M A R C H S

Les banques font face un environnement socioconomique de plus en plus difficile. Et les risques auxquels elles sont confrontes sont devenus plus nombreux et plus complexes.

Lapproche risque
au centre de laudit bancaire
Dans le contexte conomique actuel, les banques doivent plus que jamais disposer dun systme de gestion de risque efficace et labor afin de prserver leur solidit financire, de continuer de crotre et dapporter la confiance au march.
BARBARA LAMBERT ANTONIO MIRA

ES DOMAINES dactivit

Barbara Lambert Partner, Ernst & Young SA/Switzerland.

des banques se sont fortement tendus et les produits offerts largement toffs. Les attentes des clients sont devenues plus leves, les bourses ont connu des volatilits de plus grande ampleur, la pression sur le secret bancaire devient plus forte et la concurrence nationale et internationale plus vive. Pour survivre et crotre, les banques doivent sans cesse augmenter la valeur ajoute, satisfaire aux exigences rapides et croissantes des rgulateurs et des marchs, tout en minimisant en mme temps les cots et les risques.

Limportance de la gestion du risque

Antonio Mira Senior Manager, Ernst & Young SA/Switzerland.

A limage de cette volution, les risques auxquels le secteur bancaire est confront sont devenus plus nombreux, significatifs et complexes. Ainsi, les banques doivent plus que jamais disposer dun systme

de gestion de risque efficace et labor, susceptible dassurer une raction rapide face lapparition de nouveaux risques. A linstar de la plupart des entreprises industrielles et de services qui nont, suite aux pressions exerces par le march, ragi que rcemment avec limplmentation dun enterprise-wide-riskmanagement, une gestion de risque adquate est exige par lautorit de surveillance bancaire en Suisse depuis fort longtemps. La Commission fdrale des banques (CFB) attend, en particulier, de chaque banque, lexistence dune organisation interne adquate par rapport lactivit exerce et aux risques encourus. Do la ncessit dun systme de gestion de risque performant. Ce point sera encore renforc dans la lgislation suisse avec lentre en vigueur, prvue en 2007, des nouveaux accords de Ble II. Ceux-ci visent laborer une approche exhaustive de ladquation des fonds propres et se basent sur trois piliers qui

se renforcent mutuellement. Le premier pilier couvre les exigences en fonds propres en regard du risque de crdit, de march et des risques oprationnels. Lobjectif du deuxime pilier est dassurer que les banques appliquent des procdures internes saines pour dterminer ladquation de leurs fonds propres sur la base dune valuation approfondie des risques encourus. Quant au troisime pilier, il est bas sur la capacit de la discipline du march et devrait modifier la politique de communication des banques, qui seront ainsi amenes fournir des informations supplmentaires. A noter que les exigences qualitatives et quantitatives de gestion de risque ne reprsentent quun aspect du vaste cadre rglementaire existant applicable aux banques. Ce cadre est compos de lois (dont principalement la loi sur les banques, la loi sur les bourses et les valeurs mobilires et la loi sur les fonds de placement) et de leurs ordonnances dapplication, ainsi

88

LAGEFI HAUTE FINANCE NOVEMBRE 2003

M A R C H S

Les banques doivent plus que jamais disposer dun systme de gestion de risque efficace et labor, susceptible dassurer une raction rapide face lapparition de nouveaux risques.
La coordination entre les diffrents intervenants
La surveillance des activits bancaires est assure par plusieurs acteurs entre lesquels une collaboration est ncessaire.

que des rgles de comportement dfinies par les associations professionnelles sous forme dautorglementation (notamment lAssociation Suisse des Banquiers ASB) et des circulaires dictes par la CFB.
Instaurer un contrle interne consquent

LASB a mis jour, en 2002, son ancienne directive de 1987, pour tenir compte de limportance de la gestion de risque dans une banque. Ainsi, un certain nombre de principes ont t plus clairement dfinis, notamment le rle et les responsabilits du management (conseil dadministration et direction gnrale), les activits de contrle et la sparation des fonctions, la ncessit de disposer des informations actualises, fiables, cohrentes et accessibles. Le conseil dadminis-

tration doit veiller la mise en place et au maintien dun contrle interne consquent, tablir des limites lintrieur desquelles les risques sont encourus et garantir la mise en place des mesures didentification, dvaluation, de surveillance et de contrle des risques. Il appartient, par la suite, la direction gnrale de mettre en uvre ces principes et notamment de dvelopper des procdures de contrle y relatives. La rvision interne, cellule indpendante directement rattache au conseil dadministration, a comme premier rle de vrifier le bon fonctionnement du contrle interne. En parallle, et bien que cela ne soit pas encore obligatoire au sein des banques, on assiste un dveloppement des comits daudit, manation du conseil dadministration, composs de plus en

plus de spcialistes dans les diffrents domaines concerns (comptabilit, rglementation, juridique, private banking, etc.). Le comit daudit assure la communication rgulire avec laudit externe et laudit interne, veille la qualit et lindpendance de leurs travaux et informe lensemble du conseil dadministration, par des rapports synthtiss sur les constats et recommandations majeures des auditeurs.
Laudit bancaire, un travail complexe

Dans le cadre du concept de surveillance dualiste en Suisse, la CFB exerce une surveillance des tablissements bancaires, hormis les grandes banques, et ce de manire indirecte. Cest--dire en se basant sur les travaux des socits daudit. Le droit bancaire accorde ainsi un rle

89

LAGEFI HAUTE FINANCE NOVEMBRE 2003

M A R C H S

La Commission fdrale des banques attend de chaque banque lexistence dune organisation interne adquate par rapport lactivit exerce et aux risques encourus.
Synthse des risques dactivit
Toute activit bancaire expose ltablissement des risques dactivit, des risques financiers et des risques oprationnels.

beaucoup plus tendu aux auditeurs que celui dfini dans le code des obligations. Lauditeur bancaire, dans son rle dorgane de rvision statutaire, ne vrifie pas seulement les tats financiers. Il doit galement prendre position, dans un rapport adress au conseil dadministration de la banque et la CFB, sur le respect des conditions dautorisation dune banque. Par ailleurs, il doit aussi constater le (non)-respect de la rglementation bancaire, se prononcer sur la situation financire, de la fortune et des revenus (y compris sur

le processus budgtaire) et notamment prsenter des indications quantitatives et qualitatives sur la situation des risques (adquation de la politique des risques, gestion et contrle). Le rle de chaque intervenant est schmatis dans le graphique la page prcdente. Pour remplir leur rle, les auditeurs utilisent des mthodologies bases sur lanalyse de lenvironnement, des risques existants ou potentiels et de lorganisation interne dune banque. > Comprhension de lenvironnement. En premier lieu,

un diagnostic est pos sur linteraction de la banque dans son environnement. Quels sont les clients? Quels sont les produits proposs? Sur quels marchs et quelles rgions gographiques la banque intervient-elle? Qui sont les stakeholders et quelles sont leurs attentes? Quelle est la conjoncture conomique? Quels sont les changements rglementaires? etc. Cette premire tape permet didentifier les risques dcoulant des activits bancaires (business risks), comme par exemple: sensibilit lvolution des indicateurs conomiques (taux de change, taux dintrt, etc); concurrence; tendance et dveloppement de lenvironnement (par exemple, les impacts du qualified intermediary, de la taxation europenne de lpargne, de la nouvelle ordonnance sur le blanchiment dargent de la CFB); technologie (e-business, fournisseurs informatiques, disponibilit et scurit de linformation). > Apprciation de la culture de risque. La deuxime tape consiste apprcier la culture de risque de la banque et le degr dlaboration du systme de gestion de risque et du contrle interne. Son point de dpart se situe au niveau de la politique de risque qui reflte la comprhension, la mesure et le contrle de risque par ltablissement bancaire. Face chacun deux, les tablissements adoptent certains comportements: viter un risque (par exemple, ne pas rentrer sur un nouveau march ou offrir tel type de services); rduire ou transfrer un

90

LAGEFI HAUTE FINANCE NOVEMBRE 2003

M A R C H S

Le conseil dadministration doit veiller la mise en place dun contrle interne consquent et garantir linstauration des mesures didentification et de contrle des risques.
risque (par exemple, utilisation des drivs de crdit), et enfin, accepter un risque. Une fois ce cadre pos, la banque doit identifier, dfinir et mesurer les risques et attribuer un risk owner pour chacun deux. Ensuite, il est ncessaire de fixer des tolrances aux risques (limites), puis dtablir un suivi et un reporting de lvolution de lexposition aux risques, et ceci de manire individuelle et globale. > Apprciation et analyse de chaque risque. Lauditeur procde une estimation des risques inhrents (voir graphique en page prcdente) chaque domaine dactivit (crdit, trsorerie, gestion de fortune, back-office, etc.). Ils peuvent tre classs en trois catgories: 1. Les risques financiers dcoulant du march (impact de la variation des prix), du dfaut des contreparties (crdit) et de la liquidit (difficult de la banque dhonorer ses engagements); 2. Les risques oprationnels qui ont leur source dans: le risque de compliance au sens large (blanchiment dargent, respect du cadre rglementaire et des normes prudentielles); la situation juridique (responsabilit de la banque en cas de litige); la scurit physique des locaux et des donnes (informatique); la comptabilit et ladministration; la fiscalit; les transactions; les ressources humaines et la fraude. 3. Le risque de rputation pour la banque, qui dcoule de lensemble des risques externes et inhrents. Une fois que le niveau des risques inhrents a t ainsi estim, lauditeur doit comprendre comment ceux-ci sont grs et contrls. Autrement dit, il doit apprcier ladquation et lefficacit des mesures prises par la banque en vue de minimiser les risques encourus. Si donc limportance du risque se dfinit par le risque inhrent, la capacit de grer ce risque se dfinit par le risque de contrle. La conjonction des niveaux estims du risque inhrent et du risque de contrle permet ensuite lauditeur de dterminer ltendue, la priodicit et les mthodes de vrification quil doit entreprendre, en accord avec les principes de la profession.
Le respect des conditions dautorisation

vigueur, qui va toutefois encore se renforcer avec lintroduction des nouveaux accords de Ble II. Le dveloppement rcent du corporate governance, limage des fondements du contrle interne rcemment redfinis par lASB, gagne en importance dans la gestion de risque.
La gestion des risques: un processus continu

Seule une telle analyse permet de sassurer que les risques sont bien identifis et correctement reflts dans les comptes annuels. Ces travaux permettent galement de se prononcer sur le respect des conditions dautorisation et des rgles de comportement. Enfin, lapplication dune telle mthodologie permet galement didentifier des opportunits damlioration du systme de contrle interne et de les communiquer la banque sous forme de recommandations. Dans le contexte conomique actuel, une gestion de risque efficace se rvle plus que jamais capitale, pour prserver la solidit financire dune banque et apporter la confiance au march. Les autorits suisses de surveillance ont dj intgr cette ncessit dans la rglementation en

La gestion de risque et le contrle interne doivent ainsi tre entendus en tant que processus continu dont lapplication doit tre garantie en permanence. Ce processus doit assurer lidentification des dficiences et la prise de mesures de correction adquates. Lanalyse de ce processus dynamique est au cur de lapproche et des travaux daudit bancaire. Il ne sagit pas seulement dune apprciation fige des risques un instant donn. La CFB a rcemment mis en consultation un premier projet de cinq nouvelles circulaires ayant pour but de mieux dfinir ses attentes vis--vis du travail des auditeurs. Elle attend, notamment, que lanalyse de risque et lapproche daudit bancaire en dcoulant soient communiques et valides avec le conseil dadministration ou le comit daudit. La communication et la comprhension des rles des diffrents acteurs dans la surveillance des banques sen trouveront certainement facilites et amliores. Quant la transparence des informations dterminantes sur la situation des risques, elle contribuera renforcer la confiance.

91

LAGEFI HAUTE FINANCE NOVEMBRE 2003