Risque Opérationnel [PDF]

Zitiervorschau

Ingénierie en Actuariat et Finance Faculté des Sciences et Techniques Guéliz Université Cadi Ayyad, Marrakech

Rapport de Mini-Projet

Sujet : Le Risque Opérationnel

Encadrant du projet : Pr. AKDIM

Présenté par : Abdessamiaa FETTAL Abderrahim AABOUCHE Ulrich OUINSOU

Année universitaire : 2014/2015

TABLE DES MATIÈRES

1

Présentation et définition du risque opérationnel

6

1.1

Emergence de la notion du risque opérationnel . . . . . . . . . . . . . . . . . . . . . . .

6

1.1.1

Les accords de Bâle I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6

1.1.2

Le risque opérationnel a causé plusieurs crashs financiers . . . . . . . . . . . .

7

1.1.3

Les accords de Bâle II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10

Définition du risque opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

12

1.2.1

Les composantes du risque opérationnel . . . . . . . . . . . . . . . . . . . . . .

13

1.2.2

Typologie proposée par le comité de Bâle pour le risque opérationnel . . . . . .

15

1.2.3

Les métiers de la banque générant un risque opérationnel . . . . . . . . . . . .

17

1.2

2

Outils d’identification et approches de mesure du risque opérationnel

19

2.1

Identification du risque opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19

2.1.1

Outils d’identification du risque opérationnel . . . . . . . . . . . . . . . . . . .

19

Les mesures réglementaires du risque opérationnel selon Bâle II . . . . . . . . . . . . .

23

2.2.1

L’approche de l’indicateur de base . . . . . . . . . . . . . . . . . . . . . . . . . .

23

2.2.2 2.2.3

L’approche standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les approches de mesures avancées . . . . . . . . . . . . . . . . . . . . . . . . .

24 25

2.2

2.2.4

3

Les critères d’agrément pour l’approche standard et l’approche de mesure avancées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31

2.2.5

Critères quantitatifs propre à l’approche des mesures avancées . . . . . . . . .

32

2.2.6

Critères internes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

La gestion du risque opérationnel

35

3.1

L’identification, l’évaluation et le suivi du risque opérationnel . . . . . . . . . . . . . .

35

3.1.1

L’identification du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

3.1.2

L’évaluation du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36

3.1.3

Le suivi du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36

Les moyens de maîtrise et atténuation du risque opérationnel . . . . . . . . . . . . . .

37

3.2.1

Le contrôle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37

3.2.2

Organisation des contrôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

3.2.3

L’audit interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

3.2.4

Autres pratiques internes pour maitriser le risque opérationnel . . . . . . . . .

42

3.2.5

Les techniques d’atténuation du risque opérationnel . . . . . . . . . . . . . . .

43

3.2

2

3.2.6

Les plans de continuité d’exploitation . . . . . . . . . . . . . . . . . . . . . . . .

43

3.2.7

La création de la fonction de gestion du risque opérationnel . . . . . . . . . . .

44

3.2.8

Les objectifs à atteindre à travers les moyens de la gestion du risque opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

44

3

INTRODUCTION GÉNÉRALE

Actuellement, L’environnement économique et financier est devenu de plus en plus une source de risque ; cela est du principalement a son caractère d’instabilité ; aux mutations accélérées ; une concurrence accrue dans différents secteurs ; la mondialisation des échanges ; l’émergence de nouvelles zones économiques à forte croissance, une sophistication incessante des produits financiers, l’innovation technologique et une forte volatilité de marché... Le système bancaire international se trouve situé au coeur de ces mutations. Il est au centre des circuits et mécanismes financiers, il représente le partenaire officiel et habituel des acteurs économiques des différents Etats et il est quotidiennement confronté à la prise de décision en avenir risqué. En fait pour faire face et suivre ces mutations, les banques doivent relever des défis exceptionnels afin de se doter d’avantages déterminants concurrentiels. L’univers de la banque est un univers pavé de risques, la banque ressemble de plus en plus à une « machine à risques » : elle prend des risques, les transforme et elle les incorpore aux services et aux produits bancaires qu’elle offre. la notion de risque comporte deux aspects, un aspect positif et un autre négatif, le risque positif ou upside risk représente le risque pris par l’organisation et s’accompagne avec un accroissement des résultats, le risque négatif ou downside risk est par contre le risque d’avoir les résultats de l’organisation en diminution , c’est ce dernier qui intéresse le plus les dirigeants, une panoplies de risques ( risque de crédits, risque de marché, risque de liquidité...) sont bien connus dans leurs principes, En effet, La nouveauté tient plutôt à la diversité des risques auxquels les banques doivent faire face ; à l’ampleur particulière de certaines pertes, à leur soudaineté et au fait que les dirigeants soient parfois surpris ou dépassés. Ces pertes ont été estimées par certains analystes à 12 milliards de dollars sur les dix dernières années. De telles pertes sont dues généralement à une inadéquation ou une défaillance des procédures, du personnels, des systèmes internes ou à des évènements extérieurs et plus précisément au risque opérationnel. Le risque opérationnel a toujours existé mais était souvent ignoré où géré d’une manière fragmentée. Aujourd’hui, malgré sa complexité et sa diversité, on tente de le mesurer et de le gérer comme les autres risques. Il a pris au fil des ans, avec les avancées technologiques et la complexité croissante de processus de gestion, une ampleur considérable. Dans les métiers bancaires et finan-

4

ciers, ces risques sont particulièrement sensibles en raison de la spécificité de la matière traitée, de la complexité économique et juridique de certaines opérations, du nombre important des transactions réalisées, de l’importance des procédures pour les différentes fonctions, et enfin, de la dépendance envers l’outil informatique. Par contre l’idée nouvelle est que la gestion du risque opérationnel devient une discipline autonome avec ses propres outils de mesure et ses propres procédures de contrôle, tout comme pour le risque de crédit ou le risque de marché. Et c’est dans cette perspective que vient l’apport de l’accord de Bâle II. L’apport majeur du comité de Bâle est que le risque opérationnel est défini et circonscrit, il est associé à une charge en capital réglementaires et à des prescriptions quant à leur mode de gestion. Au fils des temps le risque opérationnel a connu une croissance importante. Les pertes subies par les établissements au titre du risque opérationnel sont en effet évaluées à plus de 200 milliards d’euros sur la période 1980-2000. En plus l’exercice de collecte de pertes réalisé en 2002 par le groupe Risk Management du Comité de Bâle révèle que les 89 banques ayant participé à cet exercice ont connu sur le seul exercice 2001 plus de 47000 événements de pertes pour un montant cumulé de pertes opérationnelles s’élevant à près de 7,8 milliards d’euros. Face à cette matérialisation croissante des risques opérationnels, le Comité de Bâle a jugé nécessaire d’en assurer une couverture non seulement par le développement de meilleures pratiques au sein des banques, mais également par la mise en place d’exigences de fonds propres. Bien entendu, la gestion du risque opérationnel n’est pas une pratique nouvelle, le but ultime étant de gérer la volatilité additionnelle des résultats engendrés par le risque opérationnel, il a toujours été très important pour les banques d’essayer de prévenir les fraudes, de réduire les erreurs ou de veiller à la séparation des taches. Elles comptaient que sur les mécanismes de contrôle interne au sein des entités opérationnelles, complétés par l’audit interne pour gérer le risque opérationnel. Une maturation est aperçue au niveau de la gestion du risque opérationnel ; on est passé d’une gestion fragmenté à une gestion intégrée, d’une attitude réactive on passe à une attitude proactive, du regard tourné vers le passé à un regard tourné vers le futur... Dans ce présent travail, la problématique fondamentale à laquelle on se propose d’apporter des éléments de réponses est la suivante : quelles sont les exigences du dispositif de Convergence Internationale de la Mesure et des Normes de Fonds Propres (accords de Bâle II) en matière de gestion du risque opérationnel ? Notre démarche se présente comme suit : Dans un premier chapitre le périmètre du risque opérationnel selon la définition qui lui a été attribuée par le comité de Bâle et de rappeler les scandales financiers à l’ origine de ce risque. Dans le deuxième chapitre nous aborderons les outils d’identification et les approches de mesures du risque opérationnel. Et dans le troisième chapitre nous aborderons les moyens de gestion, d’atténuation et de couvertures du risque opérationnels.

5

CHAPITRE

1

PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Le risque opérationnel a fait l’objet de plusieurs réflexions afin de délimiter son périmètre et lui attribuer une définition claire et communément admise et applicable aux établissements financiers ; ceci est peut être du à l’ampleur des scandales financiers et la croissance des pertes subies par les établissements de crédit suite au risque opérationnel. C’est la définition du risque opérationnel, sa typologie selon le comité de Bâle et les crashs financiers dus principalement à ce denier qui vont faire l’objet de notre premier chapitre.

1.1

Emergence de la notion du risque opérationnel

Le milieu bancaire a été marqué par de nombreuses faillites dans les années 70 et 80, ces faillites ont des conséquences fâcheuses sur le système bancaire international qui est de plus en plus concentré, en fait le phénomène de l’effet domino se déclenche puisque une banque qui fait défaut entraîne avec elle des milliers de déposants et surtout d’autres banques.

1.1.1

Les accords de Bâle I

Pour éviter les faillites ou en réduire le risque, les pays du G14 ont décidé de créer le comité de Bâle qui vise à déterminer des règles en matière de fond propres. D’où l’institution du comité de Bâle sur le contrôle bancaire en 1974, qui regroupe les autorités de surveillance prudentielles et les banques centrales des pays du groupe des Dix dits G10 (a l’époque). Il est composé de hauts représentants des autorités de contrôle bancaire et des banques centrales des pays suivants : Allemagne, Belgique, Canada, Espagne, Etats-Unis, France, Italie, Japon, Luxembourg, Pays-Bas, Royaume-Uni, Suède, et Suisse. Son objectif principal est d’améliorer la stabilité du système financier international par l’introduction des exigences de fonds propre applicables à toutes les banques. Cet objectif s’est concrétisé par l’accord dit de Bâle I portant sur la dotation en fonds propres signé en 1988 au siège de la banque des règlements internationaux. Le comité se réunit généralement à la banque des règlements internationaux, à Bâle en Suisse, où se trouve son secrétariat permanent.

6

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Parmi les lacunes de l’accord de Bâle I, du point de vue des régulateurs, la prise en considération des risques bancaires n’est pas assez globale, dans la mesure où seuls les risques de crédit et de marché sont prisent en compte, mais pas les risques opérationnels ; alors que plusieurs enquêtes sur les scandales financiers ont soulevé que le risque opérationnel était à l’ origine de plusieurs désastres financiers.

1.1.2

Le risque opérationnel a causé plusieurs crashs financiers

le risque opérationnel a pris de l’ampleur suit aux pertes considérables subies par les établissements de crédits et suite aux scandales financiers résultant de la combinaison d’une part d’un risque de crédit et de marché et d’autre part d’une défaillance en matière de contrôle interne dans différents domaines administratifs, humains, juridiques ... autrement dit , ils sont en partie une conséquence d’un risque opérationnel. L’importance croissante du risque opérationnel s’est largement concrétisée par les pertes subies par les établissements au titre du risque opérationnel ; sont en effet généralement évalués à plus de 200 milliards d’euros sur la période de 1980-2000. Dans ce qui suit on citera quelques exemples de catastrophes financières. A- La Banque Barings : Le désastre financier majeur de BARINGS a constitué l’affaire la plus spectaculaire au monde, à l’année 1996 : les marchés financiers ont été secoués par une spéculation périlleuse. La prestigieuse banque Barings, la plus ancienne banque d’Angleterre (250 ans d’existence), a fait faillite après la perte de plus d’un milliard de dollars résultant de placements hasardeux effectués par l’un de ses agents. Nicolas Leeson à l’âge de 27 ans et dans une période de moins d’un an parvient à mettre en faillite cette banque. Ce trader prodige des marchés financiers employé dans la succursale à Singapour prend d’importantes positions à découvert sur l’indice Nikkei. Puis celles-ci s’avérant progressivement perdantes suite au retournement de la bourse, il les augmenta en cherchant à compenser les positions déjà perdantes. Il a constamment agit au delà de son autorité en prenant des positions à découvert dépassant les montants autorisés, situation rendue possible par le fait qu’il était a la fois responsable du Back office et du trading. Il pariait sur la hausse de la bourse japonaise en vendant à terme des contrats sur l’indice Nikkei 225 pour des montants énormes. Les pertes sur les positions sur le Nikkei s’envolèrent après le tremblement de terre de Kobe qui provoqua une chute brutale de l’indice, la confiance dans le Yen s’effondrant. De ce fait les pertes de Leeson atteignaient les six milliards de francs.

1.1.1 Emergence de la notion du risque opérationnel

7

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Une analyse de ce crash met en évidence les défaillances suivantes : - Un risque humain qui se manifeste en conséquence d’une confiance trop forte et notamment de la concentration des pouvoirs chez une seule personne qui accumule de même la fonction de Front office et back office. - En plus on peut dire que le fait de s’engager dans des opérations non autorisées, et de violer les limites et les engagements constitue un risque humain « volontaire ». - Une défaillance au niveau du système de contrôle interne de la banque ; son manque d’efficacité n’a pas permis de détecter la violence du principe de séparation de tache au sein de l’activité. Donc on peut conclure qu’outre le risque de marché, le risque opérationnel a contribué à l’effondrement de la maison Barings. B- Sumimoto Corporation Plus spectaculaire encore est le cas de Yasuo Hammanaka, l’un des managers les plus anciens et les plus respectés de Sumitomo Corporation qui a laissé partir en fumée une perte individuelle d’environ de 1.8 milliards de $ pendant 10ans en essayant d’influencer à lui tout seul le cours mondial du cuivre. Il était un spéculateur habile qui a écrasé la concurrence avec ses ordres énormes d’achat et de vente de cuivre. Le désastre de Sumitomo est considéré comme la plus grande perte commerciale dans l’histoire, plus grande que les 1.1 milliards de dollars de Daiwa ou les 1.3 milliards de dollars de Barings. Sumitomo achetait 800 000 tonnes de métal par an, le vendant aux filiales et aux marchés en plein essor en Asie du Sud-Est, la plupart de ces ordres ont été passés par Mr Hammanaka .Cette société a été conduite dans l’obscurité par Hammanaka qui a violé ses limites en effectuant des échanges non autorisés. Ses propres transactions secrètes étaient astucieusement cachées dans un compte confidentiel ou il a transféré toutes ses pertes. Les doutes sur le risque qu’il a présenté étaient déclarés par un auditeur interne de la compagne qui a découvert une transaction non autorisée pour laquelle les fonds ont traversé une banque étrangère anonyme. Ceci était favorisé quand les autorités de surveillance et de contrôle au Etats Unis et en Grande Bretagne ont demandé à Sumitomo de coopérer à une recherche sur la manipulation suspectée des prix. Les pertes subies par Sumitomo peuvent être expliquées par le fait que Hammanaka disposait d’une autonomie peu commune dans l’organisation. En plus, il était célèbre en raison des affaires et les bénéfices qu’il apportait au moins sur le papier. Son expertise et sa spécialisation requises pour le travail l’ont favorisé pour rester si longtemps dans la section cuivre sur le marché des matières premières, et aucune personne n’a osé examiner attentivement ses transactions. Il a été confié beaucoup de responsabilités par la compagnie et seulement ses régulateurs étaient loin de Tokyo. Sumitomo une fois qu’il avait la preuve des commerces non autorisés de Hammanaka, la révélation des pertes annoncées par son président a provoqué des frissons au niveau des marchés

1.1.1 Emergence de la notion du risque opérationnel

8

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

internationaux qui provoquèrent une baisse d’environ 10 % du prix du cuivre sur les marchés de Londres et New York City. Ces pertes totales étaient estimées à 2.6 milliards de $ et le désastre de Sumitomo se classe comme la plus grande perte du commerce non autorisé. C- Société Générale La Société Générale est l’une des premières banques européennes. La fraude dont la Société Générale a été la cible est historique pour deux raison : le montant des pertes (4,9 milliards e) et l’impact en terme d’image. Les opérations ayant conduit à une perte d’environ 4,9 milliards e pour la Société Générale sur ses activités de marché pour compte propre auraient été le fait d’un seul opérateur. A ce stade, aucun élément connu ne conduit à infirmer ce constat. Cet opérateur avait une activité d’arbitragiste sur dérivés actions (warrants) : cette activité consiste à gérer en parallèle deux portefeuilles de taille et de composition proches, l’un devant permettre de couvrir l’autre. De ce fait, le risque généré mais également le résultat net dégagé sont censés être faibles en comparaison des engagements bruts résultant des portefeuilles. En l’occurrence, l’opérateur en cause aurait pris des positions directionnelles non autorisées sur des contrats à terme sur indices actions européens, couvertes par des opérations fictives, qui masquaient l’augmentation de la position et du risque nets de la banque. Il aurait procédé en répétant le schéma suivant : - Saisie d’une opération couvrant la position réelle. - Annulation de cette opération avant qu’elle ne soit détectée du fait d’un contrôle, qu’elle ne donne lieu à confirmation ou à appel de marge, puis saisie d’une nouvelle opération. Il aurait donc effectué une gestion très active de ses portefeuilles, tout en cherchant à masquer les gains et les pertes. Le jeune trader J.K. à un profil différent de ces collègues traders, il avait précédemment travaillé au Middle Office de la SGCIB (le Middle Office est le service contrôlant constamment le travail des traders, vérifiant que les risques qu’ils prennent sont limités et correctement couverts). Son passé au Middle Office lui a appris les contrôles effectués : quand ils étaient effectués et les différents type de contrôles utilisés. Il a ensuite utilisé ses connaissances pour masquer ses opérations frauduleuses durant les contrôles. D- La crise des subprimes La crise des subprimes s’est déclenchée au deuxième semestre 2006 avec le krach des prêts immobiliers (hypothécaires) à risque aux États-Unis (les subprimes), que les emprunteurs, souvent de conditions modestes, n’étaient plus capables de rembourser. Révélée en février 2007 par l’annonce d’importantes provisions passées par la banque HSBC, elle s’est transformée en crise financière mondiale à partir de l’été 2007, avec une défiance envers les créances titrisées ( ABS, RMBS, CMBS, CDO) qui comprennent une part plus ou moins grande de crédits subprime, puis envers les fonds d’investissement, les OPCVM (dont les SICAV monétaires) et le système bancaire susceptibles de détenir ces dérivés de crédit.

1.1.1 Emergence de la notion du risque opérationnel

9

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Cette crise de confiance générale dans le système financier a causé une première chute des marchés boursiers à l’été 2007. Elle fut cependant beaucoup moins profonde que celle de l’automne 2008. Les autorités ont d’abord cru à une crise de liquidité bancaire et les banques centrales n’ont cessé d’injecter massivement des liquidités dans le marché interbancaire. Mais peu à peu, le scénario d’une crise de solvabilité globale des banques s’est imposé. Il s’est avéré que les crédits hypothécaires accordés à une clientèle peu solvable, sur la base d’une majoration du taux d’intérêt (subprimes) ne sont pas un risque de crédit, mais bien un risque opérationnel en rapport avec le risque de crédit. « Les subprimes ne sont pas un risque de crédit, mais bien un risque opérationnel, puisque ce sont des crédits hypothécaires accordés à une clientèle peu solvable, sur la base d’une majoration du taux d’intérêt. Le prêt est accordé alors que la probabilité de défaut de la contrepartie ne fait aucun doute (Subprime = prime appliquée à un emprunteur dont la solvabilité est « en dessous » d’un certain seuil censée compenser les risques pris par le prêteur) ».

1.1.3

Les accords de Bâle II

Le comité de Bâle pour la supervision bancaire a promulgué en juin 2004 un nouveau dispositif :(Convergence Internationale de la Mesure et des Normes de fonds Propres) « International Convergence Of Capital Measurement and Capital Standards ». Cet accord a remplacé le précèdent accord qui a instauré un ratio prudentiel minimum dit ratio Cooke, L’objet essentiel de Bâle II demeure le renforcement de la stabilité du système bancaire. La révision commencée en 1999 vise seulement à combler les lacunes de Bâle I et à adapter les directives au nouveau contexte des mutations intervenues sur les marchés financiers. L’objectif principal est d’abandonner le système de couverture forfaitaire imposé aux banques pour adopter une réglementation du capital propre minimal plus complète qui tienne mieux compte des risques mais le nouveau ratio McDonough maintient la définition du capital minimum de 8% de l’encours de risque pondéré. Bâle II est alors venu avec une nouvelle structure : Ses accords reposent sur 3 piliers complémentaires qui devraient garantir le soutien d’une base optimale de calcul de fonds propres des établissements bancaires ainsi qu’un renforcement du contrôle tant qu’interne qu’externe des pratiques d’évaluation des risques.

- Le premier pilier : repose sur l’exigence minimale de fonds propres. - Le second pilier : : consiste à appuyer sur la surveillance de ses fonds propres et la mise en place en interne de processus de contrôle du risque. Ce pilier donne beaucoup plus de pouvoirs aux instances de contrôles qui peuvent inspecter les systèmes des banques et leur imposer un montant de fonds propres supérieurs si elles le jugent nécessaire.

1.1.1 Emergence de la notion du risque opérationnel

10

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

F IGURE 1.1 – Les trois piliers des accords de Bâle II - Le troisième pilier : : repose sur le principe de la discipline de marché avec différentes informations à publier en matière de risque de crédits, de marchés opérationnels ainsi que sur le montant des fonds propres, les opérations de titrisation mises en place et enfin les méthodes d’évaluations et de contrôle du risque. Il ne s’agit bien sûr pas de dévoiler ses méthodes, mais d’en communiquer l’existence.

Le comité de Bâle n’a aucun pouvoir législatif ou réglementaire. Pour leurs application, les accords de Bâle II doit faire l’objet d’une transposition législative ou réglementaire dans chaque pays. Tout comme Bâle I, les nouvelles directives sur les fonds propres à l’échelle internationale ont valeur de recommandations. Il appartient alors aux différentes banques centrales de les adapter à leurs juridictions. Le nouvel accord du comité de Bâle rapproche le cadre prudentiel et les exigences en fonds propres qui en résultent des pratiques en vigueur dans l’industrie bancaire pour le pilotage des risques. Ce dispositif présente en effet deux importantes finalités : - Le renforcement de l’égalité des conditions de concurrence. - Un meilleur alignement des exigences des fonds propres sur les risques sous jacents. Cette réforme, permettra non seulement de faire converger le capital réglementaire (souci des autorités de contrôle) et le capital économique (souci des établissements) mais aussi, au-delà des exigences de fonds propres, de poser un véritable cadre prudentiel pour le contrôle bancaire des prochaines années. Les règles de Bâle II définissent des méthodes avec lesquelles les institutions financières peuvent mesurer leurs risques. Les risques mesurés forment la base de calcul du montant des fonds propres que l’institution doit mettre en réserve pour couvrir les pertes potentielles.

1.1.1 Emergence de la notion du risque opérationnel

11

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Le nouvel accord de Bâle prend en compte les 3 grands types de risques auxquels sont confrontés les établissements bancaires : Le risque de crédit : correspond au risque de défaut de la contrepartie à laquelle un prêt a été accordé. Le risque de marché : couvre dans le cadre des opérations de marché : - Le risque de taux. - Le risque de change. - Le risque de règlement-livraison. - Le risque de variation des prix d’actions. Le risque opérationnel : constituant l’une des principales novations du nouvel accord. En faite outre la révision profonde du traitement du risque du crédit, la reconnaissance du risque opérationnel, et son inclusion dans les exigences réglementaires constitue la grande nouveauté de l’accord.

1.2

Définition du risque opérationnel

Pour être appréhendé et géré, un risque doit être connu et identifié. La première étape dans la mise en oeuvre d’une stratégie de gestion des risques opérationnels est donc de définir avec assez de précision les périmètres de ce risque. Plusieurs définitions ont été attribuées à la notion de risque opérationnel : Vanini (2002) : définit le risque opérationnel comme « le risque de déviation entre le profit associé à la production d’un service et les attentes de la planification managériale. Le R.O. correspond à l’écart enregistré, positif ou négatif, par rapport au profit attendu ». King (2001) : définit le risque opérationnel comme le risque qui « ne dépend pas de la façon de financer une entreprise, mais plutôt de la façon d’opérer son métier », et « le risque opérationnel est le lien entre l’activité du travail d’une entreprise et la variation de résultat du travail ». Kuritzkes (Wharton, 2002) : définit le risque opérationnel comme un risque non financier ayant 3 sources : le risque interne (ex : « rogue trader »), le risque externe c’est à dire tout événement extérieur incontrôlable (ex : une attaque terroriste) et le risque stratégique (ex : un affrontement dans une guerre de prix).

1.1.2 Définition du risque opérationnel

12

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

D’autre ont défini le risque opérationnel comme le risque de pertes imprévisible en conséquence de dysfonctionnements des systèmes d’information ou des contrôles internes. Certains le définissent comme le risque de perte consécutive a différents types d’erreurs humaines ou techniques, ou le définir par défaut c’est-à-dire tout sauf le risque de crédit et de marché d’autre part il est défini en tant que risque résiduel. Les travaux de normalisation qui ont été menés dans le secteur bancaire, ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi n’est pas nouveau, l’évolution de la réglementation bancaire le replace au premier rang des préoccupations au travers de normes que l’on désigne communément sous le terme de « Bâle II ». En fait le débat sur la définition du risque opérationnel a commencé avec le comité de Bâle. Le risque opérationnel correspond, dans un premier lieu, aux « risques de pertes directes et indirectes résultant de l’inadéquation ou de la défaillance de procédures, de personnes et de systèmes ou résultant d’événements extérieurs ». (Second document consultatif). Cette définition a été critiquée, car il est difficile de calculer certaines pertes indirectes. Le comité de Bâle a essayé de délimiter de manière précise le périmètre des risques opérationnels dans une définition claire, commune et applicable à l’ensemble d’un groupe bancaire. La réforme prudentielle bancaire indique que : « Le risque opérationnel se définit comme le risque de perte résultant de carences ou de défaillances attribuables à des procédures, personnes et systèmes internes ou à des événements extérieures.la définitions inclut le risque juridique, mais exclut le risque stratégique et d’atteinte a la réputation ». Et c’est cette définition de comité de Bâle qui va être prise en considération dans la suite de notre travail ainsi que ces exigences pour la gestion du risque opérationnel.

1.2.1

Les composantes du risque opérationnel

Selon la définition communément admise par « Bâle II », le risque opérationnel se décompose en quatre sous ensembles : 1. Le risque lié au système d’information : Ce risque peut être lié à une défaillance matérielle suite a l’indisponibilité soit provisoire ou prolongée des moyens (installations immobilières, matériels, systèmes informatiques ou dispositifs techniques ...) nécessaires à l’accomplissement des transactions habituelles et à l’exercice de l’activité, pannes informatiques résultant d’une défaillance technique ou d’un acte de malveillance ; une panne d’un réseau externe de télétransmission rendant temporairement impossible la transmission d’ ordres sur un marché financier ou le débouclement d’une position ; un système de négociation ou de règlement de place en défaut ou débordé ; baugue logiciel et obsolescence des technologies (matériel, langages de programmation,...). 2. Le risque lié aux processus : Ce risque est du au non respect des procédures ; aux erreurs provenant de l’enregistrement des opérations, la saisie, les rapprochements et les confirmations

1.1.2 Définition du risque opérationnel

13

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

tels que : un double encaissement de chèque, un crédit porté au compte d’un tiers et non du bénéficiaire, le versement du montant d’un crédit avant la prise effective de la garantie prévue, le dépassement des limites et autorisations pour la réalisation d’une opération, etc ... 3. Le risque lié aux personnes : ce risque est naît du fait que les exigences attendues des moyens humains (exigence de compétence et de disponibilité, exigence de déontologie...) ne sont pas satisfaites, peut être lié à l’absentéisme, la fraude, l’incapacité d’assurer la relève sur les postes clés ... Ce risque peut être involontaire ou naître d’une intention délibérée, résultant souvent d’une intention frauduleuse. Les « erreurs involontaires » sont souvent coûteuses ; leur prévention comme leur détection précoce dépendent de la qualité du personnel, de sa vigilance, comme de ses capacités d’adaptation aux évolutions techniques mais aussi de la technicité des opérations à traiter et de la qualité du matériel et de la logistique utilisés. Quant au « risque volontaire », il va de la simple inobservation des règles de prudence, du conflit d’intérêts entre opérations pour son propre compte et opérations pour le compte de l’établissement ou du client, jusqu’à la malveillance et la réalisation d’opérations carrément frauduleuses. 4. le risque lié aux événements extérieurs : Ce risque peut être à l’ origine de risque politique, catastrophe naturelle, environnement réglementaire.

F IGURE 1.2 – Les composantes du risque opérationnel Les risques opérationnels peuvent être classés en trois domaines : la fraude, la sécurité et les procédures. La fraude vise tant les événements externes (faux chèques...) que les malversations internes. La sécurité porte, quant à elle, sur la sécurité physique des bâtiments et des actifs (incendies, dégâts divers...) et sur la sécurité informatique et des systèmes. L’aspect du risque opérationnel relatif aux procédures couvre les pertes éventuelles découlant de pratique contraires à la réglementation, ainsi

1.1.2 Définition du risque opérationnel

14

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

que les pertes provenant d’erreurs dans les procédures de traitement des opérations. Le risque stratégique et le risque d’atteinte à la réputation sont exclus du périmètre du risque opérationnel. En fait le risque d’atteinte à la réputation est défini : l’éventualité qu’une publicité défavorable justifié ou non, concernant les pratiques et connexion d’une banque n’entraine une perte de confiance dans l’intégrité de l’établissement. C’est l’ensemble des menaces qui affectent a long terme la confiance des partenaires de la firme ; en fait c’est risque bien réel mais souvent sous-jacent à un risque opérationnel (blanchissement) avéré et il est extrêmement difficile de la quantifier. Le risque stratégique se défini comme : risque lié aux chois stratégique d’une firme pour s’adapter a son environnement concurrentiel. Les choix stratégiques doivent respecter les attentes des actionnaires et des clients, assurer la croissance des revenues et l’amélioration de la qualité de ces services et produits. Donc risque de perte de revenus encourus par une banque qui n’adapte pas ces produits, activités et services commerciale au besoins et usage en vigueur sur son marché de prédilection. Donc les choix stratégiques ont un impact sur ces revenus futures mais impact peu aisé a mesurer car indirect et désynchronisé par rapport a la période à laquelle le choix stratégique a été opéré. Mais reste qu’il ya difficulté de différencier le risque stratégique du risque opérationnel, si l’implémentation des choix stratégiques est la cause directe (implémentation de système défaillant) des pertes assimilable a l’une ou l’autre des catégories de risque opérationnel, ces pertes serait de facto considérées comme des pertes opérationnel. Concernant les quasis pertes qui sont les incidents qui n’ont pas d’impact monétaire sur le compte de résultats de la banque, mais qui auraient pu avoir lieu, si un événement fortuit ne l’avait pas empêché de se produire (contrôle interne..). Elles ne sont pas intégrer dans la base de données des pertes au titre du risque opérationnel. Quant aux pertes opérationnelles associées au risque de crédit qui sont liées au risque de crédit (carence de gestion de sureté, par exemple, les supbrimes déjà évoqués), ces risque sont traités comme risque de crédit, c’est que les pertes ne sont pas assujetties à une exigence de fonds propres en regard du risque opérationnel mais ils sont notifiées dans la base de données des perte opérationnel afin de les gérées. La définition réglementaire du risque opérationnel englobe sept catégories d’événements, dont le lieu de survenance se répartit en huit lignes d’activités possibles.

1.2.2

Typologie proposée par le comité de Bâle pour le risque opérationnel

Le comité de Bâle II adopte une classification assez précise des différents types de risque opérationnel et des lignes d’activités qui peuvent le générer. Ces événements constituent la catégorisation centrale des causes de pertes opérationnelles. Les sept catégories principales d’événements sont les suivantes : 1. Fraudes internes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation ou la politiques de l’entreprise impliquant au moins une partie

1.1.2 Définition du risque opérationnel

15

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

interne à l’entreprises. Exemple : Transaction non enregistrée intentionnellement, Détournement de capitaux, d’actifs, Contrefaçon, Destruction malveillante de capitaux ... 2. Fraudes externes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation de la part d’un tiers. Exemple : Vol, contrefaçon, piratage, vol d’informations ... 3. Pratiques en matière d’emploi et de sécurité sur le lieu de travail : pertes résultant d’actes non conformes à la législation ou aux conventions relatives à l’emploi, la santé ou la sécurité, de demandes d’indemnisation ou d’atteinte à l’égalité ou actes de discrimination. Exemple : Questions liées aux rémunérations, avantages liés à la résiliation d’un contrat, Activités syndicales, Responsabilité civile (chutes...), Événements liés à la réglementation sur la santé et la sécurité du personnel, Rémunération du personnel ... 4. Client, produits et pratique commerciales : pertes résultant d’un manquement non - intentionnel ou du à la négligence, à une obligation professionnelle envers des clients spécifiques, ou de la nature ou conception d’un produit. Exemple : violation du devoir fiduciaire, de recommandation, Connaissance de la clientèle, conformité, diffusion d’informations, Atteinte à la vie privée, Vente agressive, Opérations fictives, Utilisations abusives d’information ... 5. Dommages aux actifs corporels : destruction ou dommages résultant d’une catastrophe naturelle ou d’autre sinistre. Exemple : Tremblement de terre, cyclone, Vandalisme, terrorisme ... 6. Dysfonctionnement de l’activité et des systèmes : pertes résultant de dysfonctionnement de l’activité ou des systèmes (informatique et télé- communication) 7. Exécution, livraison et gestion des processus : pertes résultant d’un problème dans le traitement d’une transaction ou dans la gestion des processus ou de relation avec les contreparties commerciales et fournisseurs. Exemple : Mauvaise communication, erreur de saisie de donnée ou erreur de chargement, non respect des dates limites, anomalie du système, erreur comptable ,non respect des reporting réglementaires, Etats externes imprécis, documents légaux manquants ou incomplets, Enregistrement de la clientèle incorrect, Perte, négligence ou dommage aux actifs des clients, Conflits avec des tiers ...

1.1.2 Définition du risque opérationnel

16

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Chaque type d’événement est ensuite réparti en deux niveaux successifs de sous-catégories, pour une identification précise de la nature de l’événement lors du reporting réglementaire. Outre la nature de l’événement, le type de l’activité ou s’est produite la perte peut être aussi une estimation de la cause de la perte opérationnelle. Le comité définit huit lignes d’activités, elles mêmes subdivisées en deux sous niveaux successifs.

1.2.3

Les métiers de la banque générant un risque opérationnel

Les lignes de métiers qui peuvent générer le risque opérationnel identifiées par le comité de Bâle2 sont les suivantes :

1. Financement des entreprises : financement d’entreprise, collectivité locale et administration publique, les banques d’affaires et service et conseil. 2. Négociation et vente : c’est l’activité de marché, tenu de marché, vente d’action, prise de position pour compte propre et trésorerie. 3. Banque de détail : c’est l’activité pour les particuliers : prêt et dépôt ; les carte ; banque privé. 4. Banque commerciale : assure le financement des exportations et du commerce ; affacturage ; crédit bail et les prêts... 5. Paiement et règlement : pour la clientèle extérieur ; transfert de fond, compensation et règlement... 6. Fonctions d’agent : conservation, prestation d’agent aux entreprises... 7. Gestion d’actif : c’est la gestion des portefeuilles... 8. Courtage de détail

Chaque métier est subdivisé en deux niveaux. En effet une étude menée par le comité de Bâle sur un échantillon de 30 banques a permis de mettre en lumière les résultats des collectes d’informations sur des incidents dans la catégorie du risque opérationnel et par type d’activité métier. Cela a permis de donner une vision sur la disparité du risque opérationnel entre les différents métiers de la banque. L’identification des risques opérationnels générés par leurs activités demeure une étape fondamentale pour que les établissements de crédits puissent assurer les moyens adéquats pour leur quantification et leur gestion. Cette démarche d’identification et de gestion autonome est apparue ces dernières années comme une discipline séparée vue l’importance et l’impact de ces risques sur les

1.1.2 Définition du risque opérationnel

17

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

banques quand ils interviennent.

1.1.2 Définition du risque opérationnel

18

CHAPITRE

2

OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Une fois le périmètre du risque opérationnel est bien défini, il ya lieu d’identifier les événements relatifs a ce risque et pour atteindre cet objectif il faut disposer des outils adéquats ; c’est ce qui va faire l’objet de la première section de ce chapitre. La deuxième section est consacrée aux modalités de mesures quantitatives du risque opérationnel tel que définit par le comité de Bâle.

2.1

Identification du risque opérationnel

L’identification du risque est primordiale pour développer un contrôle et un suivi viable du risque opérationnel. Pour pouvoir mettre en place un système viable de gestion du risque opérationnel, il est tout d’abord nécessaire, d’identifier les facteurs du risque opérationnel que se soit des facteurs interne ( la structure de la banque, nature de ses activités, la qualité de ses ressources humaines, les modifications de l’organisation et le taux de rotation du personnel) ou externes (comme les évolutions du secteur bancaire et les progrès technologiques) et qui pourraient empêcher la banque d’atteindre ses objectifs. En fait l’identification des événements de risque suit une démarche structurée, basée sur la compréhension et l’analyse des processus opérationnels de la banque, de ces produits et de ses systèmes. A l’issue d’une bonne évaluation, la banque disposera pour l’ensemble de ses processus et de ses produits d’un inventaire des événements de risque, ainsi que d’une bonne compréhension des facteurs de risques associés.

2.1.1

Outils d’identification du risque opérationnel

Le comité de Bâle II a proposé des outils que la banque peut utiliser afin d’identifier et évaluer le risque opérationnel.

19

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

A- Cartographie des risques : La cartographie des risques permet de définir de manière approfondie les impacts potentiels du risque, les facteurs qui déclenchent la survenance du risque ainsi que les facteurs qui déterminent l’envergure du dommage. Nous utilisons une méthodologie rigoureuse de cartographie des risques afin d’identifier les risques potentiels ainsi que les facteurs déterminants. Cartographier les risques pour déterminer le profil de risque de la banque. Cette phase est une étape clé, car elle détermine sensiblement la nature des incidents qui seront collectés et donc suivis par la suite. C’est également cet exercice qui permettra de définir une nomenclature des risques valable pour l’ensemble de l’organisation, cadre indispensable à une collecte efficace et homogène des incidents. Cet exercice passe par les phases suivantes :

1. Décomposer en activités chaque processus supportant des risques opérationnels : Cette étape consiste à diviser les différents processus élémentaires de la banque en sous processus, voire d’affiner cette division en dressant une liste des différents fonctions au sein de chaque département de la banque. 2. Pour chaque activité, recenser les risques associés ; faire l’inventaire des différents facteurs du risque opérationnel auxquels les métiers de la banque peuvent être exposés (recensement des litiges clients, des pertes financières dues à des dédommagements, des rectifications d’erreurs, des discontinuités de services, des délais anormaux de traitement d’opérations clientèles...) 3. Pour chaque risque, coter les pertes et leur probabilité d’occurrence. Chaque événement le risque est évalué en terme de : - Probabilité d’occurrence : c’est la détermination de fréquence d’événements générateurs de pertes opérationnelles, la fréquence peut être modélisé grâce a un modèle statique (distribution de poison) - Perte encourue en cas de réalisation : c’est l’impact de la perte qui s’est produite c’est la dimension de sévérité de la perte. 4. Elaborer la matrice les risques sur les axes fréquence et préjudice : il s’agit d’un graphe à deux dimension, la sévérité et la fréquence.la matrice est divisé en zones selon le niveau de risque et la nécessité des contrôles. 5. Déterminer « visuellement », à partir de matrice, les risques significatifs (C’est à dire ceux que l’on décide de recueillir dans l’outil de collecte).

Il s’agit d’un processus dans lequel des fonctions organisationnelles par exemple sont portées sur une carte par type de risque, ce processus peut relever des zones de faiblesses et aider à prioriser les actions de gestion subséquent.

2.2.1 Identification du risque opérationnel

20

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

F IGURE 2.1 – Résultat de la cartographie des risques C’est le fait de classer par ordre d’importance la vulnérabilité et ensuite analyser les situations à risque, pour cela l’analyse du risque s’appuie sur deux variables : gravité et fréquence. Avant d’estimer la gravité il est nécessaire que les décideurs définissent ce qu’ils entendent par grave. La cartographie des risques se décline en quatre grandes catégories : Risques de fréquence et de gravité faibles : Ce sont des risques qui se réalisent rarement et dont l’impact est limité même s’ils se réalisent. L’organisation peut vivre avec ces risques, nous parlerons de risques mineurs. Risques de fréquence faible et de gravité élevée : Ce sont des événements qui se produisent rarement mais dont les conséquences sont significatives lorsqu’ils se produisent. En raison de leur faible fréquence il est difficile de prévoir et d’anticiper leur survenance. La concrétisation du risque entraine des conséquences pouvant affecter sérieusement l’activité de l’organisation, le redémarrage nécessite l’injection de capitaux extérieurs. Cette deuxième catégorie et dénommée risques catastrophiques. Risque de fréquence élevée et de gravité faible : Ces événements se produisent assez régulièrement mais leurs conséquence sont relativement faibles, le risque est généralement prévisible, cette catégorie peut être dénommé risque opérationnel. Risques de fréquence et de gravité élevées : les évènements se produisent régulièrement et leurs conséquences sont à chaque fois significatives. Dans la majorité des cas le décideur abandonne le projet à moins que le projet soit primordial pour le développement de l’organisation. On parle alors de situation d’évitement. L’identification ne doit pas concerner que les risques les plus dangereux mais aussi d’évaluer leur vulnérabilité à ces risques. La conception d’une cartographie de risque est un travail complexe et délicat est nécessite l’effort pour la collecte des données interne et la constitution d’une base de donné des pertes recensés, ainsi

2.2.1 Identification du risque opérationnel

21

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

que sa mise à jour est indispensable pour le suivi de l’évolution des risques et la prise en considération des nouveaux risques. Les indicateurs de risque La cartographie représente un support de base pour la mise en place des indicateurs de risque, de types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque relativement au risque, ils sont revus périodiquement. Les indicateurs de risque sont en effet de deux types, des indicateurs- clés de risque ( key risks indicators) spécifiques à chaque activité et constituent des indices de perte ou des dangers à venir et d’autre part on a les indicateurs-clés de performances ( key performance indicators) qui constituent des mesures d’évaluation de la qualité d’une activité. Chaque activité disposera de son propre ensemble d’indicateur, spécifique à la nature des taches effectuées, au mode d’organisation des fonctions, au niveau d’automatisation des opérations, au niveau des flux financiers impliqués ou de la législation en vigueurs. En effet il n’existe pas de liste standard d’indicateurs de risque et de performances pour l’ensemble des institutions bancaires. On peut citer les indicateurs de risque suivants : 1. Ressources humaines : rotation du personnel, pourcentage d’employés intérimaires, plaintes de la clientèle ... 2. Système : interruption du système, tentative d’intrusion informatique ... 3. Traitement et procédures : corrections d’écritures, plaintes et contestations ... C- Le self-assessment La banque évalue ses opérations et activités à l’égard de vulnérabilités potentielle en termes de risque opérationnel. La cartographie des risque est une nécessitée pour réussir le mécanisme de l’autoévaluation. Ce processus est mener en interne et comporte souvent des check listes et ou des work shops afin d’identifier les forces et les faiblesses de l’environnement du risque opérationnel. Le self-assesment utilise la technique de scorecard. A titre d’exemples les scorecards permettent de transformer des évaluations qualitatives en mesures quantitatives qui donnent un classement relatif de différents types d’exploitation au risque opérationnel. En outre, les scorecards peuvent être utilisées par les banques afin d’allouer du capital économique à leurs lignes de métier en relation avec la performance à gérer et contrôler divers aspects du risque opérationnel. L’autoévaluation représente un outil de maitrise du risque qui est conditionné à sa couverture. En fait, sur la base de données exhaustive et pertinente, les banques auront la possibilité de mesurer leur exposition aux risques opérationnels, prévenir leurs ampleurs et le cas échéant décider du montant de la couverture qui sera allouée.

2.2.1 Identification du risque opérationnel

22

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Une fois le risque opérationnel est identifié, la banque va procéder a le mesurer. L’exposition au risque opérationnel est mesurée à l’aide d’une variété d’approche. Les différentes approches de mesure qualitative et quantitative seront exposées dans la section suivante.

2.2

Les mesures réglementaires du risque opérationnel selon Bâle II

La mesure du risque opérationnel correspond à une valeur en risque, similaire dans son principe à celle calculée dans les domaines du risque de marché et du risque de crédit. Elle doit donc couvrir à la fois les pertes attendues (expected loss) et les pertes exceptionnelles (unexpected loss). Pourtant, en théorie, les fonds propres réglementaires ne couvrent que les pertes exceptionnelles et non les pertes moyennes, ces dernières étant censées être couvertes par des provisions ou imputées sur le résultat courant. Le Comité de Bâle propose trois approches distinctes pour déterminer le capital réglementaire au titre du risque opérationnel : 1. L’approche indicateur de base (Basic Indicator Approach ou BIA) 2. L’approche standard (Standardised Approach ou SA) 3. Les approches de mesures avancées (Advanced Measurement Approach ou AMA) Les banques ont la possibilité de choisir celle qui leur paraît correspondre le mieux à la spécificité de leur activité, mais aussi à leur capacité globale d’action. Elles doivent en effet s’assurer qu’elles disposent de l’ensemble des moyens nécessaires à la mise en oeuvre de la solution retenue. Le degré de sophistication de chacune de ces trois méthodes est en effet croissant.

2.2.1

L’approche de l’indicateur de base

Selon l’approche de l’indicateur de base (basic indicator approch ou BIA), le capital réglementaire en couverture du risque opérationnel est égale à un pourcentage, appelé facteur α , égale à 15 % du revenu annuel brut moyen de l’établissement sur les trois dernières années. Celui-ci se définit comme la somme des intérêts créditeurs nets et autres produits d’exploitation. Il exclut les provisions, les plus ou moins values liées au portefeuille-titres, et les éléments exceptionnels. La règle peut donc être exprimée de l’équation suivante : K=α×RB Selon cette approche très simplifiée, l’ampleur du risque opérationnel est une fonction positive du volume des activités, dont les différents éléments du revenu annuel brut sont ici des estimateurs. Les données de revenus, directement puisées dans la comptabilité officielle, ont l’avantage d’être disponible pour toutes les institutions, à la différence d’autres indicateurs plus complexes. Le taux de 15% a été retenu suite aux deux premières études quantitatives d’impact réalisées lors du calibrage de l’accord.

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

23

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Catégories d’activités Financement des entreprises Négociation et vente Fonction d’agent Banque commerciale Paiement et réglement Banque de détail Gestion d’actifs Courtage de détail

Taux β 18% 18% 18% 15% 15% 12% 12% 12%

TABLE 2.1 – Facteur β par ligne d’activité- approche standardisé En effet il apparait qu’en moyenne 15% du revenu annuel brut représente le montant cible de capital réglementaire opérationnel, pour les 29 établissements ayant répondu aux premières études quantitatives d’impact lancées par le comité en mai 2001. L’approche de l’indicateur de base vie spécifiquement les plus petits établissements, les petites structures de banques locales ou filiales, de moindre importance, d’autres grands établissements, pour lesquelles les quelles le cout de mise en place d’approches plus élaborées serait prohibitif ou économiquement déraisonnable.

2.2.2

L’approche standard

L’approche standard est en fait un prolongement plus fin de la BIA en déclinant ce type de calcul par type d’activité. Le capital réglementaire est ici fonction d’un pourcentage du produit brut, appelé facteur β, établi à 12%, 15%, ou18% selon le niveau du risque opérationnel estimé de chaque activité. Cela se traduit par la règle suivante : P8 P8 K= i=1 K(i) = i=1 β(i) × RB(i) Avec K(i) représente le capital réglementaire associé à la ligne i, RB(i) est le revenu brut de la ligne correspondante, et β(i) est le coefficient associé. L’approche standardisée permet en outre de prendre en compte la nature de l’activité de l’institution. Ainsi une institution dont l’activité se concentre sur les opérations les moins risquées ou bénéficiera d’une charge en capital moindre que celle présente dans tous les types d’activités ou dans les plus risquées. Le tableau ci-dessus détaille les lignes d’activités et les pourcentages de revenus correspondants pour le calcul du capital réglementaire. Les taux de calcul du capital réglementaire proviennent de la deuxième étude quantitative d’impact, portant sur 29 établissements, ceux qui ont répondu à l’enquête lancé par le comité de Bâle.

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

24

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

A propos des méthodes standard et des coefficients béta, le comité reste d’ailleurs prudent, en précisant que : « une banque doit élaborer des politiques spécifiques et disposer de critères consignés par écrit pour mettre en correspondance le produit brut des diverses catégories d’activité et unités avec le dispositif standardisé. Les critères doivent faire l’objet d’un examen et d’un ajustement, selon les besoins, de façon à intégrer les innovations/changement d’activité et de modification des risques ».

2.2.3

Les approches de mesures avancées

Il ne s’agit plus d’une approche unique, définie par le régulateur, mais d’un ensemble de modèles internes réunies sous le vocable « d’approche de mesures complexes » ou AMC (Advanced measurement approch ou AMA) approuvé par les autorités de contrôle sur la base d’une série de critère. Selon l’AMa, l’exigence de fonds propres réglementaire équivaut à la mesure du risque opérationnel produite par le système interne de la banque, sur base de critères quantitatifs et qualitatifs. Le Comité de Bâle propose plusieurs alternatives au sein du régime AMA : la méthode Scorecard, l’analyse de scénarios (Scenario-based AMA), et enfin, la méthode LDA (Loss Distribution Approach), la plus sophistiquée au plan technique. La pratique de chacune de ces méthodes est soumise au respect d’un ensemble de critères qualitatifs, notamment en termes d’évaluation du risque opérationnel et de procédure de collecte des données de perte. C’est là leur dénominateur commun. Sur le fonds, la différence concerne essentiellement le type d’information privilégié dans le calcul du capital réglementaire. Les accords de Bâle II n’imposent aucune méthode particulière de calcul pour les banques adoptant l’approche de mesures complexes (AMA). Ce choix est laissé à la discrétion des banques, pourvu qu’elles satisfassent aux critères qualitatifs et quantitatifs énoncés dans l’accord. Deux principales méthodologies sont utilisées pour le déploiement de ces approches de mesures avancées.

1. La méthodologie Top-Down La méthodologie Top down donne une estimation du risque opérationnel sur la base des variations historiques des résultats après intégration de facteurs tels que l’évolution de l’activité où le coût lié aux changements. L’hypothèse sous-jacente est que les pertes historiques sont une bonne mesure des pertes futures. Dans cette approche, certaines banques ont tendance à évaluer l’exigence de fonds propres pour le risque opérationnel en prenant simplement un pourcentage d’un indice d’activité comme le produit brut bancaire. D’autres estiment le risque opérationnel selon un pourcentage fixe correspondant aux coûts opérationnels de l’établissement où de la ligne métier. La Bank of America prend par exemple 25% des coûts fixes et 50% des dépenses autre que les intérêts versés.

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

25

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Selon cette approche, on peut envisager un schéma dans lequel le montant alloué en fonds propres pour couvrir le risque opérationnel serait égal : IndiceActivit × M ultiplicateur × k Avec k est un score représentant l’environnement. Cette approche présente l’avantage de sa facilité à mettre en place, une fois que l’élément inconnu de volatilité des résultats historiques des activités est résolu. Toutefois elle présente une faible valeur analytique. Un rapport difficile à établir entre perte et revenu variable et entre risque opérationnel et revenu variable. On peut dire que les modèles proposés par cette méthode ne sont pas propices à la mise en oeuvre d’un contrôle interne, d’où son ignorance à la qualité du contrôle. Dans ce cadre et pour mieux maîtriser le risque opérationnel les établissements s’orientent d’avantage vers des approches à forte valeur ajoutée type " Bottom Up ". 2. La méthodologie Bottom-Up Les modèles Bottom -Up correspondent à une approche structurelle dans laquelle l’identification, l’évaluation des pertes et risques sont définis à l’intérieur de la banque en fonction de la logique de comportement, en séparant tout ce qui peut provenir des personnes, des processus et de la technologie. En effet, lors d’une telle approche, chaque opération est analysée de son initiation jusqu’à sa comptabilisation. A chaque étape les tâches et contrôles clés sont décrits, testés et évalués. Le recensement et l’évaluation des risques opérationnels se faisant selon une cartographie (zones géographiques, ligne métier, entité, activité et productivité) qui se décline de la plus globale à la plus exhaustive. Cette approche apparaît plus utile pour comprendre la nature du risque opérationnel et pour permettre un contrôle interne. Elle est à forte valeur ajoutée car elle intègre des cartographies des risques opérationnels liés aux activités et processus comprenant l’identification, l’analyse et l’évaluation des risques. Elle permet de contribuer à la connaissance des risques opérationnels au niveau des activités, et au changement comportemental des différents acteurs et notamment les opérationnels. Toutefois elle présente l’inconvénient de la subjectivité et la consistance des évaluations. Les approches de mesures avancées sont :

L’approche LDA (Loss Distribution Approach) L’idée de base de LDA est assez simple : on considère que la perte annuelle totale d’une banque due au risque opérationnel se compose de deux éléments, la fréquence et la sévérité. Chacune se

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

26

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

présente sous la forme d’une distribution statistique. La distribution de fréquence représente l’occurrence d’événements de pertes opérationnelles, c’est-à-dire le nombre de pertes observées. La distribution de sévérité traduit quant à elle l’amplitude de ces pertes, à savoir le montant, en unités monétaires, des pertes individuelles subies par la banque. L’idée générale de la méthode LDA (Loss Distribution Approach) est de modéliser la perte liée au risque opérationnel pour une période donnée (par exemple, un an) et d’en déduire la valeur en risque. Frachot et al. (2003) proposent de procéder en cinq étapes pour implémenter cette méthode : - Estimation de la distribution de sévérité. - Estimation de la distribution de la fréquence. - Calcul de la charge en capital. - Calcul des intervalles de confiance. - incorporation des avis d’experts. A l’instar de la plupart des modèles de mesure du risque opérationnel, la LDA se fonde sur une approche actuarielle (fréquence/sévérité) très ancienne largement utilisée dans le domaine de l’assurance pour modéliser des problèmes similaires. Pour que le modèle LDA puisse tourner, il faut lui fournir deux éléments essentiels : la distribution de la sévérité des pertes (loss severity distribution, en général suit une loi log-normale ou de pareto) et la distribution de la fréquence des pertes (loss frequency distribution, en génral une loi de poisson). Ces deux distributions, qui forment l’historique des pertes, sont ensuite combinées par convolution afin d’obtenir la distribution de la perte totale. Celle-ci étant le résultat de plusieurs pertes successives, il s’agit d’une perte agrégée (aggregate loss distribution). A partir de la perte totale, on dérive ensuite la perte attendue ou moyenne (expected loss) et la perte exceptionnelle (unexpected loss), pour un niveau de confiance donné. Formulation de l’approche LDA Nous désignerons par j = 1, ..., J les activités et par k = 1, ..., K les événements de risque. Sj,k : La v.a représentant le montant de perte pour l’activité j et l’événement k. Nj,k : La v.a représentant le nombre de perte pour l’activité j et l’événement k. pj,k : La fonction de probabilité de Nj,k . La fonction de répartition de la fréquence pour l’activité j et l’événement k correspond à la formule suivante : Pj,k (n) =

Pn

r=0

pj,k (r)

On a :

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

27

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Sj,k =

PNj,k i=1

(i)

Xj,k

avec : (i)

Xj,k : Le montant de la ième perte pour l’activité j et l’événement k. On peut montrer que : FSj,k (x) =

P∞

n=0

n∗ pj,k (n)FX (x)

avec FSj,k (x) la distribution de perte agrégée Une fois la distribution de perte agrégée est déterminée, on peut calculer OpVaR pour lactivité j et l’événement de risque k :  OpV aR(j, k, α) = FS−1 (α) = inf x : j,k

FSj,k (x) ≥ α



Et donc, on peut calculer OpVaR totale : OpV aR(α) =

PJ

j=1

PK

k=1

OpV aR(j, k, α)

Exemple de simulation : Algorithme de Monte Carlo 1. A partir de la valeur de λ estimée, on génère un nombre de pertes N suivant une loi de P (λ). 2. A l’aide des paramètres estimés de la loi de sévérité, on génère N valeurs Xi , i = 1, ..., N suivant une loi Log-Normale avec les paramètres estimés. P 3. On calcule S = Xi 4. On répète les étapes 1 à 3 K fois afin d’obtenir K valeurs de S, c’est-à-dire une distribution de perte agrégée. 5. On calcule le quantile de S au niveau 99,9%.

L’approche Scorecard L’appellation « scorecard » regroupe un ensemble d’approche visant à identifier, mesurer et surveiller les risques opérationnels. Ces approches traduisent une évaluation qualitative des risques et des contrôles en une valeur numérique ou score. L’un des objectifs poursuivis par les banques ayant développé et implémenté une approche Scorecard est de se doter d’un outil permettant de faire le lien entre la mesure et la gestion du risque opérationnel. Les grandes étapes de mise en oeuvre de la démarche scorecard sont les suivantes : Evaluation du capital initial en se basant sur une autre approche : celle-ci pourrait être l’approche LDA, l’approche des scénarios, l’utilisation du benchmarking ou une méthode forfaitaire. Il est crucial à ce stade de considérer ce capital initial crédible.

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

28

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

F IGURE 2.2 – La Méthode Loss distribution Approach (LDA) Définition de la structure de la scorecard et sa mise en oeuvre, permettant d’aboutir à un score pour chaque catégorie de risque et pour chaque ligne de service. Allocation du capital initial aux lignes de service sur base du score et donc des performances de l’organisation en matière de maitrise du risque opérationnel. Par la suite, le capital alloué à chaque ligne de service va varier en fonction de l’évolution des résultats de scorecard. Dans cette approche, le capital initial n’est pas recalculé à chaque évaluation. Conformément aux exigences du comité de Bâle, les données internes ont également un rôle à jouer dans l’approche scorecard. Ces données internes et externes sont utilisées à plusieurs niveaux. En effet, elles peuvent être utilisées de la détermination du capital initial en utilisant une approche de distribution de pertes.une autre utilisation intéressante de ces pertes est leur analyse afin d’identifier les facteurs de risques ayant amené à la réalisation de ces pertes est leur analyse afin d’identifier les contrôles internes permettant de réduire l’impact ou de contrôler les facteurs de risque identifiés. Une fois la scorecard établie et utilisée, les pertes internes et externes peuvent etre utilisées afin de valider la qualité des réponses apportées aux questionnaires. De plus, leur analyse régulière permet de s’assurer que les risques et facteurs de risque associés sont actualisés, ce qui permet de prendre en compte l’apparition de nouveaux facteurs de risque dans l’anlyse. La validation des résultats de la scorecard avec des donnés objectifs est importante, compte tenu des nombreux éléments subjectifs intervenant dans sa construction. Le Comité de Bâle n’a fourni aucune formulation mathématique pour cette approche.

L’approche par les scénarios L’approche scénarios est en fait un prolongement de l’approche scorecard. Le risque y est envisagé comme une combinaison de la sévérité et de la fréquence des pertes potentielles sur une période donnée. La fréquence et la sévérité (potentielles) de la perte peuvent être mesurées en unités moné-

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

29

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

taires et en nombre d’occurrences annuelles. Le risque reflète en quelque sorte la vulnérabilité de la banque. L’évaluation du risque devrait par conséquent se focaliser sur les vecteurs de cette vulnérabilité. Or, celle-ci provient pour l’essentiel des facteurs de risque sous-jacents. Réduire le niveau de risque opérationnel impose donc une bonne lisibilité de l’exposition du portefeuille de la banque aux différents facteurs de risque préalablement définis. L’un des objectifs de l’utilisation de cette approche dans la quantification des risques opérationnels est de fournir une évaluation prospective du risque opérationnel. En fait, on pourrait considérer que l’évaluation du risque est intrinsèquement liée à l’analyse de scénarios, qui s’applique d’ailleurs également aux risques de marché et de crédit. De manière générale, les scénarios sont des événements susceptibles de se produire dans l’avenir. Ils expriment l’idée selon laquelle les experts d’une banque ont certaines intuitions ou des informations sur le risque qui ne sont pas contenues dans l’historique de données. Pour être réellement utile à des fins de décision en matière de risque, une analyse de scénarios doit être en mesure de répondre à ces deux questions : à quelle fréquence le scénario X est-il susceptible de se produire ? Quel est le montant de la perte si le scénario X se produit ? L’axe principal de développement de cette approche est le développement et l’évaluation des scénarios, ces derniers doivent permettre d’évaluer les deux paramètres caractérisant le risque : la fréquence et la sévérité potentielle d’un événement générateurs de pertes. Cette évaluation nécessite la constitution de scénarios, chaque scénario prenant en considération l’ensemble des facteurs de risque opérationnel. Parmi les facteurs de risque opérationnel les plus courant, on recense le niveau de compétence/qualification du personnel, l’organisation interne/transferts d’information, l’infrastructure IT ( sécurité des systèmes), les procédures de contrôle des activités non autorisées/vol et fraude/erreurs non intentionnelles ( saisie, exécution et suivi des transactions), les mesures de protection contre des catastrophes et autres sinistres, ou encore, le respect des obligations légales ( conformité, diffusion d’informations et devoir fiduciaire). En considérant ces différents éléments, la banque va donc générer des scénarios sous forme de questions « what if ». Pour chaque scénario, l’évaluateur considère plusieurs hypothèses, dont par exemple un cas normal, un cas extrême et un cas catastrophique. En effet, les scénarios vont se construire en fonction de l’organisation de la banque et de la catégorisation d’événement de pertes. Les facteurs de risque et les indicateurs de risque associés serviront de contexte et de base a l’évaluation des scénarios.

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

30

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

F IGURE 2.3 – Les approches de mesure du risque opérationnel

2.2.4

Les critères d’agrément pour l’approche standard et l’approche de mesure avancées

Les critères généraux sont identiques par définition entre les différents approches. Les critères qualitatifs sont quant à eux similaires entre les approches standardisé et complexes, qu’il est préférable de les présenter conjointement. Ils sont relatifs aux modes d’organisation de la gestion des risques, et représentent en réalité une version synthétique du document « sound practices for the management and supervision of operational risk »qui complète le premier pilier en matière de risques opérationnels. Il vise à assurer un niveau minimum en matière de risques.il est applicable à l’ensemble des établissements, indépendamment de l’approche choisie. Seuls les critères quantitatifs d’agrément sont propres aux approches complexes.

Critères généraux Ces critères doivent être rencontrés par toutes les institutions, quelle que soit l’approche adoptée : - Participation active du top management de l’établissement (conseil d’administration et direction générale) à la surveillance du dispositif de gestion du risque opérationnel. - Intégrité dans la mise en oeuvre d’un système sain de gestion des risques. - Allocation de ressources suffisantes par rapport à l’approche choisie dans les unités principales et à l’audit interne.

Critères qualitatifs Ces critères s’appliquent pour l’approche standardisé lorsqu’elles sont mises en oeuvre par des banques actives au niveau international, ainsi que pour l’approche de mesures complexes :

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

31

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Définition des rôles : les fonctions et les responsabilités des gestionnaires des risques opérationnels doivent être clairement définies et attribuées. Ils sont responsables de la conception et de la mise en oeuvre du système d’identification, de mesure, de surveillance, d’atténuation et de notification du risque opérationnel au sein de la banque. Collecte des données : la banque doit enregistrer systématiquement les pertes significatives par catégorie d’activité. Ces informations doivent tenir une place prépondérante dans la notification des données sur les risques dans les rapports adressés à la direction. La banque doit disposer de techniques permettant d’inciter à une meilleure gestion du risque opérationnel dans l’ensemble de l’établissement. Notification et documentation : L’exposition aux risques et notamment les pertes importantes doivent faire l’objet d’une notification régulière au top management. Le système de gestion et les procédures doivent faire l’objet d’une documentation correcte et complète au sein de la banque. Révision périodique : les processus de gestion feront l’objet d’une validation et d’un examen périodique par les auditeurs externes et/ou les autorités de contrôles.

2.2.5

Critères quantitatifs propre à l’approche des mesures avancées

Critères de solidité Le comité de Bâle s’abstient délibérément de préciser l’approche, les hypothèses ou les distributions a utilisé pour quantifier le risque opérationnel. Sa seule exigence est que la banque apporte la preuve que sa mesure du risque opérationnel présente une robustesse suffisante pour couvrir les pertes avec un intervalle de confiance de 99,9%. En d’autre terme le capital réglementaire doit être suffisant pour couvrir les pertes dans 99, 9% des cas possible.

Critères spécifiques - Le système de mesure interne des risques doit couvrir la totalité des types d’événements de risque opérationnel définis par le comité. - La banque doit calculer les fonds propres suffisants pour couvrir ses pertes anticipées ou attendues et ses pertes inattendues, sauf si elle fait la démonstration que ses systèmes internes couvrent adéquatement les pertes attendues (parfois appelées pertes moyennes). - La granularité du système de mesure doit être suffisante pour appréhender les sources de risque affectant les plus grands montants de pertes de la distribution. - Pour le calcul des fonds propres, les différentes mesures individuelles et de pertes doivent être agrégées « la banque peut toutefois être autorisée à appliquer des corrélations déterminées en interne entre ces estimations individuelles ...la banque doit valider ses hypothèses de corrélation ».

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

32

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

- Tout système interne de mesure du risque doit comprendre les éléments- clés suivant : utilisation des données externes pertinentes, analyses de scénarios, prise en compte de facteurs reflétant l’environnement de travail et les systèmes de contrôles internes. - La banque doit disposer d’un système complet, bien documenté et transparent, décrivant la méthodologie de mesure du risque et justifiant les poids relatifs donnés aux différents éléments décrits au point précédent.

2.2.6

Critères internes

La banque doit collecter ses données internes de pertes, afin de mettre en relation les estimations de risques et les pertes effectives. La banque doit disposer de procédures claires afin de relier les pertes à un types d’activité. L’historique de pertes collectées doit être d’au moins cinq ans, avec une exception de trois années historique pour la première année de la mise en oeuvre de la méthode AMC (en 2007). Le processus de collectes des données de pertes interne doit répondre aux caractéristiques suivantes : - La mise en correspondance des données avec les catégories prudentielles définies, tant en terme de types d’événement que de lignes d’activité ; la banque doit donc documenter sa règle de conversion éventuelle entre ses catégories internes et les catégories officielles du comité. - La fixation d’un seuil de notification des pertes. La banque doit disposer d’un montant minimum de pertes brutes à partir duquel elle notifie la perte. Un montant de 10000 euros est mentionné à titre d’exemple. Le seuil de notification doit être globalement similaire à celui de banques comparables. - Outre le montant brut rapporté, divulgation d’une information complémentaire dans la notification. La quantité d’information à collecter est liée à l’empileur de la perte. - Identification d’une clé spécifique pour l’allocation des pertes par ligne d’activité, en particulier pour la survenance d’événements dans les fonctions centrales. - Isolation des pertes importantes associées au risque crédit et traitement comme résultant d’un incident opérationnel. - Traitement des pertes opérationnelles liées à un risque de marché comme du risque opérationnel pour le calcul de l’adéquation du capital. Les critères de données internes détaillent donc les exigences et le processus de collecte de données de pertes internes. Ce sont ces exigences qui ont constitué l’aiguillon le plus puissant pour le démarrage de la mise en place de la gestion de risques opérationnels dans les banques.la nécessité de disposer, au moment de la mise en oeuvre de l’accord, d’un historique de pertes de trois ans mi-

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

33

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

nimum a sorti brutalement les banques de leur torpeur et lancé le processus long. Couteux, mais indispensable pour la collecte des données de pertes, qui constitue la pierre angulaire de la modélisation du risque et des outils de sa gestion active.

Données externes Le système de mesure du risque opérationnel d’une banque doit utiliser des données externes pertinentes notamment lorsqu’il existe des raisons de croire que la banque est exposée à des pertes peu fréquentes mais potentiellement lourdes, une banque doit disposer d’un processus systématique pour déterminer les situations nécessitant de recourir à des données externes et les méthodologies à utiliser pour incorporer ces données.

Analyse de scénarios Outre l’approche quantitative basée sur les données de pertes et les analyses de scénarios, la méthodologie doit intégrer les facteurs de risque pouvant modifier le profil de la banque. La prise en compte de ces facteurs doit répondre aux caractéristiques suivantes : - Chaque facteur doit représenter un vecteur de risque pertinent, basé sur l’expérience et sur un jugement d’expert. - La sensibilité des risques face à ce facteur, ainsi que le poids de chaque facteur doivent être justifiés. - Tous les aspects de l’application de chaque facteur, y compris ses conséquences sur l’ajustement des estimations empiriques, doivent être documentés et soumis à un examen indépendant de la banque. Le résultat modélisé doit être comparé aux données de pertes réelles collectées dans la banque.

2.2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

34

CHAPITRE

3 LA GESTION DU RISQUE OPÉRATIONNEL

Depuis que le comité de Bâle réglemente la gestion du risque opérationnel, nous assistons à une évolution des mentalités et de la manière dont sont gérés les risques opérationnels. Une gestion intégré au lieu que fragmentée, une perception positive du risque, orienté vers le futur et vers l’apport d’une valeur ajoutée, piloté par des processus avec une couverture large qui englobe tout l’activité. Au-delà des règles et modèles de mesures des fonds propres réglementaire suffisants pour couvrir au plus juste l’exposition au risque de chaque établissement bancaire, le comité de Bâle et l’ensemble des régulateurs accordent avec raison une importance majeure à la gestion active des risques. La réglementation en matière de risques opérationnels soumet les règles à un ensemble de critère d’agrément caractérisant la fonction de gestion des risques. Elle complète ces règles par un document décrivant les bonnes pratiques à atteindre en matière de gestion des risques opérationnels. En se basant sur les saines pratiques édictées par le comité de Bâle, quatre étapes clés sont nécessaires pour la gestion du risque opérationnel. L’identification, l’évaluation et le suivi qui vont faire l’objet de la première section et la deuxième section est consacrée aux moyens de maitrise et d’atténuation du risque opérationnel.

3.1 3.1.1

L’identification, l’évaluation et le suivi du risque opérationnel L’identification du risque

L’identification est primordiale pour que puissent être développés un contrôle et un suivi viable du risque opérationnel. Identifier les détenteurs du risque ainsi le fait de l’isoler permet d’obtenir une vue globale de tous ces composants et dimensions du risque équivaut à une analyse en profondeur des opérations. Pour réaliser cet exercice Un ensemble d’outils d’identification a été déjà présenté on peut ajouter aussi la réalisation d’un due diligence opérationnel complet qui donnerait le niveau de détail et d’interaction requis pour chaque processus impliqué.

35

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

3.1.2

L’évaluation du risque

L’évaluation du risque s’appuiera sur la propre analyse et évaluation de la conformité de l’institution avec l’approche utilisée (les approches de mesures convoquées dans le Chapitre II sur une base entièrement consolidée). Le processus d’évaluation vise principalement le développement d’une mesure des fonds propres plus sensible aux risques et de meilleures pratiques de gestion du risque opérationnel.

3.1.3

Le suivi du risque

Il s’agit d’une activité inhérente à un suivi dynamique de la gestion des risques. Selon le comité de Bâle : « Les banques devraient mettre en oeuvre un processus de suivi régulier des profils de risque opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion dynamique du risque opérationnel devraient être régulièrement communiquées à la direction générale et au conseil d’administration. » Pour une politique dynamique de la gestion du risque, le suivi est primordial. Pour cela, un système de suivi se basera sur les indicateurs clés ainsi que sur les indicateurs d’alerte avancée, très semblables aux fameux KPI (indicateurs de performance). C’est ici que la gestion des risques opérationnels se distancie quelque peu des autres approches de gestion du risque pour se rapprocher des techniques de performance opérationnelle. Pour les besoins du suivi, l’approche bottom-up est applicable, ce qui veut dire que les indicateurs clés du risque doivent être définies à plusieurs niveaux de responsabilité. D’ordinaire, un manager ne sera intéressé que par 5 voire 7 indicateurs maximum, ce qui signifie que, comme pour les KPI, il convient de définir des indicateurs différenciés pour les responsabilités stratégiques, tactiques et opérationnelles. Là encore, et bien que définir des indicateurs clés sur base d’une appréciation individuelle soit possible, cet exercice tirera tout son avantage des techniques de simulation qui analyseront les scénarios et testeront les différents cas. Non seulement la pertinence des indicateurs clés sera ainsi avérée, mais leur gestion dynamique dans un environnement en constante évolution sera également simplifiée. La régularité et la périodicité du suivi va permettre la détection et une réaction rapide contre tout défaillance, insuffisance des politiques, procédure et processus de gestion du risque et tout en s’adaptant a la fréquence et la nature des modification de l’environnement opérationnel. Les résultats du processus de suivi doivent faire l’objet de rapport, ce dernier doit contenir des données internes (aspects financiers, opérations et conformité), ainsi que des informations externes (de marché) sur les événements et conditions qui peuvent influencer le processus de décision. Les rapports devraient être distribués aux niveaux hiérarchiques appropriés.

3.3.1 L’identification, l’évaluation et le suivi du risque opérationnel

36

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

3.2

Les moyens de maîtrise et atténuation du risque opérationnel

Selon le comité de Bâle :«Les banques devraient adopter des politiques, processus et procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétit pour le risque et de leur profil de risque globaux. » Face au risque opérationnel plusieurs actions peuvent être prises : - Accepter - Supprimer l’activité porteuse de risque - S’assurer contre le risque supposé - Tester des alternatives - Elaborer un plan de secours En effet, pour tous les risques opérationnels qui ont été identifié, la banque devrait pouvoir décider si elle dispose des procédures appropriées pour contrôler et /ou atténuer les risques, ou si elle si elle supporte ces risques. Pour les risques qui ne peuvent pas être contrôlé, la banque devrait décider si elle accepte ces risques (faire recours a l’assurance), si elle réduit le niveau d’activité économique impliquée, ou si elle se retire complètement de cette activité. Pour cela on doit disposer de processus et procédures de contrôle et d’un système assurant la conformité des opérations à un ensemble de politique interne dument documenté concernant la gestion du risque. Le renforcement du système de contrôle est un élément clé pour la maitrise du risque donc il semblé logique la mise en place d’un système de contrôle interne.

3.2.1

Le contrôle interne

Les principes de contrôle interne La mise en place d’un dispositif de contrôle interne pour la maîtrise du risque opérationnel nécessite que les principes suivants soient définis :

1. La définition d’un organigramme détaillé : précisant les pouvoirs et les responsabilités, cet organigramme doit faire apparaître les différentes fonctions et les noms de leurs responsables. Chaque responsable d’entité a ainsi le devoir de mettre en place un système de contrôle interne efficace, en coordination avec les autres structures de la banque, tutelles fonctionnelles et hiérarchiques. Plus généralement il concerne l’ensemble des collaborateurs, quel que soit leur niveau de responsabilité. 2. La séparation des fonctions : qui a pour objectif, par une organisation adéquate ou un rattachement hiérarchique différent, d’éviter qu’une personne ou un groupe de personnes cumulent

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

37

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

les fonctions d’engagement, de règlement, d’enregistrement et de contrôle dans un même processus opérationnel. Elle permet ainsi de prévoir une distinction nette entre celui qui décide et celui qui exécute, entre celui qui opère et celui qui valide tout en offrant une garantie d’un contrôle indépendant et permanent sur l’activité. L’objectif recherché est de prévenir et dissuader, ou à défaut de permettre une détection sans retard des erreurs ou des irrégularités commises. 3. Définition des postes, pouvoirs et responsabilités : consiste à préciser à chaque niveau d’exécution l’origine des informations à traiter, la liste des tâches à effectuer, (les modalités d’enregistrement de traitement, de restitution des informations, les procédures de contrôle associées à chaque étape), la périodicité des traitements et les destinataires des informations traitées (compte-rendu des travaux).Cette description doit être complétée par un système d’autorisations et de délégations de pouvoirs de signatures qui définit les limites d’engagement par personne ou par organe décisionnel et les différents niveaux d’approbation requis selon le type d’engagement. 4. Le descriptif des processus opérationnels : qui doit préciser les modalités de circulation de traitement et de classement des informations. Il est réalisé sous la forme d’un diagramme de circulation des informations décrivant les étapes successives et logiques de traitement des opérations et d’un narratif décrivant (la nature des informations à traiter, le traitement de l’information, les documents supports de l’information, les tâches rattachés à chaque poste de travail, la destination des informations produites).

3.2.2

Organisation des contrôles

L’organisation des contrôles repose sur des contrôles à deux niveaux : Les contrôles de 1er niveau regroupent tous les contrôles permanents (à priori et à posteriori) mis en oeuvre au niveau de chaque entité opérationnelle et permettant de vérifier l’exhaustivité et la régularité des opérations traitées. Ils comprennent, des contrôles quotidiens qui assurent la sécurité et la qualité des opérations traitées et qui reposent sur le respect permanent des règles et procédures en vigueur (séparation des fonctions, délégation de pouvoirs et signatures, etc.) et une supervision formalisée par la hiérarchie pour vérifier la correcte application des règles et procédures au quotidien. Les contrôles à priori regroupent tous les contrôles quotidiens mis en place afin qu’aucune erreur ne se produise. Les contrôles à posteriori ont pour objectif de détecter les anomalies que les contrôles à priori n’ont pas permis d’éviter. Pour les processus opérationnels longs, le contrôle de 1er niveau peut être assuré par plusieurs services ou personnes. Les contrôles de 2me niveau sont confiés à toute personne ou organe chargé de vérifier périodiquement que les contrôles de 1er niveau sont correctement réalisés : contrôle du fonctionnement de la surveillance permanente, de vérifier l’application des procédures, d’apprécier la qualité des traitements effectués et de s’assurer de la prise en compte des exigences de contrôle interne.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

38

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

L’audit interne et/ou externe fait partie des contrôles de 2me niveau. A ce titre, le contrôle interne dispose de plusieurs dispositifs visant la maitrise du risque. - Identification des risques liés au fonctionnement des unités. - Evaluation des risques mesurables - Elaboration de politiques de prises de risques adaptées aux enjeux - Limite des risques, prévoyant la fixation de limites globales et opérationnelles, la revue, la mesure, le suivi des dépassements et des régularisations. - Suivi des performances d’ensemble. Le contrôle interne est assuré par différents composantes de l’organisation et a pour objectif premier de s’assurer que les opérations sont traitées et gérées, conformément aux normes, aux règles et aux procédures en vigueur. Dans ce dispositif, l’audit interne consacre l’essentiel de ses missions, à vérifier que ces procédures sont à jour et que les opérationnels les ont comprises et les appliquent totalement, au quotidien, d’où une nouvelle organisation de la gestion des risques opérationnels par l’audit interne.

3.2.3

L’audit interne

Principes et fonctions de l’audit interne L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. D’un point de vue général, l’Audit Interne intervient sur les domaines suivants : 1. L’examen et l’évaluation de l’efficacité des dispositifs de contrôle interne. 2. Le contrôle de l’application et de l’efficacité des procédures de management du risque et méthodes de mesure de risque. 3. Le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des rapports financiers. 4. Le contrôle des moyens de sauvegarde des actifs.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

39

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

5. Le contrôle du système de mesure de risque par rapport aux fonds propres. 6. Les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de contrôle interne. 7. Le contrôle des dispositifs mis en place pour s’assurer qu’ils sont conformes aux exigences légales et réglementaires, aux codes de conduite, et à la mise en oeuvre des politiques et procédures. 8. Le contrôle de la sincérité, de la fiabilité et de l’opportunité des reportings réglementaires. L’Audit Interne dans les banques évolue vers un rôle d’acteur de premier plan, en charge en particulier de la conduite du changement et de la gestion des risques. Toutefois le respect de certains principes conditionne le succès de ses missions. Voici, quelques principes de base pour la fonction Audit Interne : - Le service d’Audit Interne doit être en mesure d’exercer sa mission de sa propre initiative dans tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire un rapport sur ses résultats et évaluations et de les communiquer en interne. Le principe d’indépendance implique le rattachement du service audit interne, soit au président de la banque, soit au conseil d’administration, soit à son comité d’audit. - Toutes les banques devraient disposer d’une charte d’audit qui mette en valeur le statut de l’autorité de la fonction d’audit interne au sein de l’établissement de crédit. Ceci revient à fixer les objectifs et le champ d’intervention de l’audit interne, ses positions dans l’organisation, et la responsabilité du responsable de l’audit interne. - La fonction d’audit interne doit être objective et impartiale, ce qui signifie que l’audit doit pouvoir effectuer ses missions sans préjugé et sans subir de pression. Pour être objectif et impartial le service d’audit interne doit-lui même chercher à éviter tout conflit d’intérêt. A cette fin les missions d’auditeurs doivent changer périodiquement chaque fois que c’est possible. - Le service d’audit interne doit se préoccuper des dispositions légales et réglementaires qui régissent les opérations de la banque, les politiques principes, règles, lignes de conduite interne édictées par les autorités de tutelle relatives à l’organisation et à la gestion des banques. Cependant cela ne signifie pas que l’audit interne doit assumer les fonctions de contrôle de la conformité. - Le service de l’audit interne doit évaluer en particulier, la conformité de la banque à la réglementation et aux contrôles des risques (quantifiables et non quantifiables), la fiabilité y compris (l’intégrité, l’exactitude et l’exhaustivité) ainsi que la disponibilité en temps opportun de l’information financière et de celle destinée au management, la continuité et la fiabilité des systèmes d’information et l’organisation des services.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

40

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

La gestion du risque par l’audit interne La gestion du risque opérationnel par l’audit interne se base sur les étapes suivantes :

1. Une identification préalable du risque, cela implique une définition claire et unique de la notion risque opérationnel, tout en précisant avec détail le champ des risques qu’il couvre. A cet égard les départements d’Audit Interne ne peuvent se lancer dans un tel travail, s’ils ne sont pas en mesure de connaître les activités, les objectifs et la stratégie de l’établissement de crédit, de réfléchir au delà du cadre réglementaire et intégrer la réalité d’un environnement en très forte mutation, et enfin d’enrichir cette démarche en impliquant dans ce processus les responsables métiers et les opérationnels. 2. Une diffusion de la culture du contrôle interne vers les opérationnels, une fois les risques identifiés sont cartographiés, hiérarchisés, et codifiés dans des procédures. L’étape suivante consiste de à s’assurer que le dispositif du contrôle interne est efficace de façon continue et que le risque est correctement maîtrisé. Pour cela la mise en place des programmes d’auto évaluation du dispositif apparaît une nécessité, et les moyens de contrôle à mettre en oeuvre seront de deux ordres : Des check-lists (normatives) des contrôles que doivent remplir périodiquement les opérationnels et qui leur rappellent les étapes essentielles à suivre. Ces check-listes peuvent être assimilés à des carnets de bord. Des indicateurs des contrôles clés de l’établissement qui doivent être définis, en commun, entre l’audit interne et les responsables opérationnels, ces indicateurs peuvent être de deux natures « qualitative » : (rapprochement des positions et résultat économique et comptable par exemple) ou « quantitatives » : (nombre d’opérations non confirmées, nombre d’opérations en suspens dans les comptes règlements-livraison, nombre d’opérations rejetées par le système comptable, etc...) Ces indicateurs peuvent être fixés soit en valeur absolue, soit en pourcentage du nombre d’opérations traitées, soit de manière plus fine en fonction des activités. Le suivi de ces indicateurs de contrôle va permettre aux responsables opérationnels de détecter les erreurs, les anomalies et les dysfonctionnements qui peuvent causer d’énormes pertes et le cas échéant de prendre les mesures correctrices nécessaires. 3. Un service d’Audit Interne : dans ce contexte la fonction audit interne est assurée par un département expert qui pourra à tout moment disposer d’indicateurs (résultants des programmes d’auto évaluation) de mesure de la qualité des contrôles fondamentaux qui permettent de maîtriser les risques clés. Certains établissements ont mené une réflexion pour mettre en place des programmes d’auto évaluation du risque opérationnel.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

41

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

4. L’auto évaluation du risque opérationnel, est réalisée au niveau des contrôles de 1er niveau. Elle consiste en l’examen et l’évaluation de l’efficacité du contrôle interne et a pour objectif d’anticiper la dégradation d’un contrôle. La mise en oeuvre de ce processus passe par les étapes suivantes : - l’identification exhaustive préalable des dysfonctionnements potentiels (erreurs, irrégularités, fraudes) imputables au risque administratif et de leur source. - Le recensement des faiblesses existantes de contrôle interne, - L’élaboration d’un programme d’auto évaluation du dispositif de contrôle. Un programme d’auto évaluation du dispositif de contrôle comprend : - d’une part, l’élaboration et la mise en oeuvre de check-lists de contrôles que doivent remplir les opérationnels et qui leur rappellent les étapes essentielles à suivre, - et d’autre part, la définition d’indicateurs de contrôles clés tant au plan qualitatif que quantitatif. Finalement on peut dire, qu’une fois l’objectif du suivi régulier de la qualité des contrôles effectués et évalués par les opérationnels est atteint, sa valeur ajouté réside dans sa capacité à : - présenter à la direction générale et au comité d’audit une cartographie complète et actualisée des risques. - piloter l’ensemble des dispositifs de contrôles définis à partir des risques clés. - améliorer en continu ce dispositif sur la base des meilleures pratiques du secteur et des missions réalisées à partir d’un processus qualitatif de clignotants. - promouvoir la culture du contrôle interne à tous les échelons de l’organisation.

3.2.4

Autres pratiques internes pour maitriser le risque opérationnel

Le comité prévoit autres pratiques internes afin de maitriser le risque opérationnel : - La surveillance étroite du respect des limites de risque ou des seuils assignés. - La mise en place des mesures de protection pour l’accès et l’utilisation des actifs et des informations de la banque. - S’assurer que le personnel à l’expertise et la formation adaptées et veuilles a une mise a jour.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

42

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

- Vérification et rapprochement réguliers des transactions et des comptes. - L’identification des branches ou des produits de l’activité dont les résultats semblent être en dehors des attentes raisonnables. - S’assurer que l’infrastructure du contrôle de gestion des risques suit la croissance de l’activité.

3.2.5

Les techniques d’atténuation du risque opérationnel

En matière de maîtrise du risque opérationnel de faible probabilité mais a un impact financier très lourd on peut opter pour d’autres techniques d’atténuation et de transfert de risques, par l’intermédiaire des polices d’assurances contre des évènements externes de risques tels que les incendies, les tempêtes....ou par la signature des contrats plus spécifiques et personnalisés contre le risque opérationnel qui y sont proposés pour se prémunir contre des menaces internes de risques tel que les fraudes ou les défaillances dans un système informatique. L’externalisation de certains activités peut réduire le profil de risque d’un établissement en transférant certaines activités spécialisées à des entreprises qui ont plus d’expertise et d’envergure pour gérer les risques qui y sont associés. Il convient aussi d’examiner soigneusement dans quelle mesure les instruments d’atténuation comme l’assurance et l’externalisation réduisent vraiment le risque, ou le transfèrent à un autre secteur ou domaine d’activité, voire s’ils ne créent pas un nouveau risque (par exemple, risque juridique ou risque de contrepartie). L’investissement en technologie de traitement de l’information peut également apparaitre comme un dispositif d’atténuation du risque. En fait un bon système d’information fiable et sécurisant est un élément clé pour la gestion et maitrise du risque du fait que l’informatique et les processus de traitement et d’acheminement de l’information sont des sources potentielles et non négligeable du risque opérationnel.

3.2.6

Les plans de continuité d’exploitation

Selon le comité « Les banques devraient mettre en place des plans de secours et de continuité d’exploitation pour garantir un fonctionnement sans interruption et limiter les pertes en cas de perturbation grave de l’activité ». Les plans de secours d’exploitation se sont basés, pour leur rédaction, sur des listes de fonctions prioritaires, classées en fonction des risques financiers, légaux et commerciaux potentiels induits par une interruption des opérations. Une organisation de secours cible est alors été mise sur pied, en même temps que des lieux et des systèmes de backup alternatifs. En règle générale, en raison des coûts associés à une telle procédure d’urgence, des tests sont exécutés de manière aléatoire. Il n’y a donc aucune certitude quant au bon fonctionnement des ces procédures d’urgence, dans le mesure où les interdépendances n’ont pas été vérifiées, l’élaboration de cas virtuels autour des mesures d’urgence pourrait s’avérer extrêmement intéressante.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

43

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

3.2.7

La création de la fonction de gestion du risque opérationnel

La gestion des risques opérationnels est devenue une discipline à part entière, en termes organisationnels, cela se matérialise par la création d’une fonction de gestion du risque opérationnel. La fonction de gestion du risque opérationnel est un acteur clé du processus de contrôle chargé de veiller à l’existence et à l’efficacité des dispositifs permettant de maitriser les risques opérationnels. Le gestionnaire des risques opérationnels a la mission d’identifier, d’évaluer, la surveillance et la maitrise du risque. Il propose, met en place, maintient et fait évoluer en fonction des risques le dispositif de contrôle interne de l’entité, de la direction opérationnelles ou fonctionnelle ou de la ligne métier dont il est chargé. Il est assisté des autres acteurs du contrôle interne (management opérationnel et fonctionnel, direction des risques, pilotage du contrôle interne et audit).

3.2.8

Les objectifs à atteindre à travers les moyens de la gestion du risque opérationnel

Une valeur ajoutée est perçue de La mise en oeuvre d’un processus de gestion du risque opérationnel, cette valeur ajoutée est susceptible de provenir de différents éléments complémentaires : - Les démarches qualitatives d’identification et d’évaluation des risques opérationnels permettent de sensibiliser et de responsabiliser les agents opérationnels en termes de gestion des risques - Une méthode de quantification des risques opérationnels plus précis permet 1. De mettre en évidence le cout des risques opérationnels (notion de pertes attendues) et donc de l’intérêt dans la tarification des produits 2. D’identifier les expositions aux risques importantes (pertes inattendues) et donc la consommation de fond propres 3. De fournir en combinant ces deux éléments, un cadre pour l’analyse cout-bénéfice (éviter le sur-contrôle). - L’analyse systématique des sources et causes des pertes opérationnelles entraine :

1. Une amélioration des processus et la qualité 2. Une meilleure diffusion des meilleurs pratiques

- Une meilleure connaissance des risques et un calcul plus précis, de type actuariel des risques permettent une rationalisation des programmes d’assurance. - Une approche disciplinée et structurée de collecte des incidents contribue à l’établissement de la culture d’entreprise vis-à-vis du risque.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

44

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

Afin d’assurer une mise en oeuvre effective délivrant la valeur ajouté promise, l’implémentation de la gestion des risques doit répondre à certains facteurs clef de succès qui sont les suivants : - Une définition claire des rôles et des responsabilités en matière de gestion des risques opérationnels. - Une implication et un engagement forts de la part du management - Une politique de communication et de formation - Une documentation appropriée du processus - La mise en place d’un processus d’amélioration continu.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

45

CONCLUSION GÉNÉRALE

Les différentes définitions de la notion du risque opérationnel, les difficultés rencontrées par les banques à mesurer et à mettre en place un dispositif de gestion et à éviter les pertes financières au fils des ans (société générale, Baring, Daiwa, Sumitomo...) ont apporté de l’intérêt pour mener une réflexion dont l’objectif était la modélisation du risque opérationnel et en faire une discipline autonome. Le comité de Bâle s’en est d’ailleurs préoccupé en intégrant dans les nouveaux accords sur la surveillance prudentielle des établissements de crédit un traitement explicite de gestion et de couverture du risque opérationnel. En fait Bâle II porte un véritable projet stratégique qui est d’inciter les banques à mieux gérer leurs risques par l’usage des meilleures pratiques et des meilleures méthodes existantes : notation interne, quantification interne des risques, gestion des risques, procédures documentées et contrôle interne. L’ensemble se traduisant par un système interne d’allocation des fonds propres qui est le meilleur indicateur des risques et des performances. Dans le cadre de notre mini-projet, il était utile d’adopter les principes de gestion du risque opérationnel du comité de Bâle. Une fois on a parcouru les différentes définitions de la notion de risque opérationnel, on a adopté la définition qui apparait la plus claire et précise actuellement et elle est communément admise par « BâleII ». Le comité de Bâle définit le risque opérationnel comme le risque de perte résultant de carences ou de défaillances attribuables à des procédures, aux personnels et au système interne ou à des événements extérieurs. Cette large définition englobe sept catégories d’incidents, touchant à des domaines très différents de la fraude, de la sécurité et des procédures ; c’est la typologie des risques opérationnels que le comité de Bâle a dressé tout en indiquant les différentes lignes de métiers en forte relation avec ces risques. Une multitude d’outils est mise en place pour servir la première phase de gestion du risque opérationnel et la quantification du risque a été appréhendée soit par l’adoption de deux méthodes d’évaluations propres aux banques (Top-Down, Bottom-up), soit par un recours à l’une des approches

46

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

définies par le comité de Bâle (approche indicateur de base, approche standard, et approches de mesure avancées). Une fois identifié et quantifié, il fallait présenter tout un dispositif de gestion , d’atténuation et de couverture du risque opérationnel basé sur les saines pratiques pour la gestion et la surveillance du risque opérationnel tel que édicté par le comité de Bâle. Suite à notre démarche nous avons cerné les principes de gestion du risque opérationnel ; ces principes touchent à trois éléments essentiels l’environnement, la gestion du risque et la surveillance et communication. - L’environnement qui nécessite une connaissance et responsabilité des risques par l’organe exécutif. Toutefois le contrôle de la gestion du risque opérationnel doit se faire d’une manière indépendante c’est-à-dire pas de responsabilité directe de l’audit interne ; et bien définir la responsabilité des cadres dirigeants pour la mise en place de la stratégie décidée par l’organe exécutif. - Gestion du risque : c’est Identification, mesure, analyse et couverture des risques dans chaque activité, processus et système, y compris nouveaux produits, disposer d’une politique et procédure de contrôle et de réduction des risques ; faire d’étude des coûts et bénéfices des nouvelles actions, mise on place d’un processus de surveillance et de reporting et l’existence de plans de secours. - Assurer la surveillance et la communication d’information par l’imposition par les régulateurs de l’existence d’une structure de gestion des risques opérationnels, une évaluation indépendantes menées par les régulateurs (directes ou indirectes) et la communication doit permettre aux autres acteurs d’évaluer les risques et leur gestion. La démarche de maitrise et de mesure du risque opérationnel a été clairement appréhendée par le comité de BâleII.

3.3.2 Les moyens de maîtrise et atténuation du risque opérationnel

47

BIBLIOGRAPHIE

Références

1. Antoine Sardi « Audit et Contrôle Interne Bancaires » ; Afges Edition, Paris 2002. 2. Banque Magazine Avril 2002, « La construction des Modèles Internes du risque Opérationnel ». 3. Banque Stratégie Décembre 2002, « Risque opérationnel : les priorités pour 2003 ». 4. Basel Committee on Banking Supervision (2001), Operational Risk-Consultative. 5. Éric Lamarque,« Gestion Bancaire ». 6. Jack l. King « Opérationnel Risk» (394 p) ; Wiley France, Paris 1999.

48