Vous êtes sur la page 1sur 16

CHAPITRE I.

RISQUES OPERATIONNELS : NOUVEAUX ENJEUX ET


MOYEN D’ACTIONS
Le scandale de la Société Générale a dévoilé au grand public les conséquences des
risques liés à des dysfonctionnements opérationnels. Avec la reforme de Bâle II, cette
catégorie de risques doit maintenant être prise en compte dans l’évaluation des fonds
propres des établissements financiers.

Le risque opérationnel pour les établissements financiers (banque et assurance) est le


risque de pertes directes ou indirectes dues à une inadéquation ou à une défaillance des
procédures de l'établissement (analyse ou contrôle absent ou incomplet, procédure non
sécurisée), de son personnel (erreur, malveillance et fraude), des systèmes internes
(panne de l’informatique…) ou à des risques externes (inondation, incendie…). Dans le
cadre du dispositif Bale II, la définition du risque opérationnel, les procédures à mettre
en place pour le limiter et les méthodes de quantification ont été normalisées. L'objectif
de ce dispositif, mis en place dans les banques européennes en 2008, est d'éviter le
risque systémique.
Les risques opérationnels ont pris une importance considérable dans le contexte
bancaire né de la dérégulation, de l'imbrication croissante des acteurs du monde
financier, de l'augmentation des capitaux manipulés et de la sophistication des produits
comme l'ont montré les affaires Barings et Société Générale.
Dans le cadre du dispositif Bâle II ont été définies les bonnes pratiques à mettre en place
par chaque établissement financier. Le régulateur financier national est chargé de les
évaluer et de les contrôler. Les établissements financiers peuvent opter pour un
dispositif d'évaluation de ces risques plus ou moins sophistiqué. Depuis la réforme Bâle
II, le risque opérationnel entre dans le calcul des fonds propres réglementaires de
l'établissement bancaire avec une incidence proportionnelle à la qualité de ses
procédures et de son dispositif de suivi et d'évaluation.

SECTION I. MIEUX COMPRENDRE LE RISQUE OPERATIONNEL

1- Définition et Enjeux des Risques Opérationnels.

1.1- Définition du risque opérationnel.

Le régulateur du dispositif Bâle II définit le risque opérationnel comme celui de pertes


directes ou indirectes dues à une inadéquation ou à une défaillance des procédures, du
personnel et des systèmes internes. Cette définition inclut le risque juridique; toutefois,
le risque de réputation (risque de perte résultant d'une atteinte à la réputation de

1 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


l'institution bancaire) et le risque stratégique (risque de perte résultant d'une mauvaise
décision stratégique) n'y sont pas inclus.
Cette définition recouvre notamment les erreurs humaines, les fraudes et malveillances,
les défaillances des systèmes d'information, les problèmes liés à la gestion du personnel,
les litiges commerciaux, les accidents, incendies, inondations.
Le Comité de Bâle a retenu une classification qui institue sept catégories
d'évènements1 liés à ce risque :

1. Fraude interne : par exemple, informations inexactes sur les positions,


falsifications, vol commis par un employé et délit d’initié d’un employé opérant
pour son propre compte.
2. Fraude externe : par exemple, braquage, faux en écriture et dommages dus au
piratage informatique.
3. Pratiques en matière d'emploi et sécurité sur le lieu de travail : par exemple,
demandes d’indemnisation de travailleurs, violation des règles de santé et de
sécurité des employés, activités syndicales, plaintes pour discrimination et
responsabilité civile en général.
4. Clients, produits et pratiques commerciales : par exemple, violation de
l’obligation fiduciaire, utilisation frauduleuse d’informations confidentielles sur
la clientèle, opérations boursières malhonnêtes pour le compte de la banque,
blanchiment d’argent et vente de produits non autorisés.
5. Dommages aux actifs corporels : par exemple, actes de terrorisme, vandalisme,
séismes, incendies et inondations.
6. Dysfonctionnement de l'activité et des systèmes : par exemple, pannes de
matériel et de logiciel informatiques, problèmes de télécommunications et
pannes d’électricité.
7. Exécution, livraison et gestion des processus : par exemple, erreur
d’enregistrement des données, défaillances dans la gestion des sûretés, lacunes
dans la documentation juridique, erreur d’accès aux comptes de la clientèle et
défaillances des fournisseurs ou conflits avec eux.

1.2- Enjeux des Risques Opérationnels

Depuis le milieu de la dernière décennie, les connaissances en matière de risques de


crédit et de risques de marché ont alimenté un large débat et ont fait l'objet de très
nombreux travaux de recherche. Normalement, ces travaux auraient dû contribuer à

2 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


des progrès significatifs dans l'identification, la mesure et la gestion des risques au
sein du système bancaire. Néanmoins, on ne peut éviter de s'interroger sur l'impact
effectif de ces contributions, au vu d'événements récents qui ont exercé une
influence déterminante sur la crise financière de 2008: d'une part, la crise
des subprimes, d'autre part, les pratiques des agences de notation financière dont
l'intervention est déterminante dans le processus de maîtrise des risques de crédit.
Cela étant, au cours de la même période, l'évolution des marchés financiers,
caractérisée notamment par la globalisation des activités bancaires et par leur
dérégulation, a rendu ces activités - et donc les profils de risque correspondants - de
plus en plus complexes. Les régulateurs financiers se sont également rendu compte
que les risques devenaient de plus en plus difficiles à identifier du fait qu'ils étaient
présents à tous les niveaux d'une organisation, de plus en plus difficiles à mesurer de
par la conjonction de pertes directes et de pertes indirectes beaucoup plus délicates
à quantifier, et de plus en plus difficiles à gérer de par l'organisation de plus en plus
transverse des métiers de la banque et de par les difficultés à bien maitriser les
limites de leurs périmètres. C'est en partie pour ces raisons que tant les régulateurs
que les institutions bancaires ont mis en place des moyens pour identifier, mesurer
et contrôler les risques opérationnels : des événements comme ceux qui se sont
produits à New York en septembre 2001, ou encore la série de fraudes survenues
dans des institutions bancaires (Société Générale, Barings, pour ne citer que les plus
médiatisées), démontrent bien que la gestion des risques bancaires va bien au delà
des domaines des risques de crédit ou des risques de marché, et nécessite la prise
en compte des risques opérationnels.

2- Contexte de la Régulation des Risques Opérationnels propre au dispositif


de Bâle II
Pour la détermination des fonds propres réglementaires, qui constitue un des éléments
clés de tout système de régulation bancaire, le dispositif Bâle II établit de nouvelles
règles qui prennent mieux en compte la réalité économique, en affinant l'évaluation du
profil de risque des institutions bancaires et en y intégrant des systèmes
de mitigation des risques. Cette nouvelle régulation permet aux banques qui répondent
à certaines conditions de réduire leurs exigences de fonds propres réglementaires, sous
réserve d'être capables de démontrer une organisation interne efficiente dans la gestion
de leurs risques.
Pour affiner la gestion et la maîtrise des risques, le ratio McDonough, remplaçant le
précédent ratio Cooke, impose aux banques d'affecter une partie de leurs fonds propres
à la couverture de leurs risques de crédit, de leurs risques de marché et − nouveauté du
ratio McDonough − de leurs risques opérationnels.
Pour évaluer l'exposition d'un établissement bancaire aux risques opérationnels, le
Comité de Bâle propose trois approches par ordre croissant de complexité et de
sensibilité au risque,  :

3 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


 Une approche de base (Basic Indicator Approach BIA), consistant en un calcul
forfaitaire (α = 15 %) des exigences de capital réglementaire (KBIA), sur la base du
produit net bancaire (PNB) moyen des trois derniers exercices : KBIA = α * PNB
 Une approche standard (Standardised Approach STA), consistant, pour chaque
ligne de métiers de la banque, en un calcul forfaitaire (β = 12 % à 18 %, selon les huit
lignes définies) des exigences de capital réglementaire (KSTA), sur la base du PNB
moyen enregistré sur ces lignes de métier au cours des trois derniers exercices :
KSTA = Σ (β¹-⁸ * PNB¹-⁸)
 Une approche avancée (Advanced Measurement Approach AMA), consistant en
un calcul des exigences de capital réglementaire (KAMA) s'appuyant sur le(s)
modèle(s) interne(s) de mesure des risques opérationnels développé(s) par la
banque et validé(s) par l'autorité de contrôle.
Même si le calcul des exigences de capitaux réglementaires est relativement simple
dans les deux premières approches (approche de base et approche standard), le
coefficient de pondération étant fixé par l'autorité de contrôle, l'utilisation de
l'approche standard ou à fortiori celle de l'approche avancée est soumise à une
acceptation de l'autorité de contrôle, elle-même conditionnée par le respect de certains
critères d'éligibilité : «  … Comme pour le risque de crédit, plus les outils de gestion sont
performants, donc plus l'approche est sophistiquée, moins grande sera l'exigence de
fonds propres. Lorsque les conditions requises pour l'usage d'une méthode sont réunies,
la banque est encouragée à l'utiliser. Une banque internationale active, et les banques
ayant des risques opérationnels significatifs, sont supposées utiliser une approche plus
sophistiquée que l'approche de base. Une combinaison des trois méthodes [approche de
base, approche standard et approche avancée] est même possible en fonction des
activités, sous certaines conditions.2  »
L'une des nouveautés du dispositif Bâle II en matière de risques opérationnels est donc
d'inciter les institutions bancaires à améliorer la gestion de leurs risques opérationnels,
cette dernière étant encadrée par des exigences organisationnelles spécifiques à
chacune des trois approches : plus l'organisation de la banque est complexe et
sophistiquée, à travers des systèmes et des pratiques plus sensibles aux risques, plus
l'approche proposée par le régulateur permet d'espérer une réduction du capital
réglementaire.

4 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


SECTION II- MIEUX ORGANISER LA GESTION DU RISQUE OPERATIONNEL

1- Les bonnes pratiques en matière de risques opérationnels.

L’ensemble du dispositif Bâle II a été conçu pour inciter à évoluer progressivement vers
la méthode avancée, celle-ci étant en principe moins consommatrice en fonds propres
réglementaires. Cette économie de fonds propres trouve sa contrepartie dans la mise en
œuvre d’une organisation spécifique visant à un meilleur contrôle des risques
opérationnels et, en définitive, à la réduction des pertes. C’est probablement la raison
pour laquelle le régulateur a lui-même défini un code de saines pratiques à utiliser par
les banques et leurs superviseurs

1.1- Les principes de bonnes pratiques.

Partant du principe fixé par le régulateur selon lequel un risque est correctement
maîtrisé s’il est identifié, mesuré, évalué et géré, les trois approches ont pour objet de
quantifier le risque opérationnel avec une sensibilité variable et donc, pour le couple
superviseur / banquier, de contribuer à une meilleure surveillance prudentielle de ce
dernier. Parallèlement à ces outils de mesure, le régulateur a développé dix principes de
bonnes pratiques3 nécessaires à la maîtrise des risques opérationnels, rappelant par là
l’importance tant de l’implication de l’organe exécutif dans la mise en place d’un tel
système, que de l’identification des risques opérationnels, notamment au travers d’une
cartographie de ces derniers.

- Élaboration d’un environnement adéquat pour la gestion du risque


opérationnel.

 Principe 1: Le conseil d’administration [de l’institution bancaire] devrait


considérer les principaux aspects du risque opérationnel de la banque comme
une catégorie distincte de risque à gérer, et il devrait approuver et réexaminer
périodiquement le dispositif de gestion de ce risque. Ce dispositif devrait fournir
une définition du risque opérationnel valable pour la banque tout entière et poser les
principes servant à identifier, évaluer, suivre et maîtriser/atténuer ce risque.
 Principe 2: Le conseil d’administration devrait garantir que le dispositif de gestion
du risque opérationnel de la banque est soumis à un audit interne efficace et

5 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


complet, effectué par un personnel fonctionnellement indépendant, doté d’une
formation appropriée et compétent. La fonction d’audit interne ne devrait pas être
directement responsable de la gestion du risque opérationnel.
 Principe 3: La direction générale devrait avoir pour mission de mettre en œuvre le
dispositif de gestion du risque opérationnel approuvé par le conseil d’administration.
Ce dispositif devrait être appliqué de façon cohérente dans l’ensemble de
l’organisation bancaire, et les membres du personnel, à tous les niveaux, devraient
bien comprendre leurs responsabilités dans la gestion du risque opérationnel. La
direction générale devrait aussi être chargée d’élaborer des politiques, processus et
procédures de gestion du risque opérationnel pour tous les produits, activités,
processus et systèmes importants.
 Principe 4: – Les banques devraient identifier et évaluer le risque opérationnel
inhérent à tous les produits, activités, processus et systèmes importants. Elles
devraient aussi, avant de lancer ou d’exploiter des produits, activités, processus et
systèmes nouveaux, soumettre à une procédure adéquate d’évaluation le risque
opérationnel qui leur est inhérent.

 Principe 5: – Les banques devraient mettre en œuvre un processus de suivi


régulier des profils de risque opérationnel et des expositions importantes à des
pertes. Les informations utiles à une gestion dynamique du risque opérationnel
devraient être régulièrement communiquées à la direction générale et au conseil
d’administration.
 Principe 6 – Les banques devraient adopter des politiques, processus et
procédures pour maîtriser et/ou atténuer les sources importantes de risque
opérationnel. Elles devraient réexaminer périodiquement leurs stratégies de
limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en
conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétit
pour le risque et de leur profil de risque globaux.
 Principe 7 – Les banques devraient mettre en place des plans de secours et de
continuité d’exploitation pour garantir un fonctionnement sans interruption et
limiter les pertes en cas de perturbation grave de l’activité.

6 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


- Rôle des superviseurs

Principe 8 – Les autorités de contrôle bancaire devraient exiger que toutes les banques,
quelle que soit leur taille, aient mis en place un dispositif efficace pour identifier,
évaluer, suivre et maîtriser/atténuer les risques opérationnels importants, dans le
cadre d’une approche globale de la gestion du risque.

Principe 9 – Les superviseurs devraient procéder régulièrement, de manière directe ou


indirecte, à une évaluation indépendante des politiques, procédures et pratiques des
banques en matière de risque opérationnel. Les superviseurs devraient veiller à ce qu’il
existe des mécanismes appropriés leur permettant de se tenir informés de l’évolution
dans les banques.

- Rôle de la communication financière

Principe 10 – La communication financière des banques devrait être suffisamment


étoffée pour permettre aux intervenants du marché d’évaluer leur méthodologie de
gestion du risque opérationnel.

1.2- Enjeux Organisationnels de mise en œuvre des principes de


bonnes pratiques.

La mise en œuvre de la méthode de base ne requiert aucune exigence organisationnelle


particulière. Si les structures des deux autres approches (standard et AMA) sont assez
différentes, en raison principalement de la présence ou non d’une entité dédiée
spécifiquement à la gestion des risques opérationnels, leurs modalités de mise en
œuvre devraient théoriquement être assez proches dans la mesure où, quelle que soit
l’approche, ces modalités s’appuient d’une part sur un modèle de processement,
d’autre part sur des fonctionnalités relativement standardisées pour l’ensemble des
banques :

7 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


1.2.1- Modèle de processement des risques opérationnels.
Le modèle de processement des risques opérationnels comporte quatre sous-processus
clés nécessaires à l’élaboration d’un système de gestion adéquat :

 l'identification du risque ;
 l'évaluation du risque ;
 le suivi du risque ;
 la maîtrise / atténuation du risque.
Identification
L’identification des risques opérationnels requiert de la banque qu’elle définisse quels
sont les facteurs inhérents aux risques opérationnels et leurs dimensions multiples
(codification, aspect interne / externe, fréquence, appartenance, gravité, type de perte,
activité(s) concernée(s), processus / fonctions concernées, données et systèmes
impliqués, etc.). La mise en œuvre de ce premier sous-processus d’identification, dans le
cadre du dispositif Bâle II, se heurte tout d’abord au problème d’une définition interne
des risques opérationnels qui soit cohérente et compatible avec celle retenue par le
dispositif lui-même, et ensuite à celui de leur identification : en effet, si les pertes
opérationnelles, qui matérialisent l’occurrence des risques opérationnels, étaient
jusqu’à présent identifiées et contrôlées par les départements de contrôle interne ou
d’audit interne, elles deviennent dans le nouveau dispositif la responsabilité des
responsables opérationnels dans tous les secteurs de la banque. La mise en œuvre de ce
premier sous-processus d’identification risque d’être influencée par le contexte dans
lequel fonctionne la banque (« principles based » versus « rules based »), d’autant que
certains vont jusqu’à identifier le risque opérationnel comme tout risque financier autre
que risque de crédit ou risque de marché. Deuxième difficulté : une perte étant
intrinsèquement mesurée en faisant usage de règles comptables, en raison de son
impact sur la situation financière de la banque, l’application de ces règles comptables
peut donner lieu à des interprétations divergentes. Particulièrement difficile s’avère
l’évaluation de certains impacts (perte de marge brute, pertes de clientèle, par
exemple).
Évaluation
Jusqu’à présent, pour évaluer les montants des risques, les experts en matière de
gestion des risques ont principalement développé leur savoir-faire dans le domaine des
risques de crédit et des risques de marché, en mettant l’accent sur l’application de
méthodes quantitatives et statistiques de modélisation et de simulation. Il était donc
naturel que ces mêmes experts, tant au sein des banques que chez les autorités de
contrôle, aient eu tendance à appliquer ces techniques éprouvées pour l’évaluation des
risques opérationnels. Ainsi pourrait s’expliquer en partie la présence dans l’approche
AMA de critères comparables à ceux de l’approche IRB utilisée pour les risques de

8 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


crédit. Plus fondamentalement, l’application de méthodes statistiques de modélisation
pour l’évaluation des risques opérationnels a fait l’objet de sévères critiques,
notamment dans le monde académique. Ainsi a-t-on fait valoir que certaines
caractéristiques des données des pertes opérationnelles (distributions atypiques des
montants de pertes extrêmes, événements de pertes irréguliers, fréquence et sévérité
des pertes non stationnaires, existence ou non de pertes répétitives) n’étaient pas
cohérentes avec les postulats de modélisation. À cette première objection s’ajouterait
celle d’un manque certain de données, et surtout de données cohérentes. Enfin
nombreux sont ceux à souligner les difficultés à modéliser les événements à fréquence
faible et à fort impact : trois types de modèles sont préconisés dans le cadre de
l’approche AMA (méthode Internal Measurement Approach (IMA), méthode Loss
Distribution Approach (LDA), méthode Scorecard) . Certains considèrent que l’IMA a été
conçue comme une version simplifiée, praticable et standardisée d’une approche
actuarielle de type LDA, plus complète et plus satisfaisante, mais plus compliquée à
mettre en œuvre4. Ce serait sous la pression de certaines banques, notamment anglo-
saxonnes, de l’IIF5 que la méthode Scorecard aurait été intégrée au dispositif Bâle II.
C’est en raison de ces critiques que se sont développées d’autres méthodes plus
dynamiques visant à gérer les risques opérationnels à travers un contrôle plus global des
processus dans lesquels ces risques sont potentiellement présents. Cela implique une
simulation du fonctionnement de toute la chaîne des processus, basée à la fois sur des
scénarios réels et une réalité virtuelle, permettant théoriquement d’anticiper tous les
éléments relatifs à un processus spécifique, mais également toutes les implications et
interrelations. Cette méthode des scénarios est de plus en plus utilisée (¾ des banques
sondées dans l’enquête PRMIA6 2006 contre 50 % dans la même enquête 2005) : elle
part du principe que les risques opérationnels associés à un processus ne peuvent être
évalués séparément de l’organisation dans laquelle ce processus fonctionne ; c’est dans
l’interaction d’un processus avec son environnement que se trouvent les éléments clés
d’appréciation des risques opérationnels. Pour bien identifier les corrélations entre les
processus et les événements de pertes, la difficulté est de bien isoler ces processus les
uns des autres afin d’évaluer correctement leur part de contribution dans une perte en
particulier. Cela étant, cette méthode comporte encore des domaines d’incertitude, par
exemple le choix des hypothèses sous-jacentes aux scénarios majeurs (hypothèses de
place), l’évaluation de certains scénarios extrêmes (grippe aviaire, par exemple), ou
encore les traitements concernant les assurances.
Suivi
Le suivi des risques opérationnels au moyen d’indicateurs adéquats (indicateurs
d’alerte, indicateurs de risque avéré et indicateurs de pertes) est le troisième processus-
clé d’un système de gestion de cette catégorie de risques. À ce stade se pose le
problème de la consolidation des indicateurs, que l’on peut aborder au moyen de deux
approches : bottom-up ou top-down. Dans l’approche bottom-up, les indicateurs clés
des risques opérationnels sont définis et mesurés aux niveaux inférieurs, là où
l’appréciation individuelle des managers exercera un levier maximum sur le suivi des
risques opérationnels, pour être ensuite consolidés progressivement jusqu’à un niveau

9 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


central. Dans l’approche top-down, c’est en fonction de la vision stratégique globale, de
la rentabilité globale des opérations que l’allocation de capital réglementaire aux
différentes activités sera décidée par les organes exécutifs en fonction de leurs risques
opérationnels. Dans ce contexte, les décisions prises aux niveaux supérieurs de la
hiérarchie seront répercutées et traduites en plans d’actions suivis et maîtrisés par les
managers au moyen d’indicateurs adéquats.
Maîtrise et atténuation
La maîtrise et l’atténuation du risque constituent probablement le sous-processus le
plus complexe de cet ensemble, car de lui va dépendre la capacité de la banque à se
doter de moyens de prévenir les risques en identifiant les leviers d’action adéquats pour
anticiper certains événements ou minimiser leur impact en cas de survenance. Ce sous-
processus est particulièrement complexe à gérer car il s’appuie simultanément sur deux
fonctions qui interagissent l’une sur l’autre :

 d’une part, la fonction qui conduit à fixer le niveau maximum de risque


opérationnel accepté. Cela suppose de fixer des limites, limites globales ou limites
par type de risque opérationnel. Mais cela requiert surtout une évaluation
comparative de la rentabilité attendue en contrepartie des risques pris : cette
évaluation est souvent complexe à mettre en œuvre lorsqu’il s’agit de risques
opérationnels à fort impact potentiel ou de risques opérationnels difficiles à
objectiver (risques humains7, par exemple) et à chiffrer car elle va dépendre de choix
opérés dans la deuxième fonction en matière de couverture de ces risques
opérationnels.
 d’autre part, la fonction qui conduit à opérer un choix entre les différents modes
de couverture (interne, externe via l’assurance ou l'externalisation), et à le traduire
en plans d’actions précisant les mesures retenues, les responsabilités dans la mise
en place et les délais de réalisation. C’est ainsi que les PCA (plans de continuité des
activités) devraient logiquement être intégrés dans ce sous-processus ; or, on
constate dans la pratique que peu de banques ont regroupé la gestion des risques
opérationnels et celle des PCA dans une même entité ; malgré cela, une
coordination commence à se mettre en place entre ces deux démarches

1.2.2- Des fonctionnalités relativement standardisées.


Les deux principales fonctionnalités applicatives à mettre en œuvre pour maitriser un
système de gestion des risques opérationnels sont d’une part la détermination du profil
des risques opérationnels de la banque, d’autre part la mise en place d’un dispositif de
collecte d’événements de risque.

10 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


 La détermination du profil des risques opérationnels d’une banque correspond
à l’identification, à chaque niveau de son organisation, des processus supportant des
risques opérationnels, à la formulation de ces risques et à leur notation (probabilité
d’occurrence et perte) : c’est la phase de cartographie des risques opérationnels.
Cette phase est une étape clé car elle va conduire à déterminer, avec plus ou moins
de sensibilité, quelle est la nature des incidents qui seront collectés et donc suivis
par la suite. C’est elle qui permettra également de définir une nomenclature des
risques opérationnels valable pour l’ensemble de l’organisation, cadre indispensable
à une collecte efficace et homogène des incidents. La cartographie des risques est
donc la formalisation du travail d’identification des risques opérationnels. Cet
exercice intègre théoriquement les phases suivantes : décomposition en activités
des processus supportant des risques opérationnels; pour chaque activité,
recensement des risques associés, pour chaque risque, évaluation des pertes et des
probabilités d’occurrence; constitution d’une matrice des risques sur les axes
fréquence et importance des pertes; enfin, sélection, à partir de la matrice, des
risques significatifs (ceux que la banque décide de recueillir dans le dispositif de
collecte).

 Pour légitimer l’emploi des méthodes standard ou avancées, la banque doit


parallèlement s’être dotée au préalable d’un dispositif de collecte des
incidents accessible par toutes ses entités, et d’une base de données dédiée pour
stocker les incidents, et ce en vue de posséder un historique de pertes conforme aux
exigences du régulateur. Les procédures de contrôle et de validation des incidents
notifiés dans la base de données s’appuient en général sur des workflows, outils qui
permettent aux managers de visualiser l’origine des incidents, de contrôler la
pertinence des informations remontées par la base et d’être averti en temps réel
des événements intervenus dans leur service, pour rapidement mettre en place
des actions correctives. Par ailleurs, des outils d’analyse (de type datamining) et de
restitution peuvent être mis en œuvre, afin de compléter la définition précise du
profil de risques opérationnels de la banque.
Cela étant, pour assurer la couverture de leurs risques opérationnels, les banques font
habituellement appel à des modèles d’allocation, les deux approches les plus utilisées
étant l’approche bottom-up et l’approche top-down, ou encore une combinaison des
deux. Le principe de l’approche bottom-up est de calculer le besoin en capital
réglementaire au niveau le plus fin, par exemple au niveau d’une catégorie d’opérations,
et de consolider ensuite ces besoins à des niveaux de plus en plus centralisés jusqu’à
l’ensemble de la ligne métier à laquelle seront alloués les fonds propres correspondants.

11 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


À l’inverse, le principe de l’approche top-down consiste à désagréger une information
mesurée sur la totalité des risques opérationnels de la banque et d’allouer ensuite ces
fonds propres à des niveaux de plus en plus décentralisés.

3- Complexité des problèmes de mise en œuvre

Malgré la simplicité de ces deux enjeux (modèle de processement et fonctionnalités


d’application), il s’avère que, dans la pratique, la mise en œuvre des différentes
approches a soulevé et soulève encore de nombreuses divergences dont la complexité
est progressivement apparue à l’occasion des nombreuses missions d’enquête menées
tant en France par la Commission Bancaire qu’à l’étranger par les autorités ou
organismes compétents.

 Complexité liée à la nature même des risques opérationnels : contrairement


aux autres catégories de risques (risques de crédit, risques de marché), les risques
opérationnels concernent de manière transversale toutes les activités et tous les
secteurs de la banque ; alors que les données disponibles pour les autres catégories
de risques sont relativement normées et communément acceptées, celles qui
concernent les risques opérationnels dépendent de chaque banque prise
séparément. C’est vraisemblablement pour cette raison que la cartographie des
risques est très variable (nombre d’événements de risque compris entre 100 et plus
de 20008), chaque banque ayant sa propre vision quant au juste équilibre entre
granularité et pertinence des événements de risque considérés. Enfin la substance
même des risques opérationnels est extrêmement volatile puisque, idéalement, une
grande partie d’entre eux pourrait être réduite à néant dès lors même que leur
identification devrait conduire à en éliminer la cause.
 Complexité liée à la gouvernance du système : si l’implication des organes
exécutifs des groupes bancaires dans la mise en œuvre du dispositif de gestion du
risque opérationnel au sein des métiers semble active, par contre rares sont ceux
qui disposent de documentation formelle, posant les principes et les modalités de
mise en œuvre de la politique en matière de risques opérationnels, telle qu’elle a
été arrêtée par ces organes exécutifs. Ces derniers semblent toutefois avoir bien
compris la nécessité d’appuyer la fonction de gestion des risques opérationnels sur
des gestionnaires de risques présents au sein même des différents métiers et
fonctions, c’est-à-dire sur ceux qui sont proches des risques du terrain et ont une
connaissance approfondie des activités. C’est ainsi que la majorité des banques
ayant répondu à l’enquête PRMIA 2006 indiquent avoir mis en place un système de
12 Cours de Management de la Banque – Licence Professionnelle Banque - Finance
gestion des risques opérationnels, couvrant essentiellement les bases de données
incidents, la cartographie des risques, la mise en œuvre de scénarios et le calcul
d’indicateurs d’alerte.
Par ailleurs, l’allocation de fonds propres au titre des seuls risques opérationnels
demeure rare. Les grands groupes bancaires ayant opté majoritairement pour une
approche AMA envisagent un calcul de fonds propres pour l’ensemble du groupe
bancaire et une allocation de ces derniers aux différentes entités selon une clé
d’allocation et un processus comme celui décrit ci-dessous. Rares sont les groupes qui
envisagent de calculer des exigences au niveau d’une ou de plusieurs de leurs filiales,
bien que les principes édictés par le Comité de Bâle relatifs à la reconnaissance
transfrontière d’une approche AMA imposent un tel calcul pour les filiales significatives
d’un groupe.

 Complexité liée aux choix organisationnels. Selon une enquête réalisée en


France8, si la totalité des banques interrogées, même de taille moyenne, ont adopté
une fonction dédiée à la gestion des risques opérationnels, il semble que deux types
d’organisation prévalent actuellement : soit – et c’est le cas très largement le plus
fréquent – cette fonction, le plus souvent organisée de manière hiérarchique depuis
les lignes de métiers ou les implantations géographiques jusqu’à une position
centrale, est intégrée à une Direction des Risques, soit elle est couplée à une autre
fonction (contrôle de gestion, audit interne, par exemple). Dans l’un et l’autre cas,
on observe des difficultés pratiques pour délimiter la frontière entre l’audit interne
de la qualité du dispositif de gestion des risques opérationnels et les fonctions de
gestion et de contrôle de ces mêmes risques.
 Complexité liée à l’exploitation des données : si l’on prend pour référence
l’approche AMA qui invite les banques à utiliser quatre types de données (donnés
de pertes internes, données de pertes externes, analyses de scénarios
d’événements potentiels et analyses des facteurs d’environnement et de contrôle
interne), on constate que certaines banques ont développé un modèle
essentiellement statistique de calcul de fonds propres réglementaires, en
s’appuyant sur des données de pertes internes et externes, et en utilisant des
modèles de type Valeur en Risque (VaR, avec horizon à un an et intervalle de
confiance de 99,9 %).
L’utilisation de données historiques internes relève en général d’une approche de type
top-down, où les risques opérationnels sont d’abord identifiés et mesurés sur une base
consolidée à partir de leurs pertes potentielles, et où les fonds propres sont ensuite
alloués aux différentes lignes de métier. La sensibilisation croissante à cette
modélisation statistique des risques opérationnels s’est heurtée pendant un temps à
13 Cours de Management de la Banque – Licence Professionnelle Banque - Finance
l’insuffisance des historiques de données internes et à des problèmes pratiques, en
particulier relatifs au niveau à partir duquel toute perte doit être collectée et à la façon
dont celle-ci doit être capturée aux fins d’assurer une remontée correcte des données
recherchées (collecte automatique ou déclarative) et une distribution crédible des
pertes. Cependant, des progrès importants ont été réalisés dans ce domaine,
notamment en raison de règles de collecte et de mesure qui s’harmonisent
progressivement entre banques, et aussi du fait que le recours à des données externes a
été facilité grâce à la maturité des bases consortiales (ORX 9 devenant la référence). D’où
une méfiance certaine à l’égard de la seule utilisation de ces données historiques qui
justifie le recours à des données externes.
L’utilisation de données externes soulève également des interrogations concernant la
correction nécessaire de biais statistiques et l’adaptation des données externes à la
situation interne de la banque (problèmes de scaling).
D’autres banques construisent leur modèle de mesure en privilégiant davantage des
données prospectives, de type analyses de scénarios et/ou indicateurs de risque. Dans
ce cas, l’approche se veut bottom-up, les risques étant cartographiés au niveau de
chaque ligne de métier à partir des causes, puis mesurés sur la base de fréquences et de
sévérités de pertes estimées par les experts de chaque métier et/ou d’indicateurs de
performance, de contrôle et de risque. Bien que les analyses de scénarios soient
considérées comme un élément important de la diffusion d’une culture du risque
opérationnel, du fait qu’elles s’appuient sur l’expertise des gestionnaires au sein des
métiers, elles nécessitent en général de sérieuses précautions avant d’être totalement
opérationnelles : en effet, ces analyses doivent être suffisamment structurées et
cohérentes pour que les quantifications subjectives des risques opérationnels au niveau
des métiers puissent alimenter correctement le modèle de calcul des fonds propres au
niveau consolidé. Aussi certaines banques réservent-elles ce type d’analyse aux seuls
événements à faible probabilité et à forte sinistralité.
D’autres banques utilisent ou s’orientent vers une méthode de scorecard (indicateurs
de risque ou de performance, fondés en partie sur l’utilisation de critères qualitatifs)
permettant notamment d’effectuer des allocations de fonds propres réglementaires
entre lignes de métiers ou entre implantations géographiques en fonction de leur
capacité à maîtriser les risques opérationnels. Outre son aspect plus synthétique, cette
méthode apporte un double avantage : elle introduit d’abord une dimension
prospective qui s’inscrit dans une gestion active de prévention des risques
opérationnels ; elle facilite ensuite le reporting aux organes exécutifs en fournissant, au
moyen de tableaux de bord des performances locales, un état de progrès par rapport à
la stratégie définie par ces organes pour assurer la maîtrise des risques opérationnels.
En pratique, l’identification des indicateurs de risque s’effectue à partir des risques
identifiés lors de la cartographie et par rapport à des indicateurs existants (indicateurs
de qualité, de performance…). Sont ensuite sélectionnés des indicateurs clés de risques
(KRI10) susceptibles de faciliter la prise de décision. Parmi les difficultés rencontrées dans
la mise en place de cette méthode figure notamment l’interprétation qu’il convient de
donner aux indicateurs (par exemple ceux liés aux ressources humaines), la définition de
14 Cours de Management de la Banque – Licence Professionnelle Banque - Finance
niveaux d’alertes cohérents avec la politique générale de gestion des risques
opérationnels ainsi que les modalités d’agrégation des indicateurs.
De l’avis du régulateur lui-même, les banques [ont la volonté] d’adopter une approche
plus pragmatique en termes de risque opérationnel en rééquilibrant le dispositif vers la
gestion des risques plutôt que vers leur seule mesure. L’utilisation de données
prospectives suppose une prise en compte des changements intervenus ou à venir dans
la gestion des risques opérationnels et/ou dans les activités des établissements et donc
une forte implication des gestionnaires de risque au niveau des métiers. Mais si
l’utilisation de facteurs qualitatifs de type scorecards bénéficie d’une certaine
expérience, notamment aux fins de l’allocation des fonds propres entre les différentes
entités d’un groupe, la traduction quantitative de ces facteurs demeure problématique
et n’apparaît pas véritablement stabilisée. Cette traduction quantitative est d’autant
plus délicate lorsque les analyses de scénarios et les appréciations à dire d’experts ne
s’inscrivent pas dans une démarche bien structurée et homogène au sein du groupe. Il
est donc d’autant plus nécessaire que les établissements développent des questionnaires
précis adressés aux experts des métiers ainsi que des indicateurs de risque pertinents et
observables sur une base régulière, susceptibles de limiter le caractère subjectif voire
parfois politique du processus de quantification11.
Enfin la mise en œuvre d’un dispositif efficace de mesure et de gestion du risque
opérationnel, quelles que soient les modalités d’analyse des données, requiert
un système d’information adéquat. C’est là probablement un des domaines où les
banques ont encore d’importants progrès à accomplir, ce qui n’est probablement pas
étranger au fait que la direction des systèmes d’information n’est pas souvent
représentée au sein des banques dans les comités de gestion des risques opérationnels.
L’adaptation des systèmes d’information aux exigences spécifiques du processement
des risques opérationnels a donc amené les banques à faire le choix entre le lancement
d’un projet entièrement nouveau ou à la réalisation d’extensions destinées à collecter
les données nécessaires. Dans le premier cas, il s’est agi de mettre en œuvre une
procédure entièrement nouvelle de collecte systématique des pertes et, à cet effet, de
conduire des missions de sensibilisation à tous les échelons de la banque. Dans le
second cas, il s’est plutôt agi de reprendre et de retraiter au niveau des métiers des
historiques de pertes existants.
Dans un environnement aussi complexe, il est clair que la définition du véritable profil
de risque d’un grand groupe bancaire et la mise en place d’une politique efficace de
réduction des pertes opérationnelles dans chaque entité relève d’un projet global,
nécessitant un déploiement à grande échelle, et partant, une réelle gestion du
changement.
Les enjeux de conduite du changement associés à Bâle II concernent notamment la
diffusion d’une nouvelle culture de vigilance à propos des risques opérationnels, et la
pérennisation de ce système.
Le premier enjeu consiste à diffuser une culture de vigilance à l’égard de ces risques
dans chaque business unit de la banque. À ce titre, on peut parler de véritable

15 Cours de Management de la Banque – Licence Professionnelle Banque - Finance


acculturation des collaborateurs présente dans toutes les modalités de la mise en œuvre
(cartographie des risques opérationnels, dispositif de collecte des incidents), le principal
attribut de cet enjeu étant l’implication de chaque collaborateur de la banque.
Le second enjeu est d’éviter que le système de gestion des risques opérationnels ne
devienne figé, et donc de faire en sorte qu’il puisse évoluer sous l’effet des actions
correctives, des risques qui disparaissent, et des nouveaux risques qui apparaissent.
Globalement, l’enjeu du processement régulatoire des risques opérationnels n’est pas
d’obtenir une certification du superviseur pour que la banque puisse utiliser telle ou
telle approche proposée par le régulateur : il est de favoriser une amélioration durable
de la maîtrise des risques opérationnels par la banque, en responsabilisant chacune des
parties prenantes (régulateur, superviseur, collaborateur de la banque). C’est bien là où
le dispositif acquiert un degré supplémentaire de complexité puisqu’en définitive, la
réussite de la mise en œuvre du dispositif est tributaire non seulement des bonnes
pratiques de la banque mais aussi de la flexibilité de la surveillance prudentielle exercée
par le superviseur et de l’adaptabilité introduite dans le dispositif par le régulateur.

16 Cours de Management de la Banque – Licence Professionnelle Banque - Finance