Vous êtes sur la page 1sur 48
Ingénierie en Actuariat et Finance Faculté des Sciences et Techniques Guéliz Université Cadi Ayyad, Marrakech
Ingénierie en Actuariat et Finance Faculté des Sciences et Techniques Guéliz Université Cadi Ayyad, Marrakech

Ingénierie en Actuariat et Finance

Faculté des Sciences et Techniques Guéliz

Université Cadi Ayyad, Marrakech

Rapport de Mini-Projet

Sujet : Le Risque Opérationnel

Encadrant du projet :

Pr. AKDIM

Présenté par :

Abdessamiaa FETTAL Abderrahim AABOUCHE Ulrich OUINSOU

Année universitaire : 2014/2015

TABLE DES MATIÈRES
TABLE DES MATIÈRES
TABLE DES MATIÈRES

TABLE DES MATIÈRES

1 Présentation et définition du risque opérationnel

 

6

1.1 Emergence de la notion du risque opérationnel

 

6

1.1.1 Les accords de Bâle I

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

6

1.1.2 Le risque opérationnel a causé plusieurs crashs financiers

.

.

.

.

.

.

.

.

.

.

.

.

7

1.1.3 Les accords de Bâle II

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

10

1.2 Définition du risque opérationnel .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

12

1.2.1 Les composantes du risque opérationnel

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

13

1.2.2 Typologie proposée par le comité de Bâle pour le risque opérationnel

 

15

1.2.3 Les métiers de la banque générant un risque opérationnel

 

.

.

.

.

.

.

.

.

.

.

.

.

17

2 Outils d’identification et approches de mesure du risque opérationnel

 

19

2.1 Identification du risque opérationnel .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

19

2.1.1

Outils d’identification du risque opérationnel

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

19

2.2 Les mesures réglementaires du risque opérationnel selon Bâle II

.

.

.

.

.

.

.

.

.

.

.

.

.

23

2.2.1 L’approche de l’indicateur de base

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

23

2.2.2 L’approche standard

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

24

2.2.3 Les approches de mesures avancées

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

25

2.2.4 Les critères d’agrément pour l’approche standard et l’approche de mesure avan-

 

cées .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

31

2.2.5 Critères quantitatifs propre à l’approche des mesures avancées

.

.

.

.

.

.

.

.

.

32

2.2.6 Critères internes

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

33

3 La gestion du risque opérationnel

 

35

3.1 L’identification, l’évaluation et le suivi du risque opérationnel

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

3.1.1 L’identification du risque

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

3.1.2 L’évaluation du risque

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

36

3.1.3 Le suivi du risque .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

36

3.2 Les moyens de maîtrise et atténuation du risque opérationnel

.

.

.

.

.

.

.

.

.

.

.

.

.

.

37

3.2.1 Le contrôle interne

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

37

3.2.2 Organisation des contrôles

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

38

3.2.3 L’audit interne

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

39

3.2.4 Autres pratiques internes pour maitriser le risque opérationnel

.

.

.

.

.

.

.

.

.

42

3.2.5 Les techniques d’atténuation du risque opérationnel

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

43

2

3.2.6 Les plans de continuité d’exploitation

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

43

3.2.7 La création de la fonction de gestion du risque opérationnel

.

.

.

.

.

.

.

.

.

.

.

44

3.2.8 Les objectifs à atteindre à travers les moyens de la gestion du risque opération-

nel

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

44

INTRODUCTION GÉNÉRALE
INTRODUCTION GÉNÉRALE
INTRODUCTION GÉNÉRALE

INTRODUCTION GÉNÉRALE

Actuellement, L’environnement économique et financier est devenu de plus en plus une source de risque ; cela est du principalement a son caractère d’instabilité ; aux mutations accélérées ; une concurrence accrue dans différents secteurs ; la mondialisation des échanges ; l’émergence de nou- velles zones économiques à forte croissance, une sophistication incessante des produits financiers, l’innovation technologique et une forte volatilité de marché

Le système bancaire international se trouve situé au coeur de ces mutations. Il est au centre des circuits et mécanismes financiers, il représente le partenaire officiel et habituel des acteurs écono- miques des différents Etats et il est quotidiennement confronté à la prise de décision en avenir risqué.

En fait pour faire face et suivre ces mutations, les banques doivent relever des défis exceptionnels afin de se doter d’avantages déterminants concurrentiels. L’univers de la banque est un univers pavé de risques, la banque ressemble de plus en plus à une « machine à risques » : elle prend des risques, les transforme et elle les incorpore aux services et aux produits bancaires qu’elle offre.

la notion de risque comporte deux aspects, un aspect positif et un autre négatif, le risque positif ou upside risk représente le risque pris par l’organisation et s’accompagne avec un accroissement des

résultats, le risque négatif ou downside risk est par contre le risque d’avoir les résultats de l’organi- sation en diminution , c’est ce dernier qui intéresse le plus les dirigeants, une panoplies de risques (

risque de crédits, risque de marché, risque de liquidité

effet, La nouveauté tient plutôt à la diversité des risques auxquels les banques doivent faire face ; à l’ampleur particulière de certaines pertes, à leur soudaineté et au fait que les dirigeants soient parfois surpris ou dépassés.

sont bien connus dans leurs principes, En

)

Ces pertes ont été estimées par certains analystes à 12 milliards de dollars sur les dix dernières années. De telles pertes sont dues généralement à une inadéquation ou une défaillance des procé- dures, du personnels, des systèmes internes ou à des évènements extérieurs et plus précisément au risque opérationnel.

Le risque opérationnel a toujours existé mais était souvent ignoré où géré d’une manière frag- mentée. Aujourd’hui, malgré sa complexité et sa diversité, on tente de le mesurer et de le gérer comme les autres risques. Il a pris au fil des ans, avec les avancées technologiques et la complexité croissante de processus de gestion, une ampleur considérable. Dans les métiers bancaires et finan-

4

ciers, ces risques sont particulièrement sensibles en raison de la spécificité de la matière traitée, de la complexité économique et juridique de certaines opérations, du nombre important des transactions réalisées, de l’importance des procédures pour les différentes fonctions, et enfin, de la dépendance envers l’outil informatique.

Par contre l’idée nouvelle est que la gestion du risque opérationnel devient une discipline auto- nome avec ses propres outils de mesure et ses propres procédures de contrôle, tout comme pour le risque de crédit ou le risque de marché.

Et c’est dans cette perspective que vient l’apport de l’accord de Bâle II. L’apport majeur du comité de Bâle est que le risque opérationnel est défini et circonscrit, il est associé à une charge en capital réglementaires et à des prescriptions quant à leur mode de gestion.

Au fils des temps le risque opérationnel a connu une croissance importante. Les pertes subies par les établissements au titre du risque opérationnel sont en effet évaluées à plus de 200 milliards d’euros sur la période 1980-2000. En plus l’exercice de collecte de pertes réalisé en 2002 par le groupe Risk Management du Comité de Bâle révèle que les 89 banques ayant participé à cet exercice ont connu sur le seul exercice 2001 plus de 47000 événements de pertes pour un montant cumulé de pertes opérationnelles s’élevant à près de 7,8 milliards d’euros. Face à cette matérialisation crois- sante des risques opérationnels, le Comité de Bâle a jugé nécessaire d’en assurer une couverture non seulement par le développement de meilleures pratiques au sein des banques, mais également par la mise en place d’exigences de fonds propres.

Bien entendu, la gestion du risque opérationnel n’est pas une pratique nouvelle, le but ultime étant de gérer la volatilité additionnelle des résultats engendrés par le risque opérationnel, il a tou- jours été très important pour les banques d’essayer de prévenir les fraudes, de réduire les erreurs ou de veiller à la séparation des taches. Elles comptaient que sur les mécanismes de contrôle interne au sein des entités opérationnelles, complétés par l’audit interne pour gérer le risque opérationnel.

Une maturation est aperçue au niveau de la gestion du risque opérationnel ; on est passé d’une gestion fragmenté à une gestion intégrée, d’une attitude réactive on passe à une attitude proactive, du regard tourné vers le passé à un regard tourné vers le futur

Dans ce présent travail, la problématique fondamentale à laquelle on se propose d’apporter des éléments de réponses est la suivante : quelles sont les exigences du dispositif de Convergence Inter- nationale de la Mesure et des Normes de Fonds Propres (accords de Bâle II) en matière de gestion du risque opérationnel ?

Notre démarche se présente comme suit :

Dans un premier chapitre le périmètre du risque opérationnel selon la définition qui lui a été attribuée par le comité de Bâle et de rappeler les scandales financiers à l’ origine de ce risque. Dans le deuxième chapitre nous aborderons les outils d’identification et les approches de mesures du risque opérationnel. Et dans le troisième chapitre nous aborderons les moyens de gestion, d’atténuation et de couver- tures du risque opérationnels.

CHAPITRE 1

CHAPITRE 1 PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL Le risque opérationnel a fait l’objet de plusieurs
CHAPITRE 1 PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL Le risque opérationnel a fait l’objet de plusieurs

PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Le risque opérationnel a fait l’objet de plusieurs réflexions afin de délimiter son périmètre et lui attribuer une définition claire et communément admise et applicable aux établissements financiers ; ceci est peut être du à l’ampleur des scandales financiers et la croissance des pertes subies par les établissements de crédit suite au risque opérationnel.

C’est la définition du risque opérationnel, sa typologie selon le comité de Bâle et les crashs finan- ciers dus principalement à ce denier qui vont faire l’objet de notre premier chapitre.

1.1 Emergence de la notion du risque opérationnel

Le milieu bancaire a été marqué par de nombreuses faillites dans les années 70 et 80, ces faillites ont des conséquences fâcheuses sur le système bancaire international qui est de plus en plus concen- tré, en fait le phénomène de l’effet domino se déclenche puisque une banque qui fait défaut entraîne avec elle des milliers de déposants et surtout d’autres banques.

1.1.1 Les accords de Bâle I

Pour éviter les faillites ou en réduire le risque, les pays du G14 ont décidé de créer le comité de Bâle qui vise à déterminer des règles en matière de fond propres.

D’où l’institution du comité de Bâle sur le contrôle bancaire en 1974, qui regroupe les autorités de surveillance prudentielles et les banques centrales des pays du groupe des Dix dits G10 (a l’époque). Il est composé de hauts représentants des autorités de contrôle bancaire et des banques centrales des pays suivants : Allemagne, Belgique, Canada, Espagne, Etats-Unis, France, Italie, Japon, Luxem- bourg, Pays-Bas, Royaume-Uni, Suède, et Suisse. Son objectif principal est d’améliorer la stabilité du système financier international par l’introduction des exigences de fonds propre applicables à toutes les banques. Cet objectif s’est concrétisé par l’accord dit de Bâle I portant sur la dotation en fonds propres signé en 1988 au siège de la banque des règlements internationaux.

Le comité se réunit généralement à la banque des règlements internationaux, à Bâle en Suisse, où se trouve son secrétariat permanent.

6

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Parmi les lacunes de l’accord de Bâle I, du point de vue des régulateurs, la prise en considération des risques bancaires n’est pas assez globale, dans la mesure où seuls les risques de crédit et de mar- ché sont prisent en compte, mais pas les risques opérationnels ; alors que plusieurs enquêtes sur les scandales financiers ont soulevé que le risque opérationnel était à l’ origine de plusieurs désastres financiers.

1.1.2 Le risque opérationnel a causé plusieurs crashs financiers

le risque opérationnel a pris de l’ampleur suit aux pertes considérables subies par les établisse- ments de crédits et suite aux scandales financiers résultant de la combinaison d’une part d’un risque

de crédit et de marché et d’autre part d’une défaillance en matière de contrôle interne dans différents

domaines administratifs, humains, juridiques d’un risque opérationnel.

autrement dit , ils sont en partie une conséquence

L’importance croissante du risque opérationnel s’est largement concrétisée par les pertes subies par les établissements au titre du risque opérationnel ; sont en effet généralement évalués à plus de 200 milliards d’euros sur la période de 1980-2000.

Dans ce qui suit on citera quelques exemples de catastrophes financières.

A- La Banque Barings :

Le désastre financier majeur de BARINGS a constitué l’affaire la plus spectaculaire au monde, à l’année 1996 : les marchés financiers ont été secoués par une spéculation périlleuse. La prestigieuse banque Barings, la plus ancienne banque d’Angleterre (250 ans d’existence), a fait faillite après la perte de plus d’un milliard de dollars résultant de placements hasardeux effectués par l’un de ses agents.

Nicolas Leeson à l’âge de 27 ans et dans une période de moins d’un an parvient à mettre en faillite cette banque.

Ce trader prodige des marchés financiers employé dans la succursale à Singapour prend d’impor- tantes positions à découvert sur l’indice Nikkei. Puis celles-ci s’avérant progressivement perdantes suite au retournement de la bourse, il les augmenta en cherchant à compenser les positions déjà per- dantes.

Il a constamment agit au delà de son autorité en prenant des positions à découvert dépassant les montants autorisés, situation rendue possible par le fait qu’il était a la fois responsable du Back office et du trading.

Il pariait sur la hausse de la bourse japonaise en vendant à terme des contrats sur l’indice Nik- kei 225 pour des montants énormes. Les pertes sur les positions sur le Nikkei s’envolèrent après le tremblement de terre de Kobe qui provoqua une chute brutale de l’indice, la confiance dans le Yen s’effondrant. De ce fait les pertes de Leeson atteignaient les six milliards de francs.

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Une analyse de ce crash met en évidence les défaillances suivantes :

- Un risque humain qui se manifeste en conséquence d’une confiance trop forte et notamment de

la concentration des pouvoirs chez une seule personne qui accumule de même la fonction de Front office et back office.

- En plus on peut dire que le fait de s’engager dans des opérations non autorisées, et de violer les limites et les engagements constitue un risque humain « volontaire ».

- Une défaillance au niveau du système de contrôle interne de la banque ; son manque d’efficacité

n’a pas permis de détecter la violence du principe de séparation de tache au sein de l’activité.

Donc on peut conclure qu’outre le risque de marché, le risque opérationnel a contribué à l’effon- drement de la maison Barings.

B- Sumimoto Corporation Plus spectaculaire encore est le cas de Yasuo Hammanaka, l’un des managers les plus anciens et les plus respectés de Sumitomo Corporation qui a laissé partir en fumée une perte individuelle d’en- viron de 1.8 milliards de $ pendant 10ans en essayant d’influencer à lui tout seul le cours mondial du cuivre. Il était un spéculateur habile qui a écrasé la concurrence avec ses ordres énormes d’achat et de vente de cuivre.

Le désastre de Sumitomo est considéré comme la plus grande perte commerciale dans l’histoire, plus grande que les 1.1 milliards de dollars de Daiwa ou les 1.3 milliards de dollars de Barings. Su- mitomo achetait 800 000 tonnes de métal par an, le vendant aux filiales et aux marchés en plein essor en Asie du Sud-Est, la plupart de ces ordres ont été passés par Mr Hammanaka .Cette société a été conduite dans l’obscurité par Hammanaka qui a violé ses limites en effectuant des échanges non au- torisés. Ses propres transactions secrètes étaient astucieusement cachées dans un compte confidentiel ou il a transféré toutes ses pertes.

Les doutes sur le risque qu’il a présenté étaient déclarés par un auditeur interne de la compagne qui a découvert une transaction non autorisée pour laquelle les fonds ont traversé une banque étran- gère anonyme. Ceci était favorisé quand les autorités de surveillance et de contrôle au Etats Unis et en Grande Bretagne ont demandé à Sumitomo de coopérer à une recherche sur la manipulation suspectée des prix.

Les pertes subies par Sumitomo peuvent être expliquées par le fait que Hammanaka disposait d’une autonomie peu commune dans l’organisation.

En plus, il était célèbre en raison des affaires et les bénéfices qu’il apportait au moins sur le papier. Son expertise et sa spécialisation requises pour le travail l’ont favorisé pour rester si longtemps dans la section cuivre sur le marché des matières premières, et aucune personne n’a osé examiner atten- tivement ses transactions. Il a été confié beaucoup de responsabilités par la compagnie et seulement ses régulateurs étaient loin de Tokyo.

Sumitomo une fois qu’il avait la preuve des commerces non autorisés de Hammanaka, la ré- vélation des pertes annoncées par son président a provoqué des frissons au niveau des marchés

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

internationaux qui provoquèrent une baisse d’environ 10 % du prix du cuivre sur les marchés de Londres et New York City. Ces pertes totales étaient estimées à 2.6 milliards de $ et le désastre de Sumitomo se classe comme la plus grande perte du commerce non autorisé.

C- Société Générale La Société Générale est l’une des premières banques européennes.

La fraude dont la Société Générale a été la cible est historique pour deux raison : le montant des pertes (4,9 milliards e) et l’impact en terme d’image.

Les opérations ayant conduit à une perte d’environ 4,9 milliards e pour la Société Générale sur ses activités de marché pour compte propre auraient été le fait d’un seul opérateur. A ce stade, au- cun élément connu ne conduit à infirmer ce constat. Cet opérateur avait une activité d’arbitragiste sur dérivés actions (warrants) : cette activité consiste à gérer en parallèle deux portefeuilles de taille et de composition proches, l’un devant permettre de couvrir l’autre. De ce fait, le risque généré mais également le résultat net dégagé sont censés être faibles en comparaison des engagements bruts ré- sultant des portefeuilles.

En l’occurrence, l’opérateur en cause aurait pris des positions directionnelles non autorisées sur des contrats à terme sur indices actions européens, couvertes par des opérations fictives, qui mas- quaient l’augmentation de la position et du risque nets de la banque. Il aurait procédé en répétant le schéma suivant :

- Saisie d’une opération couvrant la position réelle.

- Annulation de cette opération avant qu’elle ne soit détectée du fait d’un contrôle, qu’elle ne donne lieu à confirmation ou à appel de marge, puis saisie d’une nouvelle opération.

Il aurait donc effectué une gestion très active de ses portefeuilles, tout en cherchant à masquer les gains et les pertes. Le jeune trader J.K. à un profil différent de ces collègues traders, il avait précédemment travaillé au Middle Office de la SGCIB (le Middle Office est le service contrôlant constamment le travail des traders, vérifiant que les risques qu’ils prennent sont limités et correctement couverts).

Son passé au Middle Office lui a appris les contrôles effectués : quand ils étaient effectués et les différents type de contrôles utilisés. Il a ensuite utilisé ses connaissances pour masquer ses opéra- tions frauduleuses durant les contrôles.

D- La crise des subprimes La crise des subprimes s’est déclenchée au deuxième semestre 2006 avec le krach des prêts im- mobiliers (hypothécaires) à risque aux États-Unis (les subprimes), que les emprunteurs, souvent de conditions modestes, n’étaient plus capables de rembourser. Révélée en février 2007 par l’annonce d’importantes provisions passées par la banque HSBC, elle s’est transformée en crise financière mon- diale à partir de l’été 2007, avec une défiance envers les créances titrisées ( ABS, RMBS, CMBS, CDO) qui comprennent une part plus ou moins grande de crédits subprime, puis envers les fonds d’inves- tissement, les OPCVM (dont les SICAV monétaires) et le système bancaire susceptibles de détenir ces dérivés de crédit.

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Cette crise de confiance générale dans le système financier a causé une première chute des mar- chés boursiers à l’été 2007. Elle fut cependant beaucoup moins profonde que celle de l’automne 2008. Les autorités ont d’abord cru à une crise de liquidité bancaire et les banques centrales n’ont cessé d’injecter massivement des liquidités dans le marché interbancaire. Mais peu à peu, le scénario d’une crise de solvabilité globale des banques s’est imposé.

Il s’est avéré que les crédits hypothécaires accordés à une clientèle peu solvable, sur la base d’une majoration du taux d’intérêt (subprimes) ne sont pas un risque de crédit, mais bien un risque opéra- tionnel en rapport avec le risque de crédit.

« Les subprimes ne sont pas un risque de crédit, mais bien un risque opérationnel, puisque ce sont des crédits hypothécaires accordés à une clientèle peu solvable, sur la base d’une majoration du taux d’intérêt. Le prêt est accordé alors que la probabilité de défaut de la contrepartie ne fait aucun doute (Subprime = prime appliquée à un emprunteur dont la solvabilité est « en dessous » d’un certain seuil censée compenser les risques pris par le prêteur) ».

1.1.3 Les accords de Bâle II

Le comité de Bâle pour la supervision bancaire a promulgué en juin 2004 un nouveau dispo- sitif :(Convergence Internationale de la Mesure et des Normes de fonds Propres) « International Convergence Of Capital Measurement and Capital Standards ».

Cet accord a remplacé le précèdent accord qui a instauré un ratio prudentiel minimum dit ratio Cooke, L’objet essentiel de Bâle II demeure le renforcement de la stabilité du système bancaire. La révision commencée en 1999 vise seulement à combler les lacunes de Bâle I et à adapter les directives au nouveau contexte des mutations intervenues sur les marchés financiers.

L’objectif principal est d’abandonner le système de couverture forfaitaire imposé aux banques pour adopter une réglementation du capital propre minimal plus complète qui tienne mieux compte des risques mais le nouveau ratio McDonough maintient la définition du capital minimum de 8% de l’encours de risque pondéré.

Bâle II est alors venu avec une nouvelle structure : Ses accords reposent sur 3 piliers complé- mentaires qui devraient garantir le soutien d’une base optimale de calcul de fonds propres des éta- blissements bancaires ainsi qu’un renforcement du contrôle tant qu’interne qu’externe des pratiques d’évaluation des risques.

- Le premier pilier : repose sur l’exigence minimale de fonds propres.

- Le second pilier : : consiste à appuyer sur la surveillance de ses fonds propres et la mise en place en interne de processus de contrôle du risque. Ce pilier donne beaucoup plus de pouvoirs aux instances de contrôles qui peuvent inspecter les systèmes des banques et leur imposer un mon- tant de fonds propres supérieurs si elles le jugent nécessaire.

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL F IGURE 1.1 – Les trois piliers des accords

FIGURE 1.1 – Les trois piliers des accords de Bâle II

- Le troisième pilier : : repose sur le principe de la discipline de marché avec différentes informa- tions à publier en matière de risque de crédits, de marchés opérationnels ainsi que sur le mon- tant des fonds propres, les opérations de titrisation mises en place et enfin les méthodes d’éva- luations et de contrôle du risque. Il ne s’agit bien sûr pas de dévoiler ses méthodes, mais d’en communiquer l’existence.

Le comité de Bâle n’a aucun pouvoir législatif ou réglementaire. Pour leurs application, les ac- cords de Bâle II doit faire l’objet d’une transposition législative ou réglementaire dans chaque pays. Tout comme Bâle I, les nouvelles directives sur les fonds propres à l’échelle internationale ont valeur de recommandations. Il appartient alors aux différentes banques centrales de les adapter à leurs ju- ridictions.

Le nouvel accord du comité de Bâle rapproche le cadre prudentiel et les exigences en fonds propres qui en résultent des pratiques en vigueur dans l’industrie bancaire pour le pilotage des risques.

Ce dispositif présente en effet deux importantes finalités :

- Le renforcement de l’égalité des conditions de concurrence.

- Un meilleur alignement des exigences des fonds propres sur les risques sous jacents.

Cette réforme, permettra non seulement de faire converger le capital réglementaire (souci des autorités de contrôle) et le capital économique (souci des établissements) mais aussi, au-delà des exigences de fonds propres, de poser un véritable cadre prudentiel pour le contrôle bancaire des prochaines années.

Les règles de Bâle II définissent des méthodes avec lesquelles les institutions financières peuvent mesurer leurs risques. Les risques mesurés forment la base de calcul du montant des fonds propres que l’institution doit mettre en réserve pour couvrir les pertes potentielles.

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Le nouvel accord de Bâle prend en compte les 3 grands types de risques auxquels sont confrontés les établissements bancaires :

Le risque de crédit : correspond au risque de défaut de la contrepartie à laquelle un prêt a été ac- cordé.

Le risque de marché : couvre dans le cadre des opérations de marché :

- Le risque de taux.

- Le risque de change.

- Le risque de règlement-livraison.

- Le risque de variation des prix d’actions.

Le risque opérationnel : constituant l’une des principales novations du nouvel accord.

En faite outre la révision profonde du traitement du risque du crédit, la reconnaissance du risque opérationnel, et son inclusion dans les exigences réglementaires constitue la grande nouveauté de l’accord.

1.2 Définition du risque opérationnel

Pour être appréhendé et géré, un risque doit être connu et identifié.

La première étape dans la mise en oeuvre d’une stratégie de gestion des risques opérationnels est donc de définir avec assez de précision les périmètres de ce risque.

Plusieurs définitions ont été attribuées à la notion de risque opérationnel :

Vanini (2002) : définit le risque opérationnel comme « le risque de déviation entre le profit associé

à la production d’un service et les attentes de la planification managériale. Le R.O. correspond

à l’écart enregistré, positif ou négatif, par rapport au profit attendu ».

King (2001) : définit le risque opérationnel comme le risque qui « ne dépend pas de la façon de fi- nancer une entreprise, mais plutôt de la façon d’opérer son métier », et « le risque opérationnel est le lien entre l’activité du travail d’une entreprise et la variation de résultat du travail ».

Kuritzkes (Wharton, 2002) : définit le risque opérationnel comme un risque non financier ayant 3 sources : le risque interne (ex : « rogue trader »), le risque externe c’est à dire tout événement extérieur incontrôlable (ex : une attaque terroriste) et le risque stratégique (ex : un affrontement dans une guerre de prix).

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

D’autre ont défini le risque opérationnel comme le risque de pertes imprévisible en conséquence de dysfonctionnements des systèmes d’information ou des contrôles internes.

Certains le définissent comme le risque de perte consécutive a différents types d’erreurs hu- maines ou techniques, ou le définir par défaut c’est-à-dire tout sauf le risque de crédit et de marché d’autre part il est défini en tant que risque résiduel.

Les travaux de normalisation qui ont été menés dans le secteur bancaire, ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi n’est pas nouveau, l’évolution de la régle- mentation bancaire le replace au premier rang des préoccupations au travers de normes que l’on désigne communément sous le terme de « Bâle II ».

En fait le débat sur la définition du risque opérationnel a commencé avec le comité de Bâle. Le risque opérationnel correspond, dans un premier lieu, aux « risques de pertes directes et indirectes résultant de l’inadéquation ou de la défaillance de procédures, de personnes et de systèmes ou résultant d’événements extérieurs ». (Second document consultatif). Cette définition a été critiquée, car il est difficile de calculer certaines pertes indirectes.

Le comité de Bâle a essayé de délimiter de manière précise le périmètre des risques opérationnels dans une définition claire, commune et applicable à l’ensemble d’un groupe bancaire. La réforme prudentielle bancaire indique que :

« Le risque opérationnel se définit comme le risque de perte résultant de carences ou de dé- faillances attribuables à des procédures, personnes et systèmes internes ou à des événements extérieures.la définitions inclut le risque juridique, mais exclut le risque stratégique et d’atteinte a la réputation ».

Et c’est cette définition de comité de Bâle qui va être prise en considération dans la suite de notre travail ainsi que ces exigences pour la gestion du risque opérationnel.

1.2.1 Les composantes du risque opérationnel

Selon la définition communément admise par « Bâle II », le risque opérationnel se décompose en quatre sous ensembles :

1. Le risque lié au système d’information : Ce risque peut être lié à une défaillance matérielle

suite a l’indisponibilité soit provisoire ou prolongée des moyens (installations immobilières,

matériels, systèmes informatiques ou dispositifs techniques

ment des transactions habituelles et à l’exercice de l’activité, pannes informatiques résultant d’une défaillance technique ou d’un acte de malveillance ; une panne d’un réseau externe de télétransmission rendant temporairement impossible la transmission d’ ordres sur un marché financier ou le débouclement d’une position ; un système de négociation ou de règlement de place en défaut ou débordé ; baugue logiciel et obsolescence des technologies (matériel, lan- gages de programmation,

) nécessaires à l’accomplisse-

2. Le risque lié aux processus : Ce risque est du au non respect des procédures ; aux erreurs pro- venant de l’enregistrement des opérations, la saisie, les rapprochements et les confirmations

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

tels que : un double encaissement de chèque, un crédit porté au compte d’un tiers et non du bénéficiaire, le versement du montant d’un crédit avant la prise effective de la garantie prévue, le dépassement des limites et autorisations pour la réalisation d’une opération, etc

3. Le risque lié aux personnes : ce risque est naît du fait que les exigences attendues des moyens

) ne sont pas

satisfaites, peut être lié à l’absentéisme, la fraude, l’incapacité d’assurer la relève sur les postes clés

humains (exigence de compétence et de disponibilité, exigence de déontologie

Ce risque peut être involontaire ou naître d’une intention délibérée, résultant souvent d’une intention frauduleuse. Les « erreurs involontaires » sont souvent coûteuses ; leur prévention comme leur détection précoce dépendent de la qualité du personnel, de sa vigilance, comme de ses capacités d’adaptation aux évolutions techniques mais aussi de la technicité des opérations à traiter et de la qualité du matériel et de la logistique utilisés.

Quant au « risque volontaire », il va de la simple inobservation des règles de prudence, du conflit d’intérêts entre opérations pour son propre compte et opérations pour le compte de l’établissement ou du client, jusqu’à la malveillance et la réalisation d’opérations carrément frauduleuses.

4. le risque lié aux événements extérieurs : Ce risque peut être à l’ origine de risque politique, catastrophe naturelle, environnement réglementaire.

catastrophe naturelle, environnement réglementaire. F IGURE 1.2 – Les composantes du risque opérationnel Les

FIGURE 1.2 – Les composantes du risque opérationnel

Les risques opérationnels peuvent être classés en trois domaines : la fraude, la sécurité et les pro- cédures.

que les malversations internes. La

sécurité porte, quant à elle, sur la sécurité physique des bâtiments et des actifs (incendies, dégâts

et sur la sécurité informatique et des systèmes. L’aspect du risque opérationnel relatif aux

divers

procédures couvre les pertes éventuelles découlant de pratique contraires à la réglementation, ainsi

La fraude vise tant les événements externes (faux chèques

)

)

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

que les pertes provenant d’erreurs dans les procédures de traitement des opérations.

Le risque stratégique et le risque d’atteinte à la réputation sont exclus du périmètre du risque opérationnel.

En fait le risque d’atteinte à la réputation est défini : l’éventualité qu’une publicité défavo- rable justifié ou non, concernant les pratiques et connexion d’une banque n’entraine une perte de confiance dans l’intégrité de l’établissement. C’est l’ensemble des menaces qui affectent a long terme la confiance des partenaires de la firme ; en fait c’est risque bien réel mais souvent sous-jacent à un risque opérationnel (blanchissement) avéré et il est extrêmement difficile de la quantifier.

Le risque stratégique se défini comme : risque lié aux chois stratégique d’une firme pour s’adap- ter a son environnement concurrentiel. Les choix stratégiques doivent respecter les attentes des ac- tionnaires et des clients, assurer la croissance des revenues et l’amélioration de la qualité de ces services et produits. Donc risque de perte de revenus encourus par une banque qui n’adapte pas ces produits, activités et services commerciale au besoins et usage en vigueur sur son marché de pré- dilection. Donc les choix stratégiques ont un impact sur ces revenus futures mais impact peu aisé a mesurer car indirect et désynchronisé par rapport a la période à laquelle le choix stratégique a été opéré.

Mais reste qu’il ya difficulté de différencier le risque stratégique du risque opérationnel, si l’im- plémentation des choix stratégiques est la cause directe (implémentation de système défaillant) des pertes assimilable a l’une ou l’autre des catégories de risque opérationnel, ces pertes serait de facto considérées comme des pertes opérationnel.

Concernant les quasis pertes qui sont les incidents qui n’ont pas d’impact monétaire sur le

compte de résultats de la banque, mais qui auraient pu avoir lieu, si un événement fortuit ne l’avait

pas empêché de se produire (contrôle interne des pertes au titre du risque opérationnel.

Elles ne sont pas intégrer dans la base de données

).

Quant aux pertes opérationnelles associées au risque de crédit qui sont liées au risque de cré- dit (carence de gestion de sureté, par exemple, les supbrimes déjà évoqués), ces risque sont traités comme risque de crédit, c’est que les pertes ne sont pas assujetties à une exigence de fonds propres en regard du risque opérationnel mais ils sont notifiées dans la base de données des perte opéra- tionnel afin de les gérées. La définition réglementaire du risque opérationnel englobe sept catégories d’événements, dont le lieu de survenance se répartit en huit lignes d’activités possibles.

1.2.2 Typologie proposée par le comité de Bâle pour le risque opérationnel

Le comité de Bâle II adopte une classification assez précise des différents types de risque opéra- tionnel et des lignes d’activités qui peuvent le générer. Ces événements constituent la catégorisation centrale des causes de pertes opérationnelles. Les sept catégories principales d’événements sont les suivantes :

1. Fraudes internes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation ou la politiques de l’entreprise impliquant au moins une partie

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

interne à l’entreprises.

Exemple : Transaction non enregistrée intentionnellement, Détournement de capitaux, d’actifs, Contrefaçon, Destruction malveillante de capitaux

2. Fraudes externes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation de la part d’un tiers.

Exemple : Vol, contrefaçon, piratage, vol d’informations

3. Pratiques en matière d’emploi et de sécurité sur le lieu de travail : pertes résultant d’actes non conformes à la législation ou aux conventions relatives à l’emploi, la santé ou la sécurité, de demandes d’indemnisation ou d’atteinte à l’égalité ou actes de discrimination.

Exemple : Questions liées aux rémunérations, avantages liés à la résiliation d’un contrat, Ac-

Événements liés à la réglementation sur la

tivités syndicales, Responsabilité civile (chutes

santé et la sécurité du personnel, Rémunération du personnel

),

4. Client, produits et pratique commerciales : pertes résultant d’un manquement non - inten- tionnel ou du à la négligence, à une obligation professionnelle envers des clients spécifiques, ou de la nature ou conception d’un produit.

Exemple : violation du devoir fiduciaire, de recommandation, Connaissance de la clientèle, conformité, diffusion d’informations, Atteinte à la vie privée, Vente agressive, Opérations fic- tives, Utilisations abusives d’information

5. Dommages aux actifs corporels : destruction ou dommages résultant d’une catastrophe natu- relle ou d’autre sinistre.

Exemple : Tremblement de terre, cyclone, Vandalisme, terrorisme

6. Dysfonctionnement de l’activité et des systèmes : pertes résultant de dysfonctionnement de l’activité ou des systèmes (informatique et télé- communication)

7. Exécution, livraison et gestion des processus : pertes résultant d’un problème dans le traite- ment d’une transaction ou dans la gestion des processus ou de relation avec les contreparties commerciales et fournisseurs.

Exemple : Mauvaise communication, erreur de saisie de donnée ou erreur de chargement, non respect des dates limites, anomalie du système, erreur comptable ,non respect des reporting réglementaires, Etats externes imprécis, documents légaux manquants ou incomplets, Enregis- trement de la clientèle incorrect, Perte, négligence ou dommage aux actifs des clients, Conflits avec des tiers

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Chaque type d’événement est ensuite réparti en deux niveaux successifs de sous-catégories, pour une identification précise de la nature de l’événement lors du reporting réglementaire.

Outre la nature de l’événement, le type de l’activité ou s’est produite la perte peut être aussi une estimation de la cause de la perte opérationnelle.

Le comité définit huit lignes d’activités, elles mêmes subdivisées en deux sous niveaux successifs.

1.2.3 Les métiers de la banque générant un risque opérationnel

Les lignes de métiers qui peuvent générer le risque opérationnel identifiées par le comité de Bâle2 sont les suivantes :

1. Financement des entreprises : financement d’entreprise, collectivité locale et administration publique, les banques d’affaires et service et conseil.

2. Négociation et vente : c’est l’activité de marché, tenu de marché, vente d’action, prise de posi- tion pour compte propre et trésorerie.

3. Banque de détail : c’est l’activité pour les particuliers : prêt et dépôt ; les carte ; banque privé.

4. Banque commerciale : assure le financement des exportations et du commerce ; affacturage ; crédit bail et les prêts

5. Paiement et règlement : pour la clientèle extérieur ; transfert de fond, compensation et règle- ment

6. Fonctions d’agent : conservation, prestation d’agent aux entreprises

7. Gestion d’actif : c’est la gestion des portefeuilles

8. Courtage de détail

Chaque métier est subdivisé en deux niveaux.

En effet une étude menée par le comité de Bâle sur un échantillon de 30 banques a permis de mettre en lumière les résultats des collectes d’informations sur des incidents dans la catégorie du risque opérationnel et par type d’activité métier. Cela a permis de donner une vision sur la disparité du risque opérationnel entre les différents métiers de la banque.

L’identification des risques opérationnels générés par leurs activités demeure une étape fonda- mentale pour que les établissements de crédits puissent assurer les moyens adéquats pour leur quan- tification et leur gestion. Cette démarche d’identification et de gestion autonome est apparue ces dernières années comme une discipline séparée vue l’importance et l’impact de ces risques sur les

CHAPITRE 1. PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

banques quand ils interviennent.

CHAPITRE 2

CHAPITRE 2 OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL Une fois le périmètre du
CHAPITRE 2 OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL Une fois le périmètre du

OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Une fois le périmètre du risque opérationnel est bien défini, il ya lieu d’identifier les événements relatifs a ce risque et pour atteindre cet objectif il faut disposer des outils adéquats ; c’est ce qui va faire l’objet de la première section de ce chapitre.

La deuxième section est consacrée aux modalités de mesures quantitatives du risque opération- nel tel que définit par le comité de Bâle.

2.1 Identification du risque opérationnel

L’identification du risque est primordiale pour développer un contrôle et un suivi viable du risque opérationnel.

Pour pouvoir mettre en place un système viable de gestion du risque opérationnel, il est tout

d’abord nécessaire, d’identifier les facteurs du risque opérationnel que se soit des facteurs interne (

la structure de la banque, nature de ses activités, la qualité de ses ressources humaines, les modifi-

cations de l’organisation et le taux de rotation du personnel) ou externes (comme les évolutions du secteur bancaire et les progrès technologiques) et qui pourraient empêcher la banque d’atteindre ses objectifs.

En fait l’identification des événements de risque suit une démarche structurée, basée sur la com-

préhension et l’analyse des processus opérationnels de la banque, de ces produits et de ses systèmes.

A l’issue d’une bonne évaluation, la banque disposera pour l’ensemble de ses processus et de ses

produits d’un inventaire des événements de risque, ainsi que d’une bonne compréhension des fac- teurs de risques associés.

2.1.1 Outils d’identification du risque opérationnel

Le comité de Bâle II a proposé des outils que la banque peut utiliser afin d’identifier et évaluer le risque opérationnel.

19

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

A- Cartographie des risques :

La cartographie des risques permet de définir de manière approfondie les impacts potentiels du

risque, les facteurs qui déclenchent la survenance du risque ainsi que les facteurs qui déterminent

l’envergure du dommage. Nous utilisons une méthodologie rigoureuse de cartographie des risques

afin d’identifier les risques potentiels ainsi que les facteurs déterminants.

Cartographier les risques pour déterminer le profil de risque de la banque. Cette phase est une

étape clé, car elle détermine sensiblement la nature des incidents qui seront collectés et donc suivis

par la suite. C’est également cet exercice qui permettra de définir une nomenclature des risques va-

lable pour l’ensemble de l’organisation, cadre indispensable à une collecte efficace et homogène des

incidents.

Cet exercice passe par les phases suivantes :

1. Décomposer en activités chaque processus supportant des risques opérationnels : Cette étape

consiste à diviser les différents processus élémentaires de la banque en sous processus, voire

d’affiner cette division en dressant une liste des différents fonctions au sein de chaque dépar-

tement de la banque.

2. Pour chaque activité, recenser les risques associés ; faire l’inventaire des différents facteurs du

risque opérationnel auxquels les métiers de la banque peuvent être exposés (recensement des

litiges clients, des pertes financières dues à des dédommagements, des rectifications d’erreurs,

des discontinuités de services, des délais anormaux de traitement d’opérations clientèles )

3. Pour chaque risque, coter les pertes et leur probabilité d’occurrence. Chaque événement le

risque est évalué en terme de :

- Probabilité d’occurrence : c’est la détermination de fréquence d’événements générateurs de

pertes opérationnelles, la fréquence peut être modélisé grâce a un modèle statique (distribution

de poison)

- Perte encourue en cas de réalisation : c’est l’impact de la perte qui s’est produite c’est la di-

mension de sévérité de la perte.

4. Elaborer la matrice les risques sur les axes fréquence et préjudice : il s’agit d’un graphe à deux

dimension, la sévérité et la fréquence.la matrice est divisé en zones selon le niveau de risque et

la nécessité des contrôles.

5. Déterminer « visuellement », à partir de matrice, les risques significatifs (C’est à dire ceux que

l’on décide de recueillir dans l’outil de collecte).

Il s’agit d’un processus dans lequel des fonctions organisationnelles par exemple sont portées sur

une carte par type de risque, ce processus peut relever des zones de faiblesses et aider à prioriser les

actions de gestion subséquent.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL F IGURE 2.1 – Résultat de la cartographie des

FIGURE 2.1 – Résultat de la cartographie des risques

C’est le fait de classer par ordre d’importance la vulnérabilité et ensuite analyser les situations à

risque, pour cela l’analyse du risque s’appuie sur deux variables : gravité et fréquence. Avant d’esti-

mer la gravité il est nécessaire que les décideurs définissent ce qu’ils entendent par grave.

La cartographie des risques se décline en quatre grandes catégories :

Risques de fréquence et de gravité faibles : Ce sont des risques qui se réalisent rarement et dont

l’impact est limité même s’ils se réalisent. L’organisation peut vivre avec ces risques, nous parlerons

de risques mineurs.

Risques de fréquence faible et de gravité élevée : Ce sont des événements qui se produisent

rarement mais dont les conséquences sont significatives lorsqu’ils se produisent. En raison de leur

faible fréquence il est difficile de prévoir et d’anticiper leur survenance. La concrétisation du risque

entraine des conséquences pouvant affecter sérieusement l’activité de l’organisation, le redémarrage

nécessite l’injection de capitaux extérieurs. Cette deuxième catégorie et dénommée risques catastro-

phiques.

Risque de fréquence élevée et de gravité faible : Ces événements se produisent assez réguliè-

rement mais leurs conséquence sont relativement faibles, le risque est généralement prévisible, cette

catégorie peut être dénommé risque opérationnel.

Risques de fréquence et de gravité élevées : les évènements se produisent régulièrement et leurs

conséquences sont à chaque fois significatives. Dans la majorité des cas le décideur abandonne le pro-

jet à moins que le projet soit primordial pour le développement de l’organisation. On parle alors de

situation d’évitement.

L’identification ne doit pas concerner que les risques les plus dangereux mais aussi d’évaluer leur

vulnérabilité à ces risques.

La conception d’une cartographie de risque est un travail complexe et délicat est nécessite l’effort

pour la collecte des données interne et la constitution d’une base de donné des pertes recensés, ainsi

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

que sa mise à jour est indispensable pour le suivi de l’évolution des risques et la prise en considéra-

tion des nouveaux risques.

Les indicateurs de risque

La cartographie représente un support de base pour la mise en place des indicateurs de risque,

de types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque rela-

tivement au risque, ils sont revus périodiquement.

Les indicateurs de risque sont en effet de deux types, des indicateurs- clés de risque ( key risks

indicators) spécifiques à chaque activité et constituent des indices de perte ou des dangers à venir et

d’autre part on a les indicateurs-clés de performances ( key performance indicators) qui constituent

des mesures d’évaluation de la qualité d’une activité.

Chaque activité disposera de son propre ensemble d’indicateur, spécifique à la nature des taches

effectuées, au mode d’organisation des fonctions, au niveau d’automatisation des opérations, au ni-

veau des flux financiers impliqués ou de la législation en vigueurs.

En effet il n’existe pas de liste standard d’indicateurs de risque et de performances pour l’en-

semble des institutions bancaires. On peut citer les indicateurs de risque suivants :

1. Ressources humaines : rotation du personnel, pourcentage d’employés intérimaires, plaintes

de la clientèle

2. Système : interruption du système, tentative d’intrusion informatique

3. Traitement et procédures : corrections d’écritures, plaintes et contestations

C- Le self-assessment

La banque évalue ses opérations et activités à l’égard de vulnérabilités potentielle en termes de

risque opérationnel. La cartographie des risque est une nécessitée pour réussir le mécanisme de

l’autoévaluation. Ce processus est mener en interne et comporte souvent des check listes et ou des

work shops afin d’identifier les forces et les faiblesses de l’environnement du risque opérationnel.

Le self-assesment utilise la technique de scorecard. A titre d’exemples les scorecards permettent de

transformer des évaluations qualitatives en mesures quantitatives qui donnent un classement relatif

de différents types d’exploitation au risque opérationnel.

En outre, les scorecards peuvent être utilisées par les banques afin d’allouer du capital écono-

mique à leurs lignes de métier en relation avec la performance à gérer et contrôler divers aspects du

risque opérationnel. L’autoévaluation représente un outil de maitrise du risque qui est conditionné

à sa couverture.

En fait, sur la base de données exhaustive et pertinente, les banques auront la possibilité de me-

surer leur exposition aux risques opérationnels, prévenir leurs ampleurs et le cas échéant décider du

montant de la couverture qui sera allouée.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Une fois le risque opérationnel est identifié, la banque va procéder a le mesurer. L’exposition au

risque opérationnel est mesurée à l’aide d’une variété d’approche. Les différentes approches de me-

sure qualitative et quantitative seront exposées dans la section suivante.

2.2 Les mesures réglementaires du risque opérationnel selon Bâle

II

La mesure du risque opérationnel correspond à une valeur en risque, similaire dans son principe

à celle calculée dans les domaines du risque de marché et du risque de crédit. Elle doit donc couvrir

à la fois les pertes attendues (expected loss) et les pertes exceptionnelles (unexpected loss). Pourtant,

en théorie, les fonds propres réglementaires ne couvrent que les pertes exceptionnelles et non les

pertes moyennes, ces dernières étant censées être couvertes par des provisions ou imputées sur le

résultat courant. Le Comité de Bâle propose trois approches distinctes pour déterminer le capital

réglementaire au titre du risque opérationnel :

1. L’approche indicateur de base (Basic Indicator Approach ou BIA)

2. L’approche standard (Standardised Approach ou SA)

3. Les approches de mesures avancées (Advanced Measurement Approach ou AMA)

Les banques ont la possibilité de choisir celle qui leur paraît correspondre le mieux à la spécificité

de leur activité, mais aussi à leur capacité globale d’action. Elles doivent en effet s’assurer qu’elles

disposent de l’ensemble des moyens nécessaires à la mise en oeuvre de la solution retenue. Le degré

de sophistication de chacune de ces trois méthodes est en effet croissant.

2.2.1 L’approche de l’indicateur de base

Selon l’approche de l’indicateur de base (basic indicator approch ou BIA), le capital réglemen-

taire en couverture du risque opérationnel est égale à un pourcentage, appelé facteur α , égale à 15

% du revenu annuel brut moyen de l’établissement sur les trois dernières années. Celui-ci se définit

comme la somme des intérêts créditeurs nets et autres produits d’exploitation. Il exclut les provi-

sions, les plus ou moins values liées au portefeuille-titres, et les éléments exceptionnels.

La règle peut donc être exprimée de l’équation suivante :

K=α×RB

Selon cette approche très simplifiée, l’ampleur du risque opérationnel est une fonction positive du

volume des activités, dont les différents éléments du revenu annuel brut sont ici des estimateurs. Les

données de revenus, directement puisées dans la comptabilité officielle, ont l’avantage d’être dispo-

nible pour toutes les institutions, à la différence d’autres indicateurs plus complexes.

Le taux de 15% a été retenu suite aux deux premières études quantitatives d’impact réalisées lors

du calibrage de l’accord.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Catégories d’activités

Taux β

Financement des entreprises

18%

Négociation et vente

18%

Fonction d’agent

18%

Banque commerciale

15%

Paiement et réglement

15%

Banque de détail

12%

Gestion d’actifs

12%

Courtage de détail

12%

TABLE 2.1 – Facteur β par ligne d’activité- approche standardisé

En effet il apparait qu’en moyenne 15% du revenu annuel brut représente le montant cible de

capital réglementaire opérationnel, pour les 29 établissements ayant répondu aux premières études

quantitatives d’impact lancées par le comité en mai 2001.

L’approche de l’indicateur de base vie spécifiquement les plus petits établissements, les petites

structures de banques locales ou filiales, de moindre importance, d’autres grands établissements,

pour lesquelles les quelles le cout de mise en place d’approches plus élaborées serait prohibitif ou

économiquement déraisonnable.

2.2.2 L’approche standard

L’approche standard est en fait un prolongement plus fin de la BIA en déclinant ce type de calcul

par type d’activité.

Le capital réglementaire est ici fonction d’un pourcentage du produit brut, appelé facteur β, éta-

bli à 12%, 15%, ou18% selon le niveau du risque opérationnel estimé de chaque activité.

Cela se traduit par la règle suivante :

K= i=1 K(i) = i=1 β(i) × RB(i)

8

8

Avec K(i) représente le capital réglementaire associé à la ligne i, RB(i) est le revenu brut de la ligne

correspondante, et β(i) est le coefficient associé.

L’approche standardisée permet en outre de prendre en compte la nature de l’activité de l’insti-

tution.

Ainsi une institution dont l’activité se concentre sur les opérations les moins risquées ou bénéfi-

ciera d’une charge en capital moindre que celle présente dans tous les types d’activités ou dans les

plus risquées.

Le tableau ci-dessus détaille les lignes d’activités et les pourcentages de revenus correspondants

pour le calcul du capital réglementaire.

Les taux de calcul du capital réglementaire proviennent de la deuxième étude quantitative d’im-

pact, portant sur 29 établissements, ceux qui ont répondu à l’enquête lancé par le comité de Bâle.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

A propos des méthodes standard et des coefficients béta, le comité reste d’ailleurs prudent, en

précisant que : « une banque doit élaborer des politiques spécifiques et disposer de critères consignés

par écrit pour mettre en correspondance le produit brut des diverses catégories d’activité et unités

avec le dispositif standardisé. Les critères doivent faire l’objet d’un examen et d’un ajustement, selon

les besoins, de façon à intégrer les innovations/changement d’activité et de modification des risques

».

2.2.3 Les approches de mesures avancées

Il ne s’agit plus d’une approche unique, définie par le régulateur, mais d’un ensemble de modèles

internes réunies sous le vocable « d’approche de mesures complexes » ou AMC (Advanced measu-

rement approch ou AMA) approuvé par les autorités de contrôle sur la base d’une série de critère.

Selon l’AMa, l’exigence de fonds propres réglementaire équivaut à la mesure du risque opéra-

tionnel produite par le système interne de la banque, sur base de critères quantitatifs et qualitatifs.

Le Comité de Bâle propose plusieurs alternatives au sein du régime AMA : la méthode Sco-

recard, l’analyse de scénarios (Scenario-based AMA), et enfin, la méthode LDA (Loss Distribution

Approach), la plus sophistiquée au plan technique. La pratique de chacune de ces méthodes est sou-

mise au respect d’un ensemble de critères qualitatifs, notamment en termes d’évaluation du risque

opérationnel et de procédure de collecte des données de perte. C’est là leur dénominateur commun.

Sur le fonds, la différence concerne essentiellement le type d’information privilégié dans le calcul du

capital réglementaire.

Les accords de Bâle II n’imposent aucune méthode particulière de calcul pour les banques adop-

tant l’approche de mesures complexes (AMA). Ce choix est laissé à la discrétion des banques, pourvu

qu’elles satisfassent aux critères qualitatifs et quantitatifs énoncés dans l’accord.

Deux principales méthodologies sont utilisées pour le déploiement de ces approches de mesures

avancées.

1. La méthodologie Top-Down

La méthodologie Top down donne une estimation du risque opérationnel sur la base des varia-

tions historiques des résultats après intégration de facteurs tels que l’évolution de l’activité où

le coût lié aux changements. L’hypothèse sous-jacente est que les pertes historiques sont une

bonne mesure des pertes futures.

Dans cette approche, certaines banques ont tendance à évaluer l’exigence de fonds propres

pour le risque opérationnel en prenant simplement un pourcentage d’un indice d’activité comme

le produit brut bancaire.

D’autres estiment le risque opérationnel selon un pourcentage fixe correspondant aux coûts

opérationnels de l’établissement où de la ligne métier. La Bank of America prend par exemple

25% des coûts fixes et 50% des dépenses autre que les intérêts versés.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Selon cette approche, on peut envisager un schéma dans lequel le montant alloué en fonds

propres pour couvrir le risque opérationnel serait égal :

IndiceActivit × Multiplicateur × k

Avec k est un score représentant l’environnement.

Cette approche présente l’avantage de sa facilité à mettre en place, une fois que l’élément in-

connu de volatilité des résultats historiques des activités est résolu. Toutefois elle présente une

faible valeur analytique. Un rapport difficile à établir entre perte et revenu variable et entre

risque opérationnel et revenu variable.

On peut dire que les modèles proposés par cette méthode ne sont pas propices à la mise en

oeuvre d’un contrôle interne, d’où son ignorance à la qualité du contrôle. Dans ce cadre et

pour mieux maîtriser le risque opérationnel les établissements s’orientent d’avantage vers des

approches à forte valeur ajoutée type " Bottom Up ".

2. La méthodologie Bottom-Up

Les modèles Bottom -Up correspondent à une approche structurelle dans laquelle l’identifica-

tion, l’évaluation des pertes et risques sont définis à l’intérieur de la banque en fonction de la

logique de comportement, en séparant tout ce qui peut provenir des personnes, des processus

et de la technologie.

En effet, lors d’une telle approche, chaque opération est analysée de son initiation jusqu’à sa

comptabilisation. A chaque étape les tâches et contrôles clés sont décrits, testés et évalués.

Le recensement et l’évaluation des risques opérationnels se faisant selon une cartographie

(zones géographiques, ligne métier, entité, activité et productivité) qui se décline de la plus

globale à la plus exhaustive.

Cette approche apparaît plus utile pour comprendre la nature du risque opérationnel et pour

permettre un contrôle interne. Elle est à forte valeur ajoutée car elle intègre des cartographies

des risques opérationnels liés aux activités et processus comprenant l’identification, l’analyse

et l’évaluation des risques.

Elle permet de contribuer à la connaissance des risques opérationnels au niveau des activités,

et au changement comportemental des différents acteurs et notamment les opérationnels.

Toutefois elle présente l’inconvénient de la subjectivité et la consistance des évaluations.

Les approches de mesures avancées sont :

L’approche LDA (Loss Distribution Approach)

L’idée de base de LDA est assez simple : on considère que la perte annuelle totale d’une banque

due au risque opérationnel se compose de deux éléments, la fréquence et la sévérité. Chacune se

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

présente sous la forme d’une distribution statistique. La distribution de fréquence représente l’oc-

currence d’événements de pertes opérationnelles, c’est-à-dire le nombre de pertes observées. La dis-

tribution de sévérité traduit quant à elle l’amplitude de ces pertes, à savoir le montant, en unités

monétaires, des pertes individuelles subies par la banque.

L’idée générale de la méthode LDA (Loss Distribution Approach) est de modéliser la perte liée

au risque opérationnel pour une période donnée (par exemple, un an) et d’en déduire la valeur en

risque. Frachot et al. (2003) proposent de procéder en cinq étapes pour implémenter cette méthode :

- Estimation de la distribution de sévérité.

- Estimation de la distribution de la fréquence.

- Calcul de la charge en capital.

- Calcul des intervalles de confiance.

- incorporation des avis d’experts.

A l’instar de la plupart des modèles de mesure du risque opérationnel, la LDA se fonde sur une

approche actuarielle (fréquence/sévérité) très ancienne largement utilisée dans le domaine de l’as-

surance pour modéliser des problèmes similaires.

Pour que le modèle LDA puisse tourner, il faut lui fournir deux éléments essentiels : la distri-

bution de la sévérité des pertes (loss severity distribution, en général suit une loi log-normale ou

de pareto) et la distribution de la fréquence des pertes (loss frequency distribution, en génral une

loi de poisson). Ces deux distributions, qui forment l’historique des pertes, sont ensuite combinées

par convolution afin d’obtenir la distribution de la perte totale. Celle-ci étant le résultat de plusieurs

pertes successives, il s’agit d’une perte agrégée (aggregate loss distribution).

A partir de la perte totale, on dérive ensuite la perte attendue ou moyenne (expected loss) et la

perte exceptionnelle (unexpected loss), pour un niveau de confiance donné.

Formulation de l’approche LDA

Nous désignerons par j = 1,

,

J les activités et par k = 1,

,

K les événements de risque.

S j,k : La v.a représentant le montant de perte pour l’activité j et l’événement k.

N j,k : La v.a représentant le nombre de perte pour l’activité j et l’événement k.

p j,k : La fonction de probabilité de N j,k .

La fonction de répartition de la fréquence pour l’activité j et l’événement k correspond à la for-

mule suivante :

 

j,k (n) = n

P

r=0 p j,k (r)

On a :

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

avec :

S j,k =

N j,k

i=1

(i)

j,k

X

(i)

X j,k : Le montant de la ième perte pour l’activité j et l’événement k.

On peut montrer que :

F S j,k (x) =

n=0 p j,k (n)F

n

X

(x)

avec F S j,k (x) la distribution de perte agrégée

Une fois la distribution de perte agrégée est déterminée, on peut calculer OpVaR pour lactivité j

et l’événement de risque k :

1

OpV aR(j, k, α) = F j,k (α) = inf x :

S

F S j,k (x) α

Et donc, on peut calculer OpVaR totale :

OpV aR(α) =

J

j=1 K

k=1 OpV aR(j, k, α)

Exemple de simulation : Algorithme de Monte Carlo

1. A partir de la valeur de λ estimée, on génère un nombre de pertes N suivant une loi de P (λ).

2. A l’aide des paramètres estimés de la loi de sévérité, on génère N valeurs X i , i = 1,

, N

suivant une loi Log-Normale avec les paramètres estimés.

3. On calcule S = X i

4. On répète les étapes 1 à 3 K fois afin d’obtenir K valeurs de S, c’est-à-dire une distribution de

perte agrégée.

5. On calcule le quantile de S au niveau 99,9%.

L’approche Scorecard

L’appellation « scorecard » regroupe un ensemble d’approche visant à identifier, mesurer et sur-

veiller les risques opérationnels. Ces approches traduisent une évaluation qualitative des risques et

des contrôles en une valeur numérique ou score.

L’un des objectifs poursuivis par les banques ayant développé et implémenté une approche Sco-

recard est de se doter d’un outil permettant de faire le lien entre la mesure et la gestion du risque

opérationnel.

Les grandes étapes de mise en oeuvre de la démarche scorecard sont les suivantes :

Evaluation du capital initial en se basant sur une autre approche : celle-ci pourrait être l’approche

LDA, l’approche des scénarios, l’utilisation du benchmarking ou une méthode forfaitaire. Il est cru-

cial à ce stade de considérer ce capital initial crédible.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL F IGURE 2.2 – La Méthode Loss distribution Approach

FIGURE 2.2 – La Méthode Loss distribution Approach (LDA)

Définition de la structure de la scorecard et sa mise en oeuvre, permettant d’aboutir à un score

pour chaque catégorie de risque et pour chaque ligne de service.

Allocation du capital initial aux lignes de service sur base du score et donc des performances de

l’organisation en matière de maitrise du risque opérationnel. Par la suite, le capital alloué à chaque

ligne de service va varier en fonction de l’évolution des résultats de scorecard. Dans cette approche,

le capital initial n’est pas recalculé à chaque évaluation.

Conformément aux exigences du comité de Bâle, les données internes ont également un rôle à

jouer dans l’approche scorecard.

Ces données internes et externes sont utilisées à plusieurs niveaux. En effet, elles peuvent être uti-

lisées de la détermination du capital initial en utilisant une approche de distribution de pertes.une

autre utilisation intéressante de ces pertes est leur analyse afin d’identifier les facteurs de risques

ayant amené à la réalisation de ces pertes est leur analyse afin d’identifier les contrôles internes per-

mettant de réduire l’impact ou de contrôler les facteurs de risque identifiés.

Une fois la scorecard établie et utilisée, les pertes internes et externes peuvent etre utilisées afin de

valider la qualité des réponses apportées aux questionnaires. De plus, leur analyse régulière permet

de s’assurer que les risques et facteurs de risque associés sont actualisés, ce qui permet de prendre

en compte l’apparition de nouveaux facteurs de risque dans l’anlyse. La validation des résultats de

la scorecard avec des donnés objectifs est importante, compte tenu des nombreux éléments subjectifs

intervenant dans sa construction.

Le Comité de Bâle n’a fourni aucune formulation mathématique pour cette approche.

L’approche par les scénarios

L’approche scénarios est en fait un prolongement de l’approche scorecard. Le risque y est envi-

sagé comme une combinaison de la sévérité et de la fréquence des pertes potentielles sur une période

donnée. La fréquence et la sévérité (potentielles) de la perte peuvent être mesurées en unités moné-

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

taires et en nombre d’occurrences annuelles. Le risque reflète en quelque sorte la vulnérabilité de la

banque. L’évaluation du risque devrait par conséquent se focaliser sur les vecteurs de cette vulné-

rabilité. Or, celle-ci provient pour l’essentiel des facteurs de risque sous-jacents. Réduire le niveau

de risque opérationnel impose donc une bonne lisibilité de l’exposition du portefeuille de la banque

aux différents facteurs de risque préalablement définis.

L’un des objectifs de l’utilisation de cette approche dans la quantification des risques opération-

nels est de fournir une évaluation prospective du risque opérationnel.

En fait, on pourrait considérer que l’évaluation du risque est intrinsèquement liée à l’analyse de

scénarios, qui s’applique d’ailleurs également aux risques de marché et de crédit.

De manière générale, les scénarios sont des événements susceptibles de se produire dans l’avenir.

Ils expriment l’idée selon laquelle les experts d’une banque ont certaines intuitions ou des informa-

tions sur le risque qui ne sont pas contenues dans l’historique de données. Pour être réellement utile

à des fins de décision en matière de risque, une analyse de scénarios doit être en mesure de répondre

à ces deux questions : à quelle fréquence le scénario X est-il susceptible de se produire ? Quel est le

montant de la perte si le scénario X se produit ?

L’axe principal de développement de cette approche est le développement et l’évaluation des

scénarios, ces derniers doivent permettre d’évaluer les deux paramètres caractérisant le risque : la

fréquence et la sévérité potentielle d’un événement générateurs de pertes.

Cette évaluation nécessite la constitution de scénarios, chaque scénario prenant en considération

l’ensemble des facteurs de risque opérationnel.

Parmi les facteurs de risque opérationnel les plus courant, on recense le niveau de compéten-

ce/qualification du personnel, l’organisation interne/transferts d’information, l’infrastructure IT (

sécurité des systèmes), les procédures de contrôle des activités non autorisées/vol et fraude/erreurs

non intentionnelles ( saisie, exécution et suivi des transactions), les mesures de protection contre des

catastrophes et autres sinistres, ou encore, le respect des obligations légales ( conformité, diffusion

d’informations et devoir fiduciaire).

En considérant ces différents éléments, la banque va donc générer des scénarios sous forme de

questions « what if ».

Pour chaque scénario, l’évaluateur considère plusieurs hypothèses, dont par exemple un cas nor-

mal, un cas extrême et un cas catastrophique.

En effet, les scénarios vont se construire en fonction de l’organisation de la banque et de la catégo-

risation d’événement de pertes. Les facteurs de risque et les indicateurs de risque associés serviront

de contexte et de base a l’évaluation des scénarios.

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL F IGURE 2.3 – Les approches de mesure du

FIGURE 2.3 – Les approches de mesure du risque opérationnel

2.2.4 Les critères d’agrément pour l’approche standard et l’approche de mesure avancées

Les critères généraux sont identiques par définition entre les différents approches. Les critères

qualitatifs sont quant à eux similaires entre les approches standardisé et complexes, qu’il est préfé-

rable de les présenter conjointement.

Ils sont relatifs aux modes d’organisation de la gestion des risques, et représentent en réalité

une version synthétique du document « sound practices for the management and supervision of

operational risk »qui complète le premier pilier en matière de risques opérationnels. Il vise à as-

surer un niveau minimum en matière de risques.il est applicable à l’ensemble des établissements,

indépendamment de l’approche choisie. Seuls les critères quantitatifs d’agrément sont propres aux

approches complexes.

Critères généraux

Ces critères doivent être rencontrés par toutes les institutions, quelle que soit l’approche adoptée :

- Participation active du top management de l’établissement (conseil d’administration et direc-

tion générale) à la surveillance du dispositif de gestion du risque opérationnel.

- Intégrité dans la mise en oeuvre d’un système sain de gestion des risques.

- Allocation de ressources suffisantes par rapport à l’approche choisie dans les unités principales

et à l’audit interne.

Critères qualitatifs

Ces critères s’appliquent pour l’approche standardisé lorsqu’elles sont mises en oeuvre par des

banques actives au niveau international, ainsi que pour l’approche de mesures complexes :

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Définition des rôles : les fonctions et les responsabilités des gestionnaires des risques opération-

nels doivent être clairement définies et attribuées. Ils sont responsables de la conception et de la mise

en oeuvre du système d’identification, de mesure, de surveillance, d’atténuation et de notification du

risque opérationnel au sein de la banque.

Collecte des données : la banque doit enregistrer systématiquement les pertes significatives par

catégorie d’activité. Ces informations doivent tenir une place prépondérante dans la notification

des données sur les risques dans les rapports adressés à la direction. La banque doit disposer de

techniques permettant d’inciter à une meilleure gestion du risque opérationnel dans l’ensemble de

l’établissement.

Notification et documentation : L’exposition aux risques et notamment les pertes importantes

doivent faire l’objet d’une notification régulière au top management. Le système de gestion et les

procédures doivent faire l’objet d’une documentation correcte et complète au sein de la banque.

Révision périodique : les processus de gestion feront l’objet d’une validation et d’un examen

périodique par les auditeurs externes et/ou les autorités de contrôles.

2.2.5 Critères quantitatifs propre à l’approche des mesures avancées

Critères de solidité

Le comité de Bâle s’abstient délibérément de préciser l’approche, les hypothèses ou les distribu-

tions a utilisé pour quantifier le risque opérationnel.

Sa seule exigence est que la banque apporte la preuve que sa mesure du risque opérationnel pré-

sente une robustesse suffisante pour couvrir les pertes avec un intervalle de confiance de 99,9%. En

d’autre terme le capital réglementaire doit être suffisant pour couvrir les pertes dans 99, 9% des cas

possible.

Critères spécifiques

- Le système de mesure interne des risques doit couvrir la totalité des types d’événements de

risque opérationnel définis par le comité.

- La banque doit calculer les fonds propres suffisants pour couvrir ses pertes anticipées ou atten-

dues et ses pertes inattendues, sauf si elle fait la démonstration que ses systèmes internes couvrent

adéquatement les pertes attendues (parfois appelées pertes moyennes).

- La granularité du système de mesure doit être suffisante pour appréhender les sources de risque

affectant les plus grands montants de pertes de la distribution.

- Pour le calcul des fonds propres, les différentes mesures individuelles et de pertes doivent être

agrégées « la banque peut toutefois être autorisée à appliquer des corrélations déterminées en in-

terne entre ces estimations individuelles

la

banque doit valider ses hypothèses de corrélation ».

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

- Tout système interne de mesure du risque doit comprendre les éléments- clés suivant : utilisa-

tion des données externes pertinentes, analyses de scénarios, prise en compte de facteurs reflétant

l’environnement de travail et les systèmes de contrôles internes.

- La banque doit disposer d’un système complet, bien documenté et transparent, décrivant la mé-

thodologie de mesure du risque et justifiant les poids relatifs donnés aux différents éléments décrits

au point précédent.

2.2.6 Critères internes

La banque doit collecter ses données internes de pertes, afin de mettre en relation les estimations

de risques et les pertes effectives.

La banque doit disposer de procédures claires afin de relier les pertes à un types d’activité.

L’historique de pertes collectées doit être d’au moins cinq ans, avec une exception de trois années

historique pour la première année de la mise en oeuvre de la méthode AMC (en 2007).

Le processus de collectes des données de pertes interne doit répondre aux caractéristiques sui-

vantes :

- La mise en correspondance des données avec les catégories prudentielles définies, tant en terme

de types d’événement que de lignes d’activité ; la banque doit donc documenter sa règle de conver-

sion éventuelle entre ses catégories internes et les catégories officielles du comité.

- La fixation d’un seuil de notification des pertes. La banque doit disposer d’un montant mini-

mum de pertes brutes à partir duquel elle notifie la perte. Un montant de 10000 euros est mentionné

à titre d’exemple. Le seuil de notification doit être globalement similaire à celui de banques compa-

rables.

- Outre le montant brut rapporté, divulgation d’une information complémentaire dans la notifi-

cation. La quantité d’information à collecter est liée à l’empileur de la perte.

- Identification d’une clé spécifique pour l’allocation des pertes par ligne d’activité, en particulier

pour la survenance d’événements dans les fonctions centrales.

- Isolation des pertes importantes associées au risque crédit et traitement comme résultant d’un

incident opérationnel.

- Traitement des pertes opérationnelles liées à un risque de marché comme du risque opération-

nel pour le calcul de l’adéquation du capital.

Les critères de données internes détaillent donc les exigences et le processus de collecte de don-

nées de pertes internes. Ce sont ces exigences qui ont constitué l’aiguillon le plus puissant pour le

démarrage de la mise en place de la gestion de risques opérationnels dans les banques.la nécessité

de disposer, au moment de la mise en oeuvre de l’accord, d’un historique de pertes de trois ans mi-

CHAPITRE 2. OUTILS D’IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

nimum a sorti brutalement les banques de leur torpeur et lancé le processus long. Couteux, mais

indispensable pour la collecte des données de pertes, qui constitue la pierre angulaire de la modéli-

sation du risque et des outils de sa gestion active.

Données externes

Le système de mesure du risque opérationnel d’une banque doit utiliser des données externes

pertinentes notamment lorsqu’il existe des raisons de croire que la banque est exposée à des pertes

peu fréquentes mais potentiellement lourdes, une banque doit disposer d’un processus systématique

pour déterminer les situations nécessitant de recourir à des données externes et les méthodologies à

utiliser pour incorporer ces données.

Analyse de scénarios

Outre l’approche quantitative basée sur les données de pertes et les analyses de scénarios, la mé-

thodologie doit intégrer les facteurs de risque pouvant modifier le profil de la banque. La prise en

compte de ces facteurs doit répondre aux caractéristiques suivantes :

- Chaque facteur doit représenter un vecteur de risque pertinent, basé sur l’expérience et sur un

jugement d’expert.

- La sensibilité des risques face à ce facteur, ainsi que le poids de chaque facteur doivent être

justifiés.

- Tous les aspects de l’application de chaque facteur, y compris ses conséquences sur l’ajuste-

ment des estimations empiriques, doivent être documentés et soumis à un examen indépendant de

la banque. Le résultat modélisé doit être comparé aux données de pertes réelles collectées dans la

banque.

CHAPITRE 3

CHAPITRE 3 LA GESTION DU RISQUE OPÉRATIONNEL Depuis que le comité de Bâle réglemente la gestion
CHAPITRE 3 LA GESTION DU RISQUE OPÉRATIONNEL Depuis que le comité de Bâle réglemente la gestion

LA GESTION DU RISQUE OPÉRATIONNEL

Depuis que le comité de Bâle réglemente la gestion du risque opérationnel, nous assistons à une évolution des mentalités et de la manière dont sont gérés les risques opérationnels.

Une gestion intégré au lieu que fragmentée, une perception positive du risque, orienté vers le futur et vers l’apport d’une valeur ajoutée, piloté par des processus avec une couverture large qui englobe tout l’activité. Au-delà des règles et modèles de mesures des fonds propres réglementaire suffisants pour couvrir au plus juste l’exposition au risque de chaque établissement bancaire, le comité de Bâle et l’ensemble des régulateurs accordent avec raison une importance majeure à la gestion active des risques. La régle- mentation en matière de risques opérationnels soumet les règles à un ensemble de critère d’agrément caractérisant la fonction de gestion des risques. Elle complète ces règles par un document décrivant les bonnes pratiques à atteindre en matière de gestion des risques opérationnels. En se basant sur les saines pratiques édictées par le comité de Bâle, quatre étapes clés sont nécessaires pour la gestion du risque opérationnel. L’identification, l’évaluation et le suivi qui vont faire l’objet de la première section et la deuxième section est consacrée aux moyens de maitrise et d’atténuation du risque opé- rationnel.

3.1 L’identification, l’évaluation et le suivi du risque opérationnel

3.1.1 L’identification du risque

L’identification est primordiale pour que puissent être développés un contrôle et un suivi viable du risque opérationnel. Identifier les détenteurs du risque ainsi le fait de l’isoler permet d’obtenir une vue globale de tous ces composants et dimensions du risque équivaut à une analyse en pro- fondeur des opérations. Pour réaliser cet exercice Un ensemble d’outils d’identification a été déjà présenté on peut ajouter aussi la réalisation d’un due diligence opérationnel complet qui donnerait le niveau de détail et d’interaction requis pour chaque processus impliqué.

35

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

3.1.2 L’évaluation du risque

L’évaluation du risque s’appuiera sur la propre analyse et évaluation de la conformité de l’ins- titution avec l’approche utilisée (les approches de mesures convoquées dans le Chapitre II sur une base entièrement consolidée).

Le processus d’évaluation vise principalement le développement d’une mesure des fonds propres plus sensible aux risques et de meilleures pratiques de gestion du risque opérationnel.

3.1.3 Le suivi du risque

Il s’agit d’une activité inhérente à un suivi dynamique de la gestion des risques.

Selon le comité de Bâle : « Les banques devraient mettre en oeuvre un processus de suivi régu- lier des profils de risque opérationnel et des expositions importantes à des pertes. Les informa- tions utiles à une gestion dynamique du risque opérationnel devraient être régulièrement com- muniquées à la direction générale et au conseil d’administration. »

Pour une politique dynamique de la gestion du risque, le suivi est primordial. Pour cela, un sys- tème de suivi se basera sur les indicateurs clés ainsi que sur les indicateurs d’alerte avancée, très semblables aux fameux KPI (indicateurs de performance).

C’est ici que la gestion des risques opérationnels se distancie quelque peu des autres approches de gestion du risque pour se rapprocher des techniques de performance opérationnelle.

Pour les besoins du suivi, l’approche bottom-up est applicable, ce qui veut dire que les indi- cateurs clés du risque doivent être définies à plusieurs niveaux de responsabilité. D’ordinaire, un manager ne sera intéressé que par 5 voire 7 indicateurs maximum, ce qui signifie que, comme pour les KPI, il convient de définir des indicateurs différenciés pour les responsabilités stratégiques, tac- tiques et opérationnelles. Là encore, et bien que définir des indicateurs clés sur base d’une apprécia- tion individuelle soit possible, cet exercice tirera tout son avantage des techniques de simulation qui analyseront les scénarios et testeront les différents cas. Non seulement la pertinence des indicateurs clés sera ainsi avérée, mais leur gestion dynamique dans un environnement en constante évolution sera également simplifiée.

La régularité et la périodicité du suivi va permettre la détection et une réaction rapide contre tout défaillance, insuffisance des politiques, procédure et processus de gestion du risque et tout en s’adaptant a la fréquence et la nature des modification de l’environnement opérationnel.

Les résultats du processus de suivi doivent faire l’objet de rapport, ce dernier doit contenir des données internes (aspects financiers, opérations et conformité), ainsi que des informations externes (de marché) sur les événements et conditions qui peuvent influencer le processus de décision. Les rapports devraient être distribués aux niveaux hiérarchiques appropriés.

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

3.2 Les moyens de maîtrise et atténuation du risque opérationnel

Selon le comité de Bâle :«Les banques devraient adopter des politiques, processus et procé- dures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétit pour le risque et de leur profil de risque globaux. »

Face au risque opérationnel plusieurs actions peuvent être prises :

- Accepter

- Supprimer l’activité porteuse de risque

- S’assurer contre le risque supposé

- Tester des alternatives

- Elaborer un plan de secours

En effet, pour tous les risques opérationnels qui ont été identifié, la banque devrait pouvoir déci- der si elle dispose des procédures appropriées pour contrôler et /ou atténuer les risques, ou si elle si elle supporte ces risques. Pour les risques qui ne peuvent pas être contrôlé, la banque devrait décider si elle accepte ces risques (faire recours a l’assurance), si elle réduit le niveau d’activité économique impliquée, ou si elle se retire complètement de cette activité. Pour cela on doit disposer de processus et procédures de contrôle et d’un système assurant la conformité des opérations à un ensemble de politique interne dument documenté concernant la gestion du risque.

Le renforcement du système de contrôle est un élément clé pour la maitrise du risque donc il semblé logique la mise en place d’un système de contrôle interne.

3.2.1 Le contrôle interne

Les principes de contrôle interne

La mise en place d’un dispositif de contrôle interne pour la maîtrise du risque opérationnel né- cessite que les principes suivants soient définis :

1. La définition d’un organigramme détaillé : précisant les pouvoirs et les responsabilités, cet organigramme doit faire apparaître les différentes fonctions et les noms de leurs responsables. Chaque responsable d’entité a ainsi le devoir de mettre en place un système de contrôle in- terne efficace, en coordination avec les autres structures de la banque, tutelles fonctionnelles et hiérarchiques. Plus généralement il concerne l’ensemble des collaborateurs, quel que soit leur niveau de responsabilité.

2. La séparation des fonctions : qui a pour objectif, par une organisation adéquate ou un ratta- chement hiérarchique différent, d’éviter qu’une personne ou un groupe de personnes cumulent

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

les fonctions d’engagement, de règlement, d’enregistrement et de contrôle dans un même pro- cessus opérationnel. Elle permet ainsi de prévoir une distinction nette entre celui qui décide et celui qui exécute, entre celui qui opère et celui qui valide tout en offrant une garantie d’un contrôle indépendant et permanent sur l’activité. L’objectif recherché est de prévenir et dis- suader, ou à défaut de permettre une détection sans retard des erreurs ou des irrégularités commises.

3. Définition des postes, pouvoirs et responsabilités : consiste à préciser à chaque niveau d’exé- cution l’origine des informations à traiter, la liste des tâches à effectuer, (les modalités d’enre- gistrement de traitement, de restitution des informations, les procédures de contrôle associées à chaque étape), la périodicité des traitements et les destinataires des informations traitées (compte-rendu des travaux).Cette description doit être complétée par un système d’autorisa- tions et de délégations de pouvoirs de signatures qui définit les limites d’engagement par per- sonne ou par organe décisionnel et les différents niveaux d’approbation requis selon le type d’engagement.

4. Le descriptif des processus opérationnels : qui doit préciser les modalités de circulation de traitement et de classement des informations. Il est réalisé sous la forme d’un diagramme de circulation des informations décrivant les étapes successives et logiques de traitement des opé- rations et d’un narratif décrivant (la nature des informations à traiter, le traitement de l’infor- mation, les documents supports de l’information, les tâches rattachés à chaque poste de travail, la destination des informations produites).

3.2.2 Organisation des contrôles

L’organisation des contrôles repose sur des contrôles à deux niveaux :

Les contrôles de 1 er niveau regroupent tous les contrôles permanents (à priori et à posteriori) mis en oeuvre au niveau de chaque entité opérationnelle et permettant de vérifier l’exhaustivité et la régularité des opérations traitées. Ils comprennent, des contrôles quotidiens qui assurent la sécurité et la qualité des opérations traitées et qui reposent sur le respect permanent des règles et procédures en vigueur (séparation des fonctions, délégation de pouvoirs et signatures, etc.) et une supervision formalisée par la hiérarchie pour vérifier la correcte application des règles et procédures au quoti- dien.

Les contrôles à priori regroupent tous les contrôles quotidiens mis en place afin qu’aucune erreur ne se produise. Les contrôles à posteriori ont pour objectif de détecter les anomalies que les contrôles à priori n’ont pas permis d’éviter.

Pour les processus opérationnels longs, le contrôle de 1 er niveau peut être assuré par plusieurs services ou personnes.

Les contrôles de 2 me niveau sont confiés à toute personne ou organe chargé de vérifier périodi- quement que les contrôles de 1 er niveau sont correctement réalisés : contrôle du fonctionnement de la surveillance permanente, de vérifier l’application des procédures, d’apprécier la qualité des trai- tements effectués et de s’assurer de la prise en compte des exigences de contrôle interne.

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

L’audit interne et/ou externe fait partie des contrôles de 2 me niveau.

A ce titre, le contrôle interne dispose de plusieurs dispositifs visant la maitrise du risque.

- Identification des risques liés au fonctionnement des unités.

- Evaluation des risques mesurables

- Elaboration de politiques de prises de risques adaptées aux enjeux

- Limite des risques, prévoyant la fixation de limites globales et opérationnelles, la revue, la me- sure, le suivi des dépassements et des régularisations.

- Suivi des performances d’ensemble.

Le contrôle interne est assuré par différents composantes de l’organisation et a pour objectif pre- mier de s’assurer que les opérations sont traitées et gérées, conformément aux normes, aux règles et aux procédures en vigueur. Dans ce dispositif, l’audit interne consacre l’essentiel de ses missions, à vérifier que ces procédures sont à jour et que les opérationnels les ont comprises et les appliquent totalement, au quotidien, d’où une nouvelle organisation de la gestion des risques opérationnels par l’audit interne.

3.2.3 L’audit interne

Principes et fonctions de l’audit interne

L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assu- rance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contri- bue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

D’un point de vue général, l’Audit Interne intervient sur les domaines suivants :

1. L’examen et l’évaluation de l’efficacité des dispositifs de contrôle interne.

2. Le contrôle de l’application et de l’efficacité des procédures de management du risque et mé- thodes de mesure de risque.

3. Le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des rapports fi- nanciers.

4. Le contrôle des moyens de sauvegarde des actifs.

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

5. Le contrôle du système de mesure de risque par rapport aux fonds propres.

6. Les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de contrôle interne.

7. Le contrôle des dispositifs mis en place pour s’assurer qu’ils sont conformes aux exigences légales et réglementaires, aux codes de conduite, et à la mise en oeuvre des politiques et procé- dures.

8. Le contrôle de la sincérité, de la fiabilité et de l’opportunité des reportings réglementaires.

L’Audit Interne dans les banques évolue vers un rôle d’acteur de premier plan, en charge en par- ticulier de la conduite du changement et de la gestion des risques. Toutefois le respect de certains principes conditionne le succès de ses missions.

Voici, quelques principes de base pour la fonction Audit Interne :

- Le service d’Audit Interne doit être en mesure d’exercer sa mission de sa propre initiative dans

tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire un rap- port sur ses résultats et évaluations et de les communiquer en interne. Le principe d’indépendance implique le rattachement du service audit interne, soit au président de la banque, soit au conseil d’administration, soit à son comité d’audit.

- Toutes les banques devraient disposer d’une charte d’audit qui mette en valeur le statut de

l’autorité de la fonction d’audit interne au sein de l’établissement de crédit. Ceci revient à fixer les objectifs et le champ d’intervention de l’audit interne, ses positions dans l’organisation, et la respon- sabilité du responsable de l’audit interne.

- La fonction d’audit interne doit être objective et impartiale, ce qui signifie que l’audit doit pou-

voir effectuer ses missions sans préjugé et sans subir de pression. Pour être objectif et impartial le service d’audit interne doit-lui même chercher à éviter tout conflit d’intérêt. A cette fin les missions d’auditeurs doivent changer périodiquement chaque fois que c’est possible.

- Le service d’audit interne doit se préoccuper des dispositions légales et réglementaires qui ré-

gissent les opérations de la banque, les politiques principes, règles, lignes de conduite interne édic- tées par les autorités de tutelle relatives à l’organisation et à la gestion des banques. Cependant cela ne signifie pas que l’audit interne doit assumer les fonctions de contrôle de la conformité.

- Le service de l’audit interne doit évaluer en particulier, la conformité de la banque à la régle-

mentation et aux contrôles des risques (quantifiables et non quantifiables), la fiabilité y compris (l’in- tégrité, l’exactitude et l’exhaustivité) ainsi que la disponibilité en temps opportun de l’information financière et de celle destinée au management, la continuité et la fiabilité des systèmes d’information et l’organisation des services.

CHAPITRE 3. LA GESTION DU RISQUE OPÉRATIONNEL

La gestion du risque par l’audit interne

La gestion du risque opérationnel par l’audit interne se base sur les étapes suivantes :

1. Une identification préalable du risque, cela implique une définition claire et unique de la no- tion risque opérationnel, tout en précisant avec détail le champ des risques qu’il couvre. A cet égard les départements d’Audit Interne ne peuvent se lancer dans un tel travail, s’ils ne sont pas en mesure de connaître les activités, les objectifs et la stratégie de l’établissement de crédit, de réfléchir au delà du cadre réglementaire et intégrer la réalité d’un environnement en très forte mutation, et enfin d’enrichir cette démarche en impliquant dans ce processus les respon- sables métiers et les opérationnels.

2. Une diffusion de la culture du contrôle interne vers les opérationnels, une fois les risques identifiés sont cartographiés, hiérarchisés, et codifiés dans des procédures. L’étape suivante consiste de à s’assurer que le dispositif du contrôle interne est efficace de façon continue et que le risque est correctement maîtrisé. Pour cela la mise en place des programmes d’auto évalua- tion du dispositif apparaît une nécessité, et les moyens de contrôle à mettre en oeuvre seront de deux ordres :

Des check-lists (normatives) des contrôles que doivent remplir périodiquement les opération- nels et qui leur rappellent les étapes essentielles à suivre. Ces check-listes peuvent être assimilés à des carnets de bord.

Des indicateurs des contrôles clés de l’établissement qui doivent être définis, en commun, entre l’audit interne et les responsables opérationnels, ces indicateurs peuvent être de deux natures « qualitative » : (rapprochement des positions et