procède ou délègue la constitution des fichiers de consolidation à partir des fichiers synthétisant les
dysfonctionnements sur l’ensemble des agences d’une même unité commerciale/secteur/groupe d’agences. Sur la base des
fichiers consolidés, le chef de mission entame la rédaction du pré-rapport.

1.5 Suspicion de fraude

En cas de suspicion de fraude, l’équipe d’audit devra immédiatement informer le chef de mission ainsi que le superviseur
et/ou le Directeur d’Audit. Des mesures exceptionnelles peuvent être entreprises pour confirmer ou infirmer les suspicions de
fraude. Selon les cas, des investigations peuvent être lancées ou temporisées jusqu’au recueil des éléments probants
nécessaires à la délimitation des responsabilités.
En tout état de cause, en cas de suspicion, l’équipe d’audit doit veiller à ce que les tentatives de dissimulation des preuves à
charges soient préservées.

1.6 Mise à jour de la DiagMatrix

En fonction des travaux réalisés, les synthèses des résultats obtenus doivent être reportées sur la Diagmatrix.

1.7 Tollgate investigation

Les résultats des travaux et les retours des audités doivent être discutés et validés à l’occasion d’un Tollgate d’investigations
regroupant le superviseur, le chef de mission et les membres de l’équipe. Le CR doit être archivé dans le dossier de la
mission.

Les conclusions de la mission doivent également être présentées aux audités afin de discuter avec eux des constats mais
également des préconisations formulées ar l’équipe de mission. (cf. Modèles support de présentation annexe 10)

4. RÉDACTION

Comme défini par la bibliothèque normative IGAD, le rapport est le principal support de communication des résultats d’une
mission d’audit. Il doit fournir une évaluation claire, précise et objective du niveau de risque de l’entité ou du processus revus,
et indiquer les préconisations visant à mieux encadrer les risques identifiés.

Il contient un résumé d’une page maximum à destination des audités ainsi qu’une synthèse d’environ dix lignes. Le résumé a
pour objectif de rappeler le contexte de la mission et d’expliquer la cotation du rapport et des préconisations. La synthèse a
vocation à être utilisée dans les supports produits par IGAD pour différents comités. Le rapport d’audit doit comporter une
présentation du périmètre couvert, le jugement d’IGAD sur l’entité auditée, un relevé des constats et des préconisations
associées, ainsi que la liste de diffusion. Il peut également comprendre un relevé des anomalies à corriger.

4.1. Rédaction du Pré-rapport et du Rapport de la mission Flash agence

Le guide de la rédaction du pré rapport et du rapport est disponible dans le template dédié disponible en annexe du présent
document. (Cf. « Template rapport » en annexe 11).

4.2. Cotations

La cotation fournit une évaluation de la qualité de la gestion des risques du périmètre audité. Les différentes échelles sont
définies par le template de rapport disponible en annexe.

Dans le cadre d’une mission Flash agence, l’évaluation globale est à décliner également par point de vente/agence afin de
relever le profil de risque de chaque entité.
Classification : C2 - Confidentiel

Page 6 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

4.3. Préconisations

Les préconisations définissent les moyens de corriger de manière permanente l’origine ou les causes des lacunes détectées
(améliorer les processus ou les outils ; améliorer la conception de l’environnement de contrôle ; améliorer la qualité ;
améliorer l’organisation du service ou les règles internes ; définir les nouveaux objectifs pour les équipes, pour les entités…).

Conformément à la définition disponible dans la bibliothèque méthodologique Giganet, ces préconisations doivent être
suivies avec pour objectif de s’assurer que les plans d’action communiqués par les audités après leur émission soient
efficacement mis en œuvre, afin que les zones de risques identifiées lors des missions soient durablement couvertes. Il s’agit
d’une étape essentielle pour garantir l’efficacité du dispositif de contrôle interne. IGAD assure donc un suivi régulier de
l’ensemble de ses préconisations. Ce travail est facilité par l’outil KART, qui centralise toutes les préconisations émises par
IGAD avec leur état de mise en œuvre.

5. PISTE D’AUDIT ET QUALITE

5.1. Archivage

L’ensemble des documents (pistes d’audit) reçus ou produits lors de la mission doivent faire l’objet d’un archivage sur l’outil
MAP mais également dans le « dossier mission » créé sur le partage de la Direction de l’Audit. Cet archivage doit être clair et
facilement exploitable afin de garantir la qualité de la piste d’audit.

5.2. Qualité

Afin d’assurer le parfait respect des règles et autres méthodologies applicables aux missions réseau, les règles de suivi
(respect des délais, mise à jour régulière des outils IGAD) et de formalisation (bilans de fin de mission, check list mission).

6. ANNEXES

Annexe 1 : Critères scoring

Annexe 2 : Mode opératoire

En cours de formalisation

Annexe 3 : Fiche de pointage sécurité

Annexe 4 : Fiche de pointage gestion des valeurs

Annexe 5 : Fiche de pointage gestion des moyens de paiement

Classification : C2 - Confidentiel

Page 7 sur 8 Audit du réseau d’agence

 Inspection Générale et Audit Division Méthodologie d’audit : Audit du réseau d’agence – (Risque Opérationnel) | Décembre 2020
IGAD/AUD/IRB/AFCE/AFO C2

Annexe 6 : Fiche de pointage conformité des registres

Annexe 7 : Fiche de pointage contrôle permanent

Annexe 8 : Procès-verbaux (cartes, codes et chéquiers)

Annexe 9 : Modèle mail de synthèse

En cours de formalisation

Annexe 10 : Modèles support de présentation

Annexe 11 : Modèle de rapport

Classification : C2 - Confidentiel

Page 8 sur 8 Audit du réseau d’agence