INSIGHT

LA LETTRE SIA CONSEIL

3EME TRIMESTRE 2003
SERVICES FINANCIERS RESSOURCES HUMAINES TELECOMS INDUSTRIE & SERVICES

EDITORIAL

oprationnelles dexploitation bancaire

Matthieu Courtecuisse Directeur Gnral
matthieu.courtecuisse@sia-conseil.com

NUMRO SPCIAL BLE II

Malgr les incertitudes et points en suspens autour de la rforme Ble II, les projets entrent dans leur phase oprationnelle et deviennent de plus en plus concrets. Nous avons souhait donner un clairage sur un des volets le moins en vue de la rforme, les risques oprationnels ; par cette illustration, notre intention est de mettre en avant le fait que derrire le caractre technique de cette rforme, ce projet dpasse le primtre de la Direction des risques et peut se dcliner concrtement dans les activits

Nos domaines de comptence dans le cadre des projets Ble II :

Risque de Crdit Risque de March Risque Oprationnel

Pilotage de projet - Impacts SI - Assistance MOA

SERVICES FINANCIERS

Trois approches pour valuer lexposition dun tablissement aux risques oprationnels
Un risque oprationnel est dfini comme le risque de pertes directes ou indirectes dues une inadquation ou une dfaillance des procdures, personnels et systmes internes, ou des vnements extrieurs. Le rgulateur propose trois approches pour valuer lexposition ce type de risque : approche de base : un pourcentage, provisoirement fix 15 %, du PNB moyen des trois annes prcdentes ; approche standard : identique lapproche de base, mais pourcentages diffrencis par ligne mtier (entre 12 et 18% du PNB de chaque ligne de mtier) ; approche avance (AMA) : ltablissement dtermine son exposition sur la base de modles internes. Le dispositif incite opter pour la mthode avance, celleci tant en principe moins consommatrice en fonds propres rglementaires. En retour, lconomie se paye par la mise en place dune organisation spcifique visant un meilleur contrle des risques oprationnels, et en dfinitive, la rduction des pertes. Ainsi, contrairement lapproche de base, lapproche standard impose que soient identifis et valus les risques oprationnels. Lapproche avance requiert quant elle la nomination dune entit indpendante responsable de la mise en place dune stratgie de rduction des risques oprationnels.

BALE II, VOLET RISQUES OPERATIONNELS : UN PROJET DE CONDUITE DU CHANGEMENT ?

La mise en place du ratio Mc Donough fin 2006, remplaant l'actuel ratio Cooke, impose aux institutions financires de mobiliser une partie de leurs fonds propres en couverture de leurs expositions aux risques de march, aux risques de crdit et nouveaut du ratio Mc Donough aux risques oprationnels. La majorit de ces institutions concentre aujourd'hui ses efforts sur la mise en place du volet "risques de crdit" (la couverture rglementaire de ces derniers reprsentant 70% 80% du total des fonds propres mobiliser contre environ 15% 20% pour les risques oprationnels) ; en revanche, le degr de maturit du volet risques oprationnels est sensiblement infrieur et varie dun tablissement lautre. En effet, si lalignement avec les directives de Ble II sur les risques oprationnels est relativement accessible pour un tablissement de petite taille, il requiert pour les grands groupes la mise en place dune structure projet forte, seule capable dassurer la conduite du changement ncessaire 3er Trimestre 2003 -1-

www.sia-conseil.com/insight

INSIGHT
SERVICES FINANCIERS RESSOURCES HUMAINES TELECOMS INDUSTRIE & SERVICES
Le schma ci-dessous recense et compare les pr-requis organisationnels de chaque mthode :
Approche de base Pas dorganisation spcifique Dcoupage de lactivit par ligne mtier selon les critres du rgulateur Identification des risques oprationnels de la banque et rvaluation priodique Evaluation des pertes potentielles lies la ralisation de ces risques Approche standard Dfinition dindicateurs pertinents de suivi des risques Reporting interne destination des oprationnels comme des organes de direction Mise en place de plans dactions dcoulant de ces reporting Collecte des donnes dincidents (conscutifs la ralisation des risques) Intgration des obligations de lapproche standard Mise en place dune entit indpendante, en charge de la mise en place de la politique de gestion des risques oprationnels, des procdures et des contrles Utilisation de donnes externes ltablissement pour la prise en compte des risques extrmes Calcul des fonds propres mobiliser sur la base des donnes dincidents collectes et de ces donnes externes
Source : SIA Conseil

Matricer les risques sur les axes frquence et prjudice ; Dterminer visuellement , partir de la matrice, les risques significatifs (cest dire ceux que lon dcide de recueillir dans loutil de collecte). A titre dexemple, le schma ci-dessous illustre les phases de lexercice de cartographie dans le cadre de lactivit banque de particuliers , pour le processus octroi de crdit immobilier :
1re phase : dcomposition du processus 1 - Montage du dossier de crdit Collecte des pices 1.1 - le client ne mentionne pas tous ses crdits (surendettement) 1.2 - certaines pices sont des faux 1.3 - perte de certaines pices ... 2 - Interrogation bdf, Scoring Dcision sur le dossier 2.1 - erreurs dans la saisie des lments de score 2.2 - bug dans l'outil de scoring 2.3 - falsification de signature lors de la dcision d'octroi ... 3 - Montage et signature du contrat 3.1 - le client conteste les caractristiques du crdit et poursuit la banque pour dfaut de conseil 3.2 - le plan d'amortissement est erron 3.3 - la poste perd le dossier ... 4 - Prise des garanties et ralisation 4.1 - les garanties ne sont pas prises correctement parce que le notaire a commis une erreur 4.2 - le chque de banque ne parvient pas au notaire pour la signature ...

Approche avance

2me phase : identification des risques associs

Si prs de trois quart des institutions financires dclarent avoir opt pour les mthodes standard et avance, on peut penser quil sagit l dun effet dannonce lattention des actionnaires et agences de notation : les projets de collecte des risques oprationnels ne sont en effet pour la plupart pas encore entrs dans leur phase de mise en uvre.

3me phase : cotation des risques et cartographie

Aprs dtermination des chelles de cotation frquence / perte, positionnement des risques dans la matrice de risque

Frquence moyenne

1.2

Risques suivre 1.1 4.1 3.3 2.3 3.2 4.2

Cartographie des Risques Oprationnels par processus Nomenclature pour la collecte des incidents

2.1 1.3 3.1 2.2

Source : SIA Conseil

Prjudice moyen

Principes de mise en uvre du projet dans le cas des approches standard et avance
Les deux mthodes sont assez proches dans la mesure o elles obligent la banque : identifier, chaque niveau de lorganisation, les processus supportant des risques oprationnels, formuler ces risques et les coter (probabilit doccurrence / perte) : cest la phase de cartographie des risques oprationnels ; mettre en place un dispositif de collecte des incidents. Cartographier les risques pour dterminer le profil de risque de la banque Cette phase est une tape cl car elle dtermine sensiblement la nature des incidents qui seront collects et donc suivis par la suite. Cest galement cet exercice qui permettra de dfinir une nomenclature des risques valable pour lensemble de lorganisation, cadre indispensable une collecte efficace et homogne des incidents. La cartographie des risques est la formalisation du travail didentification des risques oprationnels. Cet exercice passe par les phases suivantes : Dcomposer en activits chaque processus supportant des risques oprationnels ; Pour chaque activit, recenser les risques associs ; Pour chaque risque, coter les pertes et leur probabilit doccurence ;

Le recueil, la formulation, et la qualification des risques oprationnels en vue de la cartographie est un processus bottom-up . En effet, les risques oprationnels sont par nature diffus et existent dans chaque service, chaque entit et tout niveau organisationnel de la banque. La formulation et la centralisation des risques oprationnels par processus mtier impose donc de faire appel des relais locaux qui pourront tre dsigns au sein des cellules de contrle interne ou des cellules de dontologie existant dans chaque entit du groupe. Dans cet exercice, ces derniers pourront recueillir lexprience des collaborateurs exposs aux risques oprationnels, par la mise en place de sries dentretiens. Notons galement quen parallle, et de faon plus centrale, on pourra sappuyer sur la catgorie pertes et profits du compte de rsultat, qui, conformment aux principes de surveillance permanente (CRB 97-2), recense une partie des incidents lis aux risques oprationnels et ce titre constitue une source non ngligeable dinformation en phase de constitution de cartographie. Le dispositif de collecte des incidents devra tre oprationnel dbut 2004 Pour lgitimer en 2006 lemploi des mthodes standard ou avances, la banque devra stre dote ds dbut 2004 : dun dispositif de collecte des incidents accessible par toutes ses entits ;

INSIGHT

-2-

3me Trimestre 2003

INSIGHT
SERVICES FINANCIERS RESSOURCES HUMAINES TELECOMS INDUSTRIE & SERVICES
dune base de donnes ddie pour stocker les incidents ; et ce en vue de possder les 3 ans dhistorique de pertes requis par le rgulateur. Les procdures de contrle et de validation des incidents notifis dans la base de donnes pourront sappuyer sur un workflow, outil qui permettra aux managers : de contrler la pertinence remontes par les collaborateurs ; des informations Diffuser une culture de vigilance Un des enjeux majeurs de Ble II consiste diffuser une culture de vigilance dans chaque service. A ce titre, on peut parler dacculturation des collaborateurs. Toutes les phases du projet doivent y concourir : lors de la cartographie des risques, les responsables locaux devront provoquer chez chaque collaborateur interview une premire rflexion sur les pertes quil peut potentiellement gnrer ; au quotidien, le dispositif de collecte des pertes doit amener le collaborateur identifier les causes des incidents, sensibilisation par ailleurs renforce par ladaptation des directives et procdures de la banque, conformment aux prconisations du Comit de Ble ; les plans dactions pourront sappuyer sur un systme de bonus / malus par service ou collaborateur pour donner plus de force au dispositif de rduction des pertes. Enfin, lacculturation sera renforce par une communication rgulire, lattention de lensemble des collaborateurs, sur lvolution du profil de risque oprationnel de chaque entit. Impliquer des correspondants dans chaque entit Si le sponsor dun tel projet ne peut appartenir qu la Direction Groupe des risques, cest bien sur des responsables locaux du risque ou de la dontologie quil faudra compter pour provoquer chez chaque collaborateur le rflexe de notification des incidents et relayer la stratgie de rduction des risques oprationnels dfinie au niveau groupe en lui donnant une ralit oprationnelle. Les banques ont largement investi dans la mise en place de cellules ddies la dontologie et au contrle dans le domaine de la lutte anti-blanchiment : loccasion leur est ainsi donne de capitaliser sur ces structures dj en place. Le projet Risques Oprationnels est un projet itratif

dtre avertis en temps rel des vnements intervenus dans leur service pour rapidement mettre en place des actions correctives. Par la suite, des outils danalyse (de type datamining) et de restitution devront tre mis en uvre, afin de dfinir prcisment le profil de risque de ltablissement. Ci-dessous, larchitecture applicative simplifie dun SI risque oprationnels :
Le template de saisie d'incident contiendra a minima : - date de l'incident - brve description de l'incident - lieu de l'incident - dpartement / service / responsable - rfrence du processus impact / rfrence du risque concern - estimation a priori de la perte - estimation a posteriori de la perte - devise de la perte Base de risques externes Outils statistiques et de simulation

Collecte

Workflow pour validation

Consolidation

Entrept de donnes

Reporting de gestion

Outils statistiques et de simulation pour lvaluation de l'exposition aux risques oprationnels et dtermination des besoins en fonds propres

Restitution

Reporting rglementaire

Source : SIA Conseil

Le projet Risques Oprationnels, par son ampleur, est avant tout un projet de conduite du changement
Sil est relativement ais de mettre en uvre une base de pertes pour y saisir ple-mle des incidents et constituer ainsi les trois ans dhistorique requis par le rglement Blois, dfinir le vritable profil de risque dun grand groupe bancaire et mettre en place une politique efficace de rduction des pertes oprationnelles dans chaque entit est un projet global, ncessitant un dploiement grande chelle, et partant, une relle gestion du changement. Les points suivants sont autant de chantiers de conduite du changement.

Le modle de risque nest pas fig : sous leffet des plans dactions correctives, des risques disparatront, des cotations volueront, de nouveaux risques apparatront. Sil nest pas mis jour, le modle de risque prsentera terme une vision biaise de la ralit, avec des consquences non ngligeables sur le calcul dexigence en fonds propres. A ce titre, le projet des risques peut tre qualifi dexercice permanent.

Conception de la cartographie des Risques Oprationnels par processus

Mise en place du dispositif de notification et de collecte des incidents

Mise en place d'un environnement de contrle des Risques Oprationnels

apparition de nouveaux risques volution de la cotation des risques nouvelles activits / nouveaux produits / nouveaux projets

3me Trimestre 2003

-3-

INSIGHT

INSIGHT
SERVICES FINANCIERS RESSOURCES HUMAINES TELECOMS INDUSTRIE & SERVICES
Adopter une dmarche progressive Le projet Risques Oprationnels nest pas un projet de type Big Bang . En effet, la diversit fonctionnelle et gographique dun grand groupe bancaire impose que soit graduellement dploy lenvironnement de contrle des risques oprationnels, pour lui donner plus defficacit. On pourra ce titre lotir le dploiement en commenant par les mtiers ou filiales pour lesquels la diffusion de procdures de contrle des risques oprationnels aura des effets rapides, visibles (quick wins), et donc facilement communicables, avec pour consquence une adhsion facilite des autres entits du groupe pour les phases suivantes du dploiement. Dans un grand groupe, appliquer le principe de subsidiarit Le projet doit permettre de cerner le profil de risque oprationnel du groupe, en vue notamment de la communication institutionnelle (pilier III des accords de Ble). En revanche, le principe de subsidiarit doit tre appliqu pour restituer au mieux le profil de risque de chaque entit et ainsi donner plus de pertinence et poids aux plans dactions locaux. La cotation des risques varie sensiblement dune entit une autre. Par exemple, le risque systme est potentiellement plus lourd dans un service de courtage que dans un service juridique. De mme le risque dinstabilit politique ou de fraude interne variera sensiblement en fonction des pays. La cartographie des risques devra rendre compte de ces diffrences de cotation. Par ailleurs, les seuils de dclaration de pertes ne peuvent pas tre dfinis uniquement au niveau du groupe mais doivent tre adapts chaque entit : nature de perte quivalente, les seuils de dclaration dune entit forte rentabilit seront plus levs que ceux dune entit faible rentabilit. Appliquer le principe de subsidiarit lors de la dfinition des seuils permettra une remonte pertinente des incidents sans pollution inutile du travail quotidien des collaborateurs. Enfin, profiter dune chance de place pour accrotre la rentabilit du groupe Il existe au moins deux moyens dapporter du retour sur investissement au projet : en rduisant les incidents, et donc les pertes... A ce titre, les tableaux de bord de pilotage des risques oprationnels devront permettre didentifier immdiatement les incidents les plus frquents et/ou les plus coteux ; la modlisation des processus mtiers en phase de cartographie des risques est un exercice qui peut paratre long et coteux : cest au contraire une bonne occasion pour optimiser ces mmes processus, et donner Ble II la porte dun projet de refonte Tout lart rsidant dans la bonne qualification du niveau de granularit requis pour la description de chacun de ces processus

Conclusion
Le projet Ble II Risques Oprationnels nest pas un projet ponctuel dont lobjectif majeur serait dobtenir lhomologation du rgulateur en 2006 : il doit gnrer un accroissement durable de la rentabilit de la banque, par la responsabilisation de chaque collaborateur. Cest un projet global, dont le succs passera par la mise en place dune quipe ddie, pluridisciplinaire, trs ouverte la communication et apte grer un changement dampleur
Jacques Le Pennec
jacques.lepennec@sia-conseil.com

Plus dinfos sur www.sia-conseil.com/insight

INSIGHT est dit par SIA Conseil

SAS au capital de 200.000 euros RCS Paris B 423 507 730 171/173 rue Saint Martin 75003 Paris

Si vous souhaitez nous faire part de vos commentaires ou vous abonner, contacteznous : insight@sia-conseil.com

Tel : 01 42 77 76 17 Fax : 01 42 77 76 16
Web : www.sia-conseil.com

Les lignes de services SIA Conseil : Services Financiers, Ressources Humaines, Telecoms, Industrie & Services Loffre de services SIA Conseil : Transformation, Assistance Matrise dOuvrage , Expertise SI

Directeur de la publication :
Matthieu Courtecuisse

Conception et coordination :
Thomas Rocafull

INSIGHT

-4-

3me Trimestre 2003