Risque Opérationnel [PDF]

Zitiervorschau

Le risque opérationnel bancaire

Réalisé par :

Demandé par :

AIT BENI IFIT Akram

Mr. KANDIL

Année universitaire : 2021-2022

Introduction Au-delà de la vision financière traditionnelle évoquant les risques de marché ou le risque de crédit comme facteur de défaillance principal des banques. Des événements ont été observés sont venus rappeler qu’une autre source de pertes financières significatives pouvait provenir du fonctionnement opérationnel : fraudes, détournements, condamnations, dysfonctionnements. Avec la réforme de Bâle II, cette catégorie de risques doit maintenant être prise en compte dans l’évaluation des fonds propres des établissements financiers. Leur évaluation quantitative est donc la première démarche qui ait été entreprise. Le risque opérationnel touche toutes les activités et les opérations des institutions financières de différentes manières. En effet, nous trouvons des événements opérationnels attribuables aux personnes, aux processus, aux systèmes et aux événements externes. En revanche, les unités ne sont pas touchées de la même façon par le risque opérationnel. L’impact varie selon la nature des activités et les différents intervenants. Le risque opérationnel prend donc de plus en plus d’envergure et sa gestion devient une nécessité. Conscientes de ce grand risque, les autorités réglementaires ont lancé le débat sur la définition, l’identification, la mesure et la gestion du risque opérationnel à partir de juin 1999. Elles introduisent ainsi de la pression sur les banques afin qu’elles mettent en place un cadre de gestion propre au risque opérationnel (système de gestion de risque, senior management, suffisamment de ressources dédiées à la gestion du risque opérationnel dans les lignes d’affaires). Ce cadre permet, entre autres, l’identification des pertes et la mesure d’un capital opérationnel. Une façon de couvrir l’exposition au risque opérationnel est de détenir un capital permettant de couvrir les pertes non anticipées, comme c’est le cas pour le risque de marché et de crédit. Plusieurs approches de mesure de capital risque opérationnel ont été proposées par les autorités règlementaires, sauf que les banques sont invitées à développer leur propre méthode, une méthode de mesure avancée qui reflètera mieux le niveau de risque opérationnel.

I.

Caractéristiques du risque opérationnel

Pour une gestion efficace du risque opérationnel, il est indispensable de définir avec précision ce type de risque. Or, il n’existe pas une définition unanime et universelle du risque opérationnel. La définition souvent retenue est celle du comité de Bâle (2005) qui spécifie le risque opérationnel comme étant « le risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ». Le champ d’application de cette définition est tellement large qu’il est difficile d’établir une liste exhaustive des risques opérationnels. Ces derniers recouvrent aussi bien les risques inhérents au facteur humain (fraudes, erreurs, etc.) que ceux liés aux procédures internes (failles dans les procédures de contrôle interne, systèmes d’information défectueux, etc.) ou même des risques complètement externes aux banques tels que les catastrophes naturelles. La définition inclut également le risque juridique (notamment le risque d’amendes, de pénalités, de dommages et intérêts), mais exclut les risques stratégiques et les risques de réputation. L’accord de Bâle II classe les risques opérationnels en 7 catégories différentes : fraude interne, fraude externe, pratiques d’emploi et de sécurité au travail, pratiques liées aux clients, aux produits et aux activités commerciales, dommage aux actifs physiques, arrêt d’activité et échec des systèmes, gestion de l’exécution des opérations, des livraisons et des processus (Basel Committee on Banking Supervision, 2005).

 Le risque humain Il a souvent été constaté que la survenance de sinistres suite à des causes humaines provenait d’un environnement propice qui regroupait plusieurs facteurs personnels ou associés au contexte de la banque par exemple ( Les trois risques synthétisés par l’ouvrage de Christian Jimenz Patrick Merlier « Prévention et Gestion des risques Opérationnels », Revue Banque) :Erreurs humaines suite à des rythmes non adaptés, absence de repos, charge trop importante, stress permanent, manque de culture de contrôle….

 Le risque lié aux systèmes d’information Le système d’information joue un rôle primordial dans une institution financière, pour cette raison une erreur au niveau des aspects technologiques, va entrainer des conséquences qui peuvent être désastreuses. Par exemple : le nouveau mode de paiement via l’internet avec une forte probabilité de tomber dans des problèmes de sécurités et d’identification de l’acheteur ou le vendeur. Ces

évolutions ont entraîné de nouveaux risques qui ont déjà fait l’objet de l’attention des régulateurs à travers la publication du livre blanc sur la sécurité des systèmes d’information.

 Le risque organisationnel et traitement : Le secteur bancaire a connu des multitudes d’évolutions au niveau des produits, services, marchés… qui nécessitent une adaptation solide notamment dans ses modèles d’organisations.

 Fraude interne : Par exemple, le vol commis par un employé (actifs physiques, numériques, moyens de paiement), la falsification de documents, le délit d’initié d’un employé opérant pour son propre compte, les informations inexactes communiquées sur ses positions de marché comme c’est le cas de Jérôme Kerviel de la Société Générale.

 Fraude externe : Par exemple, le détournement de fonds, les faux en écriture, l’usurpation d’identité, le vol de données, le piratage informatique, les opérations de cavalerie.

 Pratiques en matière d’emploi et de sécurité sur le lieu de travail : Par exemple, la violation des règles de santé et de sécurité des employés, le délit d’entrave aux activités syndicales, la discrimination à l’embauche.

 Clients, produits et pratiques commerciales : Par exemple, le défaut de conseil, le défaut d’information, la violation du secret bancaire, la vente forcée, le soutien, la rupture abusive de contrat.

 Dommages aux actifs corporels : Par exemple, dégradation volontaire de la part d’un salarié, actes de terrorisme, vandalisme, séismes, incendies et inondations.

II.

Réglementation prudentielle et risque opérationnel bancaire

Dans un souci d’améliorer la gestion des risques bancaires, le comité de Bâle s’est focalisé au départ sur le risque de crédit (via le ratio Cooke mis en place en 1988), puis il a introduit le risque de marché et le risque opérationnel dans le cadre de la réforme de Bâle II en 2004, ignorant complètement, à l’époque, le risque systémique. Ce n’est qu’après la crise des subprimes que ce risque est mis en avant. Il représente, avec le risque de liquidité, la principale innovation de la réforme de Bâle III. La croissance accrue de l’incidence des risques opérationnels explique pourquoi la réglementation prudentielle a imposé aux banques un capital minimum à respecter pour couvrir le risque opérationnel à travers la nouvelle règlementation Bâle II. De ce fait il s’est avéré important de mettre le point sur les apports de cette réforme et éventuellement sur les différentes méthodes de calcules des nouvelles exigences en fonds propres du risque opérationnel. En effet, le nouvel accord Bâle II prend en considération en plus des risques classiques (crédit et marché) le risque opérationnel en substituant à l’ancien ratio de Cooke le nouveau ratio désormais dénommais ratio Mc Donough défini mathématiquement par : 𝑹𝒂𝒕𝒊𝒐 𝑴𝒄 𝑫o𝒏𝒐𝒖𝒈𝒉 =

𝐟𝐨𝐧𝐝𝐬 𝐩𝐫𝐨𝐩𝐫𝐞 𝐫𝐢𝐬𝐪𝐮𝐞 𝐝𝐞 𝐜𝐫é𝐝𝐢𝐭 +𝐫𝐢𝐬𝐪𝐮𝐞 𝐝𝐞 𝐦𝐚𝐫𝐜𝐡é+ 𝐫𝐢𝐬𝐪𝐮𝐞 𝐨𝐩é𝐫𝐚𝐭𝐢𝐨𝐧𝐧𝐞

≥ 𝟖%

Le ratio de fonds propres proposé dans le cadre des accords de Bâle II intègre davantage la réalité des risques. Pour le calcul du minimum de fonds propres exigés, les banques ont le choix entre l’utilisation des méthodes standard et des méthodes fondées sur des notations internes IRB. Le dispositif de Bâle II repose sur trois piliers : - pilier I - « Exigences en fonds propres » ; - Pilier II - « Processus de surveillance prudentielle » : les autorités de contrôle peuvent imposer des exigences individuelles supérieures à celles calculées par les méthodes proposées par le premier pilier - pilier III - « Discipline de marché » : les établissements bancaires sont tenus de publier des informations complètes sur la nature, le volume et les méthodes de gestion de leurs risques.

En particulier, le comité de Bâle exige des banques l’allocation de capital permettant de couvrir leur risque opérationnel. Il propose à celles-ci trois méthodes de calcul, sans imposer aucune d’entre-elles : 

L’approche indicatrice IndicatorApproach ou BIA)

de

base

(Basic

Avant la crise des subprimes, le calcul du fonds propre est fait par la multiplication du produit net bancaire des trois derniers exercices par un coefficient α qui est fixé à 15%. Toutefois, après la crise des subprimes, les banques sont invitées à développer cette méthode parce que si le produit net d’une année est égale zéro par exemple automatiquement l’exigence de fonds propres est nulle. A cet effet, les autorités de régulations ont décidé de considérer uniquement le maximum des produits annuels bruts des trois dernières années.

 L’approche standardisée (StandardizedApproach ou STA) Il s’agit en pratique de la décomposition de l’activité bancaire suivant des lignes de métiers, ces derniers seront ensuite pondérés en termes de risque opérationnel selon des coefficients bien definis.il s’agit en fait de 8 lignes de métiers : financement d’entreprise, activités de marché, banque de détail, banque commerciale, paiements et règlements, fonctions d’agents, gestion d’actifs, courtage de détail (Basel Committee on Banking Supervision, 2005).

 Les mesures dites avancées MeasurementApproaches AMA)

(Advanced

L’approche AMA est adoptée par les grandes banques françaises et 75% des grandes banques mondiales. Car elle permet d’optimiser la charge de fonds propres à réserver pour le traitement des risques opérationnels. Pour cela l’adoption de cette méthode nécessite d’abord la mise en place d’une entité indépendante « Risque opérationnel », chargée de gérer le risque opérationnel et de mettre en place les procédures et les contrôles associés. Ensuite la banque choisie la méthode interne d’évaluation des risques opérationnels en fonction de son profil de risque et surtout en fonction des moyens mises à sa disposition pour instaurer un système de gestion en adéquation avec ces capacités, dans ce cadre on souligne que plus la méthode est moins contrariante en terme de

moyen, plus les fonds réglementaires alloués sont important, ce qui montre que lorsque les méthodes de calcul du risque plus avancées permettent de réaliser des économies en termes de fonds propres exigés. Selon une étude menée par le cabinet SIA conseil (3eme trimestre 2003), il apparaît que « près de trois quart des institutions financières déclarent avoir opté pour les méthodes standard et avancée pour évaluer leur exposition au risque. » Les deux méthodes sont assez proches dans la mesure où elles obligent la banque à : - identifier, à chaque niveau de l’organisation, les processus supportant des risques opérationnels, formuler ces risques et les coter (probabilité d’occurrence / perte) : c’est la phase de cartographie des risques opérationnels ; - mettre en place un dispositif de collecte des incidents.

 Cartographier les risques pour déterminer le profil de risque de la banque : Cette phase est une étape clé car elle détermine sensiblement la nature des incidents qui seront collectés de façon efficace et homogène et donc suivis par la suite. Cet exercice permettra également de définir une nomenclature des risques valable pour l’ensemble de l’organisation. La cartographie des risques est donc la formalisation du travail d’identification des risques opérationnels. Cet exercice passe par les phases suivantes : - Décomposer en activités chaque processus supportant des risques opérationnels ; - Pour chaque activité, recenser les risques associés ; - Pour chaque risque, coter les pertes et leur probabilité d’occurrence ; - Matricer les risques sur les axes fréquence et préjudice ; - Déterminer visuellement, à partir de la matrice, les risques significatifs (c’est à dire ceux que l’on décide de recueillir dans l’outil de collecte).

 Le dispositif de collecte des incidents : Pour légitimer en 2006 l’emploi des méthodes standard ou avancées, la banque devra s’être dotée dès début 2004 : - d’un dispositif de collecte des incidents accessible par toutes ses entités ;

- d’une base de données dédiée pour stocker les incidents ; Dans le cadre de l’approche avancée, différentes méthodes d’évaluation du risque opérationnel peuvent être retenues. Elles peuvent être classées en 3 grandes familles : les méthodes statistiques, les approches par scénario et les approches par « scorecard ». A. L’approche actuarielle ou « Loss Distribution Approach » (LDA) : Cette méthode est basée sur les données collectées concernant les évènements passés de pertes tout en combinant des sources internes et externes d’informations, c’est la principale approche retenue dans le cadre des méthodes statistiques. Le principe de la méthode LDA est de modéliser la perte liée au risque opérationnel pour une période donnée (un an par exemple) et d’en déduire la valeur en risque. Le principe est de considérer que la perte annuelle potentielle d’une banque se compose d’une fréquence et d’une sévérité. B. L’approche par scénario : Elle est basée sur les opinions subjectives des experts comme point de départ pour la détermination des exigences en capital et la couverture du risque opérationnel. Plusieurs tentatives de modélisation ont été faites afin de combiner l’approche actuarielle et l’approche par scénario pour satisfaire les exigences de la réglementation prudentielle. C. . L’approche par « scorecard » ou Risk Drivers and Controls Approach (RDCA) : Elle est basée sur des indicateurs de risque reflétant les risques opérationnels plutôt que sur des données statistiques. À partir de questionnaires, préparés par des experts en risques bancaires, un score est établi pour chaque ligne de métier et pour chaque type de risque opérationnel afin d’évaluer la quantité de capital requise pour couvrir un tel risque. Le score est recalculé régulièrement, permettant d’ajuster le montant du capital en fonction de l’évolution des risques.

Pilier II - « Processus de surveillance prudentielle » Le Comité considère la surveillance prudentielle comme un complément essentiel des exigences de fonds propres et de la discipline de marché. L'objectif

du deuxième pilier de ce nouveau dispositif est de s'assurer que les banques appliquent des procédures internes saines pour déterminer l'adéquation de leurs fonds propres sur la base d'une évaluation approfondie des risques encourus. Les autorités devront juger de la qualité de ces procédures. Le Comité cherche donc à favoriser un dialogue plus actif entre banques et autorités de contrôle, de façon que, lorsqu'une défaillance est constatée, des mesures rapides et décisives soient prises pour atténuer le risque ou rétablir le niveau des fonds propres. Aussi, une des exigences du deuxième pilier réside dans la relation qu'il établit avec les exigences correspondant aux méthodes complexes du premier pilier en regard du risque de crédit. Les autorités de contrôle doivent veiller à ce que les banques respectent en permanence ces exigences. pilier III - « Discipline de marché » Ce pilier repose sur le principe de la discipline de marché avec différentes informations à publier en matière de risque de crédits, de marchés opérationnels ainsi que sur le montant des fonds propres, les opérations de titrisation mises en place et enfin les méthodes d'évaluations et de contrôle du risque. Il ne s'agit bien sûr pas de dévoiler ses méthodes, mais d'en communiquer l'existence. La deuxième novation est liée à l’incitation même à une meilleure gestion des risques par une amélioration de la sensibilité des fonds propres aux risques. La gestion du risque de crédit est affinée afin de mieux prendre en compte les caractéristiques des contreparties. Par ailleurs, le régulateur introduit pour la première fois la nécessité de gérer de manière explicite le risque opérationnel. L’incitation à une meilleure gestion passe par l’accroissement de la flexibilité dans le dispositif en ce sens qu’il est possible pour les banques de déterminer leurs besoins en fonds propres selon leurs propres méthodes. Le régulateur s’appuie alors sur les dispositifs internes, à charge pour les banques d’apporter la preuve que ceux-ci sont pertinents. Les banques sont incitées à utiliser des méthodes avancées et ainsi améliorer leur gestion des risques. Cette incitation aux dispositifs internes est une reconnaissance explicite de la supériorité informationnelle des banques, celles-ci cherchant alors l’utilisation efficace de cette information. C’est véritablement une nouvelle philosophie de la part du comité, qui considère qu’il devient plus efficient de laisser le détail de la règlementation aux établissements eux-mêmes et de les responsabiliser sur la gestion et le contrôle à posteriori de la pertinence des dispositifs en place.

III. Risque opérationnel : grand absent de Bâle III

La réforme de Bâle III vise à renforcer la stabilité du système bancaire en proposant une révision des règles bancaires prudentielles existantes. Elle introduit de nouvelles mesures qui seront appliquées progressivement à partir de 2013 (Basel Committee on Banking Supervision, 2010). Ces dernières visent essentiellement à renforcer la qualité et le niveau des fonds propres des banques, à surveiller la liquidité, à instaurer un ratio d’effet de levier et à introduire une dimension macro-prudentielle et contracyclique, négligeant cependant la surveillance du risque opérationnel. Les principales mesures introduites par Bâle III seront exposées dans ce qui suit.

 Exigences en matière de solvabilité Les nouvelles normes prudentielles imposent aux banques un ratio de solvabilité plus exigeant. En effet, le ratio Core Tier 1 (noyau dur du capital des banques) est passé de 2% (Bâle II) à 4,5% (Bâle III) avec en plus un « matelas » de protection supplémentaire de 2,5%. Ces mesures s’accompagnent d’un renforcement de la qualité des fonds propres, en introduisant une définition plus stricte des fonds propres de base.

 Surveillance du risque de liquidité Afin d’éviter les crises de liquidité et les tensions entre institutions financières,deux ratios de liquidité sont introduits par Bâle III : le « Liquidity Coverage Ratio »(LCR), permettant aux banques de faire face à une crise de liquidité aigüe pendant un mois, et le « Net Stable Funding Ratio » (NSFR) leur permettant de résister à une crise pendant une année.

Les actifs liquides correspondent au montant susceptible d’être transféré en cash même en période de crise.

 Mise en place d’un ratio d’effet de levier L’accord de Bâle III a pour objectif de définir un ratio d’effet de levier comme mesure améliorant les exigences en fonds propres.

Le dispositif de Bâle III tente de pallier les insuffisances de Bâle II, qui ne prend pas en considération le caractère systémique de certains établissements financiers et qui se focalise sur les banques individuelles sans se soucier de la stabilité de l’ensemble du système financier. Dans le but de réduire le risque systémique, le dispositif de Bâle III envisage de mettre en place une surveillance renforcée et une surcharge en capital additionnelle pour les institutions bancaires dites « systémiques ». Ces dernières se distinguent notamment par leur taille et leur degré d’interconnexion avec les autres institutions. Le comité de Bâle s’est basé sur les principes clés proposés par le Financial Stability Board (FSB, 2010). Toutefois, les normes ne sont pas encore définies avec précision et les modalités sont encore en discussion.

 Instauration de mesures contra-cycliques Afin de limiter les effets de pro-cyclicité (en temps de crise, les banques réduisent leur offre de crédit pour maintenir un niveau de solvabilité constant, ce qui a pour effet d’aggraver la crise), les banques seront tenues de constituer des coussins en capital destinés à absorber les pertes en période économique dégradée, ceci afin de stabiliser le système bancaire en lissant les chocs économiques.

IV. La gestion du Risque Opérationnel (RO) : La plupart des banques ont développé un modèle de risque opérationnel ou ORF (Operational Risk Framework) afin de respecter les normes réglementaires. Il est destiné à remplir deux objectifs principaux : d’une part, assurer la mise en place de processus durables de suivi des risques opérationnels pour satisfaire les exigences externes en matière d’audit et de reporting des pertes opérationnelles (e.g. « Sarbanes-Oxley 404 » 48). D’autre part, développer une métrique d’évaluation du risque, développer des cartographies de risque standards, et mettre en oeuvre une base de données exhaustive, sorte d’inventaire du risque opérationnel ou ORI (Operational Risk Inventory) qui recense et trace les facteurs de risque, les incidents et les traitements associés, et plus globalement la surface d’exposition de la banque au risque opérationnel. La structure d’un ORF repose sur cinq principes fondamentaux qui doivent être activés au sein de la banque : - La responsabilisation et le renforcement des différents niveaux de management ; - Garantir l’indépendance de la fonction en chargedu contrôle du risque ; - Communiquer sur le risque : développer une communication interne/externe sur le risque opérationnel ; - Sécuriser le Produit net bancaire ; - Préserver la réputation et l’image de la banque. Le rôle d’un ORF est clairement de mobiliser l’organisation autour du risque opérationnel via des équipes centralisées ou la participation à divers comités d’évaluation. La figure 3 illustre comment s’articulent les six étapes ou composantes clés d’un ORF :

Source : https://www.cairn.info/revue-francaise-de-gestion-2009-1-page-93.html

Dans beaucoup de banques, ces modèles de risque opérationnels ORF ont permis de répondre aux exigences réglementaires externes telles que Bâle II et Sarbannes-Oxley. Les banques ont pu mesurer, suivre et gérer au plus près leur capital économique. Enfin, elles sont parvenues à mettre en place des contrôles internes adéquats du reporting financier global.

Conclusion Les problèmes bancaires dont les conséquences financières étaient substantiels, n’étaient pas dus aux mauvaises décisions de crédit mais principalement aux fraudes humaines, au manque de contrôle interne ou aux menaces technologiques. Le risque opérationnel se retrouve ainsi au cœur de la réglementation prudentielle. Toutefois, malgré l’importance du risque opérationnel et l’intérêt qu’il a suscité dans la recherche académique, la réglementation prudentielle ne s’est pas focalisée sur ce risque en particulier. En effet, depuis la crise des subprimes, la surveillance du risque de liquidité et du risque systémique est largement privilégiée par les régulateurs. Or, sans une bonne gestion du risque opérationnel et un réel changement dans les pratiques bancaires, les réformes des réglementations prudentielles ne semblent pas être en mesure d’éviter de nouvelles crises liées au risque opérationnel.