Risque Iperationnel [PDF]

Zitiervorschau

BANQUE D’ALGERIE

MEMOIRE DE FIN D’ETUDES DIPLÔME SUPERIEUR DES ETUDES BANCAIRES

Thème :

RISQUE OPÉRATIONNEL ET DETERMINATION DES FONDS PROPRE NÉCESSAIRES POUR SA COUVERTURE (Cas De La Société Générale Algérie)

Présenté par :

Encadré par :

M. ARAOUR Smaïl

M. ARABI Mohamed & M. CHABANE Farid Novembre 2007 9ème Promotion

REMERCIEMENTS

Mes profonds remerciements à Monsieur ARABI Mohamed, mon Encadreur à la Société Générale Algérie pour son aide inestimable et sa disponibilité, ses critiques et conseils si précieux. Je tiens à remercier également Monsieur CHABANE Farid pour ses conseils de valeur. Mes remerciements s'adressent aussi et surtout à Monsieur LAROUI Moussa (notre cher Bibliothécaire à l'ESB) pour son aide appréciable, notamment sur le plan de la documentation.

SOMMAIRE INTRODUCTION GENERALE...................................................................................... 01 CHAPITRE PRELIMINAIRE......................................................................................... 03 CHAPITRE I: Accords de Bâle et Risque Opérationnel............................................... 07

• Historique des Accords de Bâle..................................................................... 09 • Structure des Nouveaux Accords (Les piliers de Bâle II).............................. 16 • Classification des risques opérationnels dans Bâle II.................................... 23 • Conclusion..................................................................................................... 29 CHAPITRE II: Détermination des Exigences en Fonds Propres et Mesure du R.O... 30

• Approche par Indicateur de Base (B.I.A)...................................................... 32 • Approche Standardisée (S.A)........................................................................ 33 • Approche par les Méthodes Avancées (A.M.A)........................................... 35 • Mesure du risque opérationnel....................................................................... 38 • Conclusion...................................................................................................... 55 CHAPITRE III : Méthodes de Couverture des Risques Opérationnels...................... 58

• Couverture interne des risques....................................................................... 59 • Couverture externe des risques...................................................................... 66 • Conclusion..................................................................................................... 72 CHAPITRE IV: Cas de la Gestion des R.O à la Société Générale Algérie..................... 74 • Présentation de la Structure d'Accueil...................................................................... 76 • Classification et cartographie des risques opérationnels à la S.G.A...................... 82

• Dispositif de mesure des risques opérationnels au Groupe SG.................... 86 • Conclusion..................................................................................................... 103 CONCLUSION GENERALE.......................................................................................... 105

INTRODUCTION GÉNÉRALE "Il suffit sans doute de leurs rappeler quelques événements retentissants pour ramener nos banques à la raison : faillite du fonds LTCM et de la banque BARINGS, attaque terroriste du World Trade Center, pratiques frauduleuses d'Enron/Worlcom, pertes chiffrées en milliards de Dollars chez All-First Bank en raison d'activités de trading non autorisé… pour n'en citer que quelques unes parmi les plus célèbres. Ces stigmates du "risque opérationnel" sont une invitation ferme à se focaliser davantage sur d'autres types de risques que ceux relevant strictement d'une activité de marché ou de crédit. " 1 Les professionnels de la banque s'accordent à dire que la grande innovation du nouveau dispositif Bâle II, au-delà d'une gestion plus fine des risques bancaires est bel et bien l'introduction du Risque Opérationnel dans le ratio international de solvabilité (Ratio Mc Donough). En effet, depuis la mise en place du Ratio Cooke en 1988 (qui portait essentiellement sur le risque de crédit et les engagements de bilan), les banques ont fait beaucoup de progrès dans l'identification de nouveaux risques, et dans les techniques de maitrise et de gestion de ces derniers. Deux facteurs essentiels ont favorisé, voir accéléré cette évolution: D'une part la création de nouveaux produits et la gestion automatisée des processus, et d'autre part les exigences réglementaires des autorités de tutelle suite à des crises bancaires et à la multiplication des faillites des établissements de crédit. Si la réalité du monde bancaire relève une grande maitrise des risques "marché" et à un degré moindre le risque "crédit", les banques ont entamé à peine trois ans des chantiers "risque opérationnel". C'est pour cette raison qu'il est nécessaire de s'accorder sur une définition générique du risque opérationnel claire et compréhensible, de façon à ce que tout le monde parle le même langage et puisse comprendre de quoi il s'agit. A cet effet, le Comité de Bâle le définit dans son document consultatif (version conservatrice d'Avril 2003) comme "le risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels, systèmes internes ou à des évènements extérieurs". (Risk of loss resulting from inadequate or failed internal processes, people and systems, or from external events). Tout en essayant de rester le plus fidèle possible à cette définition, on peut dire que le risque opérationnel est le risque lié aux processus de distribution des produits, au traitement des opérations, aux systèmes d’information, au facteur humain et à des perturbations de l’environnement dans lequel opère la banque (juridique, fiscal, sécuritaire ...). Tout établissement bancaire ou financier est donc confronté à ces risques opérationnels susceptibles de porter atteinte à la qualité des services fournis à ses clients, à sa performance commerciale et au développement de sa rentabilité. Dans ce contexte, une méthodologie 1

F. MAURER "Quelles données pour le risque opérationnel ? ", Revue BANQUE-stratégie, Novembre 2006, N° 242, REVUE BANQUE EDITIONS, Paris, p 30.

1

d’approche des risques opérationnels est nécessaire pour en étudier les principales causes et conséquences, ainsi que les mécanismes de propagation. Les travaux de mise en place de cette méthodologie, menés en étroite collaboration avec les entités concernées, permettront de déterminer les indicateurs et mesures de gestion puis les plans d’actions les mieux adaptés pour maîtriser ses risques, ou à défaut les couvrir par des fonds propres de la banque. Notre travail se fixe comme objectif de montrer l’importance de la prise en compte des risques opérationnels. Il n'a cependant pas la prétention de répondre à toutes les questions concernant les détails techniques relatifs aux modèles quantitatifs de mesure du risque opérationnel. Nous tenterons donc tout au long de notre mémoire de répondre à la problématique suivante : Comment peut-on identifier, mesurer et gérer les risques opérationnels, et comment sont déterminées les exigences en fonds propres y afférant ? Un certain nombre de questions en découle: - Comment le nouveau ratio de solvabilité est-il structuré? - Comment le risque opérationnel est-il pris en compte dans ce nouveau ratio ? - Comment identifier et appréhender ce type de risques? - Quelles alternatives quantitatives ont été développées ces dernières années pour permettre une réelle gestion des risques opérationnels? Pour tenter de répondre à ces questions et à d'autres, et pour essayer de cerner cette nouveauté du monde bancaire, nous avons structuré notre travail selon le plan suivant : - Un chapitre préliminaire dans lequel seront présentés brièvement Les risques majeurs auxquels sont confrontées nos banques au cours de leur activité; - Un premier chapitre traitant le nouvel accord de Bâle dans son ensemble, et l'importance qu'accorde ce dernier aux risques opérationnels en particulier; -Un second chapitre dans lequel nous présenterons les approches de calcul des exigences minimales en fonds propres au titre du risque opérationnel et leurs critères d'agrément (imposés par le comité de Bâle), ainsi que la cartographie des risques opérationnels, et les différentes méthodes de leur mesure (Méthode Scorecard, méthode de Scénarios, et Méthode des Données de Pertes Internes); - Le troisième chapitre s'intéressera –quand à lui- aux divers outils de gestion (internes et externes) qui permettront, si vigoureusement utilisés, de faire face aux pertes opérationnelles. - Enfin, nous tenterons dans un cinquième et dernier chapitre de présenter la mesure des risques opérationnels à la Société Générale Algérie (et indirectement au Groupe SG), dans ses différents processus, allant de la mise en place de la cartographie aux différents outils de quantification; l'accent étant mis sur la démarche de l'élaboration de la cartographie, et la collecte des données de pertes internes relative aux risques opérationnels.

2

CHAPITRE PRÉLIMINAIRE Les risques bancaires sont de mieux en mieux identifiés et suivis. Ainsi, il y a quelques années, seul le risque de crédit faisait l’objet d’un véritable suivi par les autorités de contrôle. En 1996, la réglementation a imposé un suivi spécifique des risques de marché. Aujourd’hui, le Comité de Bâle demande aux banques une démarche identique pour leurs risques opérationnels. Au cours de leur activité, les banques sont donc exposées à une vaste série de risques. La Banque Mondiale classe les risques bancaires en quatre catégories: risques financiers, risques opérationnels, risques d'exploitation et les autres risques. Cependant, il existe d'autres classification de ces risques; chacune est mise en place pour répondre à un objectif particulier. Nonobstant la multitude des possibilités de classification des risques, tout le monde s'accorde sur le fait que ceux qui sont les plus importants sont le risque de crédit, risque de marché et le risque opérationnel.

1- Le Risque de crédit: "Le risque de crédit est la perte potentielle consécutive à l'incapacité par un débiteur d'honorer ses engagements. Cet engagement peut être de rembourser des fonds empruntés, cas le plus classique et plus courant; risque enregistré dans le bilan. Cet engagement peut être aussi de livrer des fonds ou des titres à l'occasion d'une opération à terme ou d'une caution ou garantie donnée ; risque enregistré dans le hors-bilan. Les sommes prêtées non remboursées, suite à la défaillance d'un emprunteur doivent être déduites du bénéfice - des fonds propres- qui peuvent alors devenir insuffisants pour assurer la continuité de l'activité." 1 Ce risque fait l'objet depuis 1988, par l'introduction du ratio de solvabilité –dit aussi Ratio Cooke- d'un dispositif de quantification destiné à maintenir un niveau minimum de fonds propres compatible avec le niveau des engagements.

2- Le Risque de Marché: Les risques de marché sont les pertes potentielles résultant de la variation du prix des instruments financiers détenus dans le portefeuille de négociation ou dans le cadre d’une activité de marché dite aussi de "trading" ou de négoce. L’activité de marché concentre et amplifie tous les autres risques : risque de taux (d’intérêt ou de change), de crédit, de liquidité, opérationnel. Le développement exponentiel des volumes traités sur les marchés traditionnels, et surtout sur les nouveaux marchés de produits dérivés, a considérablement amplifié les risques. Ils ont été largement illustrés par des affaires qui mettent en exergue une étonnante faiblesse dans le contrôle que certaines banques exercent sur ces activités. Les pertes peuvent se produire sur les compartiments des marchés financiers : 1

A. SARDI, Audit et contrôle interne bancaire, Edition AGFES, Paris 2002, p. 40

3

Marché de change, de titre de créance négociables, de titre de propriétés, de matières premières, que ce soit par la détention directe de ces instruments ou par des produits dérivés. Ils sont la conséquence des variations des cours de change, des taux d’intérêt, des prix des actions ou des matières premières. A ces risques viennent s'ajouter ceux liés à la qualité de la contrepartie avec laquelle l’opération est traitée, qui peut s’avérer défaillante. Les risques de marché font l’objet d’une exigence de couverture en fonds propres : amendement apporté à l’accord de Bâle en 1996, puis celui de 1999.

3- Le Risque Opérationnel : Le risque opérationnel -objet de notre mémoire- est définit comme étant "le risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes internes ou à des évènements extérieurs". (Cette définition inclut le risque juridique, mais exclut les risques stratégiques et d'atteinte à l'image). La définition précédente est celle donnée par le Nouvel Accord de Bâle, dans sa version conservatrice d'Avril 2003, pour remplacer celle qui a été donnée dans le 1er document consultatif de Janvier 2001: " les risques opérationnels se définissent comme les risques de pertes directes ou indirectes résultant de l’inadaptation ou de la défaillance de procédures ou de personnes, ou de systèmes ou résultant d´évènements extérieurs." Et qui a été critiquée, car il est relativement difficile de calculer certaines pertes indirectes. La Définition fournie par le Comité de Bâle sert de base de réflexion et de mise en œuvre pour toutes les banques. Néanmoins, il existe d'autres définitions élargies telles que: "les risques opérationnels comprennent tous les risques de nature à interrompre ou compromettre le bon fonctionnement de la banque, à remettre en cause l'atteinte de ses objectifs, ou à entrainer des dommages susceptibles d'affecter sa rentabilité ou son image". 1 La particularité du risque opérationnel est qu’il n’est pas concentré dans un secteur d’activité particulier ; il est partout présent. Une perte de crédit peut avoir pour cause la défaillance d’un emprunteur, mais aussi une cause opérationnelle: erreur, négligence, fraude...etc. Le risque opérationnel fait l’objet d’une exigence de fonds propres dans le nouveau ratio de solvabilité du comité de Bâle.

4 Autres Risques: a- Le risque de liquidité: Le risque de liquidité (ou d’absence de liquidité) est le fait pour une banque de ne pouvoir faire face à ses engagements à cause de l’impossibilité de se procurer les fonds dont elle a besoin. La défaillance due à l’illiquidité est souvent la conséquence de

1

C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, EDITION REVUE BANQUE, Paris, 2004. p.17

4

l’appréciation que portent le marché et les déposants sur la capacité de remboursement de l’établissement. Un autre aspect du risque de liquidité est celui de ne pas pouvoir trouver, à un instant donné, des instruments financiers destinés à couvrir une position, ou de devoir les acheter ou les vendre à un prix anormal, du fait de l’insuffisance de liquidité sur le marché. b- Le risque de transformation : La transformation, qui est un risque traditionnel, consiste à transformer des ressources structurellement à court terme en des emplois à long terme. Ce qui implique un double risque : un risque de taux d’intérêt et un risque de liquidité. c- Le risque global de taux d’intérêt : Les activités de dépôt et de crédit impliquent un risque significatif en cas de variation importante des taux d’intérêt. Ses effets peuvent se révéler être une bombe à retardement: Les pertes dues à ces variations peuvent être désastreuses. d- Le risque de réputation : autrement dit d’atteinte à la confiance qu’une banque doit inspirer à sa clientèle et au marché suite à une mauvaise publicité portant sur des faits vrais ou supposés. Cette perte de confiance peut alors avoir des effets destructeurs: retraits massifs des déposants, perte de clientèle, méfiance des marchés. Une crise de liquidité peut suivre cela. Les causes peuvent être variées : pertes importantes dues à une déficience du contrôle interne, blanchiment d’argent d’origine criminelle, fraudes massives commises par la clientèle ou par le personnel, mauvaise qualité des services ou incapacité de satisfaire à la demande notamment lors du lancement d’un nouveau produit ou d’une nouvelle activité...etc. e- Le risque stratégique: L'adaptation d'une nouvelle stratégie par la banque dans les différents domaines engage des ressources toujours significatives. A titre d’exemples ces stratégies peuvent être : la pénétration d’un marché, le lancement de nouveaux produits ou de nouvelles activités, la refonte du système d’information, une croissance externe par fusion ou acquisition. Un échec (risque stratégique) peut s’avérer lourd de conséquences car les ressources engagées pourraient devenir sans valeur et la perte de substance significative. f- Le risque systémique : Les établissements de crédit sont interdépendants les uns des autres. Les pertes consécutives à la défaillance d’un établissement sont supportées, par un effet de contagion et de propagation par le système bancaire, essentiellement sous trois formes : 9 Les opérations interbancaires, conclues avec l’établissement défaillant, se traduiront par une perte pour l’établissement prêteur ; 9 La solidarité de la place oblige fréquemment tous les établissements défaillants à participer à l’apurement du passif des engagements de l’établissement sinistré ; 9 Les actionnaires d’une banque sont fréquemment d’autres établissements de crédit qui devront, conformément à leur rôle, participer au sauvetage de l’établissement défaillant. La défaillance d’un établissement de crédit peut donc déclencher des défaillances dans d’autres établissements et risque de mettre en péril tout le système bancaire. 5

Figure N° 1 : Nomenclature des risques bancaires selon la Banque Mondiale

Risques Financiers

Structure de bilan

Rentabilité du compte de résultat

Risques d'exploitation

Politique macroéconomique

Infrastructure financière

Risques Opérationnels

Fraude interne

Fraude externe

Pratique en matière d’emploi et sécurité du lieu de travail

Adéquation des fonds propres

Infrastructure légale

Crédit

Responsabilité civile

Clients, produit et pratiques commerciales

Respect de la réglementation

Dommages aux actifs corporels

Réputation et risque fiduciaire

Interruption d’activité et défaillance du système

Liquidité

Marché

Devise Risque pays

Autres Risques

Liquidité

Transformation

Taux d’intérêt

Réputation

Stratégique

Systémique

Exécution, livraison & gestion des processus

Source : M. ROZENBAUM, Analyse et gestion du risque bancaire, Edition ESKA Banque Mondiale, Paris 2004 p. 104. Traduit de: analyzing & managing banking risk, écrit par H.V. GREUNING et S.B. BRATANOVIC.

6

Chapitre I : Accords de Bâle et risque Opérationnel

7

CHAPITRE I : ACCORDS DE BÂLE ET RISQUE OPERATIONNEL Depuis 1988, le monde bancaire est régi par un ensemble de directives émanant du "Comité des Règles et Pratiques de Contrôle des Opérations Bancaires", appelé communément le Comité de Bâle. Ces directives sont connues sous le nom de Bâle I (ou Ratio Cooke), qui a connu plusieurs modifications, plusieurs éléments lui ont été intégrés pour l'adapter à la réalité du monde bancaire international, qui est en perpétuelle mutation. La révision commencée en 1999 (qui a marqué le début d'un processus dénommé Bâle II) vise seulement à combler les lacunes de Bâle I, et à adapter les directives au nouveau contexte. L’objectif principal est d’abandonner le système de couverture forfaitaire imposé aux banques pour adopter une réglementation du capital propre minimal plus complète qui tienne mieux compte des risques. Les profondes mutations intervenues sur les marchés financiers et dans les affaires bancaires au cours des dernières années ont permis aux établissements financiers d’améliorer l’évaluation de la solvabilité et la gestion des risques. Bâle II repose sur trois piliers se complétant: Le premier pilier, qui reprend les dispositions de Bâle I, concerne les exigences minimales de fonds propres. Le deuxième pilier règle le processus de contrôle de la gestion des risques et de la couverture en capital par les autorités prudentielles nationales. Enfin, le troisième pilier définit les obligations imposées aux banques en matière de publication et de communication financière. L’introduction d’exigences de fonds propres pour les risques opérationnels dans le premier pilier du nouvel accord a pour but de couvrir le potentiel de perte pouvant résulter d’une défaillance attribuable au facteur humain, aux procédures et systèmes internes (ex: panne de systèmes informatiques ou de contrôle interne) ou à la survenance d’événements extérieurs susceptibles d’entraver considérablement les activités bancaires. Le Comité de Bâle propose trois méthodes pour la détermination des exigences en capital réglementaire nécessaire à la couverture des risques opérationnels: L'Approche par Indicateur de Base (Basic Indicator Approach ou BIA), l'approche Standardisée (Standardized Approach ou SA) et l'Approche par les Mesures Avancées (Advanced Measurement Approach ou AMA). Dans le présent chapitre, il ne sera donné qu'un bref aperçu de ces trois approches, car elles seront traitées en détail dans le second chapitre. En dernier lieu, nous allons présenter la classification (référentiel) des risques opérationnels telle qu'elle a été présentée par les accords de Bâle, ainsi que d'autres classifications adoptées par de grands groupes bancaires sur la seine internationale.

8

SECTION 1 : HISTORIQUE DES ACCORDS DE BÂLE : Le Comité de Bâle a été institué en fin 1974, par les gouverneurs des banques centrales des pays du Groupe des Dix (G10)1 à Bâle ( une ville suisse), suite à de graves perturbations sur les marchés bancaires et monétaires internationaux (notamment la faillite de la Banque Herstatt en Allemagne de l'Ouest, incident qui avait un effet domino sur certaines autres banques). Il s’est réuni pour la première fois en février 1975, et tient régulièrement depuis lors trois ou quatre séances par an. Le Comité de Bâle se compose actuellement de représentants des banques centrales ou des autorités prudentielles des 13 pays suivants: Allemagne, Belgique, Canada, Espagne, ÉtatsUnis, France, Italie, Japon, Luxembourg, Pays-Bas, Royaume-Uni, Suède et Suisse.

1- LES MISSIONS DU COMITE DE BALE : Le Comité constitue un forum de discussion et de coopération régulière pour les pays membres en matière de contrôle bancaire et de surveillance prudentielle. Ses réunions ont habituellement pour cadre la Banque des Règlements Internationaux (BRI), à Bâle, siège de son Secrétariat permanent. Les documents du comité (ex: l'accord sur les fonds propres) fournissent de grandes orientations que les autorités de contrôle de chaque pays peuvent utiliser pour définir les politiques prudentielles qu’elles doivent appliquer. Au départ, le Comité a examiné les modalités d'une coopération internationale ayant pour mission de renforcer le contrôle prudentiel. Il poursuit cette tâche suivant trois grands axes: échange d'informations sur les pratiques nationales de contrôle, amélioration de l'efficacité des techniques mises en œuvre pour la surveillance de l'activité bancaire internationale, fixation de normes prudentielles minimales dans des domaines où elles apparaissent souhaitables. Les principes adoptés par le Comité de Bâle font l’objet d’une large diffusion. Un grand nombre de pays hors G 10 ont apporté leur soutien à l’objectif fondamental, qui est de veiller à ce qu’aucune activité bancaire internationale n’échappe au contrôle. Aussi, rares sont maintenant les contrées où les autorités accordent leur agrément à des entités bancaires, en vue de leur installation ou de leur fonctionnement, sans un sérieux effort pour l’assortir d’une surveillance effective et établir une coopération avec les autres autorités de contrôle.

1

Les Etats du G-10 comprennent les sept pays les plus industrialisés que sont les Etats-Unis, le Japon, l’Allemagne, la Grande-Bretagne, la France, l’Italie et le Canada ainsi que la Suisse, la Suède, la Belgique et les Pays-Bas (en fait 11 pays au total).

9

2- LE STATUT DU COMITE DE BALE Le Comité n’est investi d’aucune autorité supranationale officielle en matière de contrôle. Ses conclusions n’ont pas force exécutoire, ce qui n'a d'ailleurs jamais été le but recherché. Son rôle est plutôt de formuler des normes et orientations à caractère général et de recommander des pratiques optimales de contrôle, dans l’espoir que les autorités nationales des pays membres s'emploient à les mettre en œuvre par le biais des dispositions spécifiques (d’ordre législatif ou autres) les mieux adaptées à leur système financier. Le Comité favorise ainsi la convergence vers une identité d’approches et de normes, sans chercher à harmoniser dans le détail les méthodes prudentielles particulières adoptées par les divers pays membres. Le Comité de Bâle rend compte au Comité des gouverneurs des banques centrales du G10, et sollicite leur engagement (aval) en faveur de ses principales initiatives et conventions. Et comme il comprend aussi des représentants d'autres institutions, ses décisions reçoivent le soutien de nombreuses autorités nationales en dehors de la communauté des banques centrales. Actuellement, le secrétariat du Comité comprend principalement des spécialistes du contrôle bancaire détachés par les institutions membres pour une période déterminée. Il se charge des tâches administratives du Comité, et a pour second rôle de conseiller les autorités de contrôle de tous les pays sur les questions se rapportant à la surveillance prudentielle.

3- LES

TRAVAUX DU COMITE DE BALE

Les travaux du Comité ont pour objectif majeur de combler les lacunes de la couverture du contrôle international en se fondant sur un principe essentiel: aucun établissement bancaire étranger ne doit échapper à un contrôle efficace et rigoureux. -En mai 1983, le Comité a mis au point un document intitulé "Principes pour le contrôle des établissements des banques à l’étranger", qui expose les règles devant présider au partage -entre autorités d’accueil et d’origine- des responsabilités du contrôle des filiales, succursales, et sociétés en participation ouvertes à l’étranger par les banques. Ce document est une version révisée d'un texte diffusé en 1975 et connu par la suite sous le nom de "Concordat". Le texte originel a été complété et amendé pour refléter les modifications survenues sur le marché et prendre en compte le principe (adopté en 1978) d’un contrôle des groupes bancaires internationaux sur une base consolidée. -En avril 1990, un Supplément au Concordat a été publié, dans le but d’améliorer l'échange d’informations prudentielles entre les autorités de contrôle des différents pays. -En juin 1992, certains des principes établis dans le Concordat ont été exposés sous forme de Normes Minimales; communiquées aux diverses autorités de contrôle bancaire, qui ont été invitées à les adopter, ces normes ont été rendues publiques en juillet 1992. Le Comité a cherché en permanence à optimiser le processus de leur mise en œuvre. 10

- En octobre 1996, Le Comité a publié un document formulant des propositions qui visent à surmonter les obstacles rencontrés par les autorités de contrôle des banques pour mettre en œuvre une surveillance consolidée efficace des opérations transfrontières des banques internationales. Il a été approuvé par les autorités prudentielles de cent quarante (140) pays assistant à la Conférence internationale des autorités de contrôle bancaire de juin 1996. Outre ses travaux sur le Concordat, le Comité a examiné certaines questions plus particulières: Gestion des prêts internationaux des banques (risque-pays), Surveillance des positions de change des banques, traitement de leurs engagements hors bilan, prévention de l’utilisation du système bancaire à des fins criminelles, contrôle des risques de crédit et lignes directrices pour la gestion des risques liés aux dérivés...etc. D'autres documents (plus récents) concernent la gestion du risque de taux d’intérêt, et des risques relatifs à la monnaie électroniques ont été édités. Une étude a également été consacrée au cadre d’évaluation des systèmes de contrôle interne. Parmi les sujets traités actuellement figurent les problèmes de gestion du risque Crédit et du risque opérationnel, et les aspects touchant la communication financière. Eu égard à la complexité de tous ces sujets, une partie importante des tâches techniques a été confiée à des sous-comités. Les Chefs d’État et de gouvernement du G7 à l'issue du Sommet de Lyon ( juin 1996) ont appelé le Comité à participer aux efforts visant à améliorer les normes prudentielles dans les marchés émergents. Par la suite, le Comité a élaboré un ensemble de Principes fondamentaux pour un contrôle bancaire efficace, qui offre un cadre exhaustif à cet effet. Diverses initiatives ont été prises pour encourager les pays à mettre en œuvre les «Principes fondamentaux», comme l’instauration d’un Groupe de liaison et d’un Groupe de consultation, ainsi que la préparation d’une enquête avant la Conférence internationale des autorités de contrôle bancaire d’octobre 1998. La question à laquelle le Comité s’est essentiellement consacré ces dernières années est celle de l’adéquation des fonds propres. Au début des années 80, il s’est montré préoccupé par la détérioration des ratios de fonds propres des principales banques internationales au moment même où les risques internationaux augmentaient, surtout vis-à-vis des pays lourdement endettés. Avec le soutien des gouverneurs des pays du G 10, les membres du Comité ont alors résolu de mettre un terme à la dégradation des niveaux de fonds propres dans leur système bancaire et d'œuvrer pour une plus grande convergence des méthodes de mesure dans ce domaine. Cela a permis de dégager un large consensus en faveur d’un système de pondération des risques de bilan et de hors-bilan.

11

a) Bâle I (Ratio Cooke): Le Comité a vivement ressenti le besoin d’un accord multinational, pour renforcer la stabilité du système bancaire international et éliminer une source d’inégalité concurrentielle due aux différences de normes de fonds propres d’un pays à l’autre. À l’issue d’une consultation effectuée sur la base d’un document diffusé en décembre 1987, un système de mesure des fonds propres a été approuvé par les membres du comité et porté à la connaissance des banques en juillet 1988. Il visait à instaurer avant la fin de 1992 un dispositif comprenant une norme minimale de fonds propres. Celui-ci a progressivement é t é mis en place à partir de 1988, non seulement dans les pays membres, mais dans presque tous les autres pays possédant des banques à dimension internationale. Le dispositif de 1988 n’est pas conçu comme un cadre rigide mais évolutif. En novembre 1991, il a été amendé afin de clarifier la définition des provisions générales ou réserves générales pour créances douteuses pouvant être incluses dans les fonds propres. En avril 1995, le Comité a publié un Amendement à l’accord sur les fonds propres, devant entrer en vigueur en fin d’année, qui visait -entre autres- à reconnaître les effets de la compensation bilatérale des expositions des banques au risque de crédit sur produits dérivés. Le ratio de solvabilité est un rapport entre les "Fonds propres" (numérateur) et les engagements ou risques pondérés (Dénominateur).

Fonds Propres Ratio Cooke =

≥

8%

Actifs Pondérés par les Risques Le dénominateur du ratio comprend l'ensemble des éléments d'actif et de Hors-bilan, à l'exception : •

Des éléments qui sont déduits des fonds propres ;

•

Des contrats négociés sur un marché organisé ;

•

Des stocks de produits de base ;

•

Des éléments du portefeuille de négociation inclus dans le dispositif de la surveillance prudentielle de risques de marché.

- Par ailleurs, les éléments concernés par ce dispositif ne sont pas homogènes entre eux quand au risque qu'ils représentent, selon la contrepartie bénéficiaire de l'engagement: Un crédit consenti à l'Etat (par souscription de bons de Trésor à titre d'exemple) ne représente sans doute pas le même risque qu'un découvert consenti à une entreprise. Pour permettre de les rendre homogènes (comparables), ces engagements vont être pondérés suivant quatre taux: 12

¾ Actifs pondérés à 0 % : Encaisses, créances sur les gouvernements et les Banques Centrales des pays de l'OCDE; ¾ Actifs pondérés à 20 % : Créances sur les gouvernements non appartenant à l'OCDE, et sur les banques des pays de l'OCDE… ¾ Actifs pondérés à 50 % : Prêts hypothécaires intégralement couverts par un bien immobilier, opérations de crédit-bail immobilier… ¾ Actifs pondérés à 100 % : tout le reste : Banques commerciales, entreprises...etc. Les éléments de hors-bilan sont pris en compte selon des méthodes particulières : - En théorie, le risque de perte sur les éléments de hors-bilan est plus faible, c’est pourquoi ils sont moins affectés par le ratio que les éléments du bilan. - Ils sont classés en quatre catégories selon qu’ils présentent un risque élevé, moyen, modéré ou faible et sont respectivement pondérés à 100%, à 50%, à 20% ou à 0%, - les montants ainsi déterminés sont affectés -selon la catégorie à laquelle appartient le bénéficiaire ou l’actif concerné- des taux de pondération prévus ci-dessus, les engagements couverts par une garantie étant toutefois affectés des taux de pondération applicables au garant ou à la garantie. Lorsqu’un élément de hors-bilan correspond à des opérations sur taux d’intérêt ou sur taux de change (opérations de change à terme, instruments financiers à terme, etc.), il est évalué au prix de marché ou par le risque initial. Les montants ainsi déterminés sont ensuite affectés, en fonction de la contrepartie concernée, des pondérations prévues. Les fonds propres s'obtiennent par l'addition au "noyau dur" des fonds propres d'éléments complémentaires assimilés, puis par soustraction d'éléments à déduire. FONDS PROPRES = Noyau Dur + Fonds Propres Complémentaires – Eléments à déduire Les fonds propres de base "noyau dur" regroupent les éléments suivants : – les Actions Ordinaires et les Certificats d'Investissement, les Actions de Priorité et les Certificats d'Investissement Privilégiés à Dividendes Non Cumulatifs, à l’exclusion des Actions à Dividende Prioritaire sans droit de vote, – les réserves consolidées (à l'exclusion des réserves de réévaluation), le report à nouveau créditeur, et les résultats non distribués de l'exercice, – les écarts d'acquisition créditeurs, les différences sur mise en équivalence des participations, les intérêts minoritaires créditeurs, et l'écart de conversion créditeur, – le fonds pour risques bancaires généraux (FRBG) conformément à l'accord des Gouverneurs du G10 définitivement adopté le 6 novembre 1991. 13

Il convient de retrancher de ces éléments : – les actions propres (à leur valeur comptable, et pas à leur valeur de marché), la partie non libérée du capital, le report à nouveau débiteur, les frais d'établissement, les immobilisations incorporelles (à l'exclusion du droit au bail), les écarts d'acquisition débiteurs, les intérêts minoritaires débiteurs, et l'écart de conversion débiteur. Les fonds propres Complémentaires comprennent : les réserves non allouées, réserves liées à la réévaluation d’Actifs, provisions générales, réserves pour les pertes sur emprunts, instruments hybrides et dettes à terme subordonnées. Il convient, cependant de soustraire les Investissements dans des filiales financières & autres institutions financières.

b) L’amendement de 1996 et la proposition de Juin 1999 L'amendement de 1996 portait sur la prise en compte des risques de marché (risques de pertes sur les positions bilancielles et de hors bilan à la suite des variations des prix sur un marché). Cet amendement prévoit une couverture de l'exposition au risque associé aux positions actions et taux dans le portefeuille de négociation et aux positions de change de l'ensemble des opérations ; il permettait pour la première fois à certaines banques dotées de systèmes internes de les utiliser pour mesurer leurs risques de marché. Le risque de marché est calculé pour les positions bilancielles et de hors bilan de tout le portefeuille de négociation et requiert une charge en capital. L'amendement prend en compte tous les instruments qui sont "marked to market" ou négociés sur un marché. Les actifs du bilan sont soumis uniquement à une charge en capital pour les risques de marché alors que les dérivés hors bilan sont soumis aux charges de marché et de crédit. L'apport principal de l'amendement est la possibilité de choix entre les modèles internes de type VaR ou "Value at Risk" et l'approche standard. La proposition de juin 1999 soumise lors de la première phase de consultation restait imprécise sur certains points, afin de solliciter des commentaires à un stade relativement précoce de la réflexion du Comité de Bâle. Elle contenait trois innovations fondamentales, toutes destinées à introduire dans l’Accord une plus grande différenciation des risques. La première consistait à compléter la norme quantitative par deux "piliers": le processus de surveillance prudentielle et la discipline de marché. Ces nouveaux piliers visaient à réduire l’accent placé sur le premier d’entre eux, de nature quantitative, en instaurant une approche plus équilibrée du processus d’évaluation des fonds propres. 14

La seconde innovation permettait aux banques disposant de procédures évoluées de gestion des risques d’utiliser leurs systèmes internes pour évaluer le risque de crédit. Cette méthode fondée sur les notations internes se substituait aux pondérations standardisées du risque par type d’actifs. La troisième grande innovation autorisait les banques à recourir aux notes établies par les organismes externes d’évaluation du crédit (le plus souvent, des agences privées de notation), pour classer leurs créances en catégories de risque. Plusieurs autres propositions visaient à affiner les pondérations du risque et à introduire une exigence de fonds propres pour d’autres risques. Fondamentalement, la définition des fonds propres ne changeait pas. Insuffisances de l'accord "Bâle I " 1. Pas de différenciation par le risque: ¾ Un prêt émis par une firme notée AA par une grande agence de notation est traité de la même manière qu'un prêt émis par une firme notée B ¾ Un prêt pour une banque du tiers monde (très risquée) nécessite 5 fois moins de capital qu’un prêt pour une firme multinationale notée AAA (peu risquée) : Cela veut dire qu'il est moins lucratif de détenir des actifs très risqués. 2. Pas d’incitation à la diversification de portefeuille ¾ Un simple prêt (prêt unique) nécessite le même capital qu’un prêt pour un portefeuille d’actifs diversifié de même valeur. ¾ Pas de distinction entre un prêt de 1000 000 DA et 100 prêts de 10 000 DA 3. Arbitrage structurel: ¾ la pondération des engagements de crédit était insuffisamment différenciée pour rendre compte de toute la complexité effective du risque crédit. Les banques ont généralement pris avantage de ce manque de discrimination pour monter des opérations d'arbitrage. ¾ Les crédits à une maturité inférieure à un an ne sont pas soumis aux règles de régulation du capital => Création de crédits à 364 jours, mais qui sont continuellement refinancées. 4. Pas de besoin de capital pour le risque opérationnel : ¾ Les activités bancaires amènent les banques à prendre des risques qui peuvent générer des pertes considérables. Celles-ci varient dans le temps et en fonction des types d’activités exercées. La banque doit donc disposer de fonds propres suffisants pour couvrir ces pertes et poursuivre son activité. A cet effet, l'identification des risques opérationnels et leur gestion autonome comme discipline séparée est considérée comme une nécessité pressante mais non prise en compte par ce ratio (Ratio Cooke); d’où la nécessité d'un amendement prenant en charge cette préoccupation.

15

SECTION 2 : STRUCTURE DES NOUVEAUX ACCORDS (LES PILIERS DE BÂLE II) : Vu les faiblesses du premier accord de Bâle (absence de sensibilité au risque, manque de différenciation entre les débiteurs privés, différenciation arbitraire entre débiteurs publics; OCDE et non OCDE, la non prise en compte des garanties et de la diversification du portefeuille, la négligence de certains risques notamment les risques opérationnels…), le Comité de Bâle a entamé des consultations devant mener à un nouvel accord sur les fonds propres, mieux adapté aux complexités du monde financier actuel. Le processus dénommé « Bâle II » désigne donc les discussions engagées depuis 1999 dans le cadre de la Banque des Règlements Internationaux, tendant à réformer les ratios prudentiels que les banques exerçant une activité internationale doivent respecter. Cette réforme est justifiée par la nécessité de renforcer la sécurité des activités bancaires dans le contexte de la mondialisation. Mais elle est fondée sur des mécanismes qui renforceraient puissamment la globalisation financière, le rôle central des critères de rentabilité financière, et contribueraient sans aucun doute à servir les besoins de l’économie réelle, du développement économique et de l’emploi; et ce dans le monde entier, dans les pays capitalistes développés comme dans ceux du Sud. Il est donc particulièrement utile de décrypter les mécanismes apportés par le nouvel accord, sur le plan des fonds propres, de la supervision bancaire et de la communication financière des banques pour saisir les enjeux de cette réforme qui reste très controversée. "Si ce nouveau cadre vise à promouvoir une approche exhaustive de l'évaluation des risques bancaires, ses objectifs fondamentaux restent les mêmes que ceux de l'Accord de 1988: Promouvoir la sécurité et la cohérence du système bancaire et favorises une concurrence plus égale entre les banques. Par delà les exigences minimales en fonds propres, on se propose d'intégrer au nouveau cadre deux autres piliers : un processus renforcé d'étude de la supervision et un recours efficace à la discipline de marché. Ces trois piliers se renforcent mutuellement et aucun ne devrait être considéré comme plus important qu'un autre."1

1

M. ROZENBAUM, Analyse et gestion du risque bancaire, Edition ESKA Banque Mondiale, Paris 2004 p. 104, traduit de: analyzing and managing banking risk, écrit par H.V. GREUNING et S. BRAJOVIC BRATANOVIC.

16

1) PILIER 1: EXIGENCES MINIMALES EN FONDS PROPRES : Désormais, les fonds propres d'une Banque doivent permettre de couvrir une plus large variété de risques auxquels elle doit faire face. Cette couverture est plus précise et moins pénalisante que celle instaurée par le ratio Cooke. Le premier pilier de Bâle II exige, comme dans la le ratio Cooke, un taux de fonds propres (rapport entre le capital propre réglementaire et les actifs pondérés du risque) d’au moins 8%. Les propositions du Comité visent cependant à définir d’une façon plus différenciée les actifs pondérés du risque: Tandis que seuls les risques de marché et de crédit entraient jusqu'ici dans leur calcul, les risques opérationnels y seront dorénavant inclus. Le nouveau ratio de solvabilité se définit donc comme suit : Ratio Mc Donough =

TOTAL DES FONDS PROPRES (tiers1 +tiers 2+ tiers3)

≥8%

Risques de crédit + (Risques de marché + Risques opérationnels) x12.5

Selon le Comité de Bâle, les fonds propres constitués servent en moyenne à couvrir le risque de crédit (à hauteur de 70%), le risque de marché (à hauteur de 10%), et le risque Opérationnel à hauteur de 12% des dits Fonds Propres). De là on voit l'importance qui est accordée aux risques opérationnels dans les Nouveaux accords de Bâle: il occupe la deuxième place (après le risque de crédit et avant le risque de marché). La figure ci-après montre l'évolution du pourcentage de capitaux propres alloués à chaque type de risque (entre Bâle I à Bâle II), selon les estimations du Comité de Bâle d'après une enquête menée auprès d'une centaine de banques: 90 80 70 60 50

Risques de crédit

40

Risques de marché

30

Risques opérationnels

20 10 0

Bâle I Unité : % (pourcentage)

Bâle II

Graphique n° 1: Allocation des fonds propres réglementaires aux catégories de 17

Le capital réglementaire se compose du : 9 Noyau de dur de fonds propres (Tiers 1) : capital versé, réserves publiées, bénéfice révisé. 9 Capital complémentaire (Tiers 2): Les provisions générales et les émissions subordonnées d’une durée supérieure à 5 ans 9 Capital supplémentaire (Tiers 3) : Les émissions de dettes subordonnées d'une durée supérieure à 2 ans. (le Tiers 3 ne peut couvrir que les risques de marché). La mise à jour de l’accord de 1988 a surtout consisté à améliorer la mesure des risques, c’est-à-dire le calcul du dénominateur du ratio. Les méthodes de calcul du risque de crédit sont maintenant plus élaborées: Ce sont désormais des systèmes différenciés de pondération du risque qui seront appliqués, et il sera possible de choisir entre plusieurs approches pour calculer les exigences de fonds propres. Le nouveau dispositif propose aussi, et pour la première fois, une mesure du risque opérationnel. Concernant les risques de marché, les nouveaux accords n'ont pas apporté des changements considérables. NB: Les Risques de marché et risques opérationnels sont multipliés au dénominateur du ratio par un coefficient de 12,5 (ce qui n'est rien d'autre que 1/8%) parce que les exigences en FP sont dues sur la totalité de ces risques, contrairement a celles concernant le risque crédit, qui ne sont que de l'ordre de 8% des actifs risqués. a- Détermination des exigences en FP pour le risque de crédit : Deux grandes options sont ouvertes: approche standardisée et approche fondée sur les notations internes (NI), cette dernière comportant deux variantes: simple et complexe. -Approche standardisée: Du point de vue conceptuel, cette approche est identique à celle de l’accord de 1988, mais elle est plus différenciée en fonction du risque: La banque attribue une pondération à chacun de ses actifs risqués, et à chacune de ses positions de hors-bilan, et produit une somme de valeurs pondérées. Un coefficient de 100% signifie que l'exposition est traduite (en totalité) par une exigence de fonds propres égale à 8% de la valeur de l'actif exposé. Un coefficient de 20% entraînera ainsi une exigence de 1,6% (8% de 20%). Dans le Ratio Cooke, les coefficients de pondération sont fixés par grande catégorie d’emprunteurs (souverain, banque ou entreprise). Le nouvel accord prévoit de les affiner par référence aux notes publiées par un organisme d’évaluation externe (agence de notation, par exemple). Ainsi, dans le cas des entreprises, le groupe indifférencié affecté du coefficient de 100% sera remplacé par quatre catégories de pondérations (20%, 50%, 100% et 150%). -Approche fondée sur les notations internes (NI): Dans cette approche NI, les banques pourront utiliser leurs estimations internes sur la solvabilité de leurs emprunteurs pour évaluer le risque de crédit inhérent à leur portefeuille, à condition qu’elles respectent des critères stricts en matière de méthodologie et de communication financière. Des cadres d’analyse distincts seront proposés pour divers types d’expositions (par exemple crédits aux entreprises et prêts aux particuliers) dont les caractéristiques de pertes sont différentes. 18

Dans l’approche NI, un établissement détermine la solvabilité de chaque emprunteur, et le résultat produit une estimation du montant des pertes potentielles, qui sert d’assiette à l’exigence de fonds propres. Le dispositif prévoit deux méthodologies: simple et complexe, pour les prêts aux entreprises, aux emprunteurs souverains et aux banques: Dans la première (simple), l’établissement estime la probabilité de défaillance (PD) associée à chaque emprunteur, et son autorité de contrôle fournit les autres données. Dans la seconde, un établissement doté d’un processus d’allocation des capitaux économiques suffisamment développé sera autorisé, pour d’autres données nécessaires également, à recourir à ses propres informations. Dans les deux cas, l’éventail des coefficients sera fortement élargi par rapport à l’approche standardisée, ce qui entraînera une plus grande sensibilité à l’égard du risque. -Atténuation du risque et titrisation : Le nouveau dispositif introduit un traitement et des pondérations plus différenciés en fonction du risque pour les garanties, dérivés de crédit, accords de compensation et opérations de titrisation, à la fois dans l’approche standardisée et dans l’approche NI. b- Détermination des exigences en FP pour le Risque de Marché: Le risque de marché est le risque de perte ou de dévaluation sur les positions prises suite à des variations de prix (cours, taux) sur le marché. Ce risque concerne les instruments suivants: produits de taux (obligations, dérivés de taux), actions, change, matières premières... Le risque sur produits de taux et actions se mesure sur la base du "portefeuille de trading", c'est-à-dire des positions détenues par la banque pour son propre compte dans un objectif de gain à court terme, par opposition aux activités "normales" et courantes de financement et d'investissement. Par contre le capital requis pour la couverture des positions en change et matières premières s'applique sur la totalité de ces positions. Chaque catégorie d'instrument nécessite une méthode de calcul différente, qui consiste toujours à évaluer d'abord une position, puis à calculer le capital requis en appliquant une pondération de 0 à 8% sur cette position. c- Détermination des Exigences en FP pour le Risque Opérationnel : Il est nécessaire de couvrir le risque opérationnel, tout simplement parce qu'il prend une importance croissante. Le volume des pertes opérationnelles entre 1980 et 2000 est de l'ordre de 200 milliards de dollars. C'est pourquoi, afin que le risque opérationnel puisse trouver sa place au dénominateur du nouveau ratio (pilier 1 du nouvel accord de 2001), le Comité prend le soin de borner sa définition aux éléments mesurables, à l'exclusion du risque stratégique ou réputationnel, qui ne sont pas facilement quantifiables. Trois approches sont prévues par le nouveau ratio de solvabilité, pour le calcul des exigences en fonds propres au titre du risque opérationnel: 19

¾ Approche par Indicateur de base (B.I.A ou Basic Indicator Approach): C’est une méthode forfaitaire où le calcul du capital se fait à partir d’un indicateur d’exposition (E.I). Le capital économique associé au risque opérationnel es relié aux résultats (par exemple, le PNB ou le Revenu) mais pas au risque opérationnel réel, ni à la qualité intrinsèque de la banque en terme de maîtrise de ces risques (qualité de l’audit interne ou la couverture par les assurances à titre d'exemple). Le Comité de Bâle propose de retenir le PNB comme proxy. Les fonds propres FP se calculent alors très facilement à partir de la formule : FP= α X PNB Où α : facteur de pondération compris entre 12 et 20 % selon la banque. ¾ Approche Standardisée (S.A ou Standardized Approach ): Cette approche est basée sur une répartition des activités de l'établissement en huit (8) catégories standards configurant sa structure interne : (financement des entreprises, banque de détail …). Pour chaque activité (ligne de métier), les exigences de fonds propres sont calculées en multipliant un indicateur de risque opérationnel par un facteur de pondération (Selon le type d’activité, l’indicateur et le pourcentage fixe peuvent différer). L’exigence de fonds propres globale au titre du risque opérationnel correspond alors à la somme des exigences pour chaque catégorie d'activité. FP= Σ Fonds propres i = Σ ß i X Indicateur de risque i

/ i=1...8

¾ Approche par les Mesures Avancées (A.M.A ou Advanced Measures Approach): L'approche « AMA » se distingue de la méthode standard en ce sens qu'elle intègre l’obligation d'une évaluation et d'un suivi des risques rigoureusement établis et contrôlés. Pour l'évaluation des risques, cela se traduit par l’obligation de collecter les incidents et les données de pertes associées, avec un historique (de 3 ou 5 ans au minimum) permettant de développer des modèles d'évaluation: Analyse des courbes de distribution des évènements (fréquence et sévérité des pertes), prise en compte de différents niveaux d'exposition, et mesure des pertes en cas de défaut. A coté de cette méthode, on pourrait citer la l'approche par l'analyse des scénarios et l'approche Scorecard. Ces modèles d'évaluation doivent faire l'objet d'un contrôle de qualité et être testés par rapport aux données collectées et par rapport à des données externes. Les risques sont quantifiés par le calcul d'une VaR (Value at Risk) avec un intervalle de confiance de 99,9%. NB: Il sera consacré un chapitre entier pour la détermination des exigences en fonds propres au titre du risque opérationnel; c'est pour cette raison que nous estimons qu'à ce stade cette présentation sommaire des trois approches est suffisante. 20

2) PILIER II : PROCESSUS DE SURVEILLANCE PRUDENTIELLE : Le "pilier 2" des nouveaux accords est fondé sur une implication beaucoup plus importante des autorités de contrôle pour prévenir la défaillance des banques. Aussi, chaque banque sera tenue de disposer d'une démarche d'évaluation de ses fonds propres(FP) en fonction de ses risques économiques réels. Ce dispositif sera examiné par les autorités de contrôle qui pourraient à tout moment demander aux banques de respecter un niveau de FP plus élevé que la norme minimale. Par ailleurs, la logique voulait que la réforme se traduise par un suivi consolidé du risque et des fonds propres. Or il n'en est rien pour le moment: Toutes les entités d'un groupe multinational devront déclarer localement leurs risques et leurs fonds propres tandis que parallèlement le groupe les déclarera en consolidé auprès de son régulateur national. La lecture des textes bâlois permet de regrouper les caractéristiques et objectifs majeurs du "pilier 2" autour des quatre (04) principes-clés suivants. Principe 1: Les banques doivent mettre en place un dispositif permettant d’évaluer l’adéquation de leur capital économique à leur profil de risques (processus d’évaluation du capital interne). L’analyse doit porter sur l’ensemble des risques, y compris ceux non couverts par le pilier 1 (Evaluation exhaustive des risques), car à coté des risques pouvant être quantifiés (risque de crédit, risque de taux du portefeuille bancaire, risques opérationnels, risques de marché, et risque de liquidité), il en existe d'autres nécessitant une approche davantage qualitative (risque de réputation, risque stratégique...). Ce principe s'intéresse aussi au rôle de l'organisme délibérant (Direction Général, Directoire) qui consiste en la mise en place d'un plan stratégique pour comprendre les niveaux de risques pris par la banque, et à celui de l'organe exécutif (conseil d'administration, conseil de surveillance) qui consiste à fixer la tolérance de la banque aux risques. Enfin, la banque doit mettre en place un système de surveillance et de reporting adéquat, et revoir régulièrement la structure du contrôle interne, pour vérifier son adéquation avec une conduite ordonnée et prudente des opérations. Principe 2:Le contrôleur bancaire confronte sa propre analyse du profil de risque de la banque avec celle conduite par l’établissement lui-même et, en fonction de ses conclusions, peut engager des actions prudentielles, que ce soit par la fixation de fonds propres supérieurs aux exigences minimales ou par toute autre technique appropriée. Il s’agit du processus de surveillance et d’évaluation prudentielle. Principe 3: Il est important que les superviseurs exercent une surveillance préventive ; ils doivent intervenir suffisamment en amont afin d’éviter que les fonds propres des établissements deviennent inférieurs aux exigences minimales. La mise en œuvre de ces 21

principes doit être proportionnée à l’ampleur des risques pris : chaque risque doit être considéré non seulement isolément mais également en termes d’importance relative au regard des autres risques. Principe 4: Intervention à un stade avancé des autorités de supervision : Les autorités de contrôle doivent exiger l’adoption rapide de mesures correctives si les 3 premiers principes ne sont pas respectés (ex: pour prévenir une baisse des FP en dessous du minimum requis). Ces mesures peuvent inclure: l'intensification de la surveillance, restreindre le paiement des dividendes, l'augmentation immédiate du capital...etc.

3) PILIER III : DISCIPLINE DE MARCHE : Le 3ème pilier des accords Bâle II vise à promouvoir une plus grande transparence, fondée sur la publication par les banques d’informations quantitative et qualitative sur la nature et le suivi de leurs risques. Les exigences de communication financière sont renforcées notamment sur: la structure du capital et le ratio, les objectifs et politique pour chaque type de risque, la méthode de mesure et gestion du risque...etc. Ces exigences devraient permettre de promouvoir la solidité des systèmes bancaire et financier. La communication des établissements devra couvrir les 3 domaines suivants avec, au minimum, une fréquence annuelle : 9 La structure des Capitaux Propres et les méthodes de valorisation des éléments de bilan; 9 Une analyse détaillée de l’exposition de l’établissement aux différents risques en termes qualitatifs et quantitatifs, ainsi que la stratégie de gestion de ces risques ; 9 Le montant des Fonds Propres et leur adéquation avec le niveau de risque de l’établissement ainsi que leur allocation par activité. Un autre élément pris en considération a été la nécessité, pour le dispositif de publication d’informations, de s’aligner sur les normes comptables internationales (IAS et IFRS). Enfin, il est important de signaler que les principales justifications de la régulation prudentielle, bien que très diverses, reposent essentiellement sur deux types d’arguments: 9 D’une part, les problèmes classiques du marché (asymétries d’information, externalités, pouvoirs de marché...) entravent le bon fonctionnement des mécanismes privés de régulation. 9 D’autre part, certaines spécificités de l’industrie bancaire (ex: la fragilité induite par la structure particulière du bilan bancaire, l’éventualité des faillites bancaires, le spectre du risque systémique et le rôle joué par les banques dans le système de paiement...) légitiment les missions prudentielles des pouvoirs publics. La réglementation bâloise (par le biais du 3ème pilier) apparaît ainsi comme un moyen efficace pour assurer la compatibilité entre les objectifs privés de la banque et les objectifs sociaux de stabilité financière du régulateur. 22

SECTION 3 : CLASSIFICATION DES RISQUES OPÉRATIONNELS DANS BÂLE II : Le régulateur à travers le processus du texte relatif à Bâle II a cherché à mieux définir les éléments constitutifs du risque opérationnel. Comme souvent dans ce cadre, il a donné une définition et des éléments d'identification "suffisamment généraux pour ne pas être limitatifs". Ces éléments doivent être considérés comme un cadre de réflexion pour mettre en place une classification des risques adéquate aux caractéristiques de chaque établissement. A cet effet, le Comité de Bâle a défini une segmentation des risques en huit (8) Lignes de métier, et sept (7) catégories d'événements qui permettront de constituer une matrice à 56 cases représentatives de l'ensemble des activités bancaires et risques associés.

I- DECOMPOSITION DE LA BANQUE EN LIGNES DE METIERS La décomposition d'une banque en lignes de métier revient en fait à identifier les principales sources de valeur ajoutée. Une ligne de métier correspond en générale à un produit ou service, un segment de clientèle, un territoire géographique ou une combinaison des trois. Dans le document consultatif (précisément dans son 'annexe 06), le Comité de Bâle a donné une segmentation des activités (métiers) de la banque assez détaillée afin de répondre aux exigences des méthodes Standard et Avancées: ¾ La méthode Standard vise à calculer des charges en capital propres à chaque ligne de métier, sur la base d'une typologie de 8 métiers. Le PNB de chaque ligne est multiplié par facteur de pondération (β) reflétant le risque lié à cette activité particulière. ¾ Quand è la méthode AMA, elle combine aux 8 lignes de métiers 7 types d'événements (qui seront détaillés plus loin dans notre mémoire) pour calculer la charge en capital. C'est de là donc que vient la nécessité de décomposer la banque en lignes de métier; le Comité de Bâle en propose huit: Financement d'entreprises, Négociation et vente, Banque de détail, Banque commerciale, Paiements et règlements, Services d'agence, Courtage de détail, et enfin la Gestion d'actifs. Chaque ligne de métier (Niveau 1) est détaillée en un ensemble de métiers (Niveau 2), puis ventilée en un groupe d'activités (Niveau 3).

1) Financement d'entreprises: cette ligne contient les activités suivantes : Financement des entreprises, Financement collectivités locales/administration publique, Banque d'affaires ainsi que l'activité de Service & conseil. Groupe d'activités: Fusions-acquisitions, engagement, privatisations, titrisation, titres de dette, actions, prêts consortiaux, introductions en Bourse, placements sur le marché secondaire. 23

2) Négociation et vente: concerne les Ventes, Tenue de marché, Positions pour compte propre, Trésorerie. Groupe d'activités : Valeurs à revenu fixe, actions, changes, matières premières, crédit, financement, titres sur position propre, prêts et pensions, courtage, titres de dette, courtage de premier rang. NB: Pour cette ligne d'activité, le revenu brut se compose des profits/pertes sur les instruments détenus à des fins de négociation (portefeuille évalué aux prix du marché) en termes nets du coût de financement, plus les commissions de courtage de gros.

3- Banque de détail: Les activités intégrées dans cette ligne sont: - Banque de détail: elle a pour groupe d'activités les Prêts et dépôts, services bancaires, fiducie et gestion de patrimoine. - Banque privée: concerne les Prêts et dépôts, services bancaires, fiducie et gestion de patrimoine, conseils en placement. - Cartes : regroupe les Cartes de commerçant, d’entreprise, de clientèle...etc. NB: Le revenu brut de l’activité de banque de détail est constitué du produit net des intérêts sur les prêts et avances aux particuliers et aux PME assimilées à la clientèle de détail, et les commissions liées à l’activité de détail traditionnelle, le revenu net des swaps et dérivés détenus pour couvrir le portefeuille bancaire de détail et le revenu procuré par les acquisitions de créances sur la clientèle de détail.

4) Banque commerciale: C'est une ligne à part entière (elle n'est pas détaillée en métiers). Groupe d'activités: Financement de projets, immobilier, financement d'exportations et de commerce, affacturage (factoring), crédit bail, prêts, garanties, lettres de change. NB: Le revenu brut de l’activité de banque commerciale comprend le produit net des intérêts sur les prêts et avances aux entreprises (et aux PME assimilées), aux autres banques et emprunteurs souverains, en plus des commissions liées aux engagements, garanties, lettres de change, produit net (coupons et dividendes) sur les titres du portefeuille bancaire et les profits/pertes sur swaps et dérivés destinés à couvrir le portefeuille bancaire commercial.

5) Paiements et règlements: Elle concerne uniquement la clientèle externe (qui n'est pas domiciliée chez elle), et les opérations de règlement effectuées avec des confrères de la place financière comme les opérations de compensation. Groupes d'activité: Paiements, recouvrements, transfert de fonds, compensation et règlement. NB: Les pertes subies au titre des paiements et règlements par une banque dans le cadre de ses activités pour compte propre sont à intégrer dans les antécédents de pertes de la ligne de métier concernée 24

6) Fonction d'agent: Dans cette ligne sont intégrées les activités suivantes : - La conservation: Dépôts fiduciaires, certificats de titres en dépôt, prêts de titres (clients), opérations de sociétés. - Prestation d'agent aux entreprises. - Services de fiducie aux entreprises.

7) Gestion d'actifs: elle représente la gestion de patrimoine pour le compte de tiers, et comprend la gestion de portefeuille discrétionnaire, celle du portefeuille non discrétionnaire :

8) Courtage de détail: Elle concerne l'exécution des ordres (vente et achat d'actifs), et le service complet. La banque dans ce cas n'intervient que sous forme de courtier. NB: S’agissant de cette ligne de métier, le revenu brut est constitué principalement par les commissions nettes perçues. Remarques: La répartition en lignes de métiers (le mapping) doit respecter un certain nombre de principes dont les suivants: - Toutes les activités doivent être réparties entre les huit lignes d'activité; des procédures doivent être en place pour définir la ventilation de tout élément nouveau (activité ou produit). -Les activités auxiliaires sont objectivement affectées à une ou à plusieurs lignes-métier. - Une banque peut utiliser une méthode interne de tarification pour répartir le revenu brut entre les lignes-métier, à condition que le revenu brut total soit intégralement réparti entre ces lignes. Ce processus de ventilation doit faire l’objet d’un audit indépendant.

II - CLASSIFICATION

DES RISQUES PAR TYPES D’EVENEMENTS

Pour pouvoir mesurer le risque opérationnel, on part des effets directement observables que sont les pertes, pour remonter aux causes, qui se manifestent sous forme d'événements particuliers dont la typologie a été dressée par le Comité de Bâle dans son document consultatif. Ces grandes catégories de risques opérationnels sont au nombre de sept (7): fraude interne; fraude externe; insuffisance de pratiques en matière d’emploi et sécurité sur le lieu de travail; négligence non délibérée des règles clients, produits, et pratiques commerciales; dommages aux actifs corporels; arrêt accidentel de l'activité, et dysfonctionnement des systèmes; dysfonctionnement des processus de traitement (exécution, livraison, produit fini). Dans le document consultatif, chaque catégorie d'événement (Niveau 1) est définie, puis déclinée en sous-catégories (Niveau 2). Enfin, des exemples concrets ont été donnés pour chacune de sous-catégorie d'événement (Niveau 3).

25

1) Fraude interne: Perte due à des actes de fraudes ayant pour but de détourner des biens ou de contourner la loi, la réglementation ou le règlement intérieur et qui impliquent au moins une personne de la société. Cette catégorie est déclinée en deux sous catégories : -Activité non autorisée : Transactions non notifiées (intentionnellement), transactions de type non autorisé (avec perte financière), évaluation (intentionnellement) inexacte d’une position. -Vol et fraude: absence de provision, Vol/extorsion/détournement de fonds, vol qualifié, détournement ou destruction malveillante d’actifs, contrefaçon de documents, falsification de chèques, trafic de devises, usurpation (de compte, d’identité...etc.), fraude fiscale (délibérée), corruption et commissions occultes...

2) Fraude externe: Pertes liées à des actes de tiers visant à commettre une fraude ou un détournement d'actif, ou à enfreindre ou contourner la loi. Elle se subdivise en: -Vol et fraude : Vol qualifié, contrefaçon de documents, falsification de chèques.... -Sécurité des systèmes: Dommages dus au piratage informatique, vol d’informations ...

3) Pratiques en matière d’emploi et sécurité sur le lieu de travail: Perte résultant d’actes non conformes à la législation ou aux conventions relatives à l’emploi, la santé ou la sécurité, de demandes d’indemnisation au titre d’un dommage personnel ou d’atteintes à l’égalité, actes de discrimination. Cette catégorie contient trois sous-catégories : -Relations de travail : Questions liées aux rémunérations et aux avantages, à la résiliation du contrat de travail, activité syndicale...etc. -Sécurité du lieu de travail: Responsabilité civile (chute, accidents...), événements liés à la réglementation sur la santé et la sécurité du personnel, indemnisation du personnel. -Égalité des droits et discrimination : Tous types de discrimination.

4) Négligence non délibérée des règles clients, produits, et pratiques commerciales Pertes résultant d’un manquement, non intentionnel ou dû à la négligence d'une obligation professionnelle envers les clients ou la nature ou conception d’un produit: -Conformité, devoir d’information et devoir fiduciaire: Violation du devoir fiduciaire, atteinte à la vie privée, utilisation abusive d’informations confidentielles...etc. -Pratiques commerciales ou de marché incorrectes : Manipulation du marché, délit d’initié (au nom d’une entreprise), activité non conforme à l’agrément, blanchiment d’argent... -Défauts d’un produit : Vices de conception ou non-respect des contraintes administratives ou commerciales (absence d’autorisation ou de licence...), erreurs de modélisation...etc. -Sélection, promotion et exposition au risque : Insuffisance de l’analyse des dossiers clientèle, dépassement des limites d’exposition par client... -Services de conseil: Litiges concernant la qualité des prestations de conseil. 26

5) Dommages aux actifs corporels : Pertes résultant des dommages causés aux biens corporels en raison de catastrophes naturelles ou d’autres évènements. Exemples: séismes, cyclone, actes de vandalisme et de sabotage, terrorisme...

6) Arrêt accidentel de l'activité, et dysfonctionnement des systèmes: Pertes liées à une interruption de l'activité, aux dysfonctionnements d'un système d'information ou autres. Exemples : Panne d’ordinateur, problème de logiciel, télécommunications...

7) Exécution, Livraison, Gestion des processus : Pertes résultant de la défaillance des processus industriels ou des relations avec les contreparties ou les fournisseurs. Les souscatégories sont au nombre de sept: -Saisie, exécution et suivi des transactions: Difficultés de communication, erreurs dans la saisie ou le suivi, non-respect de délais ou d’obligations, erreurs de manipulation du modèle ou système, erreurs comptables, fautes dans la gestion des sûretés, autres erreurs d’exécution. -Surveillance et information financière: Manquement aux obligations d’information financière, inexactitudes dans les rapports externes (entraînant des pertes)...etc. - Acceptation et documentation clientèle: Absence d’autorisation par le client ou absence de déni de responsabilité, pièces justificatives absentes ou incomplètes... -Gestion des comptes clients: Accès non autorisé aux comptes, données clients incorrectes (entraînant des pertes), actifs clients perdus ou endommagés par négligence. -Contreparties commerciales : Prestations inadéquates à une contrepartie professionnelle, litiges divers avec une contrepartie professionnelle. -Fournisseurs : litiges commerciaux avec les fournisseurs et les sous-traitants.

III- AUTRES CLASSIFICATION: Une lecture rapide de la typologie d'événements pourrait laisser croire qu'ils sont regroupés dans des catégories figées et standards. En fait, il n'en est de rien, ces apports du régulateur permettent de définir une nomenclature qui doit servir de base de réflexion pour la constitution d'une classification propre à chaque établissement, ou groupe de banques. La classification proposée par le Comité de Bâle ne se substitue donc pas à une classification basée sur un référentiel commun (benchmark), visant à faciliter la communication externe de la banque, à mieux cerner ses risques, et permettant de cadrer le référentiel interne au référentiel règlementaire pour pouvoir répondre aux besoins déclaratifs. A titre d'exemple, la classification en vigueur dans le Groupe Société Générale (qui est aussi celle proposée par L'ABEF 1 pour les banques en Algérie) considère huit (08) catégories de risques, chacune est déclinée en un ou plusieurs sous-catégories mutuellement exclusives : 1

ABEF: Association des Banques et Etablissements Financiers

27

1-Litiges commerciaux : Litiges sur activités de conseil, pratiques commerciales inappropriées inadéquation des produits proposés, insuffisance du service au client, autres litiges avec un tiers, contrat ou clauses contractuelles inapplicables. 2- Litiges avec les autorités : comprend le non-respect de la loi bancaire, des lois contre la discrimination, de la réglementation du travail, des lois sur l’environnement, des règles de fonctionnement des marchés organisés, des normes de sécurité et de santé, d’autres lois, des exigences réglementaires locales, des exigences comptables ou de la communication financière de la législation fiscale, ainsi que le blanchiment d’argent et financement du terrorisme. Autrement dit, tout manquement à une réglementation ou loi commune. 3- Erreurs de "Pricing" ou d'évaluation du risque: Défaillance dans le dispositif de gestion et de suivi des autorisations et des limites, évaluation incorrecte ou inexistante de la position, données de marché et informations publiques fausses ou insuffisantes, modèle de calcul de prix ou de valorisation erroné. 4- Erreurs d’exécution : Défaillance dans le processus de livraison et/ou de règlement de la banque, dans les processus de gestion des confirmations d’opérations, dans la gestion administrative d’une opération jusqu’à son échéance, erreurs dans la transmission, la saisie ou la compréhension d’une instruction, absence ou inexactitude des données nécessaires à la gestion des activités, absence ou inexactitude des rapports d’erreur dans les chaînes informatiques, structure organisationnelle inadéquate ou faiblesse de l’environnement de contrôle, défaillance dans la conservation pour compte de tiers de documents ou valeurs, défaillances sur services rendus par des sous-traitants, défauts de rapprochement, ainsi que l'accès laissé par la banque aux comptes d’un client sans l’accord de ce dernier. 5- Fraude et autres activités criminelles : Piratage informatique et autres attaques malveillantes des systèmes d'information de la banque par des tiers, autre forme d’actes criminels contre les actifs de la banque, vols/escroqueries /fraudes commis par des tiers, vols par le personnel ou des prestataires internes, fraude sur des transactions par le personnel ou avec sa complicité, utilisation non autorisée ou à mauvais escient d’information privilégiée et confidentielle par le personnel. 6- Activités non autorisées sur les marchés (Rogue trading): Activités non autorisées sur les marchés par le personnel 7- Pertes des moyens d’exploitation: Défaut de personnel, pertes des donnés, pertes des moyens d’exploitation, et la perte de services. 8- Défaillance des systèmes d’information: Défaillance de matériel, données incohérentes ou incompatibles, mauvaise gestion de projet, défaillance des softwares, faiblesse de la sécurité logique (informatique), et enfin la faiblesse de la sécurité physique. 28

CONCLUSION La réforme Bâle II du ratio de solvabilité bancaire s'inscrit dans une démarche mondiale de réglementation, dont l’objectif premier est de prévenir les faillites des banques. Cette réforme repose sur la quantification de la relation entre risques et fonds propres, ces derniers représentant le moyen ultime permettant de faire face à des pertes importantes. En pratique, il s’agit de respecter un ratio réglementaire entre fonds propres et actifs pondérés par leur niveau de risque. Mais cette réforme va plus loin : elle s'attaque au processus métier d'évaluation et de gestion des risques, dans une perspective qualité. Au-delà de la dimension financière qui est le calcul des fonds propres à allouer, Bâle II prend en compte et place ses exigences sur les systèmes de notation et de surveillance: Le nouvel accord a été structuré en trois volets appelés "piliers": - Le premier pilier est articulé sur le fait que les établissements devront disposer d'un montant de fonds propres au moins égal à la somme des montants calculés selon l’une des méthodes proposées pour chacune des catégories de risques : Risques de Crédit, Risques de Marché, et Risques Opérationnels, - Le second pilier confère aux autorités de contrôle des pouvoirs renforcés, et leur permet en particulier d'imposer, au cas par cas, des exigences de fonds propres supérieures à celles résultant de la méthode utilisée, - Le troisième et dernier pilier soumet les établissements à la « discipline de marché », et les incite à publier des informations très complètes sur la nature, le volume et les méthodes de gestion de leurs risques ainsi que sur l'adéquation de leurs fonds propres. Concernant la classification des risques opérationnels, le Comité de Bâle a proposé une nomenclature composée des sept risques majeurs auxquels la banque peut être confrontée, et a donné une décomposition de la banque en huit lignes-métier, reprenant l'ensemble des processus composant son activité. Cependant, le comité n'impose pas à toutes les banques de prendre cette nomenclature telle qu'elle est, mais il leur recommande juste de s'y référer pour mettre en place une nomenclature personnalisée, pour vue que cette dernière soit exhaustive et suffisamment justifiée. En effet, chaque établissement possède ses propres spécificités du fait de son passé, des choix stratégiques réalisés, de son choix d'organisation, de ses systèmes d'information, des lignes de métier existantes et de la typologie de ses clients. C'est pour cette raison qu'il doit disposer d'un référentiel mieux adapté à ses spécificités, et plus facile à faire accepter à tous les niveaux de l'organisme. 29

Chapitre II : Détermination des exigences en fonds propres et mesure du risque opérationnel

30

CHAPITRE II : DETERMINATION DES EXIGENCES EN FONDS PROPRES ET MESURE DU RISQUE OPERATIONNEL Dans le nouvel accord de Bâle, les banques ont le choix entre trois approches pour calculer les exigences de fonds propres au titre du risque opérationnel: -La première et la plus simple est l’Approche par Indicateur de Base (les fonds propres correspondent ici à 15% du produit brut annuel moyen atteint pendant trois ans); - la seconde est l’approche standardisée (elle se base -elle aussi- sur le produit brut, mais, à la différence de la formule simple, les exigences de fonds propres sont calculées d’après la somme des produits bruts atteints par les différents secteurs d’activité de la banque et pondérés de facteurs spécifiques); -la troisième approche (Approche par les Mesures Avancées), quand à elle, incite les banques à appliquer leurs propres méthodes d’évaluation du risque opérationnel, afin de déterminer un montant de capital pour sa couverture sur la base d'une estimation réelle du risque et de sa couverture. Dans le présent chapitre, nous allons passer en revue ces trois approches, avec leurs différents avantages et limites, tout en se focalisant sur la méthode AMA, car l'accord de Bâle II veut justement inciter les grandes banques ou celles qui déploient une activité internationale à mettre en œuvre cette dernière approche. Le deuxième volet de ce chapitre sera consacré -quant à lui- à la problématique de l'identification des risques opérationnels auxquels la banque est exposée (élaboration de la cartographie des risques), et à celle de la mesure (quantification) de ces risques, et les différentes techniques proposées par le Comité de Bâle à ce sujet, à savoir: la méthode des Scorecards, la méthode des données de pertes internes (données historiques), et la méthode de l'analyse des scénarios. L'un des plus grands défis pour chaque banque réside dans la capacité à intégrer aux données de pertes internes (issues de ses propres bases de données), les données du reste de l'industrie financière (données externes), et les données relatives aux pertes extrêmes (événement rares mais à fort impact) afin d'obtenir une distribution de perte robuste et qui rend le mieux compte des pertes et des risques réellement encourus.

31

SECTION 1: APPROCHE PAR INDICATEUR DE BASE (B.I.A) C'est celle que devraient normalement retenir les plus petites banques. Elle est simple, voire fruste, en ce qu'elle n'intègre aucun raffinement du type "indicateur de pertes", mais se borne à constituer des fonds propres contre les risques opérationnels sur un mode forfaitaire. En effet, le facteur d'exposition sur lequel elle repose est le PNB, assorti d'un facteur de pondération "α" dont le calibrage est fixé par le Comité de Bâle à 15%. "Les banques appliquant l’approche Indicateur de Base doivent, au titre du risque opérationnel, détenir des fonds propres correspondant à la moyenne sur les trois dernières années d’un pourcentage fixe (α) de leur produit annuel brut moyen positif. Pour calculer la moyenne, il convient d’exclure les chiffres d’une année pour laquelle le produit annuel brut est négatif ou égal à zéro du numérateur et du dénominateur." 1 (Autrement dit, on ne retient au numérateur que les Produits Annuels (PB) positifs -parmi ceux des trois dernières années-, et au dénominateur que le nombre d’années, sur les trois écoulées, ayant un PB positif).

K IB = [ Σ PBi x α ] / n

i= 1...n

Où: - K IB est l'exigence de fonds propres selon l’approche indicateur de base. - n: nombre d’années, sur les trois écoulées, pour lesquelles le produit annuel est positif. - PB i : produit annuel brut, s’il est positif, sur les trois années écoulées. Selon le Comité de Bâle, le PB (Produit Annuel Brut) correspond aux produits d’intérêts nets et autres produits d’exploitation. Il est calculé : - brut de toutes les provisions (pour intérêts impayés, par exemple) ; - brut des frais d’exploitation ; -net des plus ou moins-values réalisées sur cessions de titres du portefeuille bancaire; -net des éléments exceptionnels ou inhabituels et produits des activités d’assurance. Pour l'Approche BIA, aucun critère d’éligibilité (critère imposé par le régulateur pour valider la mesure du capital donnée par cette approche) n’est exigé. Les banques qui utiliseraient une telle méthode sont juste encouragées par le Comité de Bâle à appliquer le "guide des bonnes pratiques relatives à la gestion et à la Supervision des Risques Opérationnels", ou "Sound Practices" publié par le Comité en Février 2003. Néanmoins, il n’est pas question pour autant que le régulateur autorise les banques présentes sur la scène financière internationale (les grandes banques) à utiliser une approche aussi grossière. Car ce mode de calcul pose évidemment problème en pénalisant les banques profitables d’une part, et en n’incitant pas à la maîtrise des risques d’autre part. 1

Comité de Bâle sur le Contrôle Bancaire, Convergence internationale de la mesure et des normes de fonds propres (Dispositif révisé, Version compilée), Juin 2006.

32

SECTION 2: APPROCHE STANDARDISÉE (S.A) Dans cette approche, les activités de la banque sont réparties en huit (08) lignes de métier (Business Lines) qui ont été décrites en détail dans notre mémoire (3ème Section du 1er Chapitre). Le capital de couverture est calculé pour chacune de ces lignes d'activité, et la couverture globale qui doit être constituée par la banque au titre du risque opérationnel est simplement la somme de capitaux calculés pour les différentes "Business Lines", pondérés par des facteurs spécifiques β i):

FP SA = Σ FPi = Σ βi X PBi i = 1...8 En général, l'indicateur retenu pour toutes les lignes de métiers est le PNB. Cependant, le Comité de Bâle autorise quelques banques à prendre des indicateurs différents pour les différentes lignes (par exemple: l'indicateur retenu pour la gestion d'actifs peut être le montant des fonds en gestion). Cette dernière approche s'appelle "Alternative Standardised Approach". Lorsque l'indicateur retenu est le revenu brut, les facteurs βi déduits de l'étude statistique des données de la QIS2 (Quantitative Impact Study) réalisée par le Comité de Bâle sur un groupe de banques en 2002 sont représentés dans le tableau suivant : Ligne de métier Finance d'entreprise Trading et vente Banque de détail Banque commerciale Payement et règlements Services d'agence Gestion d'actifs Courtage de détail

Facteur βi

Taux

Moyenne

Médiane

β1 β2 β3 β4 β5 β6 β7 β8

18% 18% 12% 15% 18% 15% 12% 12%

0.236 0.241 0.127 0.169 0.203 0.232 0.185 0.149

0.131 0.171 0.125 0.132 0.208 0.174 0.133 0.113

Tableau N°1: Facteurs de pondération relatifs aux PNB des lignes-métier dans une Approche Standardisée Source: E. LAMARQUE, Management de la banque, Edition PEARSON-Education France, Paris, 2005, p. 90 In : QIS2 réalisé par le comité de Bâle.

Comparée à l'Approche Basique, l'utilisation de l'Approche Standardisée devrait générer un capital économique moins important: le Comité de Bâle indique que l’objectif de la charge en capital est de 12% au lieu des 15% données par la méthode de l'Indicateur de base. Ce gain potentiel en capital est donc un encouragement pour les banques utilisant l'approche Basique à se doter de dispositif permettant l'utilisation de la Méthode Standardisée. 33

CRITERES D'ELIGIBILITE POUR L'APPROCHE STANDARD : Contrairement à l'approche BIA, cette approche (Standardisée) nécessite des critères d'éligibilité concernant la qualité du système de gestion du risque et le suivi des données de perte internes: a- Critères généraux : ¾ Le Comité de Direction et de Management doivent être activement impliqués dan la perspective de gestion du risque opérationnel. ¾ La banque doit se doter d'un dispositif de management du risque opérationnel adapté et implémenté (autrement dit: ce système de gestion doit être apparent et non intégré dans le dispositif de contrôle interne par exemple) . ¾ Des ressources suffisantes doivent être consacrées à la gestion des risques opérationnels (comme dans le cas des services d'audit et du contrôle interne). b- Critères qualitatifs : ¾ Le dispositif de gestion des risques opérationnels dans la banque doit définir des responsabilités claires concernant le développement d'une stratégie afin d'identifier, évaluer, gérer, et contrôler les risques existants. ¾ Le risque opérationnel doit faire partie intégralement du dispositif de gestion du profil de risque de la banque. Cette dernière doit systématiquement collecter des informations concernant le risque opérationnel, y compris les données de pertes par lignes de métiers. Ces informations doivent intégrer les reportings de suivi des risques, et la banque doit mettre en place des dispositifs et des techniques pour améliorer le management de ces risques au sein des différentes structures. ¾ Des rapports (reportings) réguliers sur les expositions au risque (incluant les données de pertes) doivent être diffusés au management et au comité de direction. ¾ Le dispositif de contrôle des risques opérationnels doit être dûment documenté. Il doit faire l'objet d'une validation indépendante régulière, tant au niveau opérationnel (unités opérationnelles) qu'à celui du management (Direction). ¾ Le dispositif d'évaluation des risques opérationnels doit faire l'objet de contrôles réguliers de la part de l'autorité de tutelle et/ou des auditeurs externes. Ces critères d'agrément sont une incitation claire pour les banques ayant opté pour la Méthode Standardisée à se doter de moyens et dispositifs permettant un passage rapide aux Méthodes Avancées (AMA). 34

SECTION 3: APPROCHE PAR LES METHODES AVANCEES (A.M.A) Le Comité de Bâle propose plusieurs alternatives au sein Des mesures AMA : une méthode basée sur des paramètres internes (Internal Measurement Approach ou IMA), la méthode Scorecard, l’analyse de scénarios ou sbAMA (Scenario-based AMA), et enfin, la méthode LDA (Loss Distribution Approach), la plus sophistiquée sur le plan technique. La pratique de chacune de ces méthodes est soumise au respect d’un ensemble de critères qualitatifs, notamment en termes d’évaluation du risque opérationnel et de procédure de collecte des données de perte: C’est là leur dénominateur commun. Sur le fonds, la différence concerne essentiellement le type d’information privilégié dans le calcul du capital réglementaire. La méthode LDA s’appuie sur un historique de données de perte, tandis que la méthode des scénarii cherche à définir des scénarios prospectifs.

CRITERES D'ELIGIBILITE POUR LES METHODES AVANCEES : Pour pouvoir utiliser une méthode AMA, la banque devra satisfaire de nombreux critères d'éligibilité. Notons d'abord que la charge en capital calculée avec une méthode AMA ne peut être inférieure à celle donnée par la méthode SA de plus de 25% : FPAMA ≥ 3/4 FPSA Les critères généraux cités précédemment (dans le cadre de l'Approche Standardisée) sont valables et exigibles aussi pour les Méthodes Avancées (AMA). Néanmoins, il existe des critères qualitatifs et quantitatifs propres à ces dernières : a- Critères qualitatifs : ¾ La banque doit disposer d'une fonction de Gestion du risque opérationnel indépendante, elle sera responsable de la définition et de la mise eu œuvre du dispositif de gestion de ces risques (politiques et procédures concernant le contrôle des risques, définition des reportings, des méthodologies de mesure, stratégie d'identification, de quantification, de gestion et de contrôle des risques opérationnels. ¾ Le système de mesure doit intégrer les processus quotidiens de la banque, les informations collectées doivent jouer un rôle primordial dans les reportings de gestion des risques et l'allocation du capital. A cet effet, la banque doit disposer de techniques d'allocation de capitaux aux principales lignes de métiers. ¾ Des reportings réguliers sur les expositions au risque (incluant les données de pertes) doivent être diffusés au management et au comité de direction. La banque doit ainsi disposer de procédures écrites pour prendre les mesures nécessaires aux reportings. ¾ Le dispositif de contrôle des risques opérationnels doit faire l'objet d'une validation indépendante régulière au niveau opérationnel et à celui du management. 35

¾ La validation (obligatoire) du dispositif de mesure des risques par les auditeurs externes et/ou autorités de tutelles doivent comprendre : une vérification du fonctionnement du dispositif interne d'une manière appropriée, et une vérification de l'auditabilité des flux de données collectées, y compris l'accès aisé aux spécificités techniques et aux paramètres des systèmes de collecte d'information. b- Critères quantitatifs : Règles Générales : Elles sont valables pour toutes les mesures AMA (Scorecard, données de pertes internes et externes, et scénarii). ¾ En l'absence de spécification quantitative par les autorités, la banque doit être à même de démontrer la qualité de ses mesures et modèles selon les mêmes principes que ceux demandés dans le cadre des approches IRB "Internal Rating Base" pour la surveillance des risques crédit; c'est-à dire prendre en compte une période d'observation d'un an et un intervalle de confiance de 99.9%. ¾ La flexibilité offerte aux banques dans la mise en œuvre des méthodes AMA doit s'accompagner d'une grande rigueur dans les procédures de développement et de validation des modèles internes. Règles détaillées: applicables aux mesures du risque opérationnel élaborées en interne, aux fins du calcul de l’exigence minimale de fonds propres. ¾ Le système interne de mesure du risque opérationnel doit couvrir la totalité du risque défini par le Comité de Bâle et les types d’événements générateurs de pertes opérationnelles. ¾ La banque doit calculer son exigence de fonds propres en agrégeant les pertes attendues (EL) et les pertes inattendues (UL), sauf si elle peut démontrer que son mode de fonctionnement interne couvre adéquatement (EL). Cela signifie que, si elle veut baser ses exigences minimales de fonds propres réglementaires exclusivement sur les pertes inattendues, la banque doit convaincre son autorité de contrôle qu’elle a mesuré et pris en compte son exposition aux pertes attendues. ¾ L'exhaustivité des mesures du risque doit être suffisante pour appréhender les principales sources de risque opérationnel affectant la distribution des pertes. ¾ Dans le calcul des exigences de fonds propres réglementaires, les estimations individuelles des divers types de risque opérationnel doivent être additionnées. La banque peut toutefois être autorisée à appliquer des coefficients de corrélation déterminés en interne entre ces estimations individuelles, à condition de démontrer à son autorité de contrôle que ses systèmes de détermination des coefficients de 36

corrélation sont rationnels. Les hypothèses de corrélations doivent être validées par la banque à l’aide de techniques quantitatives et qualitatives appropriées. ¾ Tout système de mesure doit prendre en compte des critères clés (bien détaillés dans les accords de Bâle) pour satisfaire au niveau de précision exigé par les autorités. Ceci comprend l'utilisation des données internes, des données externes pertinentes, et des données issues de l'analyse des scénarios. Pour l'utilisation des données internes : - La collecte de données internes (crédibles) est un préalable pour modéliser les pertes; - Une banque doit disposer de procédures de collecte pour justifier la pertinence des données; - Pour déterminer les exigences en FP, la banque doit se baser sur une période d'observation des données historiques de cinq (5) ans (cette période est de trois ans si la banque vient de commencer l'utilisation de la méthode des données de pertes). - les données doivent répondre aux critères suivants : • Toutes les données doivent être affectées aux "lignes de métier" et aux "événements de risque" pour pouvoir les adresser aux autorités. • Les données doivent être collectées de toutes les structures et de tous les processus de la banque. En cas d'exclusion d'une activité ou d'une structure, la banque doit justifier l'absence de l'impacte de cette exclusion. • Un niveau minimum de perte à enregistrer pour alimenter la base doit être défini (exemple: 1000 € ou 1000000 DZD). • Des critères spécifiques d'affectation doivent être définis par la banque pour les événements survenus dans une structure ayant plus d'une "ligne de métier". Pour les données externes : -Une banque doit disposer de procédures pour identifier les situations dans lesquelles elle aura recours aux données externes, et leur mode d'intégration (seuil, ajustements qualitatifs...). - L'utilisation de données externes doit être régulièrement revue, bien documentées, et faire l'objet d'audits indépendants et réguliers. Pour les données des scénarios : ¾ Les scénarios utilisés par les banques doivent être conçus avec des experts en cohérence avec les données externes; ¾ Les scénarios pourront être utilisés pour déterminer l'impacte des événements rares ayant des sévérités très élevées sur la distribution de base (issue des données de pertes internes). 37

SECTION 4 : MESURE DU RISQUE OPERATIONNEL Les techniques de mesure des risques opérationnels s'inscrivent dans le cadre des AMA (Approches par les méthodes avancées) ; c'est justement cela le plus grand avantage de ces méthodes : les fonds propres nécessaires à la couverture des risques opérationnel sont déterminés suite à une véritable mesure et quantification de ces risques, et pas sur la base d'indicateurs globaux, comme les approches Basique et Standard. Avant de mesurer le risque, il est important de le définir et de délimiter son périmètre. La première étape consiste donc à établir une "cartographie de risques" qui doit s'appuyer sur une analyse des processus métiers existants. A cet effet, une segmentation des activités de la banque en processus porteurs de risques est nécessaire. Le découpage se fait non pas en fonction de l'organisation mais en fonction des services offerts, et des événements de pertes possibles. Pour chaque événement de perte possible, on évalue le risque en termes de sévérité (montant) et de fréquence (nombre de fois dans un laps de temps). La cartographie étant réalisée, il est important de mettre en place une base "incidents " dans laquelle on recense les événements de perte au fur et à mesure de leur survenance. C'est à partir de cet historique de pertes qu'il sera possible de quantifier le risque, de le distribuer et d'analyser les impacts de telle ou telle mesure prise pour son atténuation. Trois approches de mesure sont alors possibles: 1- Les approches statistiques : l'approche la plus connue est la LDA "Loss Distribution Approach" ou Approche par la Distribution des Pertes. Elle s'appuie sur l'analyse des données historiques de pertes, qui proviennent de l'établissement (données de pertes internes), ou de sources externes. A la base de cet historique, on calcule deux lois de distribution : Sévérité des pertes et Fréquence des pertes. Ensuite une VaR à 99% est déterminée pour chaque combinaison "ligne de métier / risque" selon un e formule bien élaborée; 2- L'approche Scorecard : Cette méthode consiste à établir pour chaque catégorie de risque une grille d'appréciation fondée à la fois sur des critères qualitatifs et sur des critères quantitatifs. Un "score" est donné aux différents risques associés aux processus; Un "score limite" sera enfin recommandé par la Direction Générale, et devra être atteint dans un délai déterminé. 3- Approche par analyse des scénarii : il s'agit d'interroger les opérationnels et d'obtenir de leur part une évaluation à dire d'expert des niveaux de perte. La construction des scénarii (scénarios) combine l'ensemble des facteurs de risque déterminants, et les estimations de leurs impacts possibles. L'intérêt de cette méthode est de pouvoir capter des événements singuliers (rares) dont les conséquences pourraient être graves pour l'établissement, et qu'une approche statistique basée sur des données historiques aurait du mal à modéliser.

38

1 : CARTOGRAPHIE DES RISQUES OPERATIONNELS : Les banques sont maintenant tenues de mettre en place des outils d'identification et d’analyse des risques opérationnels afin de garantir l’exactitude des estimations et l’accessibilité à l’information (données de pertes, exposition de la banque aux risques ...), et ainsi permettre de mieux protéger les intérêts des actionnaires et des clients. Dans un premier temps, la gestion du risque opérationnel implique l’identification et la mise en place d'une nomenclature des risques existants; après cela viennent l’évaluation, la surveillance, le contrôle et l'atténuation de ces risques. Il est donc nécessaire de développer une solution de traitement et de recensement des risques pouvant être déployée à l’ensemble des activités. La cartographie des risques est un relevé des principaux risques pour lesquels sont et/ou seront mis en place des systèmes de mesure, d'analyse, de surveillance et de maîtrise. (Le risque étant la Possibilité que se produise un événement susceptible d'avoir un impact sur la réalisation des objectifs, se mesure en termes de probabilité et de conséquences).

Démarche d'une Cartographie des risques : "La démarché d'une cartographie consiste à associer à chaque processus modélisé les événements de risques qui peuvent entrainer une perte, en donnant pour chaque couple ainsi recensé une vision des impactes possibles, et le degré de maitrise estimé. Ces travaux d'autoévaluation une fois réalisés permettront d'avoir une bonne vision des risques auxquels est soumis l'établissement et, par conséquent, de sa capacité à y faire face". 1 La cartographie s'appuie donc sur une analyse des processus métier de la banque, à laquelle on croise la typologie des risques opérationnels (Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un service complet à la clientèle). La définition des processus métier répond en premier lieu à un découpage économique de l'activité de la banque, et non un découpage organisationnel. L'identification des processus métier part ainsi des différents services offerts, et identifie les acteurs (qui peuvent appartenir à des entités différentes au sein de l'organisation) et les tâches impliquées dans la fourniture de chaque service. A chaque étape du processus on associe ensuite les incidents susceptibles d'en perturber le déroulement et d'entraîner la non réalisation des objectifs fixés (en termes de résultat concret, ou de délais). Pour chaque événement, le risque est évalué par rapport à : - La probabilité d'occurrence (de survenance), appelée "fréquence". - Perte encourue en cas de réalisation, appelée "sévérité". 1

C. JIMENEZ & P.MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS, Paris, 2004, page 34.

39

Les étapes de la démarche globale d'une cartographie sont les suivantes: 1- Représenter les processus d'activités et risques associés (définition exhaustive de tout les événements à risque); 2- Identifier et évaluer les risques bruts (avant toute mesure d'atténuation ou de couverture). 3- Apprécier le dispositif de contrôle (maitrise) des risques, et évaluer le risque net. 4- Etablir une nomenclature des risques résiduels (en intégrant le dispositif de contrôle). a- Représentation des processus d'activités et risques associés : C'est la première étape, elle consiste à dresser un récapitulatif des différents risques opérationnels qui touchent les services de la banque et causent des pertes. Elle commence par la décomposition de la banque en ses lignes de métiers et différents processus. Sur cette base, en y associant les événements de risque, il sera possible de réaliser une autoévaluation des risques intrinsèques ou bruts. Exemple: Association de risques à un processus de la banque : prenons le cas du Processus d'octroi de crédit immobilier de l'activité banque de détail.

1 - Montage du dossier de crédit & Collecte des pièces

2- Etude du dossier & Décision d'octroi de crédit

1. a- le client ne mentionne pas toutes les informations. 1. b - certaines pièces sont des faux. 1. c - perte d'une ou plusieurs pièces...

2. a - Erreur d'appréciation du dossier ou du risque. 2. b - Falsification de signature lors de la décision d'octroi 2. c - complicité avec le client.

3-Signature du contrat et de l'échéancier de remboursement. 3. a- le client conteste les particularités du crédit et poursuit la banque pour défaut de conseil. 3. b - l'échéancier de remboursement est inadéquat...etc.

4 - Prise (collecte) des garanties et réalisation 4. a - Erreur du notaire et invalidité des actes. 4. b - Falsification des actes de garanties par le client...etc.

b- Identification et évaluation des risques bruts : L'identification va porter sur l'impacte (financier et/ou d'image) et la fréquence des événements retenus. Il s'agit là d'une cotation subjective des risques, car le poids de chaque facteur est attribué par chacun des responsables des activités en fonction de sa propre perception de ce risque, de l’importance qu’il lui accorde, et non d’un historique, qui nous aurait renseignés sur la fréquence de la survenance du risque et de son impact financier sur l’activité considéré. Des règles objectives d'évaluation d'impacte doivent être fixées pour obtenir un référentiel homogène : un exemple de règles est donné dans le tableau ci-après : 40

Impacte Critère Critère d'impact financier : Charge financière (perte ou manque à gagner).

Très faible Inférieure à 10000 €

Faible

Moyen

Fort

Entre Entre 10000 € 100000 € et et 100000 € 500000 €

Supérieure à 500000 €

Risques de Risques de Pas de Pourrait perte perte de Impact sur les tiers (agences de conséquences entrainer des d'image et de clients ou induites. réclamations. notation, clients, actionnaires) confiance partenaires. Critère d'impact d'image:

Critères de fréquence ou d'occurrence: Nombre d'événements par an

Inférieur à 10

Entre 10 et 100

Entre 100 et 1000

Supérieur à 1000

Tableau N°2 : Exemple de critères d'appréciation objectifs des risques bruts Dans cette phase (estimation des risques bruts), il est important de recenser tous les risques existants, même si l'on estime qu'ils sont couverts par un dispositif de contrôle ou de maitrise approprié. L'exhaustivité est donc l'un des objectifs majeurs de cette étape. c- Appréciation du dispositif de maitrise et évaluation du risque net : Après avoir recensé tous les risques potentiels, il est nécessaire d'apprécier les mesures existantes (qui auraient un impact réducteur), et d'essayer de mesurer cette réduction. A cette étape seront estimés donc les dispositifs de contrôle et organisationnels, les outils de suivi de l'activité, ainsi que les éléments de réduction ou de transfert de risque. Et comme l'on se situe dans une démarche d'autoévaluation, ce sont les opérationnels eux-mêmes qui vont porter un jugement sur ce dispositif. Donc, la constatation de risques peu ou mal maitrisés à ce stade ne doit pas entrainer une sanction pour les opérationnels chargés du processus en question, et cela dans le but d'avoir une vision la plus réaliste et sincère. Pour chaque risque, on appréciera le dispositif de maitrise à l'aide de critères jugés pertinents : Appréciation

Très faible

Faible

Moyens de contrôle mis en œuvre

Moyen

Fort

X

Efficacité du dispositif

X

Pertinence du dispositif

X

Fréquence de contrôle

X

Tableau N°3 : Tableau d'appréciation du dispositif de maitrise du risque. NB: il est utile de distinguer entre le risque net avant transfert (assurance, garantie, clauses contractuelles) et le risque net après transfert. Ce qui permettrait d'évaluer les apports du dispositif de maitrise interne et puis les éléments de maitrise externe. 41

d- Classification des risques: Le risque net, une fois évalué (en termes de fréquence et d'impact), une nouvelle nomenclature sera établie. Elle sert à déterminer (au cas par cas) si le risque, qui subsiste toujours malgré la mise en place du dispositif de contrôle et des actions préventives, est acceptable ou nécessite d'autres mesures complémentaires de réduction. Le graphique suivant permet de positionner les différents risques grâce au couple "impact/fréquence" dans des zones précises, qui nécessitent des mesures particulières : Fréquence/ Probabilité

Dans cette partie, les risques doivent être impérativement maîtrisés

contrôle actif

Surveillance attentive Contrôle ponctuel

En raison de la faiblesse de leur probabilité et de leur impact, ces risques ne doivent être contrôlés que périodiquement

En raison de leur nature, ces risques doivent être attentivement surveillés.

Couts/Impact

Figure n° 2 : Zones de risques et fréquence des contrôles Source : Global Association for Risk Professionnels.

Cette étape permet donc d'identifier les risques majeurs susceptibles de mettre gravement en péril l'activité, et qui ne sont pas encore maitrisés. En résumé, La cartographie, reflétant la vision la plus détaillée des risques dont la Direction souhaite disposer au plus haut niveau, doit permettre d'établir des synthèses relatives à toutes les activités, et à ce titre doit être établie par un département central de suivi des risques. Par contre pour être réaliste et utile, l'analyse des processus métier et des risques encourus doit être confiée aux opérationnels concernés. Enfin la cartographie ne saurait être complète que si elle s'accompagne de l'identification des Facteurs Clés de Risque "KRI ou key risk indicators": ce sont les éléments quantitatifs susceptibles d'augmenter la probabilité de réalisation d'un événement de perte: nombre d'opérations traitées, taux d'absentéisme ...etc. Cette notion constitue le fondement de la méthode dite des "Scorecard", qui fera l'objet de la prochaine section. 42

2 : MESURE DU RISQUE OPERATIONNEL PAR LA METHODE SCORECARD: Cette méthode s'apparente à un "scoring" appliqué aux différents événements de risques opérationnels associés aux lignes de métiers (business lines). " Le score est attribué principalement à dire d'expert, ce qui en fait une méthode essentiellement qualitative, qui se base sur la qualité du contrôle interne et des mesures de prévention mises en œuvre." 1 . a- Définition des éléments influençant le score : A partir d'une cartographie des risques opérationnels définie au préalable, on peut déployer une Scorecard en pondérant par des poids standards les facteurs influençant la survenance de chaque risque. Exemple : Prenons comme exemple la Fraude interne. L'un des facteurs de prévention qui sera inévitablement considéré sera la possibilité (pour le personnel ou les étrangers) d'accéder à des locaux dont l'accès est en principe limité. Degré de contrôle d'accès Elevé

Note attribuée 1

Moyen

3

Faible inexistant

6 9

Exemples Bureaux personnels, à cartes d'accès très sécurisées Sécurité assurée par des gardiens, et un système de Vidéosurveillance. Accès avec des clefs (métalliques) Accès non restreint, aucun système de surveillance.

Dans la fonction de Score, une seule note est attribuée à ce critère (degré de contrôle d'accès). Cette note (dans notre exemple 1, 3, 6 ou 9) sera pondérée par un facteur déterminé, et ajoutée à des notes correspondantes à d'autres critères (elles aussi pondérées par des poids spécifiques). La somme de ces notes pondérées (scores) va déterminer un "score final"; c'est ce dernier qui intéresse les décideurs. Ligne de métier : fraude interne Critère d'évaluation Contrôle d'accès Système de rotation du personnel Contrôle hiérarchique ... Kème critère Total

Note (Ni)

poids (Pi)

Score

9 1 6 1 3

0.10 0.25 0.50 0.10 0.05 1 = 100%

0.90 0.25 3.00 0.10 0.15 4.40

Tableau n°4: Calcul du Score final dans la méthode des Scorecards. 1

C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS, Paris, 2004, page 93.

43

Le score final est obtenu en sommant les notes pondérées: S = Σ (Ni x Pi)

, avec Σ Pi= 1

S= (9 * 0.110) + (1 * 0.25) + (6*0.50) + (1 * 0.10) + (3 * 0.05) = 4.40 - Ni représente la note attribuée au critère i - Pi est le poids du critère i dans la fonction Score Remarque: Il est intéressant de remarquer que la somme des pondérations est égale à 1 (100%), car ces pondérations représentent les poids des variables dans la fonction Score, par conséquent, le poids total est de 100%. Pour cet exemple, plus le score est élevé, plus le risque est important. C'et pour cela que l'Organe Exécutif fixe généralement un "Score Limite" qui est un score minimal souhaitable qui doit être atteint dans un délai déterminé.

Score Score minimal cible

4.40

Ce travail sera fait pour les autres catégories de risque, et un score global sera déterminé et comparé à un score minimal cible. b- Particularités de la Méthode Scorecard : -Particulièrement utilisée pour l’allocation des fonds propres entre les différentes lignes métier et/ou entre implantations géographiques, la méthode de scorecards conduit à noter manière synthétique chaque entité d’un groupe et permet d’informer l’organe exécutif, travers d’un tableau de bord rassemblant l’ensemble des scores locaux, sur l’état de mise œuvre de la politique de risques qu’elle a définie dans chaque entité.

de de au en

-La méthode Scorecard a un biais dû au fait qu'elle prétend fonder des calculs parfois extrêmement sophistiqués (des scores très précis) sur des données d'échantillonnage rares, dispersées, et soumises à un nombre d'appréciations subjectives (avis des opérationnels). - Elle fond les estimations sur les événements qui se sont déjà produits, pas sur ceux qui pourraient réellement se produire, et parmi lesquels se trouvent les plus redoutés, ceux qui se produisent rarement mais avec des conséquences lourdes. 44

-La méthode des scorecards offre de ce point de vue une alternative intéressante, puisqu'elle s'appuie non pas sur des données de pertes effectivement constatées, mais sur des indicateurs clés de risque (KRI), qui incorporent donc une vision "a priori" des risques opérationnels. Cette méthode consiste à produire pour chaque catégorie de risques, une grille d'appréciation regroupant des indicateurs quantitatifs: taux de turnover, nombre d'opérations… et qualitatifs: appréciation de la vitesse d'adaptation du personnel à un changement, par exemple. -Des questionnaires sont établis par des équipes d'experts regroupant des spécialistes du risque et des opérationnels de chaque ligne métier. Ces questionnaires englobent les critères qui gouvernent à la fois la probabilité et l'impact potentiel d'un risque. Une fois ces questionnaires établis, on effectue une première évaluation a priori du capital minimum requis au titre du risque opérationnel, qui doit être en principe légèrement surévalué, car par la suite on n'utilisera plus que les scorecards pour estimer le montant global de capital à allouer. Ce capital est ensuite distribué entre toutes les catégories de risques en évaluant, pour chaque ligne métier, l'importance relative de ces différentes catégories. -La répétition de ce processus permet d'évaluer au fil du temps les fonds propres à allouer pour chaque ligne métier. Comme cette évaluation se fait indépendamment des autres lignes métier, il ne s'agit pas d'un jeu à somme nulle: le montant global de capital réglementaire peut diminuer ou augmenter en fonction des scores obtenus, et en fonction des corrélations qui pourraient exister entre les risques d'une ligne de métier et ceux d'une autre. - Cette déclinaison sur la totalité des processus et lignes de métiers présenterait un investissement très lourd (nécessité de mise en place de modèles d'allocation sophistiqués). En contrepartie, le lien avec les pertes réelles n'est pas assuré, du fait du critère subjectif de la méthode, et des données prospectives qu'elle utilise. - Il est aussi utile de préciser que la sensibilité des estimations du risque opérationnel aux variations des facteurs et les pondérations attribuées à ceux-ci est une source de biais et de subjectivité qu'il faut chercher à diminuer autant que possible. Outre les variations du risque liées à l’amélioration du contrôle de celui-ci, la mesure du risque opérationnel doit aussi refléter les aggravations possibles liées à une complexité accrue des processus ou à une augmentation du volume d’activité. Malgré son aspect plus ou moins subjectif, la méthode des scorecards permet d'obtenir un tableau détaillé du profil de risques de l'établissement. Elle permet également d'impliquer les opérationnels dans le suivi des risques, et constitue de ce fait une forte incitation à leur réduction.

45

3 : METHODE DES SCENARIOS : L’analyse de scénarii (sbAMA ou scenario based AMA) est en fait un prolongement de la méthode Scorecard. Le risque y est envisagé comme une combinaison de la sévérité et de la fréquence des pertes potentielles sur une période donnée. Elle est utile surtout pour la modélisation des événements rares. La fréquence potentielle de la perte peut être mesurée en nombre d’occurrences annuelles et la sévérité (potentielle) de la perte en unités monétaires. Exemples: On entend parler d'une perte potentielle de 50 000 euros deux fois par an, une perte potentielle de 15 000 euros quatre fois par an, ou une perte potentielle de 2.5 millions d'euros une fois tous les cent ans. L'analyse des scénarios est déjà largement appliquée aux risques de marché et de crédit. Dans le cas du risque de marché, il s’agit par exemple d’apprécier l’impact d’une hausse potentielle des taux directeurs de 40 points de base sur le PNB futur de la banque, ou l’incidence d’une inversion probable de la courbe des taux sur la valeur du portefeuille de négociation de la banque. Concernant le risque de crédit, on peut par exemple analyser l'effet de la dégradation possible de la notation ou la défaillance pure et simple d'un débiteur. De manière générale, les scénarios sont donc des événements susceptibles de se produire dans l’avenir. Ils sont générés à partir de bases préexistantes de risque en simulant des événements potentiels et leur impacte sur les paramètres de risque : Fréquence (probabilité) et impact (montant de la perte). Concernant le risque opérationnel, les scénarios sont généralement établis sur les facteurs de risque opérationnel au niveau des différentes lignes d'activité de la banque (ex : sécurité des systèmes, saisie, exécution et suivi des transactions...). Le but est alors de tirer de ces scénarios étudiés une information utile. Par exemple : - Quelle est la probabilité qu’une ou plusieurs de ces facteurs de risque fassent défaut sur un intervalle de temps trop restreint? - Quel impact négatif en résulte ? (sur la survie de la banque, son image...) Si la probabilité de survenance d'un sinistre (déduite de l'analyse de ces scénarios) est insignifiante, on considère que la banque n'est pas exposée à un risque opérationnel sérieux. L'utilisation des scénarios pour le risque opérationnel n'est pas bien réputée au milieu des banques. Néanmoins, la démarche de cette méthode est bien proposée par un groupe de banques ("Scénario-based AMA Working Group" ou Groupe de Travail sur les Méthodes avancées) qui a proposé les étapes suivantes, jugées utiles dans cette démarche : 46

a- Génération et choix des scénarios : Les scénarios choisis peuvent concerner toutes les lignes de métiers (ex: Indisponibilité de personnel, rupture de l'alimentation en électricité pour une période plus ou moins longue...), ou être spécifiques à une ligne particulière (ex: rupture de l'interface d'une station de trading pour un cambiste ou un trader pendant une minute: cela est un scénario qui concerne en particulier la ligne d'activité "négociation et vente"). On pourrait distinguer les scénarios de base de ceux de stress : les premiers sont des scénarios facilement réalisables (ont une probabilité forte de réalisation), et les seconds ne sont que très rarement réalisables, et permettent d'analyser l'impacte des événements exceptionnels sur la banque. Cette étape est composée de deux volets : Choix des paramètres, et Documentation. 1 - choix des paramètres : Elle consiste à déterminer pour une structure ou ligne de métier les éléments de risque qui pourraient être retenus comme des paramètres (cela peut être directement déduit de la cartographie). Exemple: Pour l'activité crédit aux particuliers, le nombre d'erreurs du chargé d'études (fréquence d'incidents) est directement lié au nombre de dossiers traités (volume des opérations). Le volume peut donc être tenu comme paramètre pertinent pour le risque d'erreur d'exécution. Des scénarios seront envisagés sur ce paramètre: - Volume standard : 6 dossiers par mois - Volume "scénario 1" : 15 dossiers par mois. - Volume "scénario 2" (stress) : 40 dossiers par mois. Ce travail devrait refait être pour d'autres lignes d'activité, où les paramètres influant sévèrement sur un risque seront simulés, et feront l'objet de scénarios. Le choix de ces paramètres pourrait aussi être issu de l'historique des pertes, ou à l'aide des benchmarks ou références du secteur. 2- Documentation : Chaque scénario établi dans l'étape précédente devra faire l'objet d'une justification et d'une documentation suffisante pour être revu par des personnes qui n'ont pas participé à son établissement. La documentation devra préciser à coté du processus et du facteur de risque, la description du risque et la fréquence et sévérité des pertes standards et de stress. 47

Donc, La sélection des scénarios doit prendre en considération l’environnement dans lequel la banque opère. Ces scénarios doivent être raisonnables et appropriés aux décisions à prendre et aux objectifs fixés.

b- validation des scénarios proposés: Les scénarios proposés dans l'étape précédente une fois documentés, devront être validés (par des personnes n'ayant pas participé à leur constitution) et revus par comparaison avec les pertes effectivement subies (bases de données de pertes existantes), afin d’en assurer le caractère raisonnable et fiable. Des critiques seront apportées sur la cohérence d'ensemble de ces scénarios, ainsi que sur chaque élément en particulier (fréquences et impacts proposés, documentation...). Pour apporter de telles critiques, les personnes validant les scénarios s'appuient sur des éléments tels que les constats du service d'audit interne, l'avis d'experts, l'historique des pertes, les bases d'incidents externes (benchmark), le niveau des KRI ...etc.

c- Appréciation de la qualité des données : L'un des critères les plus pertinents pour pouvoir valider des scénarios est l'appréciation de la qualité et de la provenance des données qui ont servi à leur construction. A cet effet, la banque peut combiner des données issues de son système d'information (bases de données internes) et des données externes pour construire des scénarios qui doivent être plus ou moins fiables et réalistes. En effet, des données faussées à l'origine conduiraient sans doute à des résultats de scénarios irréalistes et erronés. Le contrôle des données est donc primordial pour juger de la pertinence (à priori) des scénarios mis en place. De plus, le choix des données utilisées dans les scénarios est un élément de validation sur lequel s'appuie le régulateur (dans les accords de Bâle) pour valider le modèle d'allocation des fonds propres.

d- Détermination du modèle et des paramètres : Les résultats des scénarios (estimation des fréquences et sévérités des pertes potentielles) ainsi que les paramètres déterminés par cette analyse vont intégrer les modèles quantitatifs retenus par la banque (par exemple : le modèle LDA qui sera traité dans la section prochaine). Le risk manager doit toujours préserver la possibilité d'expliquer la relation entre les paramètres retenus dans le modèle et les résultats obtenus des simulations; Le but étant de pouvoir tirer des conclusions utiles pour orienter sa politique et stratégie de réaction face aux événements plus ou moins rares et imprévisibles. 48

e- Restitution des résultats : C'est la phase finale de la démarche d'analyse des scénarios, elle constitue la finalité même de cette démarche, et consiste en l'exposition des résultats obtenus dans les simulations. Elle porte notamment sur: ¾ La description du risque simulé et de ses facteurs; ¾ L'analyse des fréquences des événements simulés; ¾ L'analyse de l'impact des événements simulés (dans le cas où ces derniers se produisent); ¾ Le niveau de maitrise estimé du risque simulé (dispositif de prévention ou d'atténuation); ¾ Actions préventives préconisées (investissements, transfert du risque, contrôle interne...) En résume, un scénario doit être réaliste et stable dans le temps (rester pertinent s'il est reproduit dans des intervalles réguliers). Cela est valable pour les scénarios de stress, car un scénario avec des pertes gigantesques -bien que imaginable- ne serait pas très informatif à la banque, et induit à une allocation exagérée de fonds propres. Les scénarios de stress permettent une vision de la pérennité des activités de la banque à un horizon plus lointain sous des hypothèses de conjoncture différentes de celles connues actuellement

4 : METHODE DES DONNEES DE PERTES INTERNES (LDA) : Pour pallier les insuffisances de la méthode Scorecard (subjectivité et manque de concordance avec les pertes réelles), les banques ont recours aux méthodes statistiques, dont l'exemple le plus représentatif est l'approche par la « Distribution des pertes » ou « Loss Distribution Approach » (LDA). Elle s'appuie sur une base de données des événements de pertes collectés au sein de l'établissement, enrichi de données provenant de sources externes.

a- Principe de l'approche LDA : Etant une approche purement statistique est largement utilisée dans le domaine des assurances et de façon pratique, l'approche LDA utilise les données de pertes antérieures en s'appuyant sur le travail d'identification et de standardisation des types de risques par lignes d'activité (Bâle II) pour : modéliser la distribution de fréquence de perte, la distribution de sévérité de perte, puis combiner les deux distributions pour déterminer la valeur à risque par ligne d'affaire et au niveau global 49

b- Démarche de l'approche LDA La démarche consiste d'abord à établir, pour chaque ligne métier et chaque type d'événement de pertes, 2 courbes de distribution des probabilités de pertes, l'une représentant la fréquence des événements de pertes sur un intervalle de temps donné, (loss frequency distribution), l'autre la sévérité de ces mêmes événements (loss severity distribution). Pour ce faire on trie les événements de pertes par fréquence d'une part, et par coût (impacte) d'autre part, et l'on représente le résultat sous forme graphique (histogrammes). Pour chacune des distributions obtenues, on recherche ensuite le modèle mathématique qui rend le mieux compte de la forme de la courbe. Pour valider le choix d'un modèle mathématique, on met en relation le résultat (fréquence ou perte) prédit par le modèle mathématique et le résultat de la courbe issue des données réelles : si les 2 courbes se superposent, le modèle est réputé fiable. On combine alors les 2 distributions, en utilisant une simulation de Monte-Carlo afin d'obtenir, pour chaque ligne métier et chaque type d'événement, une courbe agrégée de distribution des pertes pour un horizon de temps donné. Pour chacune, la Value At Risk (VAR) est la perte maximale encourue avec une probabilité de 99,9%. Le capital requis dans le cadre de Bâle II est alors la somme des VAR ainsi calculées. Bien que le processus d'une LDA soit assez complexe et demande des outils statistiques et modèles sophistiqués, il pourrait être résumé en quatre étapes cruciales: 1- Modélisation de la distribution de la sévérité des pertes: C'est l'étape la plus importante et la plus sensible: la qualité et la robustesse de tout le processus de mesure du risque et donc de l'allocation optimal du capital dépend en grande partie de cette étape. Elle est par ailleurs la plus difficile et est abordée de différentes façons: 9 La méthode traditionnelle et la plus simple, se limite aux données internes, une distribution théorique (Lognormal, Gamma, weibul) 1 est sélectionnée, l'estimation des paramètres se fait par la technique du maximum de vraisemblance (EMV) et les tests statistiques (Khi-deux, Kolmogorov-Smirnov) 2 permettent de valider la distribution. Cette méthode est assez simple, sa mise en œuvre est assez rapide, cependant les résultats empiriques ne sont pas satisfaisants, et de nombreuses cellules possèdent très peu de données et il est difficile de capter les pertes extrêmes avec une telle approche.

1

Ces trois lois ont des distributions statistiques à un nombre réduit de paramètres. Les distributions de ces lois sont uniques et connues lorsque les paramètres sont connus.

2

Ces tests permettent de dire si la courbe de distribution statistique des pertes a bel et bien une allure similaire à la courbe de la loi théorique à laquelle nous voulons comparer notre série de données.

50

9 Une méthode alternative (Frachot, Georges et Roncali) : Cette méthode ne considère les pertes qu'au dessus d'un certain seuil, les données de toutes les sources sont fusionnées tout en considérant qu'elles sont issues de la même famille de distribution. La technique de maximum de vraisemblance est par la suite utilisée pour la modélisation en ajoutant les différents seuils comme des paramètres de maximisation. L'une des principales limites à cette méthode est le fait que les pertes externes peuvent être très élevées comparativement aux pertes internes et biaiser considérablement les résultats. 9 Une troisième alternative (Alexander) est fondée sur l'approche bayésienne, la distribution a priori des paramètres est obtenue grâce aux données externes, les données internes servent d'échantillon objectif pour le calcul de la vraisemblance, permettant ainsi d'estimer les distributions de paramètres a posteriori. La principale difficulté de cette approche se pose lorsqu'un véritable conflit apparaît entre les données internes et externes disponibles, entraînant ainsi une différence considérable dans l'ordre de grandeurs des paramètres issus des deux échantillons. 2- Modélisation de la distribution de fréquence des pertes : L'approche traditionnelle est suffisante pour estimer de façon robuste la loi (distribution de probabilité) de la fréquence des pertes. Les résultats empiriques sont souvent satisfaisants, et les distributions théoriques résultantes sont le plus souvent la loi de poisson ou la loi Binomial Négative. 3- Construction de la distribution agrégée (par simulation Monte-Carlo) : Elle permet d'obtenir une approximation de la distribution globale (associant fréquence et sévérité) des pertes annuelles pour chaque croisement (ligne-métier / événement de risque). La principale source de biais de cette méthode est les corrélations éventuelles (entre les différents couples ligne-métier/risque) qui sont généralement ignorées, ce qui n'est pas du tout évident en pratique. 4- Calcul de la VaR et validation des résultats : La dernière étape de la démarche LDA consiste à calculer une VaR (Valeur en Risque ou Value at Risk) pour chaque couple (ligne de métier/risque) sur un horizon d'un an et au niveau de confiance de 99.9%. La « VAR » est un concept très global, dont l’objectif est de fournir une réponse quantifiée à la question suivante : Pour un intervalle de confiance choisi a priori (dans notre cas 99.9%), et pour un horizon temporel donné (dans notre cas 1 an), quel est le montant de perte maximale que peuvent engendrer les activités actuelles ? Avant de répondre à cette question, on doit définir deux variables clés: 51

- Probability of event (PE) - Loss at given event (LGE) Les pertes dues au risque opérationnel sont la combinaison de ces deux variables aléatoires : La probabilité d'événement PE est une mesure de la fréquence (Nombre) de pertes par rapport à un nombre donné d’opérations sur un intervalle de temps donné. La perte en cas de réalisation de l’évènement LGE, est le montant de la perte lorsque l’événement de perte se produit Le calcul de la VaR, nécessite en la détermination dans une première étape de la distribution statistique (loi de probabilité) des pertes en fonction des deux variables aléatoires (PE, LGE), et dans une deuxième étape la distribution globale (finale) de pertes de tous les événements possibles, tout en supposant que les deux variables aléatoires sont indépendantes entre elles. Vu le niveau de détail, et la diversité des techniques de simulation (ex: Monte-Carlo...) que la détermination de ces lois de probabilité nécessite, et compte tenu de l'objectif principal recherché dans ce chapitre (qui n'est rien d'autre que la présentation générale des diverses techniques de quantification des risques opérationnels), nous allons donner un exemple très simplifié de calcul de la VaR, dans lequel nous supposerons que la distribution de ces deux variables est connue, et poserons un certain nombre d'hypothèses simplistes, qui sont bien sûre difficilement vérifiables sur le terrain. Exemple: Soient donc les distributions suivantes des variables PE et LGE: Distribution de pertes en fonction du nombre d’évènements Probabilité (Pi) Nombre d’événements (PE i)

Distribution de pertes en fonction de leur sévérité Probabilité (Pj)

Sévérité de perte (LGEj)

45%

0

50%

500

35%

1

40%

2000

20%

2

10%

15000

Unité: millions de Dinars.

Tableau n° 5: Exemple de distribution de pertes de (PE, LGE) -Calculons le nombre moyen de défaillances (PEmoy):

PEmoy = Σ Pi * PEi

PEmoy = (45%*0) + (35%*1) + (20%*2) = 0.75 (proche d'une "1" perte) -De même, La sévérité moyenne attendue (LGEmoy) est:

LGEmoy = Σ Pj * LGEj

LGEmoy = (50%*500) + (40%*2000) + (10%*15000) = 2550 (million DA) 52

Selon l’hypothèse de l’indépendance entre les deux variables aléatoires PE, et LGE, on peut calculer la perte moyenne attendue. La perte moyenne attendue (EL)= Nombre moyen de défaillances attendues * Sévérité moyenne attendue. Donc, EL = 0.75 * 2550 = 1912 (million DA) La deuxième étape repose sur la connaissance du montant de pertes de tous les évènements possibles (voir tableau ci-dessous). Nombre d’évènements

Première perte

Deuxième perte

Pertes totales

Probabilité

0

0

0

0

0.45 = 45%

1

500

0

500

0.35*0.5= 0.175 = 17.5%

1

2000

0

2000

0.35*0.4= 0.14 = 14%

1

15000

0

15000

0.35*0.1= 0.035 = 3.5%

2

500

500

1000

0.2*0.5*0.5= 0.05 = 5%

2

500

2000

2500

0.2*0.5*0.4= 0.04 = 4%

2

500

15000

15500

0.2*0.5*0.1= 0.01 = 1%

2

2000

500

2500

0.2*0.4*0.5= 0.04 = 4%

2

2000

2000

4000

0.2*0.4*0.4= 0.032 = 3.2%

2

2000

15000

17000

0.2*0.4*0.1= 0.008 = 0.8%

2

15000

500

15500

0.2*0.1*0.5= 0.01 = 1%

2

15000

2000

17000

0.2*0.1*0.4= 0.008 = 0.8%

2

15000

15000

30000

0.2*0.1*0.1= 0.002 = 0.2%

TOTAL

1 = 100%

Tableau n° 6 : Loi de probabilité de la Distribution de la perte finale Comme les variables aléatoires sont supposées indépendants, la probabilité de chaque évènement, est le produit de la multiplication des probabilités des événements le composant: Exemple: Probabilité d'une perte cumulée de 30000 = (Probabilité de survenance de deux événements X Probabilité que la 1ère perte soit de 15000 X probabilité que la 2ème perte soit de 15000). Donc, la probabilité d'une perte cumulée de 30000 = 20%*10% *10% = 0.002 = 0.2% Le tableau suivant retrace toutes les possibilités de pertes totales, avec leurs probabilités respectives, ainsi que la probabilité cumulée. Cette dernière représente la probabilité que la perte maximale à enregistrer soit cette perte en question: 53

Pertes totales ordonnées

Probabilité

Probabilité cumulée

0

45%

45%

500

17.5%

62.5%

1000

5%

67.5%

2000

14%

81.5%

2500

8%

89.5%

4000

3.2%

92.7%

15000

3.5%

96.2%

15500

2%

98.2%

17000

1.6%

99.8%

30000

0.2%

100%

Tableau n° 7: Probabilités cumulées de la perte totale Selon ce tableau, une perte 15000 correspond à une probabilité de réalisation de 3.2%. De même, la probabilité que la perte soit inférieure à 15000 (probabilité cumulée) est de 96.2%. Finalement, et à un seuil de confiance bien déterminé, on peut calculer la perte maximale résultante (et par conséquent la VaR). Par exemple, la probabilité que la perte soit inférieure à 17000 M DA est de 99.8%. autrement dit, dans 99.8% des cas, la perte totale ne dépasse pas 17000 million DA. La VaR est obtenue par l'application de la formule suivante: VAR (α) = Perte totale (α) – Perte moyenne attendue Avec α: Seuil de confiance choisi Donc, la VaR à 99.8% est : (17000 M DA - 1912 M DA), soit 15088 million DA.

c-Difficulté de mise en œuvre d'une approche LDA: 9 Le besoin de disposer de séries de pertes historiques assez longues (3 ans et 5 ans). 9 Le problème de fusion et d'utilisation simultanée des données internes et externes, provenant de sources hétérogènes (présentant des paramètres et caractéristiques différentes), 9 Le problème crucial de spécification et de modélisation des dépendances (corrélations) entre les fréquences et sévérités des pertes, et entre distributions agrégées. 9 Insuffisance de la VaR (critère très technique ayant un aspect purement mathématique) comme critère d'analyse, et outil de gestion permettant une meilleure identification et validation des différents facteurs amplifiant un risque, une mise en évidence des interactions, de leurs évolutions et de leurs différents impacts sur l'ampleur de ce risque; 9 Nécessité de l'utilisation simultanée de différents modèles (demandant un niveau de technicité élevé) pour obtenir de meilleures prévisions, et difficulté de validation. 54

CONCLUSION Dans le présent chapitre, nous avons essayé de présenter des méthodes que les banques peuvent utiliser pour l'évaluation de leurs risques opérationnels, et ainsi la détermination des fonds propres nécessaires pour la couverture des risques résiduels. Malgré la diversité de ces méthodes, elles intègrent toutes l'une de deux grandes approches: Bottom-up ou Top-down, selon que l'on souhaite ou non obtenir très rapidement des éléments chiffrés, et selon que l'on soit prêt ou non à investir des montants importants pour disposer de données fiables: a- Approche Top –Down : L'approche top-down pourrait être assimilée à la méthode Indicateur de base (B.I.A) en ce sens que l'on se fondra sur un référentiel simplifié, et que l'on privilégiera des aspects qualitatifs plus rapides à obtenir que des éléments chiffrés issus de la collecte des incidents. Dans l'approche top-down, la logique sera plus curative que préventive, en ce sens que le dispositif allégé ne permettra pas d'être en prise directe avec les opérationnels mais sera plutôt une modélisation des risques permettant la détermination d'un montant approximatif des fonds propres globaux à allouer à la couverture des risques opérationnels, en présupposant qu'il y a une certaine constante dans les risques en fonction de paramètres qui seront définis à dire d'expert. Cette approche donne une estimation du risque opérationnel sur la base des variations historiques des résultats (ou d'un certain nombre d'indicateurs) après intégration de facteurs tels que l'évolution de l'activité où le coût lié aux changements. L'hypothèse sous–jacente est que les pertes historiques sont une bonne mesure des pertes futures. Dans cette approche, certaines banques ont tendance à évaluer l'exigence de fonds propres pour le risque opérationnel en prenant simplement un pourcentage d'un indice d'activité comme le produit brut bancaire. D'autres estiment le risque opérationnel selon un pourcentage fixe correspondant aux coûts opérationnels de l'établissement où de la ligne métier. A titre d'exemple La Bank of America prend comme référence 25 % des coûts fixes et 50 % des dépenses autres que les intérêts versés. Cette approche présente l'avantage de la facilité de mise en place, une fois que l'élément inconnu de volatilité des résultats historiques des activités est résolu. Toutefois elle présente une faible valeur analytique ; un rapport difficile à établir entre les pertes réellement dues au risque opérationnel et l'évolution historique du revenu (ou d'un autre indicateur). On peut dire que les modèles proposés par cette méthode ne sont pas propices à la mise en œuvre d'un contrôle interne, d’où la négligence constatée de la qualité du dispositif de contrôle. Dans ce cadre, et pour mieux maîtriser le risque opérationnel, les établissements s'orientent d'avantage vers des approches à forte valeur ajoutée type " Bottom-Up ". 55

b- Approche Bottom –Up : L'approche bottom-up pourrait, quand à elle, être assimilée aux méthodes avancées (A.M.A) avec dispositif implanté à tous les niveaux de l'organisation et orienté vers une mesure réelle des pertes et un souhait de gestion anticipative. "C'est sans nul doute l'approche que prendra à terme la majorité des établissement, mais elle nécessite plus d'investissements et un délai de mise en œuvre beaucoup plus long pour disposer d'un ensemble complet d'outils de mesure et de prévention." 1 Les modèles bottom-up correspondent à une approche structurelle dans laquelle l'identification, l'évaluation des pertes et risques sont définis à l'intérieur de la banque en fonction de la logique de comportement, en séparant tout ce qui peut provenir des personnes, des processus et de la technologie. En effet, lors d'une telle approche, chaque opération est analysée de son initiation jusqu'à sa comptabilisation. A chaque étape les tâches et contrôles clés sont décrits, testés et évalués. Cela permet une estimation plus réaliste et détaillée du risque lié à chaque processus. Le recensement et l'évaluation des risques opérationnels se fait selon une cartographie (zones géographiques, lignes de métier, entités, et activités) qui se décline de la catégorie plus globale à la plus exhaustive. Cette approche apparaît plus utile pour comprendre la nature du risque opérationnel et pour permettre la mise en place d'un système de contrôle interne. Elle est à forte valeur ajoutée car elle permet une réelle économie de fonds propres, et une réelle gestion des risques opérationnels du fait de leur connaissance approfondie. Toutefois, elle présente l'inconvénient de l'onérosité, du fait de la nécessité d'une mise en place de dispositifs assez complexes, et d'un système de contrôle rigoureux. Ajouté à cela son inefficacité face à la mesurer du risque lié aux événements rares ayant des conséquences désastreuses.

1

C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS, Paris, 2004, p.80

56

Chapitre III : Méthodes de couverture des risques opérationnels

57

CHAPITRE III : METHODES DE COUVERTURE DES RISQUES OPÉRATIONNELS La question de savoir si le respect des exigences posées par le Comité de Bâle comportait des avantages implicites a déjà souvent été soulevée au niveau des banques. Bien qu’il soit tentant de se conforter dans l’idée que l’argent dépensé pourra partiellement être récupéré plus tard sous une quelconque forme, il n’est pas établi que des contrôles accrus qui faciliteront l'atténuation des risques opérationnels sont déployés au niveau de nos banques. A cet effet, les outils mis en œuvre dans le cadre de la réforme Bâle II ne doivent pas seulement permettre de calculer un capital règlementaire alloué au risque opérationnel. Ils doivent aussi servir à identifier des insuffisances dans le dispositif de contrôle interne et conduire à concevoir les actions correctives nécessaires. L'impacte de ces dernières, mesuré à l'aide des mêmes outils devrait permettre en améliorant le profil de risques, de réduire le montant du capital qu'il sera nécessaire d'immobiliser au titre du risque opérationnel. Comment les banques sont-elles donc censées couvrir et atténuer efficacement le risque opérationnel, face à l’incroyable diversité des dangers et menaces qui pèsent désormais sur leur activité ? Comment peuvent-elles répondre avec succès aux nouvelles contraintes qui émanent des autorités régulatrices tout en préservant leur rentabilité future? Ces deux questions sont au cœur des enjeux liés à la gestion du risque opérationnel, et ne sont pas sans effet sur la capacité future des banques à atténuer considérablement ce type de risque. Plusieurs actions permettant la prise en considération des risques (qui sont d'ailleurs valables pour le risque opérationnel) existent, mais elles se rapprochent souvent de l’une de ces 4 catégories, réunies par Dorfman en 1997 sous la dénomination des « 4T » : - Tolérer (rétention des risques) - Traiter (atténuation des risques) - Terminer (élimination des risques) - Transférer (adosser le risque à un tiers moyennant une prime) Dans certains cas, ces stratégies ne sont bien sûr pas applicables car elles impliquent des compromis inacceptables pour la banque et ses décideurs. Tout dépend finalement de la nature du risque contre lequel on souhaiterait lutter. Des stratégies ciblées doivent être définies en fonction du secteur d’activité, des ressources disponibles...etc. Pour mieux gérer ses risques opérationnels, la banque a recours à ses moyens et dispositifs internes qui sont à première vue peu couteux, mais dans plusieurs cas ces moyens s'avèrent inefficaces ou incomplets, elle aura donc recours à des moyens externes qui pourraient être plus couteux, mais cependant plus efficaces. 58

SECTION 1: LA COUVERTURE INTERNE DES RISQUES : La couverture interne comprend toutes les initiatives d'amélioration des processus, du dispositif de contrôle ou de prévention qui vont permettre d'atténuer les risques opérationnels, en réduisant leur fréquence ou leur impact.

1- LA CONTINUITE DES ACTIVITES : Dans l’environnement en réseau des banques d’aujourd’hui, la reprise sur sinistre intervient la plupart du temps "trop tard". Bien souvent, aucune interruption de processus métiers stratégiques ne peut être tolérée. Dans le secteur bancaire, une panne de système ne durant que quelques minutes peut se traduire en dommage irrémédiable. C'est pour cette raison qu'il faut mettre en place un "Plan de continuité d'activité ou PCA" qui est communément connu sous son appellation anglaise "BCP ou Business Continuity Plan". La gestion des risques opérationnels consiste finalement à sélectionner de manière systématique les approches censées minimiser à moindre coût les effets de la réalisation d’une menace pour la banque. Tous les risques ne sont malheureusement pas toujours évitables ou réductibles, ne serait-ce que pour des raisons pratiques et financières. Dès lors, toutes les organisations sont obligées d’accepter un certain niveau de risques résiduels ou inévitables. Définition du Plan de Continuité d’Activité (PCA): Le PCA est un élément majeur dans un dispositif de maitrise des risques opérationnels, devant faire en sorte que quels que soient les événements qui puissent survenir et leur gravité, la banque soit à même d'assurer au mieux les prestations de services attendus par ses clients; en garantissant un niveau minimal de services, en respectant ses engagements et ses obligations règlementaire et en pérennisant ses revenus. Le Plan de Continuité d'Activité peut donc être défini comme étant un ensemble de mesures et de procédures qui visent à assurer, y compris face à des chocs extrêmes, le maintien des activités essentielles, de façon temporaire et selon un mode dégradé, puis leur retour à la normale. Il s'agit ici d'arrêt (choc) suite à l'indisponibilité d'une ressource de travail indispensable (locaux, électricité, climatisation, téléphone, télécopieur, informatique...), et non pas de la réalisation d'un risque inhérent à la profession (défaillance d'une contrepartie, dépôt de bilan d'un client ...). Mise en place du Plan de Continuité d’Activité (PCA): Pour mieux comprendre l'intérêt des dispositifs du PCA, et pour illustrer les étapes cruciales devant être suivies pour la mise en œuvre de celui-ci, nous allons présenter l'exemple suivant: 59

Exemple: Voici une situation à laquelle une banque peut très bien se trouver confrontée: Le lieu de travail d'une activité (X) est sinistré pendant la nuit, par un incendie qui détruit les locaux et leur contenu. ¾ Si rien n'a été prévu, le personnel est à la rue, les correspondants de l'activité (clients, fournisseurs, collègues,...) n'arrivent plus à travailler dans des conditions pareilles, sans savoir pourquoi, et la résolution de tous les problèmes va prendre d'autant plus de temps que rien n'a été anticipé pour joindre et réunir le personnel dans un local disposant des conditions minimales pour reprendre au moins partiellement l'activité ; d'où l'intérêt d'avoir prévu une structure de crise et un plan d'urgence. ¾ Puis, après un certain temps, un environnement de travail est remis à disposition, et le personnel peut faire redémarrer l'activité : si rien n'a été prévu, la reprise va être chaotique, des rattrapages de traitement peuvent être oubliés ou erronés (à cause des perturbations et de la pression sous laquelle le personnel travaille), entraînant des problèmes ou pertes plus ou moins graves, à court terme et à long terme ; d'où l'intérêt d'avoir préétabli un plan de retour à la normale. ¾ Pour effectuer ce retour à la normale dans de bonnes conditions, l'activité doit pouvoir récupérer les données nécessaires ou vitales, qu'elles soient sur support magnétique ou papier: si rien n'a été prévu, ces données ont été détruites par le sinistre; la perte de ses données vitales peut être très préjudiciable à l'activité...(car les statistiques ont montré que près de 50% des entreprises qui perdent leurs données dans un sinistre déposent leur bilan dans les jours qui suivent, et 90% abandonnent leur activité dans les deux ans); d'où l'intérêt d'avoir préservé les données vitales de l'activité par la mise en place des mesures conservatoires appropriées. ¾ De plus, si l'activité est à forts enjeux, un arrêt prolongé peut avoir de lourdes conséquences pour la banque : si rien n'a été prévu, l'arrêt peut atteindre cette durée fatidique; d'où l'intérêt d'un plan de secours permettant la reprise rapide de l'activité vitale. En résumé, pour mettre en place un plan de continuité efficace, le gestionnaire des risques opérationnels doit suivre une méthodologie qui pourrait être retracée en ces étapes : a- Analyse des risques, processus, et détermination des besoins de continuité : Lors de la réalisation des cartographies, tous les risques potentiels ont dû être évalués, les besoins en matière de continuité (les priorités relatives face à une indisponibilité soudaine) sont alors prédéfinis. A cette étape, une collecte des informations sur la criticité des activités et des processus, ainsi que les ressources indispensables pour leur bon fonctionnement s'avère aussi un élément primordial pour une bonne élaboration du PCA. 60

En complément à ces éléments, une étude des flux de données, des dispositifs de maitrise des risques, et de l'impact brut et net des événements à risque sera aussi demandée aux responsables. Ces derniers sont aussi tenus d'indiquer pour chaque processus vital le Délai Maximum d'Interruption Admissible (DMIA). Toutes ces données seront ensuite utilisées pour construire plusieurs Stress tests (Scénarios de crise), en prenant en compte plusieurs hypothèses : par exemple sur le délai d'interruption qui pourra être considérées de quelques heures à plusieurs semaines. Les résultats des stress tests seront complétés par une analyse d'impactes en termes de pertes financières et d'atteinte à l'image...etc. (en ce qui concerne les systèmes d'information, il convient également de déterminer les pertes acceptables de données, et les moyens nécessaires à leur régénération. b- Plan de prévention et proposition de solutions en cas de crise : La fréquence et la profondeur des tests devant être menés par les banques varient selon les circonstances. Par exemple, si un test implique, une fois par an, le déplacement de collaborateurs ou d’infrastructures dans le but de simuler la reprise des activités à la suite d’une explosion, seuls 20% des collaborateurs devront être réellement déplacés. L'étendu des tests et leur fréquence varient en outre en fonction des ressources concernées : les tests de réseau et de stockage de données doivent par exemple être réalisés plus fréquemment. Dans cette étape, le gestionnaire des risques opérationnels doit avoir une bonne vision du dispositif de contrôle et de la quantification du risque résiduel. Pour chaque processus, les opérationnels proposent des alternatives de continuité aux responsables d'activités; ces dernières doivent tenir compte des DIMA qui ont été arrêtés. En ce qui concerne les risques majeurs, le dispositif de prévention devra prendre en compte une indisponibilité de la quasi-totalité des ressources de la banque, et se préparer à une situation de crise pouvant remettre en cause tout ou partie des activités. Pour cette dernière situation, la banque doit adopter une approche plus régionale de continuité opérationnelle, afin de se préparer à l’éventualité d’un événement touchant plusieurs sites simultanément. La diversification géographique est considérée comme l’un des plus puissants outils de continuité opérationnelle de la banque. Cette approche sera complétée par la mise en ouvre de techniques de haute disponibilité (reposant sur des systèmes de réplication de données) dédiées aux applications critiques, permettant aux équipements de sauvegarde de prendre le relais instantanément. Ces systèmes sont évidement assez couteux, mais ils devraient permettent de minimiser les risques associés aux pertes de données et les délais de reprise sur sinistre.

61

c- Mise en place du dispositif de continuité opérationnelle: Après tant d'études (sur les besoins de continuité) menées lors des étapes précédentes, la banque doit être en mesure de définir les moyens de réaction concrets en cas de crise, et d'ordonner à ses équipes les travaux à réaliser et la démarche à suivre. Le dispositif de crise doit prévoir trois principales étapes qui doivent se succéder (dans un respect particulier des délais) : La période de stress (plan de crise), la période de fonctionnement en mode dégradé, et le plan de retours à la normale. 9 Plan de crise : Il nécessite la mise en place d'une cellule spécialisées avec des rôles bien déterminé pour chaque membre (vu le caractère urgent de la situation), le respect des délais est la prise de décision appropriée à très court terme sont les caractères essentiels de ce plan. Le déclanchement ou non du plan de crise est une prérogative du haut responsable de la banque (après qu'il soit alerté par un responsable opérationnel directement ou par voie hiérarchique). 9 Plan de fonctionnement en mode dégradé: En cas de sinistre majeur, il est probable que le cite d'exploitation soit indisponible pour une période plus ou moins longue, ce qui va nécessiter de trouver un site de repli (intermédiaire) pour une reprise partielle de l'activité. A cette étape, il faut prévoir toutes les dispositions pour assurer un fonctionnement quasinormal de l'activité, et déterminer les ressources qui doivent être disponibles sur le site de repli quelques jours après le sinistre. 9 Plan de retours à la normale : La finalité du dispositif de crise est de gérer la période du sinistre pour assurer un retour à la normale aussi vite que possible. Le délai de ce retours dépondra de l'impact du sinistre sur la disponibilité des ressources, sur le système et les données... Le plan doit prévoir la manière de reconstitution des données, et des états règlementaires (documents comptables) non produits dans la période de crise. d- Maintient du PCA en condition opérationnelle : Un PCA ne vaut pas plus que la feuille de papier sur laquelle il est imprimé s’il n’est pas testé régulièrement : « Aucun plan de continuité opérationnelle ne fonctionne sans tests » déclare Jeffrey Kuhn, Directeur général, en charge de la continuité opérationnelle, à la Banque de New York, dans un article publié sur le site internet : http\\:www.att.com. Les tests doivent être réalisés d'une manière périodique et avec une fréquence suffisante. Toutes les informations (coordonnées des collaborateurs, données sur le cite de repli...) doivent être mises à jour, et tous les collaborateurs doivent s'habituer au rôle qu'ils auront à jouer dans une situation de crise.

62

Nous ne pouvons ignorer le caractère très onéreux de ces tests (sauf pour les établissements de petite taille). C'est pour cette raison qu'il est souhaitable (pour leur substitution) de varier les scénarios et activités touchées, de manière à s'assurer que tous les acteurs connaissent la procédure à suivre (du moins théoriquement). Enfin, il est important de noter que les cadres intermédiaires ou les niveaux hiérarchiques inférieurs sont souvent négligés dans les banques: La personne qui doit effectuer le travail ne peut être remplacée. En outre, garantir la mise en place de ces plans de continuité opérationnelle et leur compréhension par le personnel n’est pas suffisant, les banques doivent de plus vérifier les plans de continuité opérationnelle de leurs fournisseurs et partenaires. En final, nous pouvons dire que les plans de gestion des risques et des crises ne seront jamais parfaits. C’est à force de pratique et d’expérience que le gestionnaire pourra améliorer sa stratégie. Il s’agira notamment de suivre la sinistralité, de procéder aux mises à jour régulières des différents traitements choisis, de communiquer et de sensibiliser les acteurs internes et externes à la politique mise en place… Il faut surtout vérifier que les mesures prises soient toujours fonctionnelles et légitimes, tout en s’assurant que le niveau de risque n’a pas évolué dans l'environnement.

2- LA DELEGATION DE POUVOIRS : La définition des postes, pouvoirs et responsabilités au sein de la banque est primordiale pour préciser à chaque niveau d’exécution l’origine des informations à traiter, la liste des tâches à effectuer (modalités d’enregistrement, de traitement, de restitution des informations et les procédures de contrôle associées à chaque étape...), la périodicité des traitements et les destinataires des informations traitées (compte-rendu des travaux). La séparation des fonctions a pour objectif (via une organisation adéquate ou un rattachement hiérarchique différent) d’éviter qu’une personne ou un groupe de personnes cumule les fonctions d’engagement, d’enregistrement et de contrôle dans un même processus opérationnel. Elle permet ainsi de prévoir une distinction nette entre celui qui décide et celui qui exécute, entre celui qui opère et celui qui valide, tout en offrant une garantie d’un contrôle indépendant et permanent sur une activité. L’objectif recherché est de prévenir et dissuader, ou à défaut de permettre une détection sans retard des erreurs ou des irrégularités commises. Le prestige associé à cette délégation de pouvoir, ainsi que les effets de réputation, incitent les membres du Conseil d'administration de la banque à surveiller le comportement des responsables, et à limiter les prises de risque excessives, et les abus de pouvoir et de biens sociaux. Ainsi, une diminution considérable des risques opérationnels (notamment le risque de fraude interne et de Rogue Trading) sera sans doute constatée. 63

3- LES CHARTES D'ETHIQUE : Presque inconnues en Algérie, et largement répandues à l'Etranger (notamment aux USA), les chartes d'éthique sont l'ensemble des règles de déontologie auxquelles s'adhèrent tous les collaborateurs au sein d'un organisme. Dans le cadre de la gestion des risques opérationnels, ces chartes sont devenues un exercice obligé pour démontrer l'implication effective des adhérents dans la lutte contre tout acte illégal ou frauduleux, tant au niveau interne, qu'au niveau externe. Ces chartes, n'ayant pas une valeur juridique (comme les contrats) et n'étant pas normées, enregistrent une grande disparité entre les organismes dans leur rédaction. Elles sont souvent le résumé des pratiques souhaitables (et exemplaires) au lieu de travail, et des règles de bonne conduite, et de préservation des intérêts de l'établissement et de ses clients. Le dispositif sera d'autant plus efficace qu'il va être réalisé non pas comme un engagement unilatéral de l'employeur, mais comme une partie du règlement intérieur ou une annexe au contrat de travail. Chaque collaborateur signe ainsi sur le code de bonne conduite, s'engage sur les règles et pratiques à respecter, et connait les conséquences possibles en cas de manquement. Il est cependant souhaitable d'informer les collaborateurs sur les dernières évolutions règlementaires, et de les sensibiliser sur l'importance du respect de ces règles d'éthique.

4- LA COUVERTURE BUDGETAIRE DES SINISTRES : Les risques qui font partie de l’activité quotidienne (courante) de la banque, mais qui ne présentes pas des grands sinistres susceptible d’être couverts par des assurances ou de faire objet d’un plan de continuité sont en générale pris en charge par la banque dans sa gestion budgétaire courante. L’objectif d’une telle mesure est de réduire l’impact de ces risques et les budgets qui leurs seront dédiés. Trois types de couverture budgétaires sont les plus largement répandus : • La rétention du risque : on entend par "rétention" l’acceptation pure et simple d’un risque; Autrement dit, ne pas prendre de mesure particulière pour l’atténuer. Cette pratique peut s’avérer bien fondée (justifiée) lorsqu’il s’agit de risques conduisant à de très faibles pertes, car les coûts de mise en œuvre d’un dispositif particulier de gestion peuvent être trop importants face à l’enjeu (les pertes) qui ne représente que des montants potentiellement faibles. Dans ces cas, les charges résultant des pertes sont assumées au fur et à mesure de leur constatation et sont en fait considérées comme des dépenses constantes. "Le risque peut être refusé car jugé inacceptable. Mais il peut être accepté pour différentes raisons: L'impacte est jugé négligeable; le coût de la parade est supérieur au bénéfice anticipé; il est une source de profit; il est inévitable. Le risque est souvent accepté, 64

mais avec une limite. La première décision consiste donc à déterminer le degré d'acceptabilité du risque en fonction des conséquences qu'il peut produire." 1 En revanche, une telle pratique (la rétention) ne peut être tolérée lorsqu’il s’agit de pertes potentielles élevées; un dispositif particulier de gestion s’impose alors. Ainsi, faut-il s’assurer que les pertes acceptées restent toujours faibles en tendance, car une évolution de cette dernière à la hausse nécessite bien un changement de stratégie envers ces risques de pertes qui ne peuvent désormais être acceptés et pris en charge dans les budgets de la banque. Des seuils de pertes tolérables doivent donc être fixés; et les pertes doivent être relevées "au fil de l’eau " c’est à dire dès les premiers moments de leurs survenance. Dans le cas où une dégradation de la tendance est constatée, il faut être capable de fixer avant qu'il ne soit trop tard une forme de "frein" aux pertes, qui impliquera une couverture d’un autre type ou un renforcement des mesures de suivi afin de revenir à des seuils acceptables. • La constitution de provision : Dans le cas ou des sinistres relativement importants auraient été survenus à maintes reprises, et dans l’absence d’un mode de couverture particulier, la banque peut faire face aux dégâts causés en constituant une provision "ex-ante" correspondant au montant moyen des pertes. Cependant, les montants mis en provision ne peuvent rester improductifs ; ils doivent être logés dans des comptes spécifiques et faire l’objet de divers placements: Ces derniers doivent être choisis de manière à garder une liquidité suffisante pour pouvoir disposer de l’argent au moment de la survenance du sinistre. La méthode de provisionnement a comme avantage le fait de ne pas affecter considérablement le résultat courant de la banque, du fait que des reprises sur les provisions non utilisées seront faites en fin d’exercice; seules les dépenses réellement engagées figureront comme charges. En revanche, cette pratique (l’approvisionnement) aura un impacte négatif sur la rentabilité de la banque, car les alternatives de placement (ayant une liquidité suffisante) qui se présenteraient seront sans doute peu rentables. Enfin, la constitution d’un historique de perte sera la bienvenue, pour montrer que le provisionnement statistique est réalisé sur des bases quantitatives solides; autrement dit, que les montants mis en provision convergent vers les "pertes moyennes" enregistrées pour éviter une immobilisation de fonds inutile, ou -bien au contraire- insuffisante. • La couverture par endettement : Lorsqu’une banque ne veut pas ou ne peut pas transférer un risque significatif (sinistre) aux assurances, elle peut opter pour la souscription d’un emprunt (ouverture d'une ligne de crédit) afin d'obtenir les fonds nécessaires pour faire face aux dégâts causés par le sinistre. 1

A. SARDI, Audit et contrôle interne bancaire, Editions AGFES, Paris 2002, p.186

65

Il est toutefois plus judicieux de négocier un droit de tirage irrévocable sur une ligne de crédit auprès d’un autre établissement, pour ne mobiliser que le montant dont elle aurait besoin au moment du sinistre. La banque n'aura ainsi à payer de frais financiers que sur le montant qu'elle a mobilisé (cette opération peut s’apparenter à l’ouverture d’une ligne d’escompte commercial) ; un plafond sera fixé par l’établissement auprès duquel la ligne est ouverte, et les fonds empruntés ne peuvent excéder ce plafond convenu. Cette opération est utile pour pallier le manque de liquidité dont peut souffrir la banque face à des dégâts importants, mais ne lui règle pas le problème définitivement, car c’est à elle d’assumer les conséquences du sinistre (et doit donc restituer les fonds empruntés). La solution de l’emprunt semble donc peu convaincante comme mode de gestion, car la banque ne fait que régler un problème de liquidité, ajouté à cela la difficulté de trouver un organisme qui accepterait d’ouvrir cette ligne de crédit à la banque, sachant pertinemment que les fonds octroyés ne seront pas investis dans des projets nouveaux et rentables, mais à réparer des dégâts causés par un sinistre, et dont le montant exacte n’est généralement pas connu. Enfin, notons que cette option diminue les capacités de refinancement normales de la banque, donc elle ne nous semble pas relever une bonne gestion préventive.

SECTION 2: LA COUVERTURE EXTERNE DES RISQUES : La banque ne peut pas ou ne veut pas toujours couvrir ses risques opérationnels par ses seuls moyens internes. Elle préfère dans plusieurs cas les endosser à un tiers plus spécialisé en la matière, et doté d'outils d'analyse et de gestion plus performants.

1- LES CONTRATS D’ASSURANCE : Avant de parler de l’assurance comme technique de couverture du risque opérationnel, il est utile de signaler ce qui suit : Le premier document consultatif du Comité de Bâle ne mentionnait pas que la souscription d'une police d’assurance pouvait constituer une alternative à la constitution de fonds propres. Dès le début de l'année 2001, un groupe de neuf grandes compagnies d’assurance et de réassurances internationales ont adressé au Comité un premier projet (proposition) visant à faire reconnaître l’assurance comme moyen de réduction des risques. Le Comité a alors dans son deuxième document consultatif admis le principe de l’assurance comme "technique d’atténuation des risques aux fins des exigences de fonds propres règlementaires", et a définis des critères d'éligibilité pour que la couverture offerte par les assurances soit prise en compte (dans la limite de 20% de l'exigence en fonds propres au titre du risque opérationnel). 66

L'assurance est définie comme étant: "un outil de financement du risque. Le financement du risque consistant à transférer à l'extérieur de l'entreprise le coût du risque résiduel, le coût du retour à la normale. Ce transfert pour financement permet à l'entreprise affaiblie par un sinistre grave de trouver, au bon moment, les ressources nécessaires à son redressement sans affecter de manière irréversible son compte de résultat et/ou ses fonds propres." 1 Utilité du recours aux assurances pour la gestion du risque opérationnel : Pour la banque, l'allocation de fonds propres à des activités non directement productives (comme la couverture du risque opérationnel) constitue une pratique ayant des conséquences négatives sur sa compétitivité et sa rentabilité: Les actionnaires exigent en général un ROE (Return On Equity ou retour en capital) 2 assez élevé, ce qui ne se réalise pas forcement en affectant les fonds propres pour la couverture de risques financiers. Les banques doivent donc à la fois satisfaire les objectifs de rentabilité fixés par les actionnaires et les exigences du régulateur (qui consiste entre autres en la mise en place d'un dispositif d'atténuation du risque opérationnel). Un tel compromis est difficilement réalisable; c'est là que le recours aux assurances s'impose comme solution permettant de satisfaire les deux parties. En effet, la souscription de garanties d'assurance autorise l'établissement à déduire jusqu'à 20% des fonds propres nécessaires à la couverture de certains risques. Types de risques couverts par les assurances: Pour permettre une meilleure couverture des risques opérationnels, les sociétés d'assurance (notamment dans les pays où les services financiers sont assez développés) proposent différentes polices couvrant des catégories spécifiques de risques: 9 Assurance des dommages aux biens : couvrant le patrimoine de la banque en cas d'incendie, d'attentats, d'évènements naturels et autres. Elle concerne entre autres les assurances multirisques bâtiments et matériels, tous risques informatiques…etc. 9 Assurance pour personnels, salariés: Régimes sociaux du personnel, prévoyance des maladies, accidents, arrêt de travail… elle concerne aussi les collaborateurs et les stagiaires (pour les accidents pouvant leurs survenir dans leur activité ou leurs déplacements professionnels), ainsi que les clients lorsqu'ils sont dans les locaux de la banque. 9 Assurance en matière de responsabilités: Sert à indemniser les tiers des dommages engageant la responsabilité civile professionnelle des dirigeants ou mandataires sociaux, et résultant d'une erreur de la banque ou de l'un de ses salariés ou responsables.

1

C.VERET, "l'assurance comme technique de réduction des risques", Revue d'Economie Financière, Juin 2006, N° 84, Edition: Association de l'Economie financière, Paris, p 30. 2

ROE désigne le résultat ou capital dégagé par chaque unité monétaire supplémentaire investie par l'actionnaire.

67

9 Assurance des pertes financières: Sert à indemniser la banque des actes de fraude, de malveillance, des détournements, vols de cartes bancaires ou de chéquiers… Cette assurance couvre aussi les pertes financières en cas de diminution du chiffre d'affaire suite à un arrêt total ou partiel d'activité du à une carence de services (comme l'énergie). Ce type d'assurance doit être accompagné d'un plan de continuité d'activité pour garantir son efficacité. La liste est loin d'être exhaustive, les contrats d'assurance étant négociables de gré à gré. Les assureurs ne cessent de développer leur gamme de produits pour élargir leurs parts de marché; et l'une de leurs politiques consiste en l'alignement de leurs produits avec la nomenclature des risques adoptée par le comité de Bâle pour permettre aux banques une couverture plus exhaustive de leurs risques spécifiques via les contrats d'assurance. Les types d'assurances : a- L'assurance traditionnelle: c'est un outil classique de transfert du financement d'un risque à une société externe, dont la raison d'être est de couvrir le coût du risque de plusieurs entreprises. L'assureur espère que les primes collectées auprès d'un grand nombre d'assurés permettront largement de couvrir les sinistres qu'il aura à indemniser; ainsi, il est mieux doté pour diversifier ses risques (via son portefeuille de clientèle) qu'une entreprise seule. b- L'auto-assurance: Pratiquée surtout au sein des grand groupes, la forme la plus évoluée est la création d'une filiale d'assurance ou de réassurance (appelée dans ce cas "captive"). La captive est donc créée pour assurer principalement les risques du groupe auquel elle appartient. Son intérêt est d'abord d'ordre fiscal: les prestations de services et les flux financiers entre la captives et les filiales du groupe sont dans la plupart des cas exonérées de taxes, et par conséquent, la prime d'assurance est nettement réduite. Cependant, l'intérêt réel d'une captive est de doter le groupe d'une structure de gestion et de couverture des sinistres, avec un effet de mutualisation entre filiales permettant de financer des risques peu fréquents et assez graves. Aussi, les primes versées par les filiales à la captive sont consolidées en réserve dans la captive lors des bonnes années, pour financer les années à forte sinistralité (et non "perdues" comme dans le cas de leur versement à l'assureur externe). c- La réassurance : Elle permet à l'assureur de transférer une partie des risques qu'il a acceptés vers d'autres entités qui sont les réassureurs. En effet, l'assureur est un établissement financier, il est par conséquent tenu de respecter des règles sur les engagements et les fonds propres imposées par le régulateur. De ce fait, la réassurance se présente pour lui comme une solution lui permettant d'augmenter sa capacité à se refinancer. De plus, il y a des risques que l'assureur juge "trop importants" pour lui (malgré le fait qu'il a accepté de les assurer), et dont la survenance aurait des conséquences néfastes sur son résultat ou sa solvabilité. Il préfère donc les endosser aux grandes compagnies de réassurance. 68

Limites à la couverture des risques opérationnels par voie d'assurance: Dans le nouveau dispositif de Bâle, l'assurance est acceptée comme technique de couverture pour les risques opérationnels. Cependant, la réduction au titre de cette dernière est globalement plafonnée à 20% de la totalité des fonds propres alloués. Elle intervient en fin de processus, après calcul des exigences de fonds propres par les modèles internes qui tiennent compte du niveau de réduction du risque mis en œuvre (prévention et protection). La réduction de capital est calculée par type d'assurance, et de risque opérationnel correspondant. Par exemple, la déduction au titre des assurances de biens (qui est la plus courante) ne peut excéder 20% du coût estimé du risque "dommage aux biens" même si la police d'assurance en couvre réellement 80%. L'application des assurances reste donc encadrée et limitée par le dispositif de Bâle, et ce malgré le fait que les conditions d'éligibilité des polices à la déduction soient très strictes. En résumé, la couverture des risques opérationnels (non encore couverts via un dispositif particulier) par des fonds propres est une obligation réglementaire. Ces fonds propres sont immobilisés sans contrepartie; il est donc intéressant de calculer le coût de cette immobilisation et le rendement supplémentaire qui pourrait être dégagé en cas de souscription d'assurance, pour pouvoir effectuer un arbitrage entre les deux options.

2- L'EXTERNALISATION D'ACTIVITE: La banque n'arrive pas toujours à maîtriser les processus et les coûts de certaines activités qui ne sont pas au cœur de son métier, mais qui lui sont quand même utiles pour la réalisation des autres processus, ou qui lui rapportent une importante valeur ajoutée malgré leur sous-traitance auprès des tiers. A cet effet, la banque peut recourir à "l'externalisation" de ces taches, afin d'éviter les risques opérationnels ou le surcoût résultant de leur réalisation au niveau interne. "Les moteurs d'une externalisation sont le plus souvent économiques. L'entreprise souhaite déléguer à un prestataire des travaux qui ne sont pas considérés comme son cœur de métier, tout en bénéficiant d'un rapport prix/prestation intéressant, ou des fonctions qui nécessitent des investissements et une technicité dont on considère qu'ils peuvent être avantageusement assumés par un prestataire externe, qui va mutualiser ses investissements sur un portefeuille de clients" 1

1

C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS, Paris, 2004, page 135.

69

Les risques associés à une externalisation: a - Risque stratégique: L'externalisation étant le délaissement d'une activité particulière, elle induit un sérieux risque appelé "risque stratégique". En effet, des activités considérées à un instant donné comme non stratégique peuvent le devenir selon l'évolution du marché ou des technologies utilisées. De telles activités peuvent s'avérer extrêmement importantes pour la banque, et ayant une grande influence sur son image et sur les besoins urgents de sa clientèle. L'externalisation peut aussi faire perdre à la banque un savoir-faire et des compétences dans l'activité délaissée, qu'elle aura ensuite beaucoup de male à reconstituer si elle le souhaite. b- Risque d'exploitation: En externalisant une tâche, la banque devient indépendante des processus d'activité de ses sous-traitants et de leur qualité de gestion. Autrement dit, elle sera obligée de se soumettre aux délais de livraison de ces derniers, et de supporter les risques d'exploitation engendrés par les processus externalisés. Le pouvoir d'action de la banque (pour faire face aux problèmes et retards de livraison) sera nettement réduit. c- Risque financier: L'externalisation d'une activité n'est jamais neutre financièrement. En effet, si l'on espère des réductions de coûts relativement rapides, il ne faut pas oublier les charges induites pas le suivi des prestations attendues et le contrôle de la qualité et des objectifs fixés. L'externalisation induit donc des coûts inévitables, dus à la nécessité de la mise en place d'un mode de coordination des équipes internes/externes, au contrôle du respect des clauses contractuelles et leur actualisation, à l'évaluation de la qualité de prestation, aux demandes d'évolution formalisées et contractualisées, aux contrôles de facturation,…etc. d- Risque juridique : Des risques juridiques naissent dès lors que la relation de sous-traitance est contractualisée entre banque et prestataire, et des engagements et droits leur sont attribués. Les aspects juridiques sont donc primordiaux dans l'approche d'externalisation, car les différends liés au non respect des clauses des contrats de sous-traitance sont assez courants. Les risques seront d'autant plus importants que l'externalisation s'accompagne de transfert de moyens d'exploitation (location de matériel et de locaux…), et l'échange de compétences humaines entre la banque et son prestataire. Tous ces éléments de risque impliquent une grande vigilance dans l'analyse des conséquences d'une externalisation en matière de risques opérationnels. Le simple fait de ne plus être directement en charge de travaux n'implique pas nécessairement une diminution du risque y afférent, au contraire, cela pourrait bien engendrer d'avantages de risques (différends contractuels, interruption de processus...), qui n'existaient pas avant l'externalisation. 70

3- L'UTILISATION DES PRODUITS DERIVES (TRANSFERT DE RISQUE SUR UN MARCHE): Les produits dérivés sont des actifs financiers dont le prix dépend des conditions futures d'un marché (prix futurs, indices…). Leur utilisation est assez répandue dans le cadre de la gestion du risque crédit, et le type le plus utilisé est "l'option", qui confère à son acquéreur un "droit d'exercice" lorsque les conditions du marché lui sont favorables. Les produits dérivés sont aussi de réelles couvertures de risques opérationnels qui répondent à priori aux critères de Bâle. Par exemple, la mise en place d'un dérivé climatique pour couvrir une partie du coût d'un risque (inondation, tempête…), clairement identifié sous forme d'une option qui est levée (exercée) lorsque le sinistre survient, est un outil efficace du financement du risque, qui peut venir en déduction des fonds propres alloués à ce dernier (dans le cadre de son dispositif de maîtrise.). Dans le cadre de l'utilisation des produits dérivés pour la couverture de risques opérationnels, l'exercice d'une option est souvent associé à un indice sur une zone géographique donnée, qui indique l'ampleur d'un sinistre et sert de référence pour le règlement (Au Japon par exemple, l'indice peut être l'amplitude d'un séisme dans l'une des grandes îles). "Les options de type "catastrophe insurance options" qui existent aux Etats-Unis et qui servent à la couverture de risques de type catastrophes naturelles sont essentiellement utilisées par les assureurs qui souhaitent diversifier leurs engagements, ou trouver leur capacité de transfert de risque complémentaire." 1 Des marchés organisés de produits dérivés existent, notamment dans les pays ayant des marchés financiers assez développés (comme les U.S.A), où les conditions contractuelles sont standardisées. A coté de ces marchés organisés, on trouve les marchés "de gré à gré" où tout est à priori possible; puisque se sont les deux parties qui définissent les termes du contrat et par conséquent leurs engagements réciproques. Nous tenons enfin à signaler que dans notre pays, les produits dérivés sont presque inexistants (encore moins ceux servant à la couverture des risques opérationnels). Cela revient au fait que notre marché financier n'est qu'à ses balbutiements, donc ce type de produits n'y existe même par, et à la réglementation de la Banque d'Algérie en termes d'utilisation des produits dérivés qui est très limitative et stricte.

1

C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS, Paris, 2004, page 142.

71

CONCLUSION Nous avons passé en revue, tout au long du présent chapitre les divers outils de couverture du risque opérationnel existants, et les risques qui sont liés à chacun d'eux, et qu'il est primordiale d'estimer avant d'opter pour une méthode de couverture ou une autre. La panoplie d'outils internes combinée aux différentes alternatives de couverture externe permettra de maîtriser les risques opérationnels, et non de les annihiler. La question principale reste donc de trouver la combinaison optimale de ces outils pour une gestion efficace des risques, et pour une économie réelle de fonds propres. Au terme de ce chapitre, nous avons jugés utile de résumer l'attitude de la banque envers les risques opérationnels suivant leurs degrés de sévérité et de fréquence. Pour ce faire, nous allons présenter la "Matrice de l'univers des risques", qui nous fait prendre conscience des différents types de risques en les schématisant: La fréquence d'occurrence des sinistres en ordonnée et la gravité (sévérité ou impact) en abscisse. Après les avoir identifié les types de risques, il faut les réduire si nécessaire puis financer le risque résiduel. Cette matrice est donc représentée par le schéma suivant:

Fréquence

Prévention

Risques à éviter

Rétention Protection

Gravité

Figure n°3: La matrice de l'univers des risques

72

A chaque type de risques peuvent être associés ces modes privilégiés de réduction et de financement: 9 Fréquence faible, gravités faible (en bas à gauche): aléas du compte d'exploitation. Il n'est généralement pas utile de les réduire. Ils peuvent servir de signes avant-coureurs de risques plus significatifs. Ils sont financés par rétention, c'est-à-dire naturellement absorbés dans le compte de résultat annuel. 9 Fréquence forte, gravité faible (eu haut à gauche): risque de fréquence (encore appelés risques récurrents). Les plus significatifs font l'objet de mesures de prévention qui agissent sur les causes pour diminuer la probabilité d'occurrence des sinistres. C'est le domaine d'action du contrôle interne. Il s'agit de ramener ces risques vers le bas, sans les faire dériver à droite. 9 Fréquence faible, gravité forte (en bas à droite): risques de gravité (intensité, sévérité…). Ces risques, qui ne surviennent pas souvent, impactent fortement l'entreprise lorsqu'ils se produisent. Il est nécessaire de prendre des mesures de protection. Cette protection agit sur la gravité pour limiter les dégâts; elle est préparée avant sinistre, mais déclenchée après sinistre. C'est le domaine des plans de continuité d'activités (PCA) et de la gestion de crise. Il s'agit de ramener le poids de ces risques vers la gauche (diminuer leur gravité). Ces risques sont financés par assurance, montages alternatifs et en dernière instance par les fonds propres. 9 Fréquence forte, gravité forte (en haut à droite): ces risques sont à éviter pour préserver la pérennité de l'entreprise. Toutes les mesures de réduction doivent être conjuguées pour diminuer la fréquence et la gravité. Si, après réduction, certains de ces risques s'installent durablement, il faut supprimer les activités qui en sont à l'origine, quitte à avoir un manque à gagner correspondant à la rentabilité de l'activité supprimée. Ainsi, nous constatons que le mode de financement ou de couverture doit être adapté au type de risque et à son évaluation résiduelle (après réduction).

73

Chapitre IV : Cas de la gestion du risque opérationnel à la Société Générale Algérie

74

CHAPITRE IV: CAS DE LA GESTION DES RISQUES OPÉRATIONNELS À LA SOCIÉTÉ GÉNÉRALE ALGÉRIE Le poids du risque opérationnel est resté pendant très longtemps sans prise en charge réelle par les banques à travers le monde, notamment nos banques algériennes. Il a toujours été relégué derrière le risque de crédit qui constituait leur préoccupation majeure (et d'un degré moindre, le risque de Marché). Cependant, avec la faillite de plusieurs grands pôles bancaires à cause des événements classés sous l'égide du risque opérationnel, et l'avènement des nouveaux accords de Bâle, Le Groupe S.G a rapidement pris conscience de la nécessité de gérer ce type de risques. Les gestionnaires se sont aperçus qu’une mauvaise atténuation du risque opérationnel ne constitue plus un coût d’opportunité, mais un risque de perte réelle pouvant sérieusement mettre en péril la vie de la banque. A la lumière des développements théoriques, souvent complexes, qui nous ont permis de relever les outils de mesure et les principes de gestion du risque opérationnel, véhiculés par les chapitres précédents de ce mémoire, et après quatre mois de stage pratique, au cours desquels, nous avons pris connaissance de l’organisation de la Société Générale Algérie (qui sera appelée par abréviation SGA dans la suite du mémoire), et plus particulièrement, de son secrétariat. Nous devons, à présent, être à même de retracer les principales étapes du management du risque opérationnel au sein de la SGA, et par cela nous aurons traité la gestion de ces risques au sein du Groupe Société Générale (Groupe S.G), d'autant plus que c'est ce dernier qui édicte les directives à SGA en termes de démarche à suivre pour la prise en compte des risques opérationnels. Mais avant d'entamer ce chapitre, nous avons jugé indispensable de citer les quelques difficultés que nous avons rencontrées pour l'élaboration de ce cas pratique. En effet, le service du secrétariat Général (structure qui s'occupe du risque opérationnel à la SGA) a n'a été opérationnel qu'au mois de Mars 2007, c'est-à-dire un mois avant que nous entamions notre stage. C'est la raison pour laquelle la gestion des RO n'est qu'à sa phase théorique à SGA (mais cela est déjà une langueur d'avance par rapport aux autres banques- notamment publiques- en Algérie). Aussi, nous tenons à signaler le manque de données de pertes (Loss Data) pour construire un cas pratique de calcul des exigences en fonds propres au titre du risque opérationnel selon les Méthodes Avancées (chose que nous souhaitions faire au moment ou on a opté pour le choix de ce thème). Ce manque revient au fait que la SGA n'a réalisé qu'un seul exercice RCSA "Risk & control Self Assessement" (qui consiste -entre autres- à collecter les données du risque opérationnels), ce qui ne permet pas d'avoir un historique suffisant et des données exhaustives pour calculer les exigences en FP. 75

Ajouté à cela, les données de pertes concernant le Groupe SG sont tenues par la Direction Générale (en France), et nous n'avons malheureusement pas pu y accéder en raison du caractère très confidentiel et onéreux de ce type de données. De plus, le Groupe s'est fixé comme échéance pour l'application des méthodes AMA le mois de Janvier 2008; de ce fait, les données de pertes collectées ne sont pas encore complètes, elles servent surtout à construire l'historique exigé par le régulateur, et à familiariser les filiales avec les procédures de recensement des pertes opérationnelles. Pour répondre aux exigences de notre étude, nous avons structuré notre cas pratique selon l'organisation suivante, qui nous apparait la mieux adéquatée et la plus exhaustive: - Une première section, dans laquelle nous présenterons un historique du Groupe S.G, ainsi que l'organisation de la SGA, en mettant en exergue la place qu'occupe la structure prenant en charge le risque opérationnel. Quelques chiffres clés concernant les pertes opérationnelles et quelques indicateurs de performance du Groupe S.G viendront enrichir cette section. - Une seconde section sera consacrée au référentiel des risques opérationnels au Groupe S.G, et à la démarche de l'élaboration de la cartographie des risques au niveau de la SGA. -La troisième section, quant à elle, traitera le processus de mesure des Risques Opérationnels à la Société-Générale Algérie: Procédure de collecte des données de pertes, l'analyse des scénarii, l'exercice RCSA, le suivi des indicateurs clés de risque KRI ...etc. - En dernier lieu, une conclusion (partielle) viendra apporter notre avis personnel modeste sur l'environnement réglementaire, et sur la réalité de la gestion du risque opérationnel et le stade atteint par la Société-Générale Algérie dans ce défi.

76

SECTION 1 : PRESENTATION DE LA STRUCTURE D'ACCUEIL. "Société-Générale est un groupe européen de services financiers de premier plan, actif dans 77 pays et employant près de 120 000 salariés de 113 nationalités différentes. Le Groupe affiche une solidité financière élevée illustrée par son ratio de solvabilité (Tier one) de 7,8 % et par sa notation financière à long terme : AA (pour Standard & Poor’s 1 ), Aa2 (pour Moody’s) et AA (pour Fitch) au 31 décembre 2006. Le groupe Société Générale est organisé en trois pôles : les Réseaux de Détail et Services Financiers, les Gestions d’Actifs et Services aux Investisseurs et la Banque de Financement et d’Investissement." 2 (À titre d'information, Le 11 mai 2007, l’agence de notation Moody’s a relevé la notation long terme de Société Générale de Aa2 à Aa1). Le groupe Société Générale est donc l'un des groupes bancaires les plus performants et les mieux notés de la zone euro. Il poursuit une politique de croissance durable fondée sur un développement sélectif de ses services, une innovation forte tournée vers la satisfaction de ses clients sur ses différents marchés et une croissance interne et externe soutenue.

1-Aperçu historique sur le Groupe SG : La Banque Société-Générale a été créée au dix-neuvième siècle (en 1864) par appel public à l’épargne. Durant les soixante premières années de sa création, Elle a tissé un réseau de guichets sur l’ensemble du territoire français (1500 guichets en 1940, contre 32 en 1870). Installée à Londres dès 1871, la Société-Générale développe rapidement son dispositif international grâce à l’extension du Réseau de la Sogénal (une filiale de droit allemand, constituées des agences d’Alsace-Moselle qui ont été apportées à la Société Générale Alsacienne, après la guerre de 1870 en France) à des pays du centre de l’Europe (Allemagne, Autriche, Suisse, Luxembourg), à son implantation en Afrique du Nord (1909-1911) et plus tard, aux États- Unis (1940). Nationalisée par les autorités françaises en 1945, la Société Générale a joué un rôle actif dans le financement de la reconstruction. Après la réforme du système bancaire Français en 1966, elle a diversifié ses interventions en direction de la clientèle de particuliers. En juillet 1987, la Société-Générale est redevenue un groupe bancaire de renommée internationale grâce à sa privatisation. En 1997, l’acquisition du Crédit du Nord a permis à la Société Générale d’élargir son activité de détail en France, avec un large réseau de banques régionales. En 2001, le groupe SG a absorbé la Sogénal. 1 2

Standard & Poor's, Moody's et Fitch sont trois des plus crédibles agences mondiales de notation financière. Groupe Société-Générale, Document de référence pour l'année 2007, page 2.

77

Actuellement, la Société Générale est présente dans 77 pays à travers tous les continents, via son réseau BHFM (Banque Hors France Métropolitaine) sous la tutelle duquel est placée la Société Générale Algérie.

2- Organigramme de la S.G.A et place de la cellule Risque Opérationnel: L'organigramme fonctionnel de la SGA (Figure n°4) a été instauré par la Directive n° 2/2006 du 15 Octobre 2006. Il se caractérise par une grande innovation pour la prise en compte des risques opérationnels: La création d’un Secrétariat Général "Sgl" auquel sera rattachée la structure qui s'occupera de la gestion des RO: c'est le service Risque Opérationnel et Conformité ou "SglRoc" par abréviation. Pour mener à bien sa mission, et pour avoir une certaine autonomie dans ses rapports et décisions, Le service Risque Opérationnel et Conformité est situé à un niveau hiérarchique élevé, il est directement attaché au Président du Directoire via le Secrétariat Générale. Le service SglRoc a pour mission la mise en place de la politique du Groupe en matière du risque opérationnel à travers un ensemble d’actions qui sont : 9 L’écriture des procédures requises (l’organisation de la remontée des pertes, le suivi des KRI….). 9 Organisation et validation de la remontée des pertes opérationnelles à travers l’outil OpRisk Monitor. 9 Mettre en place des plans d'actions permettant de prévoir, réduire et couvrir les risques. 9 Contribuer à la mise en place du plan de continuité de l’activité (PCA). 9 Organiser la formation sur les risques opérationnels. 9 Superviser l'Autoévaluation des Risques et des contrôles (RCSA) 9 Préparer les différents rapports et reportings à transmettre aux structures hiérarchiques. 9 Suivre la mise en place de la surveillance permanente au sein de la filiale. 9 Assurer le contrôle de conformité. 9 veiller à l’identification des risques de non conformité et à la mise en œuvre des dispositifs de prévention appropriés ; 9 sensibiliser les lignes métier opérationnelles aux risques de non conformité par une action de formation ; 9 assister les lignes-métiers opérationnelles dans leur action au quotidien, en s’assurant notamment qu’elles disposent d’une documentation actualisée et adaptée à leurs métiers ; 9 donner son avis au regard du risque de non-conformité sur tout nouveau produit ou modification significative, de produits existants, dans le cadre d’une procédure formalisée.

78

Direct. des Risques/ Recouvrement

Direction de l'Audit interne

Président du Directoire Direct. des projets & organisation

Secrétariat Général

Sce Risque Opérationnel et Conformité Département Qualité Département Juridique

Direction Commerciale

Qualité

Direction du Développement

Direction Monétique

Direction des Ressources Humaines

Marketing Produits

Informatique - Administration

-Particuliers -Grandes entreprises -PME -Crédit Bail

Professionnels

Analyse Crédit Service Client commercial Service client Commerce extérieur

Réseau

Service Client Particulier

Direction administrative & financière

-Gestion du Personnel - Gestion des carrières. - Recrutement

Formation

Moyens de paiement Portefeuille Central Moyens Généraux Comptabilité Contrôle de Gestion Trésorerie Caisse Centrale

Figure n° 4: Organigramme Fonctionnel de la SGA (selon la directive n° 2/2006) 79

3- Quelques Chiffres sur le Groupe Société Générale : " Le Groupe a réalisé d’excellentes performances, avec un résultat brut d’exploitation de 8714 M€ sur l’année 2006, en hausse de 22,2 % par rapport à 2005, et un résultat net part du Groupe de 5 221 M €, en progression de 18,6 %." 1 . C'est ainsi que le Groupe décrit l'évolution de sa performance pour la dernière année dans son document de référence. Le tableau suivant montre l'évolution du PNB (Produit Net Bancaire) ainsi que celle des Fonds Propres Moyens entre l'année 2005 et le premier trimestre de l'année 2007: 2005

2006

2007

trim.1

trim.2

trim.3

trim.4

trim.1

trim.2

trim.3

trim.4

trim.1

4 750

4 458

4 871

5 087

5 771

5 709

5 266

5 671

6 046

FP moyens 15 771 (M €)

16 412

17 083

17 759

18 437

19 454

20 482

22 054

23 268

PNB (M €)

Unité: million d'Euro

Tableau n°8: Evolution du PNB et des Fonds Propres Moyens pour la période (2005-2007) De l'analyse de ce tableau, on remarque que les fonds propres sont en nette progression, ce qui constituerait un bon indice de sécurité pour les actionnaires et les tiers, et un bon élément d'appréciation du degré de respect des ratios prudentiels pour le régulateur (cette appréciation doit être complétée par celle concernant l'évolution des niveaux de risques). Approche retenue par le Groupe S.G pour la gestion des risques opérationnels: En termes de gestion des risques, et d'application du nouvel accord de Bâle, l’objectif du Groupe Société Générale est d’être autorisé (par la Commission Bancaire Française) à utiliser les méthodes avancées (IRBA pour le risque de crédit, et AMA pour le risque opérationnel) en janvier 2008. En ce qui concerne le risque opérationnel, Le Groupe SG a retenu donc l’approche AMA dans l’objectif d'une mesurer précise et d'une mise en place d'un dispositif de pilotage efficace de ces derniers. En 2004, les pertes internes afférentes au risque opérationnel au sein du Groupe ont représenté 1,2 % du PNB. Ce chiffre est très loin des 15% et 12% (du PNB) que le comité de Bâle a donné pour estimation des pertes dues au risque opérationnel dans le cadre des approches BIA et Standard. Le Groupe entend ainsi transformer la contrainte réglementaire en une véritable opportunité d’optimisation de gestion du risque. 1

Groupe Société-Générale, Document de référence 2007, page 26.

80

A cette fin, les objectifs poursuivis par le Groupe SG dans ce domaine sont nombreux et variés, mais aussi complémentaires :   

Meilleure compréhension et appropriation des risques opérationnels encourus. Meilleure connaissance du niveau de maîtrise des risques opérationnels et de l’impact potentiel d’une concrétisation de ces risques Allocation cohérente des ressources nécessaires à la réduction de ces risques



Meilleure communication externe sur les risques opérationnels, notamment auprès des investisseurs et des agences de notation, et réduction du risque d’image.



Allocation des fonds propres permettant de mesurer avec pertinence la performance réelle des activités, après prise en compte des risques opérationnels.

Le Groupe dispose à cet effet d’un historique et d'une base de données des pertes internes couvrant la plupart des entités, en France comme à l’étranger (structure BHFM). Cette base de données permet d’analyser les pertes (par catégorie d’événement, cause, ligne d'activité…) et de suivre leur évolution ainsi que les plans d’actions correctrices proposés. L'analyse des pertes agrégées (entre 201 et 2004) montre que les risques de Fraude interne et Litiges avec les autorités dépassent de loin les autres types de risques (comme le confirme le graphique suivant). Cela serait dû à la concentration des activités du groupe sur la banque de détail et le financement d'investissement qui sont porteurs de ces types de risques.

Unité: million d'Euro

Graphique n°2: Répartition des pertes opérationnelles au sein du Groupe SG pour la période 2001-2004 (en M€) 81

SECTION 2 : CLASSIFICATIOIN ET CARTOGRAPHIE DES RISQUES OPÉRATIONNELS A LA SOCIÉTÉ-GÉNÉRALE ALGÉRIE: Avant d'entamer le processus de cartographie des risques opérationnels à la Société Générale Algérie, il est nécessaire de s'entendre sur une définition commune à travers toutes les entités du Groupe, et une nomenclature de risques unique et exhaustive. Définition et Référentiel des Risques Opérationnels au Groupe SG: Le risque opérationnel (RO) est Défini par le Groupe comme étant " le risque de perte résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y compris les évènements de faible probabilité d’occurrence, mais à risque de perte élevé." 1 Cette définition rejoint celle donnée par le comité de Bâle dans son premier document consultatif. Il est cependant intéressant d'y relever la mise en valeur de l'importance des événements rares, et aux conséquences désastreuses. NB: Il est à noter qu’au sein du Groupe SG, le risque d’image est inclus dans la définition du risque opérationnel (contrairement à la définition donnée par le Comité de Bâle). 2 Au Groupe SG, le référentiel des risques opérationnels est composé de huit (8) catégories d’événements représentent les manifestations concrètes possibles ces dits risques. Chaque catégorie d’événement est ensuite déclinée en une ou plusieurs sous-catégories d’événements mutuellement exclusives (on peut y compter 49 sous-catégories). Contrairement à la nomenclature proposée par le comité de Bâle dans ses documents consultatifs, qui considère que les huit lignes d'activité comportent toutes les mêmes catégories de risques (qui sont au nombre de sept), la nomenclature adoptée par le Groupe S.G, et par bon nombre de grands groupes bancaires européens considèrent 49 sous-catégories de risques distinctes, appartenant à huit grandes catégories d'évènements. Cela est n'est bien évidemment pas contraire aux recommandations du Comité de Bâle, qui autorise les établissements à choisir une nomenclature de risques personnalisée, adéquate à leurs types d'activités et à leurs environnements. Néanmoins, le choix d'une classification ou une autre doit être justifié et argumenté. Dans la nomenclature adoptée par le Groupe S.G, on peut remarquer qu'une catégorie entière a été consacrée aux défaillances des systèmes d'information, un risque qui est très significatif de nos jours.

1

Rencontres RISQ, Point d'étape sur le dispositif risques opérationnels, 13 Juin 2007 (www.socgen.com )

2

Projet Bâle II au Groupe SG- Risque Opérationnel -Politique de collecte des pertes internes -Version 2.9

82

Erreurs de Litiges Litiges avec "Pricing" ou Erreurs commerles d'évaluation d’exécution ciaux autorités du risque

• Litiges sur activités de conseil • Pratiques

commerciales inappropriées

• Inadéquation des produits proposés • Insuffisance

du service au client

• Autres litiges avec un tiers • Contrat ou clauses contractuelles inapplicables

Fraude et autres activités criminelles

Activités non Pertes des autorisées sur moyens les marchés d’exploitation (Rogue trading

• Défaillance dans • Piratage informatique le processus de et autre livraison et/ou de attaque règlement de la malveillante banque • Défaillance dans des systèmes informatiques les processus de de la banque gestion des du travail par des tiers confirmations • Évaluation • Non-respect des incorrecte ou d’opérations • Autre lois sur • Défaillance dans forme inexistante l’environnement de la position la gestion d’actes • Non-respect des administrative criminels • Données de d’une opération règles de contre les marché et fonctionnement jusqu’à son actifs de la des marchés information échéance banque organisés publiques • Erreurs dans la fausse ou in • Non-respect des • Vols/escro transmission, la suffisantes normes de queries saisie ou la sécurité et de /fraudes • Modèle de compréhension santé commis par calcul de d’une instruction des tiers • Non-respect prix ou de • Absence ou d’autres lois valorisation inexactitude des • Vols par le données nécessaires • Non respect des erronés personnel exigences à la gestion des réglementaires activités • Fraude sur locales • Absence ou des inexactitude des • Non-respect des transactions exigences rapports d’erreur par le comptables ou de dans les chaînes personnel ou la communication informatiques avec sa financières complicité • Structure • Non-respect de organisationnelle • Utilisation la législation inadéquate non fiscale /faiblesse de l’environnement de autorisée : à • Blanchiment et mauvais contrôle financement du escient terrorisme • Défaillance de d’informatio conservation pour n privilégiée compte de tiers de et documents/valeurs confidentiell • Défaillances sur e par le services rendus par personnel des sous-traitants • Défauts de rapprochement • Accès laissé par la banque aux comptes d’un client sans l’accord de ce dernier • Défaillanc e dans le • Non-respect des dispositif de gestion et lois contre la de suivi des discrimination autorisation • Non-respect de s et des la réglementation limites • Non-respect de la loi bancaire

• Activités non autorisées sur les marchés par le personnel

• Défaut de personnel

• Pertes des donnés • Pertes des moyens d’exploitation • perte de services

Figure n° 5: Classification des risques opérationnels au Groupe Société Générale

83

Cartographie des risques intrinsèques à la S.G.A Dans le cadre de l'exercice RCSA (Auto-évaluation des Risques et des contrôles) qui sera traité plus loin dans notre cas pratique, une cartographie des risques intrinsèques a été mise en place par la Direction du groupe, et renseignée par la S.G. Algérie. Cette cartographie vise à évaluer l'exposition de la filiale (SGA) aux différentes catégories et sous-catégories d'événements, en tenant compte uniquement de l'environnement dans lequel elle opère (le système bancaire et l'environnement juridique algérien), et sans tenir compte du dispositif de contrôle et de prévention des risques. La cartographie des risques intrinsèques élaborée par le Groupe S.G est un document comportant les 8 catégories et les 49 sous-catégories d'événements; chacune est bien définie et illustrée par des exemples pratiques pour chaque ligne de métier concernée, et suivie d'une grille d'évaluation du degré d'exposition de la filiale au risque en question. Pour illustrer cela, nous allons donner l'exemple du risque de "défaillance du matériel" de la catégorie "Défaillance des systèmes" tel qu'il est représenté à la cartographie des risques intrinsèques de la S.G.A:

Catégorie N° 8 - Défaillance des systèmes d'information Tout problème, fonctionnel ou technique, aussi bien dans les installations informatiques (hardware), les logiciels ou applications (Software) ou les équipements de communication: mauvaise adaptation aux besoins, manque de maintenance, introduction non intentionnelle de virus informatique, environnement physique insuffisamment sécurisé, procédures d'accès/ habilitations inadaptées… Sont inclus dans cette catégorie les défaillances de systèmes d'information (hardware, software, communications), de leurs dispositifs de sécurité logique ou physique, ainsi que les défaillances relatives aux projets informatiques.

Sous-catégorie N° 44 – Défaillance du matériel Les événements classés dans cette catégorie sont ceux qui concernent une interruption ou un dysfonctionnement des systèmes informatiques et des et de communication internes. L'indisponibilité des systèmes gérés par des fournisseurs de services externes (système de cotation électronique de bourse, système de cotation d'ordres, de compensation centrale de paiement...etc.) est classée en catégorie "perte de moyen d'exploitation - perte de service". 84

Métiers -Banque de détail -Banque d'investissement -Fonctions transversales

Exemples Dysfonctionnement dû à la capacité de stockage du système, la vétusté du matériel Dysfonctionnement dû à une mise à niveau non faite Dysfonctionnement dû à l'insuffisance du système d'architecture Dysfonctionnement dû à une maintenance insuffisante

Evaluation du RI 44- Défaillance du matériel Non exposé

Faible

Modéré

Elevé

Très élevé X

Justification

NB: La colonne "Justification" n'est généralement renseignée que lorsqu'il s'agit de risque "faible" ou "non exposé". Analyse de la cartographie des risques intrinsèques de la S.G.A: - La plupart des risques sont classés "élevé" ou "très élevé", chose qui est due à la complexité de l'environnement bancaire, juridique et sécuritaire dont opère la S.G.A. -Les risques qui ne représentent par de sérieuses menaces sont ceux liés aux opérations sur le marché (cela est dû à la non existence de telles activités), et ceux liés au non respect de certaines règlementations (lois contre la discrimination, lois sur l'environnement…). - Le risque de "pratiques commerciales inappropriées" (qui est un litige opposant la banque à un client, et portant sur la pratique commerciale non-conforme à la déontologie) est classé comme risque "très élevé". Cela résulte des problèmes d'interprétation des lois et codes, recours aux tribunaux par les clients, contrat en langue arabe… - Le risque de non respect de la loi bancaire (locale ou française) est aussi l'un des risques les plus importants, il est classé "très élevé", car entraînant un risque de pénalité très forte. - Le risque des "contrats ou clauses contractuelles inapplicables" est faible, cela est dû au fait que la plupart des contrats sont standardisés, ce qui a nécessité une profonde étude de la part de la banque sur l'applicabilité des clauses.

85

SECTION III: DISPOSITIF DE MESURE DES RISQUES OPÉRATIONNELS AU GROUPE SOCIÉTÉ GÉNÉRALE: La stratégie du Groupe S.G en termes de gestion des risques opérationnels est globalement axée sur l'exercice RCSA "Risk & Control Self-Assessement" ou "Autoévaluation des Risques et des Contrôles", qui consiste en l'élaboration des Scorecards Métiers suite à un processus de cartographie de risques, avec et sans prise en compte des dispositifs de prévention. Aussi, pour le calcul des fonds propres réglementaires, le Groupe développe un modèle interne de mesure du risque opérationnel basé sur une Approche par la Distribution des Pertes (LDA ou Loss Distribution Approach). A cet effet, de nouvelles simulations de calculs ont été effectuées en 2006 et ont intégré les données de pertes internes, l'impacte des couvertures d’assurance ainsi que les résultats des analyses de scenarii de chocs majeurs afin de fiabiliser et stabiliser les paramètres du modèle. Ajouté aux dispositifs précédents, le niveau des facteurs de risque opérationnel est suivi régulièrement via un référentiel de KRI (Key Risk Indicators) permettant d'avoir une idée sur l'exposition des entités du groupe aux risques en suivant les facteurs induisant ces derniers. Ainsi, les différents dispositifs de mesure (pertes internes, RCSA, KRI, etc.) doivent permettre : - d’identifier les lacunes existantes (insuffisances de contrôle interne, nature de pertes récurrentes, scénarios de sinistre exposant la banque à un risque excessif et non couvert, etc.), - d’élaborer, face à ces lacunes, des plans d’actions palliatifs, - de suivre la mise en œuvre effective des actions correspondantes.

1- LA COLLECTE DES PERTES INTERNES (LOSS DATA) : Compte tenu des nouvelles règles imposées par le Comité de Bâle (allocation de fonds propres, communication financière, surveillance prudentielle accrue), il est indispensable pour le groupe de mesurer finement les pertes opérationnelles et de les identifier en volume et en nature. Selon la Direction du Groupe, cela a pour motivation : ¾ Au niveau interne : - d'analyser les causes qui ont engendré ces évènements - d'identifier et mettre en place les mesures correctives nécessaires -de minimiser les risques et par voie de conséquence augmenter les résultats du groupe. ¾ En externe: - vis à vis des régulateurs : de respecter les normes réglementaires de fonds propres - vis à vis des agences de notations : d'influencer positivement la notation de la SG. 86

Objectif de la collecte des pertes: Le Groupe a mis en place une procédure de collecte des pertes internes constatées principalement pour mieux connaître, maîtriser le risque opérationnel afin de pouvoir l'évaluer le gérer, et allouer ainsi les fonds propres permettant de le couvrir, comme l’exige la réglementation Bâle II. Le Groupe voit donc comme utilité à cette procédure de: - Répondre aux exigences de Bâle II pour les banques ayant retenu la méthode AMA pour le calcul des Fonds Propres (le cas du Groupe SG). - Alimenter en Central une base de données qui permet de calculer le montant de capital à allouer pour couvrir ce risque. - Entreprendre des actions afin de réduire, prévenir et couvrir le RO. Les pertes qui seraient collectées sont déclarées au niveau central pour constituer une base de données de pertes internes à l'aide d'un progiciel appelé "OpeRisk Monitor", que nous nous allons présenter plus loin dans notre mémoire. Le type de pertes à déclarer: Sont à déclarer lorsqu'elles sont comptabilisées les pertes associées à l'une des catégories d'événements suivantes: 1-Les événements de risque opérationnel: La réalisation d’un événement se traduisant par une perte financière au compte de résultat doit être déclarée au moment de sa comptabilisation. Exemples: les pertes dues à un vol d'espèces, un piratage informatique… sont déclarées comme étant des événements de risque opérationnel. 2-Les événements de Risque Opérationnel associé à un Risque de Crédit (RO/RC): les pertes associées à ces événements sont déclarées même si elles ne sont pas prises en compte dans le calcul du capital exigé au titre du RO. Exemple: Lors d'une opération de crédit, la banque commet une erreur lors de la constitution d'une garantie (ex: erreur dans la dénomination de la contrepartie dans un acte d'hypothèque), et la contrepartie se relève par la suite défaillante (risque de crédit). On considère qu'il y a perte opérationnelle associée à du risque de crédit à hauteur du montant garanti par la sûreté. 3-Les événements de Risque Opérationnel associé à un Risque de Marché (RO/RM): ces pertes doivent être déclarées même si elles ne sont pas prises en compte dans le calcul du capital exigible au titre du risque opérationnel. Exemple: Les pertes engendrées par une position (ex: position longue en $) qui a été prise sur le marché des devises par erreur d'un trader de la banque (ex: ordre d'achat au lieu d'un ordre de vente) sont considérées des pertes opérationnelles, associées à un risque de marché puisqu'elles sont dues en partie à une évolution défavorable du cours de la monnaie en question sur le marché. 87

NB: une telle opération peut aussi engendrer des profits involontaires (évolution favorable du cours du $) même si l'ordre a été émis par erreur. La collecte de ces profits n’est pas obligatoire (ils ne sont pas pris en compte pour le calcul des fonds propres réglementaires au titre du RO) mais peut être utile au pilotage des risques. 4- Les quasi-pertes: Des événements de risque opérationnel qui n’ont pas eu d’impact financier, mais qui auraient pu en avoir un. Même si leur déclaration n’est pas obligatoire, ces informations sont utiles pour analyser des sources de risques et des éventuelles failles dans les contrôles. Exemple: Une tentative d'attentat terroriste contre une agence de la banque a échoué, mais aurait pu avoir un impacte financier si elle est survenue: cela est une quasi-perte. Les seuils de déclaration et les pertes à déclarer: Les montants à prendre en compte dans la déclaration d'une perte sont ceux liés à l’événement l'ayant générée (impact financier brut avant toute récupération ou encaissement indemnisation d’assurances), les coûts associés ainsi que les coûts des évènements connexes. ¾ Coûts associés : Ce sont de coûts inévitables, nécessaires pour la résolution de l'événement, comme le coût de réparation des actifs endommagés, frais de consultant externe pour étudier les causes ou résoudre l’incident, honoraires d’avocats, huissiers, coûts exceptionnels affectés à la résolution de l’incident (heures supplémentaires, embauche de personnel intérimaire…). ¾ Evénements connexes : Des événements reliés à l’événement initial, et qui n'auraient pas

lieu si l'événement principal ne s'était pas produit. Exemple: une fraude informatique a généré des coûts de remise en état du système d’information. Ultérieurement, des clients, invoquant la responsabilité de la banque pour des préjudices subis du fait de cette fraude, engagent des actions judiciaires qui génèrent des frais de procédure à la charge de la banque. Concernant le seuil de déclaration, tous les événements précédents doivent être obligatoirement déclarés, dès lors que le montant du sinistre dépasse 10 000 Euros et dès que ces risques font l’objet d’un enregistrement comptable (perte, provision, compte de charges). Ce seuil s’applique au montant brut de la perte (i.e. avant récupération venant de tiers ou des assurances). Ce seuil s’apprécie par événement de risque, i.e. en cumulant, le cas échéant, les montants des différentes pertes générées par le même événement. NB: -Pour l'entité SGCIB (filiale du groupe exerçant l'activité de Banque d'Investissement), le seuil de déclaration est fixé à 25000 € au lieu de 10000 €. - Par exception, toute perte potentiellement supérieure à 1 million d’euros, doit être enregistrée en montant dès que l’incident générateur est identifié et même si les pertes ne sont pas encore arrêtées ou provisionnées

88

Les montants à ne pas déclarer suite à un événement de risque opérationnel sont : - Les coûts dus à un changement de stratégie commerciale (risque stratégique), - Le PNB ou les profits potentiels non réalisés, (manque à gagner) du fait d’une incapacité temporaire à travailler liée à un événement de risque opérationnel (coût d’opportunité), - Les sommes dépensées pour des gestes commerciaux (EX: la banque décide de rembourser un client privilégié suite à un litige, or une action en justice lui aurait donné raison, et le client ne serait pas indemnisé: cela est un geste commercial servant à fidéliser la clientèle). Les entités responsables de la procédure de collecte des pertes: ¾ L'entité déclarante: c'est celle qui déclare (saisie) la perte, même si ce n'est pas à son niveau que cette dernière est survenue. ¾ L'entité responsable: entité où l’événement de risque s’est produit et qui a la capacité d’engager des actions correctrices pour éviter que cela ne se reproduise. L'entité responsable peut être un centre de profit (générant un bénéfice ou un résultat pour la banque, comme l'agence ou la direction de trésorerie), ou un centre de traitement /support (réalisant des tâches répétitives pour le compte des autres structures, comme la Direction de la comptabilité). ¾ Ligne de métier imputée : le ou les centres de profit auxquels la perte est imputée. Il s’agit des entités SG correspondant à l’une des huit lignes-métiers définies par le texte réglementaire Bâle 2 (cf. Chapitre I). Une fonction support ne peut donc pas être ligne-métier imputée. ¾ L’entité juridique concernée: c'est la personne morale qui enregistre la perte dans ses comptes; il s'agit du Groupe S.G lui même ou de l'une de ses filiales. La déclaration d'un événement de perte: Elle se fait par un responsable habilité de l'entité déclarante. La déclaration s'effectue par la saisie d’une fiche par événement générant une ou plusieurs pertes sur l’outil OpRisk MONITOR (module de collecte des pertes). Elle doit porter sur: -l'identification de l'événement de risque opérationnel ayant induit la perte: indiquer en quoi il y a une défaillance interne ou externe, renseigner sur les causes de l'événement…etc. -Le montant à déclarer: donner un niveau de détail proportionnel à l'ampleur de la perte brute; le montant déclaré est lui-même susceptible d’évolutions (nouvelle perte liée au même événement, nouvelle dotation aux provisions, reprise de provisions ou récupération…). Les montants à prendre en compte sont ceux liés à l’événement ayant généré la perte, les coûts associés et les coûts des évènements connexes. -l'affectation de la perte dans le groupe: Préciser l'entité responsable et l'entité imputée (centre de profit et entité juridique). -Les dates utiles: Date de l'événement, de la comptabilisation en pertes, des récupérations… -Les mesures correctrices: mesures prises pour éviter que l'événement ne se reproduise. 89

La validation de la déclaration: La validation est une étape obligatoire pour chaque déclaration de perte: elle constitue un contrôle de la fiabilité et de la pertinence des déclarations, elle doit être effectuée par une personne distincte du déclarant. Le validateur doit contrôler notamment: -L'éligibilité de l'événement au titre de risque opérationnel. -La cohérence entre le descriptif de l'événement et son classement en sous-catégorie de risque. -La cohérence du montant de la perte avec la devise associée. -Le renseignement des autres informations (entité responsable, mesures correctrices…). La modification/ suppression d'une déclaration: La modification d'un événement (ajout ou d'un montant, modification d'un élément...) peut se faire par la même personne l'ayant saisi, et est soumise à validation; la date de déclaration reste cependant inchangée (c'est la date du 1er événement). Par contre, la suppression d'un événement de perte déjà validé dans la base n'est possible qu'avec l'accord préalable de PRES/BA2/OPE (l'entité responsable de l'application du projet Bâle II dans le Groupe) dès lors que son montant brut (avant récupérations) est supérieur ou égal au seuil de 100.000 Euros. Elle doit être justifiée et documentée. Présentation de l'outil de saisie des pertes "OpRisk Monitor" La collecte des données de pertes internes (imposée par le comité de Bâle pour toutes les banques ayant choisi une méthode AMA) doit répondre à des critères précis. Ainsi, les banques devront avoir un historique de pertes de 5 ans (ou au minimum 3 ans au démarrage). A cet effet, le Groupe S.G s'est doté du logiciel OpeRisk Monitor permettant une meilleure organisation de la collecte, et l'accès direct à la base de données centralisée des pertes afin de: - limiter les risques d’erreurs liés à la multiplication des étapes de saisie manuelle. - gagner du temps en permettant des saisies au fil de l’eau et une intégration dans la base de données des pertes en temps réel. -sécuriser le circuit de validation. - consulter à tout moment la base de donnés des pertes en fonction des habilitations et du périmètre des utilisateurs. - suivre une perte tout au long du circuit de validation. Les utilisateurs pourront accéder à l’outil via une interface accessible par le navigateur Intranet/Internet. L'accès est sécurisé par un mot de passe individualisé, et l'utilisateur aura l'interface ayant toutes les informations nécessaires pour l'identification de l'événement de perte (cette interface est présentée en annexe à la fin du mémoire). Pour illustrer la déclaration d'un événement sur OpeRisk Monitor, voici un exemple de déclaration de perte auquel on a assisté durant notre stage: 90

SAS OpRisk Monitor Informations générales sur l'événement Classification générale: Important

Type d'impact: Perte Perte

Etat de l'événement: Comptabilisé en perte/gain

* Titre de l'événement

* Pays de l'incident

Pénalité pour dépôt tardif de la déclaration mensuelle

Algérie

* Description de l'événement La déclaration de TVA et le paiement afférent s'effectuent dans le centre de recette des impôts dont dépend l'agence bancaire. Mensuellement, la Direction Administrative et Financière établit pour l'ensemble des agences les déclarations, calcule le montant de la TVA à verser, et donne instruction au responsable d'agence de déposer la déclaration faxée, accompagnée du règlement par chèque de banque tiré sur l'agence. En janvier 2005, un envoi de la déclaration par fax a été effectué le dernier jour de dépôt (soit le 20 du mois suivant) laissant un délai de réaction court à l'agence pour émettre le chèque et déposer le tout. Le coursier de l'agence s'étant présenté quelques instants avant l'heure de fermeture de la recette, le système informatique fermé de la recette n'a pu permettre la saisie de la déclaration et du règlement, lesquels ont été officiellement déposés en J+1 donc hors délais. Une pénalité de dépôt tardif a donc été appliquée en notre défaveur. Nous avons déposé un recours gracieux pour le moment sans suite favorable. Début de l'événement: Clôture de l'événement: Date de découverte:

Entité responsable: + BHFM - SGA

21/01/2005 31/12/2005 25/01/2005

Catégorie/Sous catégorie d'événement: + LITIGE AVEC LES AUTORITES - Non respect de la législation fiscale

Récapitulatif du/des montant(s) déclaré(s) en EUR Perte brute: Récupérations hors assurances: Perte nette (Avant récupérations d'assurances)) Récupérations d'assurances: Perte nette:

15 000,00 0,00 15 000,00 9 160,00 5 840,00

Figure n°6: Exemple de saisie d'événement perte sur OpeRisk Monitor 91

2- LE SUIVI DES INDICATEURS CLES DE RISQUE (KRI) : Les Indicateurs Clés de Risque (Key Risk Indicators) sont des éléments qui permettent de détecter les risques avant leur survenance, ils peuvent être isolés, identifiés et mesurés. Utilisés correctement, ces indicateurs sont considérés comme outils de comparaison de l'exposition au risque entre les unités d'une même banque, ou entre banques de même niveau. Le Groupe défini l'indicateur clé de risques (KRI) comme étant "une donnée objective et mesurable devant permettre d’évaluer un ou plusieurs risques clé et ainsi d’améliorer leur pilotage". 1 Donnée objective et mesurable: signifie qu'elle est quantifiable, facilement reproductible, documenté et auditable. Les indicateurs de risque les plus connus sont la rapidité de la croissance, le lancement de nouveaux produits, la rotation des employés, les ruptures de transactions, les pannes de système, le nombre de litiges et de réclamations…etc. Objectif des KRI: Dans le cadre des "saines pratiques pour la gestion et la surveillance du risque opérationnel", le comité de Bâle recommande aux banques de mettre en place une gestion proactive de leurs risques opérationnels par le suivi de leurs Indicateurs Clés de Risque. La mise en œuvre de cette recommandation devient obligatoire pour les banques (à l’exemple de Société Générale), qui ont choisi la méthode AMA pour le calcul des exigences minimales de fonds propres au titre des risques opérationnels. Le suivi régulier des KRI permet la mesure quantitative et vérifiable du risque en complétant les autres outils (l’exercice du RCSA, la collecte des pertes internes et l'analyse des scénarii). Il permet en outre d’obtenir des alertes en amont sur d'éventuelles pertes à venir. Détermination des KRI: En pratique, les KRI sont des statistiques et/ou diverses mesures qui peuvent donner une idée de l’exposition d’une entité ou de métiers aux risques. Ils sont revus de façon périodique (chaque mois ou chaque trimestre) pour alerter la banque sur les modifications ou évolutions porteuses de risques. L’identification des KRI est assurée par les responsables des Branches, des lignes métiers, des entités filiales ou succursales, des fonctions supports ou des filières. Les KRI doivent être compris, adoptés par tout le monde et vérifiables. Ainsi, ils doivent être suffisamment documentés pour permettre leur revue par l’audit interne, l’Inspection Générale et les régulateurs. 1

Société Générale- Projet Bâle II – Risque opérationnel - Policy KRI

92

Référentiel des KRI à la SGA: Le Groupe Société Générale a arrêté un référentiel KRI, à l’intérieur duquel Chaque entité doit puiser les indicateurs à suivre. Ce même référentiel a été repris par la SGA et enrichi par de nouveaux indicateurs, il contient environ 350 indicateurs, ayant tous les caractéristiques (propriétés) suivantes, permettant de les distinguer les uns des autres : Propriété

Description ou commentaire

Identifiant

Référence unique pour une même entité responsable

Nom

Nom de l’indicateur

Description

Description synthétique de l’indicateur

Objet

Justification de la mesure

Entité Responsable

La structure responsable de mesurer et de collecter cet indicateur

Personne à contacter

En cas de question sur le KRI

Lignes métier concernées Entité(s) juridique(s) Catégorie(s) d’événement

Le ou les catégories d’événement pour lesquelles le KRI permet d’évaluer le risque intrinsèque ou résiduel.

Sous-catégorie(s) d’événement

Le ou les sous-catégories d’événement pour lesquelles le KRI permet d’évaluer le risque intrinsèque ou résiduel.

Facteur(s) de risque concerné(s) Fréquence de calcul

Le ou les facteurs de risque pour lequel le KRI permet d’évaluer la qualité du dispositif de prévention et de contrôle. Quotidienne, Hebdomadaire, Mensuelle, Tous les deux mois, Trimestrielle, Semestrielle…

Unité de mesure

Nombre, fréquence, taux, montant (devise)…

Règles de calcul

Description de ses règles de calcul et d’agrégation par entité

Fréquence de reporting

Fréquence ou seuil minimal de reporting ou de suivi à partir duquel il doit faire l’objet d’un suivi (reporting systématique ou ponctuel…)

Circuit de reporting

Description du circuit correspondant

Norme ou benchmark

Peut être établie de façon spécifique à un KRI, pour une entité donnée

Seuil d’alerte

Seuil (valeur constatée ou variation) au-delà duquel un KRI doit faire l’objet d’un suivi spécifique (procédure d’escalade) et déclencher d’éventuelles actions correctrices.

Objectif

Seuil ou évolution à atteindre, à une échéance fixée.

Tableau n°9: Propriétés d'un Indicateur Clé de Risque La liste communiquée à la Société-Générale Algérie par sa structure hiérarchique (BHFM) contient des KRI "obligatoires" que la SGA doit impérativement renseigner (ils sont au nombre de 27), et d'autres KRI facultatifs. Cette liste est évolutive: chaque structure peut y ajouter des indicateurs qu'elle juge pertinents, à condition de les justifier et documenter. 93

Le tableau suivant reprend quelques exemples de KRI relatifs aux deux premières catégories de risques SG: "litiges commerciaux" et "litiges avec les autorités: Catégorie Sous-Catégorie d'événement SG d'événement

Exemples de KRI

Litiges commerciaux

Nombre de litiges juridiques en cours

1 Litiges sur activités de conseil 2 Pratiques commerciales inappropriées 3 Inadéquation des produits proposés 4 Insuffisance du service au client

Nombre de plaintes reçues (demandes de compensation) Nombre de réclamations clientèle ayant débouché sur un litige commercial

5 Autres litiges avec un tiers (fournisseur, prestataire…) 6 Contrat ou clauses contractuelles inapplicables Litiges avec les 11 Non respect de règles de fonctionnement des marchés Nombre de réclamations reçues autorités organisés (actions, futures, marchandises, obligations, etc.) 13 Non respect d'autres lois (non citées dans cette catégorie d’événement)

Amendes liées au non respect des normes de marchés organisés

14 Non respect des exigences réglementaires locales ou françaises

Cas de litiges ou non-conformité aux règles ou lois

17 Blanchiment (interne et externe) et financement du terrorisme

Sanctions imposées et actions juridiques associées Nombre de transactions suspectes

Source: Société Générale- Projet Bâle II – Risque opérationnel - Policy KRI

Tableau n°10: Exemples de KRI pour les deux premières lignes de métier Un reporting régulier des KRI est effectué par la SGA, le niveau des indicateurs "obligatoires", ainsi que celui de quelques indicateurs facultatif est transmis trimestriellement à la BHFM pour appréciation et recommandations.

3- L'EXERCICE RCSA (RISK & CONTROL SELF ASSESSEMENT) Le RCSA ou "l'Autoévaluation des Risques et des contrôles" est l'un des plus performants outils de mesure et de pilotage des risques opérationnels à la SGA. Il s'agit d'une Le RCSA a pour but d’évaluer les risques résiduels auxquels la banque est exposée: a- En évaluant les risques intrinsèques existants (risques inhérents à la nature de l’activité en faisant abstraction de l’environnement de prévention et de contrôle). b- Puis en appréciant la qualité des dispositifs de prévention et de contrôle en place permettant de réduire ces risques (existence et efficacité des dispositifs de détection et de prévention des risques et/ou leur capacité à en diminuer les impacts financiers) c- Enfin, en déduisant l’exposition aux risques résiduels (après prise en compte de l'atténuation des risques réalisée par l’environnement de prévention et de contrôle, mais sans prise en compte des couvertures d’assurance). Cet exercice doit permettre d’identifier les zones de faiblesse, de mettre en place des mesures de prévention et de contrôle ainsi que des plans d’actions correctrices ont été conçus.

Démarche de l'exercice RCSA: 94

Pour piloter les risques, il faut d'abord les identifier et mesurer. La démarche de l'exercice RCSA est donc axée sur trois grandes étapes: Elaboration de la cartographie des risques intrinsèques, appréciation du dispositif de contrôle et de prévention, et enfin estimation des risques résiduels. 1- Elaboration de la cartographie des risques intrinsèques: L’établissement de la cartographie des risques intrinsèques est effectué par les principaux responsables opérationnels de la filiale. Il s'agit d'estimer le niveau des risques en tenant compte uniquement de l'environnement dans lequel opère la banque, et sans prendre en compte quelconque dispositif de prévention et d'atténuation: Il s'agit de l'appréciation de la sécurité de l'environnement auquel appartient la banque. A cet effet, une cartographie des risques intrinsèques (traitée précédemment dans notre mémoire) est mise en place par la Direction du Groupe et renseignée par la SGA. Cette dernière s'appuie par le référentiel des risques opérationnels adopté par le Groupe; l'exposition à chaque sous-catégorie de risque étant appréciée par une note allant de "o" jusqu'à "4". 0

Non exposé

1

Faible

2

Modéré

3

Elevé

4

Très élevé

Exemple: Une agence SGA est fortement exposée au risque "Erreur d'exécution"; la note qui sera attribuée à cette sous-catégorie dans la cartographie des risques intrinsèques est "4". NB: Les cartographies des risques intrinsèques doivent être obligatoirement commentées. Après évaluation, les cartographies des filiales sont validées par leurs Directions respectives et par BHFM siège. 2- Evaluation du dispositif de prévention et de contrôle: Pour se protéger, la Banque met en place des dispositifs de prévention et de contrôle visant à réduire ses risques opérationnels à un niveau jugé acceptable. Afin d'évaluer de tels dispositifs, la SGA a mis en place les "Scorecard Métier", qui sont une sorte de questionnaires adaptés pour chaque structure. Les Scorecard métier sont ensuite agrégées dans une Scorecard globale (contenant dans le cas de SGA 1946 questions). Pour chaque risque, la Scorecard métier contient -entre autres- les informations suivantes:

95

- La sous-catégorie d'événement: représentant une parmi les manifestations concrètes possibles des risques pour la banque. - Les facteurs de risques: Il est nécessaire d’identifier les principales causes internes ou externes de ces manifestations (les catégories d'événement) : ce sont les facteurs de risques. Exemple : Insuffisances des procédures de gestion des réclamations clientèle. - Les questions d'évaluation: à l'aide de ces questions, on apprécie le dispositif de prévention et de contrôle pour chaque facteur de risque. Cette démarche d’auto-évaluation met en évidence l’efficacité des processus de contrôle interne (y compris sa formalisation). - La notation des questions et leur justification: la mise en place d’une Scorecard a pour objectif de permettre la mise en évidence : -l’existence ou l’absence de dispositifs de prévention et de contrôle, -la qualité des dispositifs de prévention et de contrôle existants. Une note allant de "1" à "4" sert à apprécier le dispositif de contrôle de chaque risque: 4

Satisfaisant

3

Assez bon

2

Faible

1

Très faible

Pondération des facteurs de risque: C'est une étape facultative : elle permet à l’entité concernée de qualifier l’importance relative de chaque facteur de risque pour une catégorie ou sous-catégorie d’événement. Les pondérations doivent être sélectionnées parmi un barème allant de 1 à 5 (5 étant le poids le plus important ; 3, le poids moyen…) et expliquées. Par défaut, les facteurs de risque sont équipondérés (poids moyen = 3), pour dire qu'ils ont des poids presque équivalents. NB: Nous tenons à signaler que BHFM a décidé de ne pas utiliser cette possibilité. Notation et justification des facteurs de risque: Le noteur (responsable de l’entité évaluée ou la personne déléguée) répond aux questions d’évaluation des dispositifs de prévention et de contrôle correspondants aux facteurs de risques retenus. Un facteur de risque peut concerner plusieurs catégories / sous-catégories d’évènements. Il doit toujours être considéré en fonction de la ou des catégories ou sous-catégories d’événement auxquelles il se rapporte. (Il est cependant possible qu’un facteur de risque soit noté de la même façon pour toutes ces catégories ). 96

Validation des Scorecard entités: Toute scorecard entité renseignée et notée doit être envoyées par le noteur à sa hiérarchie pour validation. Le valideur doit vérifier que toutes les questions ont bien été notées, qu'une justification valable a été fournie pour chaque note et pondération éventuelle des facteurs de risque, qu'une cohérence des notes pour l’ensemble des entités de son périmètre est assurée. Afin de finaliser cette étape, nous avons jugé utile de citer cet exemple de facteur de risque évalué dans la scorecard entité: Il s'agit du facteur de risque "sécurité des équipements" et concerne le métier de "Sécurité des systèmes d'information". Il a été repris tel qu'il a été renseigné à la Scorecard. Catégorie

Sous-catégorie

d'événement

d'événement

Fraude et

Piratage informatique et

Les équipements critiques sont-

chaque site est doté

autres

autres attaques

ils équipés d'onduleurs pour

d'un onduleur et

activités

malveillantes des systèmes

faire face aux coupures

criminelles

informatiques de la banque

d'énergie électrique ?

Question

Note*

4

Justification

d'un générateur électrique

par des tiers * la note 4 correspond à l'appréciation "satisfaisant" Tableau n°11: Exemple de risque évalué à la Scorecard Métier "Sécurité des systèmes d'information" SGA.

3 – Elaboration de la Cartographie des risques résiduels: Il s'agit de la dernière étape du RCSA, elle consiste à estimer les risques par catégorie d’événement et par ligne métier au sein des branches ou par Direction Fonctionnelle, en prenant en compte les différents dispositifs de prévention et d'atténuation des risques mis en place par chaque entité évaluée. La cartographie des risques résiduels résulte des notes consolidées des risques intrinsèques et de celles du dispositif de prévention et de contrôle. Elle doit obligatoirement être commentée. Hiérarchiquement, la cartographie des risques intrinsèques est généralement établie à un niveau plus élevé que les Scorecards entité. Les cartographies des risques résiduels des lignesmétier sont quand à elles établies au sein des Branches et Directions Fonctionnelles, et doivent être validées par leurs Directions respectives. Les risques résiduels doivent être quantifiés par le responsable de la Ligne Métier selon l’échelle de quantification fixée par la Direction de l’entité. Cette échelle est identique pour les risques résiduels et pour les risques intrinsèques (lorsqu'elle existe). 97

Détermination du niveau du risque résiduel: Comme les risques intrinsèques et le niveau de contrôle, une note est attribuée au risque résiduel. Cette note est obtenue par division de la note du risques intrinsèque par la note du dispositif de contrôle consolidée pour chaque catégorie d’événement (ou chaque souscatégorie d’événement si la Branche ou l’entité le souhaite). Un paramètre (note) d'ajustement est parfois ajouté à la note obtenue afin de consolider le poids de certains risques. Note du niveau de Risque Résiduel (Score)

=

Note du niveau de risque intrinsèque Note du niveau de Dispositif de contrôle

+ paramètre d'ajustement

- Le paramètre d'ajustement peut être de "1" à "2", il est ajouté notamment pour les risques « élevés » et « très élevés » quand les notes du dispositif de prévention sont « Faibles » ou « Assez bonnes ». En effet, dans ces cas-là, il est attaché - par prudence - plus d’importance à la note du Risque Intrinsèque qu’à celle de la qualité des mesures de prévention et de contrôle. La note obtenue (score) correspond à une évaluation du risque résiduel comme suit: Note obtenue

Evaluation du risque résiduel

0 à 1 inclus

Faible

1 à 2 inclus

Modéré

2 à 3 inclus

Elevé

3 à 4 inclus

Très élevé

Le score ainsi obtenu permettra d'identifier les zones de faiblesse des mesures de prévention et de contrôle et de mettre en œuvre des plans d’actions correctrices. Consolidation des Scorecards par Lignes Métier et par axe filières: Les notes de la qualité du dispositif de prévention et de contrôle (et par conséquent le niveau du risque résiduel) seront obtenues par consolidation des scorecards entité notées suivant les règles suivantes : - La note d’un facteur de risque est la moyenne arithmétique des notes de ses questions. - La note d’une sous-catégorie d’événement est la moyenne arithmétique pondérée des notes de ses facteurs de risque. En l’absence de pondération précisée pour les facteurs de risque d’une sous-catégorie d’événement, ces facteurs de risque sont réputés équipondérés. - La note d’une catégorie d’événement est la moyenne arithmétique des notes de ses souscatégories d’événement. La consolidation peut aussi se faire par axe filières, en considérant la moyenne arithmétique des notes des entités "filles" pour obtenir celle de l'entité "parente". 98

Fréquence de l'Exercice RCSA: Un premier exercice RCSA devait être mené sur un périmètre significatif du Groupe SG avant le 30 juin 2006. Concernant la SGA, Un seul exercice RCSA a été réalisé; Cela est dû à la mise en place tardive de la structure s'occupant des risques opérationnels (Début 2007). L'exercice doit être renouvelé au moins une fois par an ou lors de changements majeurs dans les environnements opérationnels et de contrôle des entités (nouvelle organisation, nouvelle activité, évolution réglementaire, automatisation d’un processus).

3- L'ANALYSE DES SCENARII Afin de compléter les données historiques (collectées par la procédure de collecte des pertes internes "LDA"), et les données prospectives (construites partiellement par la procédure du RCSA), le groupe essaye de compléter sa base de données en intégrant les données afférentes aux événements rares mais à fort impacte, par la mise en place une procédure appelée "Analyse de scénarii" et par abréviation "AS" . Un scénario décrit la survenance potentielle d’un évènement de risque susceptible d’engendrer des pertes opérationnelles. Le scénario est associé à une catégorie d’événement de risque (obligatoire) et à une sous-catégorie d’événement de risque (souhaité) de la classification de la SG. 1 La liste des scénarios, revue annuellement, doit couvrir de façon satisfaisante les risques les plus sévères au regard des activités du Groupe. Elle regroupe les scénarios des pôles (touchant une seule entité du Groupe à la fois), et les scénarios transversaux (concernant simultanément plusieurs Pôles ou entités du Groupe).

Les Grandes Etapes d'une Analyse de Scénarii (AS): ¾ Décrire l’événement de risques et ses conséquences sur les entités concernées, ¾ Caractériser l’événement de risque par des fréquences d’occurrence ou des temps de retour, associés à des sévérités, ¾ Identifier et évaluer les différents types d’impacts financiers, ¾ Présenter les montants et les fréquences de façon à pouvoir les intégrer dans le calcul du capital réglementaire AMA, ¾ Identifier les mesures de réduction prises (contrôle, PCA, couvertures d’assurance). L’identification des scénarios à étudier découle de l’analyse d’éléments propres au dispositif AMA et/ou externes que sont : les résultats du RCSA, la qualité des dispositifs de prévention et de continuité d’activité "PCA", les pertes internes historiques "PI", les bases de 1

Société Générale- Projet Bâle II – Risque opérationnel - Procédure Analyse de scénario

99

données de pertes externes "PE", les évolutions de l’environnement réglementaire, les travaux de la place, les données fournies par le contrôle interne, les évènements importants dans le Groupe SG (ex: nouvelle activité…), les avis d’experts, les couvertures d’assurance, les rapports et préconisations de l’Inspection Générale et des services d’Audit interne et externe. La combinaison des informations issues des différentes sources précitées permet aux experts d'identifier les scénarios possibles et d'estimer leur probabilité de survenance ainsi que leurs impacts potentiels.

Les Scénarios extrêmes: Pour qu'un scénario soit pris sérieusement en compte pour le calcul de la charge en capital, il faut qu'il associe une fréquence significative et une sévérité importante. Ainsi, la sévérité (pertes) la plus élevée, qui correspond au scénario de stress défini par les experts, doit être associée à un temps de retour minimal (TRM) pour que le capital lié à ce scénario soit significatif. Le TRM varie suivant la valeur des sévérités (voir le tableau ci-après): Sévérité

Temps de retours minimal

de 5 à 10 Millions €

au moins 1 / 30 ans

de 10 à 30 Millions €

au moins 1 / 100 ans

de 30 à 50 Millions €

au moins 1 / 300 ans

supérieure à 50 Millions €

au moins 1 / 1000 ans

Ex : Un scénario dont la sévérité maximale est évaluée à 40M€ pour un temps de retour d’1 fois tous les 140 ans sera considéré comme un scénario extrême. Tandis qu'un scénario dont la sévérité maximale est évaluée à 100M€ pour un temps de retour d’1 fois tous les 1500 ans ne sera pas considéré comme un scénario extrême, et ne sera pas pris en considération.

Les critères liés à la "zone de risque" objet de l'AS: Une "zone de risque" est définie comme le croisement d’une catégorie ou sous-catégorie d'événement de risque et d’une ou plusieurs ligne(s) ou sous-ligne (s) métier du Pôle. EX: Zone 1 = Inadéquation des Produits Proposés (Litiges Commerciaux) X banque de détail. -Pour qu'une zone de risque soit éligible à l'AS, elle doit satisfaire l'un des critères suivants: ¾ Risque intrinsèque noté 4 (jugé très élevé dans la cartographie des risques intrinsèques réalisée par l'exercice RCSA); ¾ Risque résiduel noté au moins 3 (i.e. risque élevé); ¾ Perte interne au moins égale à 1 million d’€ (100M DZD) sur la zone de risque ciblée; ¾ Pertes externes importantes pouvant concerner la zone ciblée; ¾ Rapports d’audit signalant des risques particulièrement importants; ¾ Evolutions de la réglementation générant un risque significatif sur la zone concernée; 100

Le tableau suivant illustre la réalisation d'une analyse de Scénario sur la base des cartographies du RCSA (risques intrinsèques et risques résiduels): ligne-métier A: Banque de détail Risque intrinsèque max

Risque résiduel max

ligne-métier B: paiements & règlements Risque intrinsèqu e max

Risque résiduel max

Commentaires :

Proposition d’AS

pour l ‘année N : (Appréciation des niveaux intrinsèque et -Nouvelles AS résiduel de la zone -Actualiser des AS de risque) - Supprimer des AS -Risque intrinsèque de 4 sur la ligne métier A (très élevé)

Défaillance dans le processus de livraison et/ou de règlement de la banque

4

absence ou inexactitude des rapports d’erreur dans les chaînes informatiques

1

1

4

2.15

Fort risque intrinsèque sur la ligne métier B

Une AS existante sur la ligne métier B est à réévaluer

Non-respect de la loi contre la discrimination

1.05

0.30

1.00

1.00

Risque jugé très faible sur les deux lignes de métier

AS existante sur la ligne métier B jugée inutile est à supprimer

3

1

1

- Risque résiduel élevé

Un scénario est à réaliser sur la ligne métier A

Tableau n°12: Exemple de réalisation des AS sur la base des cartographies du RCSA NB: -Pour les scénarios extrêmes, il est recommandé de ne pas considérer un périmètre d’activité plus fin que celui d’une filiale ou d’une sous-ligne métier dans un pays. -Un même scénario peut regrouper plusieurs sous-catégories de risques dans une même catégorie d’événement. EX: litige sur activités de conseil et insuffisance du service au client. -Les Pôles peuvent -à leur initiative- définir leurs zones de risque en utilisant des niveaux plus contraignants (exemple : risque résiduel noté au moins 2, perte de 700000 €).

Cohérence entre les pertes estimées par l'AS et les données de pertes: Le chiffrage de l’AS, effectué essentiellement "à dire d’experts ", doit être comparé aux pertes internes (PI) disponibles afin de garantir une vraisemblance des estimations: c'est l'un des critères les plus importants pour la validation des scénarii proposés. Il est indispensable de réaliser certains contrôles de cohérence entre les données empiriques de l’AS et les PI disponibles sur la zone de risque commune (ou comparable): ¾ Comparaison des sévérités: Une justification est à fournir lorsque la sévérité maximale de l’AS est inférieure ou égale à la PI la plus élevée sur la zone de risque correspondante (car cela voudrait dire que le scénario testé n'est pas le pire des cas qui pourraient se présenter). ¾ Comparaison des temps de retours: Ce contrôle de cohérence est à effectuer sur des montants de perte AS et PI de même ordre de grandeur. Les montants de l’AS doivent cependant être supérieurs à ceux des pertes internes: La règle dans ce cas est que chaque hypothèse de perte de l’AS doit enregistrer au maximum un temps de retour (TR) deux (2) fois supérieur à celui de la perte interne. Au101

delà, les Pôles doivent fournir une explication sur la différence considérable des délais de retours. Cependant, l’historique de pertes du Groupe ne permet pas d’effectuer des contrôles de cohérence au-delà d’un certain nombre d’années, car le Groupe ne dispose en 2007 que d’un historique de perte maximum de 6 ans. Pour illustrer ces contrôles de cohérence, nous allons en proposer quelques exemples dans le tableau suivant: ETAPE 1 : Hypothèses

Comparaison des pertes AS et des PI Rapport des pertes AS/PI Pertes Données de l’AS des PI

Effectuer une comparaison des TR ?

ETAPE 2 : Comparaison des TR de l’AS et des PI TR de l’AS

Rapport des TR AS/PI

TR des PI 1 / 0.25 =4 1 / 0.25 an explication (trimestrielles) nécessaire

Hypothèse 1

0.5 M€

0.5 M€

égales

oui

1 / an

Hypothèse 2

0.5 M€

0.47 M€

Même ordre de grandeur

oui

1 / 3 ans

1 / 2 ans

Hypothèse 3

4.2 M€

1 M€

Ecart trop important entre la perte de l’AS et celle de la PI

Pas de contrôle de cohérence: le scénario est rejeté

Hypothèse 4

7 M€

6.8 M€

Même ordre de grandeur

oui

1 / 15 ans

1 / 6 ans

Hypothèse 5

10 M€

Pas de PI disponible actuellement pour ce montant

Pas de contrôle de cohérence possible

3 /2 = 1.5 pas d'explication

15 / 6 = 2.5 explication nécessaire

Tableau n°13: Exemple de contrôle de cohérence entre les données de pertes et de l'AS. NB: Des contrôles de vraisemblance entre les données des AS et les pertes externes disponibles sur le sujet doivent aussi être effectués.

Validation et mise à jour de la liste des scénarios: La validation de la liste des scénarios se fait à deux niveaux: une première validation est faite au niveau des pôles, elle concerne surtout les scénarios "pôles" (et non transversaux), et une deuxième est faite par la structure centrale responsable du pilotage des risques opérationnels (ayant pour sigle RISQ/OPE/PIL). Les scénarios transversaux (proposés par les Directions Fonctionnelles) et les scénarios de pôles sont envoyés à la structure (RISQ/OPE/PIL) pour validation, avant le lancement des travaux d’analyse et d’évaluation. Cette dernière assure la cohérence de la liste des scénarios du Groupe SG avec celle des autres acteurs bancaires de la place ayant opté pour la méthode AMA. La liste des scénarios doit être mise à jour fréquemment par l'intégration des nouveaux scénarios, l'actualisation des scénarios existants et la suppression des scénarios devenus obsolètes.

102

CONCLUSION Ces dernières années, d’énormes efforts ont été déployés par le Groupe SociétéGénérale pour améliorer sa gestion du risque opérationnel. En effet, le Groupe a modernisé son système d’information pour répondre aux exigences pratiques de la collecte de données sur le risque opérationnel. Cela est devenu possible avec le progiciel OpeRisk-Monitor qui a totalement été déployé en 2005, ainsi qu'un réseau de plus de 600 correspondants permettant la liaison entre ses différentes structures, et un management des risques au niveau central. Concernant la Société-Générale Algérie (SGA), la gestion des risques opérationnels se limite à leur indentification (définition, référentiel et cartographies) et à leur quantification et suivi (collecte des données de pertes internes, exercice du RCSA, suivi des KRI...). En ce qui est de la couverture des risques opérationnels, elle n'est pas encore explicite à la SGA, elle est assurée implicitement par le dispositif de contrôle interne, et la souscription de quelques polices auprès des sociétés d'assurance nationales (assurance de biens, assurance incendies...). De plus, la SGA n'a enregistré (depuis la création du service SglRoc à nos jours) qu'une douzaine d'événement de pertes, dont les montants ne sont pas importants; ce qui constitue un historique insuffisant, et des données non exhaustives, et tarde par conséquent la mise en place d'un dispositif particulier de couverture. Pour les Plans de Continuité d'Activité (PCA), nécessaire à la gestion des situations de crise et de sinistres majeurs, ils ne sont pas encore mis en place à la SGA: le groupe a construit quelques PCA pour les Directions stratégiques, mais la plupart ne sont qu'en phase théorique, et ne sont pas encore opérationnels. Pour toutes ces raisons, nous nous sommes contentés de ne traiter dans ce dernier chapitre que l'identification et la mesure des risques opérationnels à la Société-Générale Algérie. Néanmoins, à notre avis, le stade atteint par la SGA est assez satisfaisant, comparée aux autres banques de la place, et vu la réglementation de la banque d'Algérie qui n'incite pas (à nos jours) les banques pour la prise en compte des risques opérationnels dans le calcul des exigences de fonds propres réglementaires. En effet, en Algérie seul Bâle I est en vigueur, car nos banques ne sont pas encore prêtes à l'application du nouveau ratio de solvabilité, et notre environnement réglementaire n'est pas très incitatif à ce sujet. Le risque Opérationnel est néanmoins évoqué dans le règlement BA n° 02-03 du 14 novembre 2002 portant sur le contrôle interne des banques et des établissements financiers et qui a pour objet de "définir le contenu du contrôle interne que les banques et les établissements financiers doivent mettre en place, en particulier, les systèmes de mesure et d'analyse des risques et les systèmes de leur surveillance et maîtrise": Au sens du présent règlement, on entend par risque opérationnel le "risque résultant 103

d'insuffisances de conception, d'organisation et de mise en œuvre des procédures d'enregistrement dans le système comptable et plus généralement dans les systèmes d'information de l'ensemble des événements relatifs aux opérations de la banque ou de l'établissement financier concerné". La Banque d’Algérie a adressé de même, en ce début d’année 2007, un questionnaire aux banques à l’effet d’analyser la situation de ces dernières par rapport à Bâle II, dans lequel une partie a été consacrée à des question se rapportant à la disponibilité de nos banques à mettre en place des méthodes Standards (SA) et Avancées (AMA) pour la mesure des risques opérationnels ; aucune date (ultimatum) n’est cependant arrêtée pour ce passage à Bâle II, et encore moins le plan d’action à suivre pour l'application du nouveau ratio de solvabilité.

104

CONCLUSION GENERALE La réforme Bâle II du ratio international de solvabilité bancaire s'inscrit dans une démarche mondiale de réglementation de la profession bancaire remontant à la fin des années 80, dont l’objectif premier est de prévenir les faillites des banques. L'aspect le plus novateur des nouveaux accords est que désormais, la réforme ne se limite plus aux seuls risques financiers « classiques », comme le risque de crédit ou les risques de marché (risque de change, risque de taux, etc.), mais couvre aussi le Risque Opérationnel. En effet c'est pour la première fois que le risque opérationnel va:

9 faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord). 9 être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord) 9 faire part de la communication financière des banques au marché (Pilier 3 de l’Accord). S’il n’est pas nouveau, le risque opérationnel a néanmoins pris une importance croissante ces dernières années, principalement en raison des modifications du cadre d’exercice et de la conduite des activités bancaires. Cet essor des risques opérationnels est notamment lié à la banalisation de la gestion massive et en temps réel des opérations, engendrant un risque d'erreur et de fraude qu'on ne peut négliger. Il est par ailleurs le résultat de la sophistication de ces activités, tant dans la conception de nouveaux produits auxquels sont associés de nouveaux risques, que dans la mise en place de systèmes d’information de plus en plus complexes. La multiplication des pratiques d’externalisation d’activités a également contribué à l’essor des risques opérationnels auxquels les banques sont exposées, notamment lorsque ces dernières n’auraient pas mis en place les dispositifs de contrôle et les conditions d’une maîtrise adéquate de leurs prestations externalisées. Enfin, l’importance prise par le risque opérationnel s’explique aussi, de manière plus récente, par l’attention accrue portée aux risques exogènes à faible probabilité d’occurrence mais à fort impact, c’està-dire susceptibles de causer des pertes massives (catastrophes naturelles, actes terroristes…). Le risque opérationnel est donc un risque majeur pour la rentabilité et la survie d'une banque; sa perception comme un élément totalement aléatoire et non mesurable a été pour longtemps la cause de pertes très lourdes, ayant même conduit à l'effondrement de plusieurs groupes bancaires partout à travers le monde. A cet effet, il faut le transformer en un objet spécifique, mesurable et quantifiable, facteur de performance. Les banques doivent ainsi mettre en place une gestion quantifiée et sophistiquée de ces risques afin de faciliter et d’améliorer leur prise en compte dans le cadre du nouveau ratio de solvabilité. L’état actuel des chantiers "Risque Opérationnel" dans les groupes bancaires internationaux est en phase de finalisation. Quant à l’Algérie, l’insuffisance patente des dispositifs de supervision, et le retard dans l'application du nouvel accord font que nos banques (notamment publiques) n'ont pas, à nos jours, fourni l'effort suffisant pour une bonne connaissance et une bonne maîtrise de ces risques. 105

Concernant le Groupe Société-Générale, le choix a été porté dès première vue sur l'utilisation des Méthodes Avancées (approche prescrite par les textes bâlois) pour la gestion des risques opérationnels: le calcul du capital réglementaire au titre de ces risques se fera par la méthode AMA dès le mois de janvier 2008. A cet effet, le Groupe exige à ses filiales, notamment celles qui ne sont pas tenues par la réglementation locale de leur pays d'implantation de couvrir leurs risques opérationnels (cas de la SGA), de mettre en place et de développer les dispositifs de suivi et outils de mesure constituant la méthode AMA (cartographie et référentiel de risques opérationnels, suivi d'indicateurs de risque, collecte de données de pertes…). Ces travaux devraient aboutir notamment à mieux connaître le profil de risque des activités exercées (cartographie des risques opérationnels), à développer et alimenter les outils nécessaires au pilotage de ces risques (référentiel de risques par activité, indicateurs clés de risque "KRI", incidents opérationnels et pertes consécutives à leur survenance). Ils visent également à améliorer et coordonner les processus de gestion existants en intégrant les problématiques de contrôle interne, de sécurité des systèmes d’information, de déontologie, de Plans de Continuité des Activités et des financements (fonds propres, provisions, assurances) dans le cadre d’un dispositif de maîtrise globale des risques. Enfin, ils permettront d’accroître la vigilance et la réactivité des unités opérationnelles qui bénéficieront de ce fait des retours d’expériences, et de répondre aux exigences du marché et du régulateur. Néanmoins, la mise en place d’un modèle de risque opérationnel requiert des investissements assez coûteux et complexes en matière de formation, de communication et surtout de système d’informations. Aussi, la mise en œuvre d’un modèle ne peut être l’affaire des techniciens uniquement; les choix qui seront faits dans l’architecture de gestion et dans les principes méthodologiques doivent être validés par le management de la banque au plus haut niveau. A cet effet, il est plus intéressant (et moins coûteux) pour les banques de tailles moyennes (comme la plupart de nos banques algériennes) qui ne peuvent investir des sommes importantes en matière de recherche, d'analyser l'expérience des banques internationales et de s'appuyer sur les modèles existants, pour le développent de leurs propres modèles internes.

106

BIBLIOGRAPHIE (I) OUVRAGES 1) BRAJOVIC BRATANOVIC Sonja & VAN GREUNING Henni, "Analyse et gestion du risque bancaire", Banque Mondiale Editions ESKA, Paris, 2004, 384 pages.

2) JIMENEZ Christian & MERLIER Patrick, "Prévention et Gestion des Risques Opérationnels", Revue-Banque EDITIONS, Paris, 2004, 283 pages.

3) RONCALLI Thierry, "La Gestion des Risques Financier", Edition Economica, Paris 2004, 455 pages.

4) SARDI Antoine, "Audit et Contrôle Interne Bancaires", Editions AFGES, Paris, 2003, 1099 pages.

5) SARDI Antoine, "Bâle II", Editions AFGES, Paris, 2004, 304 pages (II) REVUES ET ARTICLES DE PERIODIQUES 6) BAUD Nicolas, FARCHOT Antoine et RONCALLI Thierry, "l'utilisation des données externes pour le risque opérationnel: comment économiser les fonds propres?" Banque Magazine n°641, Novembre 2003, Edition Revue BANQUE, Paris, pages 66-67.

7) BARRION Laurence, BEN SALEM Mourad,"Vers un risque opérationnel mieux géré et mieux contrôlé", BANQUE stratégie, janvier 2002, n° 189, REVUE BANQUE EDITIONS, Paris, p 2 à 4.

8) CATERINE Benoit & RIVIERE Olivier, "Risque opérationnels : indicateurs, le chainon manquant" Banque Magazine, n°641, Novembre 2002, pages 68-69.

9) FARCHOT Antoine & RONCALLI Thierry : "mixing internal and external data for managing Operational Risk", Groupe de Recherche Opérationnelle (GRO), Crédit Lyonnais, Paris, Janvier 2002.

10) MAURER Frantz, "Quelles données pour le risque opérationnel ? ", BANQUE stratégie, Novembre 2006, N° 242, REVUE BANQUE EDITIONS, Paris, p 30 à 38.

11) ROY-LARENTRY Céline, Olivier RIVIERE, "Risque Opérationnel : Les enseignements de l’exercice de collecte des pertes en 2002", BANQUE stratégie, N° 647, Mai 2003, REVUE BANUUE EDITIONS Paris, p 62 à 64 107

12) VERET Catherine, "l'assurance comme technique de réduction de risques", Revue d'Economie Financière n° 84 Juin 2006, Edition: l'Association d'Economie Financière, Paris, p 73 à 92.

(III) SEMINAIRES ET AUTRES: 13) INEUM Consulting: "Préparation des banques à l’application des normes Bâle II", séminaire ABEF, Alger, 16 Novembre 2006.

14) LAWERENCE David: "Loss data approach", Séminaire à Citi Bank, Septembre 2003.

15) MEKOUAR Rachid: "quantification des risques dans le secteur bancaire; approches résultant des recommandations du Comité de Bâle 2", séminaire AMRAE, 2003.

16) MEKOUAR Rachid: "quantification des risques dans le secteur bancaire; approches résultant des recommandations du Comité de Bâle 2", séminaire AMRAE, 2003.

17) ZUBERBUHLER Daniel: " Bâle II: incidences sur les banques suisses et leurs crédits aux PME", Commission Fédérale des Banques Suisses, CVCI - Assemblée générale du 9 avril 2003.

18) "Document de Référence pour l'année 2006", Groupe Société Générale, 2006. 19) "Document de Référence pour l'année 2007", Groupe Société Générale, 2007. 20) "Risques Opérationnels et stratégie bancaire", Séminaire à KPMG, Décembre 2003. 21) "The Operationnel Risk Directory 2005", OpeRisk Advisory, mai 2005. (IV)

TEXTES REGLEMENTAIRES:

22) "Convergence internationale de la mesure et des normes de fonds propres, dispositif révisé", Comité de Bâle, Juin 2003.

23) "Deuxième document consultatif sur la revision des exigencies en fonds propres", Commission Bancaire Européenne ,2003.

24) "Règlement n° 02-03 du 14 novembre 2002 portant sur le contrôle interne des banques et des établissements financiers", Banque d'Algérie.

25) "Sound Practices for the Management and Supervision of Operational Risk", Comité de Bâle, Juin 2003.

108

(V) SITES INTERNET 26) http://www.apbt.org.tn

(Association Professionnelle Tunisienne des Banques et des Etablissements Financiers)

27) http://www.banque-de-france.com 28) http://www.bis.org

(site de la BANQUE DE France)

(site de la BANQUE MONDIALE).

29) http://www.gro.creditlyonnais.fr

(Groupe de recherche opérationnelle Crédit Lyonnais).

30) http://www.marches-financiers.net 31) http://www.voirin-consultants.com 32) http://www.xerion-finance.com

109

Liste des figures: Figure n°1: Nomenclature des risques bancaires selon la Banque Mondiale. Figure n°2: Zones de risques et fréquences des contrôles. Figure n°3: Matrice de l'univers des risques. Figure n°4: Organigramme fonctionnel de la Société-Générale Algérie Figure n°5: Classification des risques opérationnels au Groupe Société-Générale Figure n°6: Exemple de saisie d'événement de perte sur OpeRisk Monitor

Liste des graphiques: Graphique n°1 : Allocation des fonds propres réglementaires aux catégories de risques. Graphique n°2: Répartition des pertes opérationnelles au Groupe SG entre (2001 et 2004).

Liste des tableaux: Tableau n°1: Facteurs de pondération relatifs aux PNB des lignes-métier dans une Approche Standardisée. Tableau n°2: Exemple de critères d'appréciation du risque brut. Tableau n°3: Tableau d'appréciation du dispositif de maitrise du risque. Tableau n°4: Calcul du score final dans la méthode des Scorecards. Tableau n°5: Exemple de distribution de pertes de (PE, LGE) Tableau n° 6 : Loi de probabilité de la Distribution de la perte finale Tableau n° 7: Probabilités cumulées de la perte totale. Tableau n° 8: Evolution du PNB et des Fonds Propres Moyens pour la période (2005-2007) Tableau n°9: Propriétés d'un Indicateur Clé de Risque Tableau n°10: Exemples de KRI pour les deux premières lignes de métier Tableau n°11: Exemple de risque évalué à la Scorecard Métier "Sécurité des systèmes d'information" SGA. Tableau n°12: Exemple de réalisation des AS sur la base des cartographies du RCSA. Tableau n°13: Exemple de contrôle de cohérence entre les données de pertes et de l'AS. 110

Table des matières INTRODUCTION GENERALE...................................................................................... 01 CHAPITRE PRELIMINAIRE......................................................................................... 03 1- Le risque de Crédit....................................................................................................... 03 2- Le risque de Marché.....................................................................................................03 3- Le risque Opérationnel................................................................................................. 04 4- Autres Risques............................................................................................................. 04 CHAPITRE I: ACCORDS DE BALE ET RISQUE OPERATIONNEL..................... 07

SECTION 1: HISTORIQUE DES ACCORDS DE BALE............................................... 09 1- Les missions du Comité de Bâle....................................................................... 09 2- Le statut du Comité de Bâle............................................................................. 10 3- Les travaux du Comité de Bâle......................................................................... 10 a- Bâle I (Ratio Cooke)..................................................................................... 12 b- L’amendement de 1996 et la proposition de Juin 1999................................ 14 SECTION2: STRUCTURE DES NOUVEAUX ACCORDS (LES PILIERS DE BALE II).... 16 1-Pilier 1: Exigences minimales en fonds propres................................................ 17 a- Détermination des exigences en FP pour le risque de crédit.......................... 18 b- Détermination des exigences en FP pour le Risque de Marché................... 19 c- Détermination des Exigences en FP pour le Risque Opérationnel............... 19 2- Piler 2: Processus de surveillance prudentielle................................................. 21 3- Pilier 3: Discipline de marché........................................................................... 22 SECTION 3: CLASSIFICATION DES RISQUES OPERATIONNELS DANS BALE II... 23 1- Décomposition de la banque en lignes de métier............................................. 23 2- Classification des risques par types d'événements............................................ 25 3- Autres classifications........................................................................................ 27 CONCLUSION........................................................................................................... 29 111

CHAPITRE II: DETERMINATION DES EXIGENCES EN FONDS PROPRES ET MESURE DU RISQUE OPERATIONNEL................................................................ 30

SECTION1: APPROCHE PAR INDICATEUR DE BASE (B.I.A).................................. 32 SECTION2: APPROCHE STANDARDISEE (S.A)...................................................... 33 Critères d'éligibilité pour l'Approche Standard..................................................... 34 a- Critères généraux.......................................................................................... 34 b- Critères qualitatifs......................................................................................... 34 SECTION3: APPROCHE PAR LES MESURES AVANCEES (A.M.A)........................... 35 Critères d'éligibilité pour les Méthodes Avancées................................................ 35 a- Critères qualitatifs......................................................................................... 35 b- Critères quantitatifs....................................................................................... 36 SECTION4: MESURE DU RISQUE OPERATIONNEL................................................. 38 1- Cartographie des risques opérationnels............................................................. 39 Démarche de la cartographie des risques.............................................................. 39 a- Représentation des processus d'activités et risques associés........................ 40 b- Identification et évaluation des risques bruts................................................ 40 c- Appréciation du dispositif de maitrise et évaluation du risque net............... 41 d- Classification des risques.............................................................................. 42 2-Mesure du risque opérationnel par la méthode Scorecard................................. 43 a- Définition des éléments influençant le score................................................ 43 b- Particularités de la Méthode Scorecard........................................................ 44 3- Méthode des Scénarios..................................................................................... 46 a- Génération et choix des scénarios................................................................. 47 b- validation des scénarios proposés................................................................. 48 c- Appréciation de la qualité des données......................................................... 48 d- Détermination du modèle et des paramètres................................................. 48 e- Restitution des résultats................................................................................ 49 4- Méthode des Données de Pertes Internes (LDA).............................................. 49 a- Principe de l'approche LDA.......................................................................... 49 b- Démarche de l'approche LDA....................................................................... 50 c- Difficulté de mise en œuvre d'une approche LDA........................................ 54 CONCLUSION............................................................................................................ 55

112

CHAPITRE III : METHODES DE COUVERTURE DES RISQUES OPERATIONNELS........................................................................................................... 58

SECTION1: COUVERTURE INTERNE DES RISQUES................................................. 59 1- La Continuité des Activités............................................................................... 59 a- Analyse des risques, processus, et besoins de continuité.............................. 60 b- Plan de prévention et proposition de solutions en cas de crise..................... 61 c- Mise en place du dispositif de continuité opérationnelle.............................. 62 d- Maintient du PCA en condition opérationnelle............................................ 62 2- La Délégation des Pouvoirs.............................................................................. 63 3- Charte d'Ethiques...............................................................................................64 4- Couverture Budgétaire des Sinistres................................................................. 64 SECTION2: COUVERTURE EXTERNE DES RISQUES................................................ 66 1- Les contrats d'assurances.................................................................................. 66 a- Types de risques couverts par les assurances................................................ 67 b- Les types d'assurances.................................................................................. 68 c- Limites à la couverture des risques opérationnels par voie d'assurance....... 69 2- L'Externalisation d'activité................................................................................ 69 Les risques associés à une externalisation........................................................ 70 3- Le transfert du risque sur un marché (utilisation des produits dérivés)............ 71 CONCLUSION............................................................................................................ 72 CHAPITRE IV: CAS DE LA GESTION DES RISQUES OPERATIONNELS A LA SOCIETE GENERALE ALGERIE................................................................................... 74

SECTION1: PRESENTATION DE LA STRUCTURE D'ACCUEIL..................................... 77 1-Aperçu historique sur le Groupe SG.................................................................. 77 2- Organigramme de la S.G.A et place de la cellule Risque Opérationnel........... 78 3- Quelques Chiffres sur le Groupe Société Générale.......................................... 80 SECTION2: CLASSIFICATION ET CARTOGRAPHIE DES R.O A LA S.G.A............... 82 1-Définition et Référentiel des Risques Opérationnels au Groupe SG............................ 82 2- Cartographie des risques intrinsèques à la S.G.A........................................................ 84 Analyse de la cartographie des risques intrinsèques de la S.G.A................................ 85

113

SECTION3: DISPOSITIF DE MESURE DES R.O AU GROUPE SOCIETE GENERALE.. 86 1- La collecte des pertes internes..................................................................................... 86

a- Objectif de la collecte des pertes................................................................... 87 b- Le type de pertes à déclarer.......................................................................... 87 c- Les seuils de déclaration et les pertes à déclarer........................................... 88 d- La déclaration d'un événement de perte........................................................ 89 e- La validation de la déclaration...................................................................... 90 f- La modification/ suppression d'une déclaration............................................ 90 g- Présentation de l'outil de saisie des pertes "OpRisk Monitor"...................... 90 2- Le Suivi des Indicateurs Clés de Risque (KRI)........................................................... 92

a- Objectif des KRI........................................................................................... 92 b- Détermination des KRI................................................................................. 92 c- Référentiel des KRI à la SGA...................................................................... 93 3- L'Exercice RCSA (Risk & Control Self Assessement)..................................... 94 Démarche de l'Exercice RCSA............................................................................. 95 a- Elaboration de la cartographie des risques intrinsèques............................... 95 b- Evaluation du dispositif de prévention et de contrôle.................................. 95 c- Elaboration de la Cartographie des risques résiduels.................................... 97 d- Fréquence de l'Exercice RCSA..................................................................... 99 4- L'Analyse des Scénarii..................................................................................... 99 a- Les Grandes Etapes d'une Analyse de Scénarii (AS)................................... 99 b- Les Scénarios extrêmes................................................................................ 100 c- Les critères liés à la "zone de risque" objet de l'AS...................................... 100 d- Cohérence entre les pertes estimées par l'AS et les données de pertes......... 101 e- Validation et mise à jour de la liste des scénarios........................................ 102 CONCLUSION........................................................................................................... 103 CONCLUSION GENERALE........................................................................................... 105

Bibliographie............................................................................................................ 107 Liste des Figures................................................................................................................. 110 Liste des graphiques.......................................................................................................... 110 Liste des tableaux................................................................................................................ 110

114