Vous êtes sur la page 1sur 16

Mission et Organisation de

la Gestion des Risques

La démarche d’Attijariwafa bank en matière de gestion des risques s’inscrit dans


le cadre des normes professionnelles et réglementaires, des règles définies au
niveau international ainsiqu’aux recommandations des autorités de tutelles. La
gestion des risques du groupe est centralisée au niveau de la GestionGlobale des
Risques (GGR), indépendante des Pôles et Métiers et rapportant directement à la
présidence.Cette configuration consacre le principe de globalité dans la Gestion
des Risques du Groupe et confirme son indépendance
totale vis-à-vis des autres pôles et métiers de la Banque. Cette indépendance lui
permet d’assurer une objectivité optimale dansl’examen des propositions de
prises de risque et dans le contrôle.
La GGR a pour principale mission de veiller à couvrir et à superviser l’ensemble
des risques inhérents aux activités du groupe, de les mesurer et les contrôler. La
fonction exerce un contrôle permanent, le plus souvent à priori, nettement
différencié de celui de l’Audit Interne, effectué de façon périodique et à
posteriori. Ses missions permanentes consistent notamment à formuler des
recommandations en matière de politiques de risque, à
analyser les portefeuilles de crédit avec une vision prospective,à approuver les
crédits aux entreprises et particuliers et les activités de trading et à garantir la
qualité et l’efficacité de
suivi du risque. Les principaux risques sont identifiés en trois familles :
• Risque de crédit et de contrepartie : correspond au risque de défaillance
totale ou partielle de la contrepartie avec laquelle des engagements de bilan ou
hors bilan ont été contractés ;
• Risque de Marché : dû au risque de perte lié aux évolutions défavorables des
paramètres de marché (taux d’intérêt, taux de change, prix des actions et des
matières premières, …)
• Risque opérationnel : inclue le risque informatique, le risque juridique, le
risque humain, le risque fiscal, le risque commercial etc.
L’organisation du Pôle Gestion Globale des Risques est calquée sur la typologie
des risques telle qu’a été définie par les accords de Bâle II. Il est organisé autour
des entités suivantes :

a) L’entité « Risque de contrepartie» dont la mission principale consiste à :

1. En amont :

• analyser et instruire les demandes de prise de risque émanant des différentes


forces de vente de la Banque par le paradigme contrepartie/transaction;
• évaluer la consistance et la validité des garanties ;
• apprécier le volume d’activité de la relation, le bien fondé économique des
financements sollicités.

2. En Aval :

• passer en revue régulièrement l’ensemble des engagements pour qualifier le


portefeuille par famille de risque;
• examiner les états hebdomadaires des autorisations et utilisations ;
• relever les dépassements, et prendre les mesures nécessaires pour leur
apurement ;
• appréhender les créances présentant des signes de difficulté et repérer les
incidents de paiement ;
• suivre avec le réseau la récupération de ces créances ;
• Provisionner les créances classées en souffrance.

B)L’entité « Risque de marché » dont la fonction est de détecter, d’analyser et


de suivre les différentes positions de la Banque en matière de taux et de devises,
de rationaliser ses positions par des autorisations formalisées et d’être alerte à
toute déviation de ses positions ;

C) L’entité « Risque opérationnel» dont la fonction est de détecter, d’analyser


et de suivre les différentes risques opérationnels inhérents à l’activité bancaire
(humain, informatique, fiscal,juridique).
À fin 2008, la GGR s’est dotée d’une nouvelle entité dédiée aux systèmes de
Risk Management pour s’aligner sur les meilleures pratiques de pilotage des
risques, notamment Bâle II. Trois missions sont assignées à cette entité :
1. conception de modèles de notation conformes à l’esprit de la réglementation
Bâle II
2. mise en place de normes & méthodes devant régir le fonctionnement de la
GGR
3. pilotage des projets relatifs à la gestion des risques notamment Bâle 2.

Dispositions générales
1 - Gouvernance et organisation

La gouvernance et l’organisation de la gestion des risques précisent et


appliquent de façon systématique les principes de gestion arrêtés par les
instances de la banque.Pour une meilleure coordination des actions communes,
les responsabilités des principaux acteurs ont été bien définies.Ces acteurs sont :

1. Conseil d’Administration
2. Direction Générale
3. Comités de Décision
4. Gestion Globale des Risques

Rôle du Conseil d’Administration :

Dans le cadre de l’exercice des activités de banque, le Conseil d’Administration


a pour responsabilités :
• de définir et revoir périodiquement la stratégie commerciale et les politiques de
gestion des risques ;
• d’appréhender les risques principaux auxquels s’expose la banque dans ses
activités ;
• de valider les limites globales de risques et de s’assurer quela Direction
Générale et les Comités de décision prennent les mesures nécessaires pour
identifier, mesurer, suivre et
contrôler ces risques, les limites de risques doivent être fixées en tenant compte
des fonds propres ;
• d’approuver la structure organisationnelle ;
• et, de s’assurer que la Direction Générale vérifie l’efficacité du dispositif de
contrôle interne.

Rôle de la Direction Générale

La Direction Générale est l’organe exécutif, elle a pour responsabilités :


• de mettre en oeuvre les stratégies et les politiques approuvées par le Conseil
d’Administration ;
• de mettre en oeuvre les processus et les moyens permettant d’identifier,
mesurer, suivre et contrôler les risques liés aux activités commerciales ;
• de mettre en place et de maintenir l’organisation chargée de la gestion des
opérations commerciales et du suivi des risques ;
• de mettre en place les normes et méthodes de contrôle interne ;
• d’informer le Conseil d’Administration des éléments essentiels et des
conclusions qui peuvent être dégagées des mesures des risques auxquels la
banque est exposée ;
• et, d’associer le Conseil d’Administration dans le pilotage des activités de la
banque en lui soumettant, pour approbation, les politiques développées pour la
gestion des risques.

Rôle des Comités :

Comité des Grands Risques : (comité issu du conseil d’administration)


Présidé par le président Directeur Général, ce comité examine et autorise les
opérations importantes qui engagent le groupe (crédits, recouvrement,
investissements, achats,…) au-delà d’un certain seuil.
Désormais, ce comité supervise l’évolution des indicateurs de risque et fixe les
orientations à court terme en matière de gestion des risques.
Comité de Risque de Crédit Groupe :
Le Comité de Crédit Groupe est compétent dans l’ensemble des engagements du
groupe Attijariwafa bank jusqu’à une limite de 600 millions de dirhams. Il fixe
également, sur proposition du Correspondent Banking, les limites de
contrepartie accordées aux banques internationales.

Comité Risque de Marchés (CRM)

Le Comite Risques de Marchés (CRM) est l’instance interne de décision et de


suivi des risques de marchés selon toutes ses formes. Il a comme
responsabilités :
• le suivi et l’analyse des risques de marchés et leur évolution ;
• il s’assure du respect des indicateurs de surveillance, des règles spécifiques de
gestion et des limites définies ;
• Il octroie des limites aux différentes lignes de produits dans le cadre des
stratégies fixées par la banque

Rôle de la Gestion Globale des Risques :

Elle assure le rôle de supervision des méthodologies et desrisques de


contrepartie, de marchés et opérationnels. Sesprincipales responsabilités sont :

• formuler des recommandations en matière de politiques de risque


• instruire les demandes de limites de crédit et de trading avant de les soumettre
au comité compétent ;
• assurer le suivi des risques de contrepartie, de marchés et opérationnels en
procédant à la consolidation de l’ensemble des expositions de la banque ;
• valider les principes du dispositif et les méthodes de mesure en s’assurant
notamment de leur homogénéité avec celles du Groupe ;
• et, valider les modèles internes et les modèles des logiciels utilisés pour la
valorisation des instruments financiers.

- L’identification des risques :

L’identification des risques consiste en un inventaire complet etdétaillé des


risques et des facteurs inhérents à chaque risque.L’actualisation régulière de cet
inventaire s’impose pour tenir compte de l’évolution des facteurs générateurs de
risques et des changements induits par l’actualisation des orientations et
politiques de gestion. L’entité Contrôle et Méthodes est chargée de cette
fonction aussi bien dans l’activité courante que dans la phase de lancement de
nouveaux produits ou activités. Elle s’appuie également sur
les rapports et notes du Contrôle Interne

- La mesure des risques :

Il s’agit d’évaluer la probabilité d’occurrence des risques et leurs conséquences


financières sur les positions ou le patrimoine de la banque ; Les méthodes de
mesure des risques adoptées s’inspirent largement des « saines pratiques »
édictées par le Comité de
Bâle et en conformité avec la réglementation prudentielle et sous le pilotage des
Comités de Risques et la GGR.
La banque s’engage à investir dans la mise en place de techniques avancées en
matière de gestion des risques intégrant ainsi les nouveaux développements en
vue de la préparation pour l’application des méthodes internes

- La maîtrise des risques :

Il s’agit des mesures prises par la banque pour limiter les risques à des niveaux
acceptables.

- Le contrôle des risques :

Cette dernière étape englobe la surveillance et le pilotage de la gestion des


risques et permet également d’identifier de nouvelles zones de risques et
d’ajuster les limites en fonction de leur évolution.

A - Risques opérationnels

Contexte

La mise en place du dispositif de gestion des risques opérationnels (GRO)


s’inscrit dans le cadre de la réforme « Bâle 2 » et de sa déclinaison pour le
Maroc par la Directive DN/29/G/2007, édictée par Bank Al Maghrib le 13 avril
2007. Il vise à identifier les sources potentielles des risques et d’en assurer la
mesure, le suivi, le contrôle et l’atténuation. Ce dispositif permet notamment de
• assurer la cohérence du dispositif en termes de normes, de méthodes et d’outils
au sein du Groupe
• inculquer aux métiers une véritable culture de gestion du risque opérationnel
Ce projet est piloté par l’entité « Risques Opérationnels, Juridiques,
Informatiques et Humains » créée au sein de la « Gestion Globale des Risques »
en 2008. Il est entré dans sa phase opérationnelle à partir d’avril 2009.
Méthodologie adoptée

Modélisation du risque opérationnel

Le risque opérationnel est défini par Bank Al Maghrib, comme étant «un risque
de pertes résultant de carences ou de défaillances attribuables à des procédures,
personnels et systèmes internes ou à des évènements extérieurs». Cette
définition inclut le risque juridique, mais exclut les risques stratégiques et de
réputation.Un risque se représente comme l’enchaînement d’un évènement
générateur (la cause) et d’une défaillance (la conséquence), à laquelle peut être
associé un impact ou non.
L’objectif de la modélisation du risque opérationnel est de représenter de
manière normalisée les évènements qui peuvent conduire à une défaillance
opérationnelle et de pouvoir en évaluer, à l’aide de critères objectifs,
documentés et standardisés :
• la fréquence d’occurrence
• l’impact en cas de survenance
La cartographie des risques désigne donc l’ensemble des risques représentés
selon ce modèle sur un périmètre organisationnel donné (un pôle, un métier, une
filiale, …).

Approche méthodologique

La méthodologie retenue dans le déploiement du projet RO pour chacun des


métiers s‘appuie sur les étapes suivantes :
1. Validation des processus : cette étape est basée sur un découpage du métier
en macro-processus et processus clés pour l’identification des risques au sein de
chaque métier retenu.
2. Identification et évaluation des risques : les risques opérationnels identifiés
sont côtés au moyen d’une fréquence d’occurrence et d’un impact formalisant la
cartographie des
risques opérationnels métier (évaluation à « dire d’expert »). A cette étape, les
risques majeurs sont identifiés et font l’objet d’une attention particulière.
3. et 4. Identification d’indicateurs et des plans d’actions : des indicateurs et
des plans d’actions sont associés aux risques majeurs. L’objectif est de limiter la
fréquence de survenance des incidents et/ou d’atténuer leur impact.
5. C ollecte des incidents et suivi des risques à piloter : un dispositif
organisationnel de collecte des incidents et de suivi des risques opérationnels est
mis en place au sein des
métiers afin :
• d’apprécier les causes d’incidents
• de déterminer les actions appropriées pour réduire le risque opérationnel
• de disposer d’une base historique d’incidents et de pertes
• de garantir la cohérence de l’ensemble
6. Back-testing et Réévaluation des risques :cette étape sera effectuée après au
moins un plein exercice de chacun des métiers.
Le Back–Testing permet la confrontation des incidents survenus dans les métiers
et l’évaluation des risques opérationnels initialement identifiés dans les
cartographies.

Processus organisationnel

L’animation du dispositif s’appuie sur une structure centrale « ROJIH »


(Risques Opérationnels, Juridiques Informatiques & Humains) rattachée à la
GGR (Gestion Globale des Risques) avec deux niveaux de gestion à distinguer :
• 1er niveau / entité ROJIH : la mesure et le contrôle des risques opérationnels
sont de sa responsabilité. Elle est en charge de mettre à disposition des métiers
les informations sur leur niveau de risque opérationnel et de les éclairer sur la
mise en place de plans d’actions.
• 2éme niveau / métier : la détection, la collecte des incidents et la mise en
oeuvre d’actions de couverture des risques, sont de la responsabilité des métiers
eux-mêmes.
Ainsi, au sein de chacun des métiers, les principaux intervenantsdans le
dispositif de gestion des RO sont :
RRO : RELAIS Risques Opérationnels (au niveau métier)
CRO : CORRESPONDANT Risques Opérationnels (au niveau métier)
MRO : MANAGER Risques Opérationnels (au niveau de l’entité
ROJIH) appelé également GRO (Gestionnaire des RisquesOpérationnels)
RM : RESPONSABLE Métier

SECTION II : LES MOYENS DE MAITRISE ET ATTÉNUATION DU


RISQUE OPÉRATIONNEL

Selon le comité de Bâle : Les banques devraient adopter des politiques, processus et


procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel.
Elles devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise
du risque et ajuster leur profil de risque opérationnel en conséquence par l'utilisation de
stratégies appropriées, compte tenu de leur appétit pour le risque et de leur profil de
risque globaux. »

Face au risque opérationnel plusieurs actions peuvent être prises :

- Accepter

- Supprimer l'activité porteuse de risque

- S'assurer contre le risque supposé

- Tester des alternatives

- Elaborer un plan de secours

En effet, pour tous les risques opérationnels qui ont été identifié, la banque devrait pouvoir
décider si elle dispose des procédures appropriées pour contrôler et /ou atténuer les risques, ou
si elle si elle supporte ces risques. Pour les risques qui ne peuvent pas être contrôlé, la banque
devrait décider si elle accepte ces risques (faire recours a l'assurance), si elle réduit le niveau
d'activité économique impliquée, ou si elle se retire complètement de cette activité. Pour cela
on doit disposer de processus et procédures de contrôle et d'un système assurant la conformité
des opérations à un ensemble de politique interne dument documenté concernant la gestion du
risque.

Le renforcement du système de contrôle est un élément clé pour la maitrise du risque donc il
semblé logique la mise en place d'un système de contrôle interne.

1. Le Contrôle interne

a) Les principes de contrôle interne :

La mise en place d'un dispositif de contrôle interne pour la maîtrise du risque opérationnel
nécessite que les principes suivants soient définis :

v La définition d'un organigramme détaillé, précisant les pouvoirs et les responsabilités,


cet organigramme doit faire apparaître les différentes fonctions et les noms de leurs
responsables. Chaque responsable d'entité a ainsi le devoir de mettre en place un système de
contrôle interne efficace, en coordination avec les autres structures de la banque, tutelles
fonctionnelles et hiérarchiques. Plus généralement il concerne l'ensemble des collaborateurs,
quel que soit leur niveau de responsabilité.

v La séparation des fonctions qui a pour objectif, par une organisation adéquate ou un


rattachement hiérarchique différent, d'éviter qu'une personne ou un groupe de personnes
cumulent les fonctions d'engagement, de règlement, d'enregistrement et de contrôle dans un
même processus opérationnel. Elle permet ainsi de prévoir une distinction nette entre celui qui
décide et celui qui exécute, entre celui qui opère et celui qui valide tout en offrant une
garantie d'un contrôle indépendant et permanent sur l'activité. L'objectif recherché est de
prévenir et dissuader, ou à défaut de permettre une détection sans retard des erreurs ou des
irrégularités commises.

v Définition des postes, pouvoirs et responsabilités : consiste à préciser à chaque niveau


d'exécution  l'origine des informations à traiter, la liste des tâches à effectuer, (les modalités
d'enregistrement de traitement, de restitution des informations, les procédures de contrôle
associées à chaque étape), la périodicité des traitements et les destinataires des informations
traitées (compte-rendu des travaux).Cette description doit être complétée par un système
d'autorisations et de délégations de pouvoirs de signatures qui définit les limites d'engagement
par personne ou par organe décisionnel et les différents niveaux d'approbation requis selon le
type d'engagement.

v Le descriptif des processus opérationnels : qui doit préciser les modalités de circulation
de traitement et de classement des informations. Il est réalisé sous la forme d'un diagramme
de circulation des informations décrivant les étapes successives et logiques de traitement des
opérations et d'un narratif décrivant (la nature des informations à traiter, le traitement de
l'information, les documents supports de l'information, les tâches rattachés à chaque poste de
travail, la destination des informations produites).
b) Organisation des contrôles :

L'organisation des contrôles repose sur des contrôles à deux niveaux :

Les contrôles de 1er niveau regroupent tous les contrôles permanents (à priori et à posteriori)
mis en oeuvre au niveau de chaque entité opérationnelle et permettant de vérifier
l'exhaustivité et la régularité des opérations traitées. Ils comprennent, des contrôles quotidiens
qui assurent la sécurité et la qualité des opérations traitées et qui reposent sur le respect
permanent des règles et procédures en vigueur (séparation des fonctions, délégation de
pouvoirs et signatures, etc.) et une supervision formalisée par la hiérarchie pour vérifier la
correcte application des règles et procédures au quotidien.

Les contrôles à priori regroupent tous les contrôles quotidiens mis en place afin qu'aucune
erreur ne se produise. Les contrôles à posteriori ont pour objectif de détecter les anomalies
que les contrôles à priori n'ont pas permis d'éviter.

Pour les processus opérationnels longs, le contrôle de 1er niveau peut être assuré par plusieurs
services ou personnes.

Les contrôles de 2ème niveau sont confiés à toute personne ou organe chargé de vérifier
périodiquement que les contrôles de 1er niveau sont correctement réalisés : contrôle du
fonctionnement de la surveillance permanente, de vérifier l'application des procédures,
d'apprécier la qualité des traitements effectués et de s'assurer de la prise en compte des
exigences de contrôle interne.

L'audit interne et/ou externe fait partie des contrôles de 2ème niveau.

A ce titre, le contrôle interne dispose de plusieurs dispositifs visant la maitrise du risque.

· Identification des risques liés au fonctionnement des unités.

· Evaluation des risques mesurables

· Elaboration de politiques de prises de risques adaptées aux enjeux

· Limite des risques, prévoyant la fixation de limites globales et opérationnelles, la revue, la


mesure, le suivi des dépassements et des régularisations ;

· Suivi des performances d'ensemble.

Le contrôle interne est assuré par différents composantes de l'organisation et a pour objectif
premier de s'assurer que les opérations sont traitées et gérées, conformément aux normes, aux
règles et aux procédures en vigueur. Dans ce dispositif, l'audit interne consacre l'essentiel de
ses missions, à vérifier que ces procédures sont à jour et que les opérationnels les ont
comprises et les appliquent totalement, au quotidien, d'où une nouvelle organisation de la
gestion des risques opérationnels par l'audit interne.

2. L'audit interne :

a) Principes et les fonctions de l'audit interne :


L'Audit Interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacité.

D'un point de vue général, l'Audit Interne intervient sur les domaines suivants :

v L'examen et l'évaluation de l'efficacité des dispositifs de contrôle interne ;

v Le contrôle de l'application et de l'efficacité des procédures de management du risque et


méthodes de mesure de risque ;

v Le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des rapports


financiers ;

v Le contrôle des moyens de sauvegarde des actifs ;

v Le contrôle du système de mesure de risque par rapport aux fonds propres ;

v Les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de
contrôle interne ;

v Le contrôle des dispositifs mis en place pour s'assurer qu'ils sont conformes aux exigences
légales et réglementaires, aux codes de conduite, et à la mise en oeuvre des politiques et
procédures ;

v Le contrôle de la sincérité, de la fiabilité et de l'opportunité des reportings réglementaires

L'Audit Interne dans les banques évolue vers un rôle d'acteur de premier plan, en charge en
particulier de la conduite du changement et de la gestion des risques. Toutefois le respect de
certains principes conditionne le succès de ses missions.

Voici, quelques principes de base pour la fonction Audit Interne :

· Le service d'Audit Interne doit être en mesure d'exercer sa mission de sa propre initiative
dans tous les services, les établissements et les fonctions de la banque. Il doit être libre de
faire un rapport sur ses résultats et évaluations et de les communiquer en interne. Le principe
d'indépendance implique le rattachement du service audit interne, soit au président de la
banque, soit au conseil d'administration, soit à son comité d'audit.

· Toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le statut de
l'autorité de la fonction d'audit interne au sein de l'établissement de crédit. Ceci revient à fixer
les objectifs et le champ d'intervention de l'audit interne, ses positions dans l'organisation, et
la responsabilité du responsable de l'audit interne.

· La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit doit
pouvoir effectuer ses missions sans préjugé et sans subir de pression. Pour être objectif et
impartial le service d'audit interne doit-lui même chercher à éviter tout conflit d'intérêt. A
cette fin les missions d'auditeurs doivent changer périodiquement chaque fois que c'est
possible.

· Le service d'audit interne doit se préoccuper des dispositions légales et réglementaires qui
régissent les opérations de la banque, les politiques principes, règles, lignes de conduite
interne édictées par les autorités de tutelle relatives à l'organisation et à la gestion des
banques. Cependant cela ne signifie pas que l'audit interne doit assumer les fonctions de
contrôle de la conformité.

· Le service de l'audit interne doit évaluer en particulier, la conformité de la banque à la


réglementation et aux contrôles des risques (quantifiables et non quantifiables), la fiabilité y
compris (l'intégrité, l'exactitude et l'exhaustivité) ainsi que la disponibilité en temps opportun
de l'information financière et de celle destinée au management, la continuité et la fiabilité des
systèmes d'information et l'organisation des services.

b) La gestion du risque par l'audit interne :

La gestion du risque opérationnel par l'audit interne se base sur les étapes suivantes :

v Une identification préalable du risque, cela implique une définition claire et unique de la


notion risque opérationnel, tout en précisant avec détail le champ des risques qu'il couvre. A
cet égard les départements d'Audit Interne ne peuvent se lancer dans un tel travail, s'ils ne sont
pas en mesure de  connaître les activités, les objectifs et la stratégie de l'établissement de
crédit, de réfléchir au delà du cadre réglementaire et intégrer la réalité d'un environnement en
très forte mutation, et enfin d'enrichir cette démarche en impliquant dans ce processus les
responsables métiers et les opérationnels .

v Une diffusion de la culture du contrôle interne vers les opérationnels, une fois les
risques identifiés sont cartographiés, hiérarchisés, et codifiés dans des procédures. L'étape
suivante consiste de à s'assurer que le dispositif du contrôle interne est efficace de façon
continue et que le risque est correctement maîtrisé. Pour cela la mise en place des
programmes d'auto évaluation du dispositif apparaît une nécessité, et les moyens de contrôle à
mettre en oeuvre seront de deux ordres :

Des check-lists (normatives) des contrôles que doivent remplir périodiquement les
opérationnels et qui leur rappellent les étapes essentielles à suivre. Ces check-listes peuvent
être assimilés à des carnets de bord.

Des indicateurs des contrôles clés de l'établissement qui doivent être définis, en commun,
entre l'audit interne et les responsables opérationnels, ces indicateurs peuvent être de deux
natures « qualitative » : (rapprochement des positions et résultat économique et comptable par
exemple) ou «  quantitatives » : (nombre d'opérations non confirmées, nombre d'opérations en
suspens dans les comptes règlements-livraison, nombre d'opérations rejetées par le système
comptable, etc.).

Ces indicateurs peuvent être fixés soit en valeur absolue, soit en pourcentage du nombre
d'opérations traitées, soit de manière plus fine en fonction des activités.
Le suivi de ces indicateurs de contrôle va permettre aux responsables opérationnels de
détecter les erreurs, les anomalies et les dysfonctionnements qui peuvent causer d'énormes
pertes et le cas échéant de prendre les mesures correctrices nécessaires.

v Un service d'Audit Interne : dans ce contexte la fonction audit interne est assurée par un
département expert qui pourra à tout moment disposer d'indicateurs (résultants des
programmes d'auto évaluation) de mesure de la qualité des contrôles fondamentaux qui
permettent de maîtriser les risques clés.

Certains établissements ont mené une réflexion pour mettre en place des programmes d'auto
évaluation du risque opérationnel.

v L'auto évaluation du risque opérationnel, est réalisée au niveau des contrôles de


1er niveau. Elle consiste en l'examen et l'évaluation de l'efficacité du contrôle interne et a pour
objectif d'anticiper la dégradation d'un contrôle. La mise en oeuvre de ce processus passe par
les étapes suivantes :

- l'identification exhaustive préalable des dysfonctionnements potentiels (erreurs, irrégularités,


fraudes) imputables au risque administratif et de leur source.

- Le recensement des faiblesses existantes de contrôle interne,

- L'élaboration d'un programme d'auto évaluation du dispositif de contrôle.

Un programme d'auto évaluation du dispositif de contrôle comprend :

- d'une part, l'élaboration et la mise en oeuvre de check-lists de contrôles que doivent remplir
les opérationnels et qui leur rappellent les étapes essentielles à suivre,

- et d'autre part, la définition d'indicateurs de contrôles clés tant au plan qualitatif que
quantitatif.

Finalement on peut dire, qu'une fois l'objectif du suivi régulier de la qualité des contrôles
effectués et évalués par les opérationnels est atteint, sa valeur ajouté réside dans sa capacité à :

- présenter à la direction générale et au comité d'audit une cartographie complète et actualisée


des risques ;

- piloter l'ensemble des dispositifs de contrôles définis à partir des risques clés ;

- améliorer en continu ce dispositif sur la base des meilleures pratiques du secteur et des
missions réalisées à partir d'un processus qualitatif de clignotants ;

- promouvoir la culture du contrôle interne à tous les échelons de l'organisation ;

3. Autres pratiques internes pour maitriser le risque opérationnel :

Le comité prévoit autres pratiques internes afin de maitriser le risque opérationnel :

§ La surveillance étroite du respect des limites de risque ou des seuils assignés


§ La mise en place des mesures de protection pour l'accès et l'utilisation des actifs et des
informations de la banque.

§ S'assurer que le personnel à l'expertise et la formation adaptées et veuilles a une mise a jour.

§ Vérification et rapprochement réguliers des transactions et des comptes.

§ L'identification des branches ou des produits de l'activité dont les résultats semblent être en
dehors des attentes raisonnables.

§ S'assurer que l'infrastructure du contrôle de gestion des risques suit la croissance de


l'activité.

4. Les techniques d'atténuation du risque opérationnel :

En matière de maîtrise du risque opérationnel de faible probabilité mais a un impact financier


très lourd on peut opter pour d'autres techniques d'atténuation et de transfert de risques, par
l'intermédiaire des polices d'assurances contre des évènements externes de risques tels que les
incendies, les tempêtes....ou par la signature des contrats plus spécifiques et personnalisés
contre le risque opérationnel qui y sont proposés pour se prémunir contre des menaces
internes de risques tel que les fraudes ou les défaillances dans un système informatique.

L'externalisation de certains activités peut réduire le profil de risque d'un établissement en


transférant certaines activités spécialisées à des entreprises qui ont plus d'expertise et
d'envergure pour gérer les risques qui y sont associés.

Il convient aussi d'examiner soigneusement dans quelle mesure les instruments d'atténuation
comme l'assurance et l'externalisation réduisent vraiment le risque, ou le transfèrent à un autre
secteur ou domaine d'activité, voire s'ils ne créent pas un nouveau risque (par exemple, risque
juridique ou risque de contrepartie).

L'investissement en technologie de traitement de l'information peut également apparaitre


comme un dispositif d'atténuation du risque. En fait un bon système d'information fiable et
sécurisant est un élément clé pour la gestion et maitrise du risque du fait que l'informatique et
les processus de traitement et d'acheminement de l'information sont des sources potentielles et
non négligeable du risque opérationnel.

5. Les plans de continuité d'exploitation :

Selon le comité « Les banques devraient mettre en place des plans de secours et de


continuité d'exploitation pour garantir un fonctionnement sans interruption et limiter
les pertes en cas de perturbation grave de l'activité ».

Les plans de secours d'exploitation se sont basés, pour leur rédaction, sur des listes de
fonctions prioritaires, classées en fonction des risques financiers, légaux et commerciaux
potentiels induits par une interruption des opérations. Une organisation de secours cible est
alors été mise sur pied, en même temps que des lieux et des systèmes de backup alternatifs.
En règle générale, en raison des coûts associés à une telle procédure d'urgence, des tests sont
exécutés de manière aléatoire. Il n'y a donc aucune certitude quant au bon fonctionnement des
ces procédures d'urgence, dans le mesure où les interdépendances n'ont pas été vérifiées,
l'élaboration de cas virtuels autour des mesures d'urgence pourrait s'avérer extrêmement
intéressante.

6. La Création de la fonction de gestion du risque opérationnel :

La gestion des risques opérationnels est devenue une discipline à part entière, en termes
organisationnels, cela se matérialise par la création d'une fonction de gestion du risque
opérationnel.

La fonction de gestion du risque opérationnel est un acteur clé du processus de contrôle


chargé de veiller à l'existence et à l'efficacité des dispositifs permettant de maitriser les risques
opérationnels. Le gestionnaire des risques opérationnels a la mission d'identifier, d'évaluer, la
surveillance et la maitrise du risque. Il propose, met en place, maintient et fait évoluer en
fonction des risques le dispositif de contrôle interne de l'entité, de la direction opérationnelles
ou fonctionnelle ou de la ligne métier dont il est chargé. Il est assisté des autres acteurs du
contrôle interne (management opérationnel et fonctionnel, direction des risques, pilotage du
contrôle interne et audit)

7. Les objectifs à atteindre à travers les moyens de la gestion du risque opérationnel :

Une valeur ajoutée est perçue de La mise en oeuvre d'un processus de gestion du risque
opérationnel, cette valeur ajoutée est susceptible de provenir de différents éléments
complémentaires :

· Les démarches qualitatives d'identification et d'évaluation des risques opérationnels


permettent de sensibiliser et de responsabiliser les agents opérationnels en termes de gestion
des risques

· Une méthode de quantification des risques opérationnels plus précis permet

a. De mettre en évidence le cout des risques opérationnels (notion de pertes attendues) et donc
de l'intérêt dans la tarification des produits
b. D'identifier les expositions aux risques importantes (pertes inattendues) et donc la
consommation de fond propres

c. De fournir en combinant ces deux éléments, un cadre pour l'analyse cout-bénéfice (éviter le
sur-contrôle).

· L'analyse systématique des sources et causes des pertes opérationnelles entraine :

a. Une amélioration des processus et la qualité

b. Une meilleure diffusion des meilleurs pratiques

· Une meilleure connaissance des risques et un calcul plus précis, de type actuariel des risques
permettent une rationalisation des programmes d'assurance.

· Une approche disciplinée et structurée de collecte des incidents contribue à l'établissement


de la culture d'entreprise vis-à-vis du risque.

Afin d'assurer une mise en oeuvre effective délivrant la valeur ajouté promise,
l'implémentation de la gestion des risques doit répondre à certains facteurs clef de succès qui
sont les suivants :

· Une définition claire des rôles et des responsabilités en matière de gestion des risques
opérationnels.

· Une implication et un engagement forts de la part du management

· Une politique de communication et de formation

· Une documentation appropriée du processus

· La mise en place d'un processus d'amélioration continu.