Vous êtes sur la page 1sur 117

BANQUE D’ALGERIE

MEMOIRE DE FIN D’ETUDES

DIPLÔME SUPERIEUR DES ETUDES BANCAIRES

Thème :

RISQUE OPÉRATIONNEL ET DETERMINATION DES


FONDS PROPRE NÉCESSAIRES POUR SA
COUVERTURE
(Cas De La Société Générale Algérie)

Présenté par : Encadré par :


M. ARAOUR Smaïl M. ARABI Mohamed
&
M. CHABANE Farid

Novembre 2007
9ème Promotion
REMERCIEMENTS

Mes profonds remerciements à Monsieur ARABI Mohamed, mon


Encadreur à la Société Générale Algérie pour son aide inestimable et sa
disponibilité, ses critiques et conseils si précieux.

Je tiens à remercier également Monsieur CHABANE Farid pour ses


conseils de valeur.

Mes remerciements s'adressent aussi et surtout à Monsieur LAROUI


Moussa (notre cher Bibliothécaire à l'ESB) pour son aide appréciable,
notamment sur le plan de la documentation.
SOMMAIRE
INTRODUCTION GENERALE...................................................................................... 01

CHAPITRE PRELIMINAIRE......................................................................................... 03

CHAPITRE I: Accords de Bâle et Risque Opérationnel............................................... 07

• Historique des Accords de Bâle..................................................................... 09


• Structure des Nouveaux Accords (Les piliers de Bâle II).............................. 16
• Classification des risques opérationnels dans Bâle II.................................... 23
• Conclusion..................................................................................................... 29
CHAPITRE II: Détermination des Exigences en Fonds Propres et Mesure du R.O... 30
• Approche par Indicateur de Base (B.I.A)...................................................... 32
• Approche Standardisée (S.A)........................................................................ 33
• Approche par les Méthodes Avancées (A.M.A)........................................... 35
• Mesure du risque opérationnel....................................................................... 38
• Conclusion...................................................................................................... 55
CHAPITRE III : Méthodes de Couverture des Risques Opérationnels...................... 58

• Couverture interne des risques....................................................................... 59


• Couverture externe des risques...................................................................... 66
• Conclusion..................................................................................................... 72
CHAPITRE IV: Cas de la Gestion des R.O à la Société Générale Algérie..................... 74

• Présentation de la Structure d'Accueil...................................................................... 76

• Classification et cartographie des risques opérationnels à la S.G.A...................... 82


• Dispositif de mesure des risques opérationnels au Groupe SG.................... 86
• Conclusion..................................................................................................... 103
CONCLUSION GENERALE.......................................................................................... 105
INTRODUCTION GÉNÉRALE
"Il suffit sans doute de leurs rappeler quelques événements retentissants pour ramener
nos banques à la raison : faillite du fonds LTCM et de la banque BARINGS, attaque terroriste
du World Trade Center, pratiques frauduleuses d'Enron/Worlcom, pertes chiffrées en
milliards de Dollars chez All-First Bank en raison d'activités de trading non autorisé… pour
n'en citer que quelques unes parmi les plus célèbres. Ces stigmates du "risque opérationnel"
sont une invitation ferme à se focaliser davantage sur d'autres types de risques que ceux
relevant strictement d'une activité de marché ou de crédit. " 1

Les professionnels de la banque s'accordent à dire que la grande innovation du


nouveau dispositif Bâle II, au-delà d'une gestion plus fine des risques bancaires est bel et bien
l'introduction du Risque Opérationnel dans le ratio international de solvabilité (Ratio Mc
Donough). En effet, depuis la mise en place du Ratio Cooke en 1988 (qui portait
essentiellement sur le risque de crédit et les engagements de bilan), les banques ont fait
beaucoup de progrès dans l'identification de nouveaux risques, et dans les techniques de
maitrise et de gestion de ces derniers. Deux facteurs essentiels ont favorisé, voir accéléré
cette évolution: D'une part la création de nouveaux produits et la gestion automatisée des
processus, et d'autre part les exigences réglementaires des autorités de tutelle suite à des crises
bancaires et à la multiplication des faillites des établissements de crédit.
Si la réalité du monde bancaire relève une grande maitrise des risques "marché" et à un
degré moindre le risque "crédit", les banques ont entamé à peine trois ans des chantiers
"risque opérationnel". C'est pour cette raison qu'il est nécessaire de s'accorder sur une
définition générique du risque opérationnel claire et compréhensible, de façon à ce que tout le
monde parle le même langage et puisse comprendre de quoi il s'agit. A cet effet, le Comité de
Bâle le définit dans son document consultatif (version conservatrice d'Avril 2003) comme "le
risque de pertes résultant de carences ou de défaillances attribuables à des procédures,
personnels, systèmes internes ou à des évènements extérieurs". (Risk of loss resulting from
inadequate or failed internal processes, people and systems, or from external events).
Tout en essayant de rester le plus fidèle possible à cette définition, on peut dire que le
risque opérationnel est le risque lié aux processus de distribution des produits, au traitement
des opérations, aux systèmes d’information, au facteur humain et à des perturbations de
l’environnement dans lequel opère la banque (juridique, fiscal, sécuritaire ...).
Tout établissement bancaire ou financier est donc confronté à ces risques opérationnels
susceptibles de porter atteinte à la qualité des services fournis à ses clients, à sa performance
commerciale et au développement de sa rentabilité. Dans ce contexte, une méthodologie

1F. MAURER "Quelles données pour le risque opérationnel ? ", Revue BANQUE-stratégie, Novembre 2006,
N° 242, REVUE BANQUE EDITIONS, Paris, p 30.
1
d’approche des risques opérationnels est nécessaire pour en étudier les principales causes et
conséquences, ainsi que les mécanismes de propagation. Les travaux de mise en place de cette
méthodologie, menés en étroite collaboration avec les entités concernées, permettront de
déterminer les indicateurs et mesures de gestion puis les plans d’actions les mieux adaptés
pour maîtriser ses risques, ou à défaut les couvrir par des fonds propres de la banque.

Notre travail se fixe comme objectif de montrer l’importance de la prise en compte des
risques opérationnels. Il n'a cependant pas la prétention de répondre à toutes les questions
concernant les détails techniques relatifs aux modèles quantitatifs de mesure du risque
opérationnel. Nous tenterons donc tout au long de notre mémoire de répondre à la
problématique suivante : Comment peut-on identifier, mesurer et gérer les risques
opérationnels, et comment sont déterminées les exigences en fonds propres y afférant ?
Un certain nombre de questions en découle:
- Comment le nouveau ratio de solvabilité est-il structuré?
- Comment le risque opérationnel est-il pris en compte dans ce nouveau ratio ?
- Comment identifier et appréhender ce type de risques?
- Quelles alternatives quantitatives ont été développées ces dernières années pour permettre
une réelle gestion des risques opérationnels?
Pour tenter de répondre à ces questions et à d'autres, et pour essayer de cerner cette
nouveauté du monde bancaire, nous avons structuré notre travail selon le plan suivant :

- Un chapitre préliminaire dans lequel seront présentés brièvement Les risques majeurs
auxquels sont confrontées nos banques au cours de leur activité;
- Un premier chapitre traitant le nouvel accord de Bâle dans son ensemble, et l'importance
qu'accorde ce dernier aux risques opérationnels en particulier;
-Un second chapitre dans lequel nous présenterons les approches de calcul des exigences
minimales en fonds propres au titre du risque opérationnel et leurs critères d'agrément
(imposés par le comité de Bâle), ainsi que la cartographie des risques opérationnels, et les
différentes méthodes de leur mesure (Méthode Scorecard, méthode de Scénarios, et Méthode
des Données de Pertes Internes);
- Le troisième chapitre s'intéressera –quand à lui- aux divers outils de gestion (internes et
externes) qui permettront, si vigoureusement utilisés, de faire face aux pertes opérationnelles.
- Enfin, nous tenterons dans un cinquième et dernier chapitre de présenter la mesure des
risques opérationnels à la Société Générale Algérie (et indirectement au Groupe SG), dans ses
différents processus, allant de la mise en place de la cartographie aux différents outils de
quantification; l'accent étant mis sur la démarche de l'élaboration de la cartographie, et la
collecte des données de pertes internes relative aux risques opérationnels.

2
CHAPITRE PRÉLIMINAIRE
Les risques bancaires sont de mieux en mieux identifiés et suivis. Ainsi, il y a
quelques années, seul le risque de crédit faisait l’objet d’un véritable suivi par les autorités de
contrôle. En 1996, la réglementation a imposé un suivi spécifique des risques de marché.
Aujourd’hui, le Comité de Bâle demande aux banques une démarche identique pour leurs
risques opérationnels.
Au cours de leur activité, les banques sont donc exposées à une vaste série de risques.
La Banque Mondiale classe les risques bancaires en quatre catégories: risques financiers,
risques opérationnels, risques d'exploitation et les autres risques. Cependant, il existe d'autres
classification de ces risques; chacune est mise en place pour répondre à un objectif particulier.
Nonobstant la multitude des possibilités de classification des risques, tout le monde
s'accorde sur le fait que ceux qui sont les plus importants sont le risque de crédit, risque de
marché et le risque opérationnel.
1- Le Risque de crédit:
"Le risque de crédit est la perte potentielle consécutive à l'incapacité par un débiteur
d'honorer ses engagements. Cet engagement peut être de rembourser des fonds empruntés,
cas le plus classique et plus courant; risque enregistré dans le bilan. Cet engagement peut
être aussi de livrer des fonds ou des titres à l'occasion d'une opération à terme ou d'une
caution ou garantie donnée ; risque enregistré dans le hors-bilan. Les sommes prêtées non
remboursées, suite à la défaillance d'un emprunteur doivent être déduites du bénéfice - des
fonds propres- qui peuvent alors devenir insuffisants pour assurer la continuité de l'activité." 1
Ce risque fait l'objet depuis 1988, par l'introduction du ratio de solvabilité –dit aussi
Ratio Cooke- d'un dispositif de quantification destiné à maintenir un niveau minimum de
fonds propres compatible avec le niveau des engagements.

2- Le Risque de Marché:
Les risques de marché sont les pertes potentielles résultant de la variation du
prix des instruments financiers détenus dans le portefeuille de négociation ou dans le
cadre d’une activité de marché dite aussi de "trading" ou de négoce.

L’activité de marché concentre et amplifie tous les autres risques : risque de taux
(d’intérêt ou de change), de crédit, de liquidité, opérationnel. Le développement exponentiel
des volumes traités sur les marchés traditionnels, et surtout sur les nouveaux marchés de
produits dérivés, a considérablement amplifié les risques. Ils ont été largement illustrés par
des affaires qui mettent en exergue une étonnante faiblesse dans le contrôle que certaines
banques exercent sur ces activités.

Les pertes peuvent se produire sur les compartiments des marchés financiers :

1
A. SARDI, Audit et contrôle interne bancaire, Edition AGFES, Paris 2002, p. 40
3
Marché de change, de titre de créance négociables, de titre de propriétés, de matières
premières, que ce soit par la détention directe de ces instruments ou par des produits
dérivés. Ils sont la conséquence des variations des cours de change, des taux d’intérêt, des
prix des actions ou des matières premières. A ces risques viennent s'ajouter ceux liés à la
qualité de la contrepartie avec laquelle l’opération est traitée, qui peut s’avérer défaillante.
Les risques de marché font l’objet d’une exigence de couverture en fonds propres :
amendement apporté à l’accord de Bâle en 1996, puis celui de 1999.

3- Le Risque Opérationnel :
Le risque opérationnel -objet de notre mémoire- est définit comme étant "le risque de
pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et
systèmes internes ou à des évènements extérieurs". (Cette définition inclut le risque juridique,
mais exclut les risques stratégiques et d'atteinte à l'image).

La définition précédente est celle donnée par le Nouvel Accord de Bâle, dans sa
version conservatrice d'Avril 2003, pour remplacer celle qui a été donnée dans le 1er
document consultatif de Janvier 2001: " les risques opérationnels se définissent comme les
risques de pertes directes ou indirectes résultant de l’inadaptation ou de la défaillance de
procédures ou de personnes, ou de systèmes ou résultant d´évènements extérieurs." Et qui a
été critiquée, car il est relativement difficile de calculer certaines pertes indirectes.

La Définition fournie par le Comité de Bâle sert de base de réflexion et de mise en


œuvre pour toutes les banques. Néanmoins, il existe d'autres définitions élargies telles que:
"les risques opérationnels comprennent tous les risques de nature à interrompre ou
compromettre le bon fonctionnement de la banque, à remettre en cause l'atteinte de ses
objectifs, ou à entrainer des dommages susceptibles d'affecter sa rentabilité ou son image". 1

La particularité du risque opérationnel est qu’il n’est pas concentré dans un secteur
d’activité particulier ; il est partout présent. Une perte de crédit peut avoir pour cause la
défaillance d’un emprunteur, mais aussi une cause opérationnelle: erreur, négligence,
fraude...etc. Le risque opérationnel fait l’objet d’une exigence de fonds propres dans le
nouveau ratio de solvabilité du comité de Bâle.

4 Autres Risques:

a- Le risque de liquidité: Le risque de liquidité (ou d’absence de liquidité) est le fait pour une
banque de ne pouvoir faire face à ses engagements à cause de l’impossibilité de se procurer
les fonds dont elle a besoin. La défaillance due à l’illiquidité est souvent la conséquence de

1C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, EDITION REVUE BANQUE,
Paris, 2004. p.17
4
l’appréciation que portent le marché et les déposants sur la capacité de remboursement de
l’établissement. Un autre aspect du risque de liquidité est celui de ne pas pouvoir trouver, à un
instant donné, des instruments financiers destinés à couvrir une position, ou de devoir les
acheter ou les vendre à un prix anormal, du fait de l’insuffisance de liquidité sur le marché.

b- Le risque de transformation : La transformation, qui est un risque traditionnel, consiste à


transformer des ressources structurellement à court terme en des emplois à long terme. Ce qui
implique un double risque : un risque de taux d’intérêt et un risque de liquidité.

c- Le risque global de taux d’intérêt : Les activités de dépôt et de crédit impliquent un risque
significatif en cas de variation importante des taux d’intérêt. Ses effets peuvent se révéler être
une bombe à retardement: Les pertes dues à ces variations peuvent être désastreuses.

d- Le risque de réputation : autrement dit d’atteinte à la confiance qu’une banque doit


inspirer à sa clientèle et au marché suite à une mauvaise publicité portant sur des faits vrais ou
supposés. Cette perte de confiance peut alors avoir des effets destructeurs: retraits massifs des
déposants, perte de clientèle, méfiance des marchés. Une crise de liquidité peut suivre cela.
Les causes peuvent être variées : pertes importantes dues à une déficience du contrôle
interne, blanchiment d’argent d’origine criminelle, fraudes massives commises par la clientèle
ou par le personnel, mauvaise qualité des services ou incapacité de satisfaire à la demande
notamment lors du lancement d’un nouveau produit ou d’une nouvelle activité...etc.

e- Le risque stratégique: L'adaptation d'une nouvelle stratégie par la banque dans les
différents domaines engage des ressources toujours significatives. A titre d’exemples ces
stratégies peuvent être : la pénétration d’un marché, le lancement de nouveaux produits ou de
nouvelles activités, la refonte du système d’information, une croissance externe par fusion ou
acquisition. Un échec (risque stratégique) peut s’avérer lourd de conséquences car les
ressources engagées pourraient devenir sans valeur et la perte de substance significative.

f- Le risque systémique : Les établissements de crédit sont interdépendants les uns des autres.
Les pertes consécutives à la défaillance d’un établissement sont supportées, par un effet de
contagion et de propagation par le système bancaire, essentiellement sous trois formes :

9 Les opérations interbancaires, conclues avec l’établissement défaillant, se traduiront par


une perte pour l’établissement prêteur ;
9 La solidarité de la place oblige fréquemment tous les établissements défaillants à participer
à l’apurement du passif des engagements de l’établissement sinistré ;
9 Les actionnaires d’une banque sont fréquemment d’autres établissements de crédit qui
devront, conformément à leur rôle, participer au sauvetage de l’établissement défaillant.
La défaillance d’un établissement de crédit peut donc déclencher des défaillances
dans d’autres établissements et risque de mettre en péril tout le système bancaire.

5
Figure N° 1 : Nomenclature des risques bancaires
selon la Banque Mondiale

Risques Risques Risques Autres


Financiers d'exploitation Opérationnels Risques

Structure de Politique Fraude


Liquidité
bilan macro- interne
économique

Fraude
Rentabilité externe
du compte Infrastructure Transformation
de résultat financière
Pratique en
matière
Adéquation Infrastructure d’emploi et
des fonds sécurité du Taux d’intérêt
légale
propres lieu de travail

Responsabilité Clients, produit


Crédit et pratiques Réputation
civile
commerciales

Liquidité Respect de la Dommages aux


réglementation actifs corporels Stratégique

Interruption
Marché Réputation et d’activité et
risque défaillance du
Systémique
fiduciaire système

Devise Exécution,
livraison &
Risque pays
gestion des
processus

Source : M. ROZENBAUM, Analyse et gestion du risque bancaire, Edition ESKA Banque Mondiale, Paris 2004
p. 104. Traduit de: analyzing & managing banking risk, écrit par H.V. GREUNING et S.B. BRATANOVIC.

6
Chapitre I :
Accords de
Bâle et risque
Opérationnel

7
CHAPITRE I : ACCORDS DE BÂLE ET RISQUE
OPERATIONNEL

Depuis 1988, le monde bancaire est régi par un ensemble de directives émanant du
"Comité des Règles et Pratiques de Contrôle des Opérations Bancaires", appelé communément
le Comité de Bâle. Ces directives sont connues sous le nom de Bâle I (ou Ratio Cooke), qui a
connu plusieurs modifications, plusieurs éléments lui ont été intégrés pour l'adapter à la réalité du
monde bancaire international, qui est en perpétuelle mutation.

La révision commencée en 1999 (qui a marqué le début d'un processus dénommé Bâle II)
vise seulement à combler les lacunes de Bâle I, et à adapter les directives au nouveau contexte.
L’objectif principal est d’abandonner le système de couverture forfaitaire imposé aux banques
pour adopter une réglementation du capital propre minimal plus complète qui tienne mieux
compte des risques. Les profondes mutations intervenues sur les marchés financiers et dans les
affaires bancaires au cours des dernières années ont permis aux établissements financiers
d’améliorer l’évaluation de la solvabilité et la gestion des risques.

Bâle II repose sur trois piliers se complétant: Le premier pilier, qui reprend les dispositions
de Bâle I, concerne les exigences minimales de fonds propres. Le deuxième pilier règle le
processus de contrôle de la gestion des risques et de la couverture en capital par les autorités
prudentielles nationales. Enfin, le troisième pilier définit les obligations imposées aux banques en
matière de publication et de communication financière.

L’introduction d’exigences de fonds propres pour les risques opérationnels dans le


premier pilier du nouvel accord a pour but de couvrir le potentiel de perte pouvant résulter d’une
défaillance attribuable au facteur humain, aux procédures et systèmes internes (ex: panne de
systèmes informatiques ou de contrôle interne) ou à la survenance d’événements extérieurs
susceptibles d’entraver considérablement les activités bancaires.

Le Comité de Bâle propose trois méthodes pour la détermination des exigences en capital
réglementaire nécessaire à la couverture des risques opérationnels: L'Approche par Indicateur de
Base (Basic Indicator Approach ou BIA), l'approche Standardisée (Standardized Approach ou SA)
et l'Approche par les Mesures Avancées (Advanced Measurement Approach ou AMA). Dans le
présent chapitre, il ne sera donné qu'un bref aperçu de ces trois approches, car elles seront traitées
en détail dans le second chapitre.

En dernier lieu, nous allons présenter la classification (référentiel) des risques


opérationnels telle qu'elle a été présentée par les accords de Bâle, ainsi que d'autres classifications
adoptées par de grands groupes bancaires sur la seine internationale.

8
SECTION 1 : HISTORIQUE DES ACCORDS DE BÂLE :

Le Comité de Bâle a été institué en fin 1974, par les gouverneurs des banques centrales
des pays du Groupe des Dix (G10)1 à Bâle ( une ville suisse), suite à de graves perturbations sur
les marchés bancaires et monétaires internationaux (notamment la faillite de la Banque
Herstatt en Allemagne de l'Ouest, incident qui avait un effet domino sur certaines autres
banques). Il s’est réuni pour la première fois en février 1975, et tient régulièrement depuis lors
trois ou quatre séances par an.
Le Comité de Bâle se compose actuellement de représentants des banques centrales ou
des autorités prudentielles des 13 pays suivants: Allemagne, Belgique, Canada, Espagne, États-
Unis, France, Italie, Japon, Luxembourg, Pays-Bas, Royaume-Uni, Suède et Suisse.

1- LES MISSIONS DU COMITE DE BALE :

Le Comité constitue un forum de discussion et de coopération régulière pour les pays


membres en matière de contrôle bancaire et de surveillance prudentielle. Ses réunions ont
habituellement pour cadre la Banque des Règlements Internationaux (BRI), à Bâle, siège de son
Secrétariat permanent. Les documents du comité (ex: l'accord sur les fonds propres) fournissent
de grandes orientations que les autorités de contrôle de chaque pays peuvent utiliser pour définir
les politiques prudentielles qu’elles doivent appliquer.

Au départ, le Comité a examiné les modalités d'une coopération internationale ayant pour
mission de renforcer le contrôle prudentiel. Il poursuit cette tâche suivant trois grands axes:
échange d'informations sur les pratiques nationales de contrôle, amélioration de l'efficacité des
techniques mises en œuvre pour la surveillance de l'activité bancaire internationale, fixation de
normes prudentielles minimales dans des domaines où elles apparaissent souhaitables.

Les principes adoptés par le Comité de Bâle font l’objet d’une large diffusion. Un
grand nombre de pays hors G 10 ont apporté leur soutien à l’objectif fondamental, qui est de
veiller à ce qu’aucune activité bancaire internationale n’échappe au contrôle. Aussi, rares
sont maintenant les contrées où les autorités accordent leur agrément à des entités
bancaires, en vue de leur installation ou de leur fonctionnement, sans un sérieux effort pour
l’assortir d’une surveillance effective et établir une coopération avec les autres autorités
de contrôle.

1
Les Etats du G-10 comprennent les sept pays les plus industrialisés que sont les Etats-Unis, le Japon,
l’Allemagne, la Grande-Bretagne, la France, l’Italie et le Canada ainsi que la Suisse, la Suède, la Belgique et les
Pays-Bas (en fait 11 pays au total).
9
2- LE STATUT DU COMITE DE BALE

Le Comité n’est investi d’aucune autorité supranationale officielle en matière de contrôle.


Ses conclusions n’ont pas force exécutoire, ce qui n'a d'ailleurs jamais été le but recherché. Son
rôle est plutôt de formuler des normes et orientations à caractère général et de recommander des
pratiques optimales de contrôle, dans l’espoir que les autorités nationales des pays membres
s'emploient à les mettre en œuvre par le biais des dispositions spécifiques (d’ordre législatif ou
autres) les mieux adaptées à leur système financier. Le Comité favorise ainsi la convergence vers
une identité d’approches et de normes, sans chercher à harmoniser dans le détail les méthodes
prudentielles particulières adoptées par les divers pays membres.
Le Comité de Bâle rend compte au Comité des gouverneurs des banques centrales du
G10, et sollicite leur engagement (aval) en faveur de ses principales initiatives et conventions. Et
comme il comprend aussi des représentants d'autres institutions, ses décisions reçoivent le
soutien de nombreuses autorités nationales en dehors de la communauté des banques centrales.
Actuellement, le secrétariat du Comité comprend principalement des spécialistes du
contrôle bancaire détachés par les institutions membres pour une période déterminée. Il se
charge des tâches administratives du Comité, et a pour second rôle de conseiller les autorités
de contrôle de tous les pays sur les questions se rapportant à la surveillance prudentielle.

3- LES TRAVAUX DU COMITE DE BALE

Les travaux du Comité ont pour objectif majeur de combler les lacunes de la
couverture du contrôle international en se fondant sur un principe essentiel: aucun
établissement bancaire étranger ne doit échapper à un contrôle efficace et rigoureux.

-En mai 1983, le Comité a mis au point un document intitulé "Principes pour
le contrôle des établissements des banques à l’étranger", qui expose les règles devant présider
au partage -entre autorités d’accueil et d’origine- des responsabilités du contrôle des filiales,
succursales, et sociétés en participation ouvertes à l’étranger par les banques. Ce document est
une version révisée d'un texte diffusé en 1975 et connu par la suite sous le nom de
"Concordat". Le texte originel a été complété et amendé pour refléter les modifications
survenues sur le marché et prendre en compte le principe (adopté en 1978) d’un contrôle des
groupes bancaires internationaux sur une base consolidée.

-En avril 1990, un Supplément au Concordat a été publié, dans le but d’améliorer
l'échange d’informations prudentielles entre les autorités de contrôle des différents pays.

-En juin 1992, certains des principes établis dans le Concordat ont été exposés sous
forme de Normes Minimales; communiquées aux diverses autorités de contrôle bancaire,
qui ont été invitées à les adopter, ces normes ont été rendues publiques en juillet 1992. Le
Comité a cherché en permanence à optimiser le processus de leur mise en œuvre.
10
- En octobre 1996, Le Comité a publié un document formulant des propositions qui
visent à surmonter les obstacles rencontrés par les autorités de contrôle des banques pour mettre
en œuvre une surveillance consolidée efficace des opérations transfrontières des banques
internationales. Il a été approuvé par les autorités prudentielles de cent quarante (140) pays
assistant à la Conférence internationale des autorités de contrôle bancaire de juin 1996.

Outre ses travaux sur le Concordat, le Comité a examiné certaines questions plus
particulières: Gestion des prêts internationaux des banques (risque-pays), Surveillance des
positions de change des banques, traitement de leurs engagements hors bilan, prévention de
l’utilisation du système bancaire à des fins criminelles, contrôle des risques de crédit et lignes
directrices pour la gestion des risques liés aux dérivés...etc.
D'autres documents (plus récents) concernent la gestion du risque de taux d’intérêt, et
des risques relatifs à la monnaie électroniques ont été édités. Une étude a également été
consacrée au cadre d’évaluation des systèmes de contrôle interne. Parmi les sujets traités
actuellement figurent les problèmes de gestion du risque Crédit et du risque opérationnel, et
les aspects touchant la communication financière. Eu égard à la complexité de tous ces sujets,
une partie importante des tâches techniques a été confiée à des sous-comités.

Les Chefs d’État et de gouvernement du G7 à l'issue du Sommet de Lyon ( juin


1996) ont appelé le Comité à participer aux efforts visant à améliorer les normes
prudentielles dans les marchés émergents. Par la suite, le Comité a élaboré un ensemble de
Principes fondamentaux pour un contrôle bancaire efficace, qui offre un cadre exhaustif à cet
effet. Diverses initiatives ont été prises pour encourager les pays à mettre en œuvre les
«Principes fondamentaux», comme l’instauration d’un Groupe de liaison et d’un Groupe de
consultation, ainsi que la préparation d’une enquête avant la Conférence internationale des
autorités de contrôle bancaire d’octobre 1998.

La question à laquelle le Comité s’est essentiellement consacré ces dernières


années est celle de l’adéquation des fonds propres. Au début des années 80, il s’est
montré préoccupé par la détérioration des ratios de fonds propres des principales banques
internationales au moment même où les risques internationaux augmentaient, surtout vis-à-vis
des pays lourdement endettés. Avec le soutien des gouverneurs des pays du G 10, les
membres du Comité ont alors résolu de mettre un terme à la dégradation des niveaux de fonds
propres dans leur système bancaire et d'œuvrer pour une plus grande convergence des
méthodes de mesure dans ce domaine. Cela a permis de dégager un large consensus en faveur
d’un système de pondération des risques de bilan et de hors-bilan.

11
a) Bâle I (Ratio Cooke):

Le Comité a vivement ressenti le besoin d’un accord multinational, pour renforcer


la stabilité du système bancaire international et éliminer une source d’inégalité concurrentielle
due aux différences de normes de fonds propres d’un pays à l’autre. À l’issue d’une
consultation effectuée sur la base d’un document diffusé en décembre 1987, un système de
mesure des fonds propres a été approuvé par les membres du comité et porté à la
connaissance des banques en juillet 1988. Il visait à instaurer avant la fin de 1992 un
dispositif comprenant une norme minimale de fonds propres. Celui-ci a progressivement
é t é mis en place à partir de 1988, non seulement dans les pays membres, mais dans
presque tous les autres pays possédant des banques à dimension internationale.
Le dispositif de 1988 n’est pas conçu comme un cadre rigide mais évolutif. En
novembre 1991, il a été amendé afin de clarifier la définition des provisions générales ou
réserves générales pour créances douteuses pouvant être incluses dans les fonds propres. En
avril 1995, le Comité a publié un Amendement à l’accord sur les fonds propres, devant entrer
en vigueur en fin d’année, qui visait -entre autres- à reconnaître les effets de la compensation
bilatérale des expositions des banques au risque de crédit sur produits dérivés.

Le ratio de solvabilité est un rapport entre les "Fonds propres" (numérateur) et les
engagements ou risques pondérés (Dénominateur).

Fonds Propres
Ratio Cooke = ≥ 8%
Actifs Pondérés par les Risques

Le dénominateur du ratio comprend l'ensemble des éléments d'actif et de Hors-bilan,


à l'exception :
• Des éléments qui sont déduits des fonds propres ;
• Des contrats négociés sur un marché organisé ;
• Des stocks de produits de base ;
• Des éléments du portefeuille de négociation inclus dans le dispositif de la surveillance
prudentielle de risques de marché.
- Par ailleurs, les éléments concernés par ce dispositif ne sont pas homogènes entre eux quand
au risque qu'ils représentent, selon la contrepartie bénéficiaire de l'engagement: Un crédit
consenti à l'Etat (par souscription de bons de Trésor à titre d'exemple) ne représente sans
doute pas le même risque qu'un découvert consenti à une entreprise. Pour permettre de les
rendre homogènes (comparables), ces engagements vont être pondérés suivant quatre taux:
12
¾ Actifs pondérés à 0 % : Encaisses, créances sur les gouvernements et les Banques
Centrales des pays de l'OCDE;
¾ Actifs pondérés à 20 % : Créances sur les gouvernements non appartenant à l'OCDE, et
sur les banques des pays de l'OCDE…
¾ Actifs pondérés à 50 % : Prêts hypothécaires intégralement couverts par un bien
immobilier, opérations de crédit-bail immobilier…
¾ Actifs pondérés à 100 % : tout le reste : Banques commerciales, entreprises...etc.

Les éléments de hors-bilan sont pris en compte selon des méthodes particulières :

- En théorie, le risque de perte sur les éléments de hors-bilan est plus faible, c’est pourquoi ils
sont moins affectés par le ratio que les éléments du bilan.

- Ils sont classés en quatre catégories selon qu’ils présentent un risque élevé, moyen, modéré
ou faible et sont respectivement pondérés à 100%, à 50%, à 20% ou à 0%,

- les montants ainsi déterminés sont affectés -selon la catégorie à laquelle appartient le
bénéficiaire ou l’actif concerné- des taux de pondération prévus ci-dessus, les engagements
couverts par une garantie étant toutefois affectés des taux de pondération applicables au
garant ou à la garantie. Lorsqu’un élément de hors-bilan correspond à des opérations sur taux
d’intérêt ou sur taux de change (opérations de change à terme, instruments financiers à terme,
etc.), il est évalué au prix de marché ou par le risque initial. Les montants ainsi déterminés
sont ensuite affectés, en fonction de la contrepartie concernée, des pondérations prévues.

Les fonds propres s'obtiennent par l'addition au "noyau dur" des fonds propres
d'éléments complémentaires assimilés, puis par soustraction d'éléments à déduire.

FONDS PROPRES = Noyau Dur + Fonds Propres Complémentaires –


Eléments à déduire

Les fonds propres de base "noyau dur" regroupent les éléments suivants :

– les Actions Ordinaires et les Certificats d'Investissement, les Actions de Priorité et les
Certificats d'Investissement Privilégiés à Dividendes Non Cumulatifs, à l’exclusion des
Actions à Dividende Prioritaire sans droit de vote,
– les réserves consolidées (à l'exclusion des réserves de réévaluation), le report à nouveau
créditeur, et les résultats non distribués de l'exercice,
– les écarts d'acquisition créditeurs, les différences sur mise en équivalence des participations,
les intérêts minoritaires créditeurs, et l'écart de conversion créditeur,
– le fonds pour risques bancaires généraux (FRBG) conformément à l'accord des Gouverneurs
du G10 définitivement adopté le 6 novembre 1991.
13
Il convient de retrancher de ces éléments :

– les actions propres (à leur valeur comptable, et pas à leur valeur de marché), la partie non
libérée du capital, le report à nouveau débiteur, les frais d'établissement, les immobilisations
incorporelles (à l'exclusion du droit au bail), les écarts d'acquisition débiteurs, les intérêts
minoritaires débiteurs, et l'écart de conversion débiteur.

Les fonds propres Complémentaires comprennent : les réserves non allouées, réserves liées à
la réévaluation d’Actifs, provisions générales, réserves pour les pertes sur emprunts,
instruments hybrides et dettes à terme subordonnées.

Il convient, cependant de soustraire les Investissements dans des filiales financières &
autres institutions financières.

b) L’amendement de 1996 et la proposition de Juin 1999

L'amendement de 1996 portait sur la prise en compte des risques de marché (risques
de pertes sur les positions bilancielles et de hors bilan à la suite des variations des prix sur un
marché). Cet amendement prévoit une couverture de l'exposition au risque associé aux
positions actions et taux dans le portefeuille de négociation et aux positions de change de
l'ensemble des opérations ; il permettait pour la première fois à certaines banques dotées de
systèmes internes de les utiliser pour mesurer leurs risques de marché.

Le risque de marché est calculé pour les positions bilancielles et de hors bilan de tout
le portefeuille de négociation et requiert une charge en capital. L'amendement prend en
compte tous les instruments qui sont "marked to market" ou négociés sur un marché. Les
actifs du bilan sont soumis uniquement à une charge en capital pour les risques de marché
alors que les dérivés hors bilan sont soumis aux charges de marché et de crédit. L'apport
principal de l'amendement est la possibilité de choix entre les modèles internes de type VaR
ou "Value at Risk" et l'approche standard.

La proposition de juin 1999 soumise lors de la première phase de consultation restait


imprécise sur certains points, afin de solliciter des commentaires à un stade relativement
précoce de la réflexion du Comité de Bâle. Elle contenait trois innovations fondamentales,
toutes destinées à introduire dans l’Accord une plus grande différenciation des risques.

La première consistait à compléter la norme quantitative par deux "piliers": le processus


de surveillance prudentielle et la discipline de marché. Ces nouveaux piliers visaient à réduire
l’accent placé sur le premier d’entre eux, de nature quantitative, en instaurant une approche
plus équilibrée du processus d’évaluation des fonds propres.

14
La seconde innovation permettait aux banques disposant de procédures évoluées de
gestion des risques d’utiliser leurs systèmes internes pour évaluer le risque de crédit. Cette
méthode fondée sur les notations internes se substituait aux pondérations standardisées du
risque par type d’actifs.
La troisième grande innovation autorisait les banques à recourir aux notes établies par
les organismes externes d’évaluation du crédit (le plus souvent, des agences privées de
notation), pour classer leurs créances en catégories de risque. Plusieurs autres propositions
visaient à affiner les pondérations du risque et à introduire une exigence de fonds propres
pour d’autres risques. Fondamentalement, la définition des fonds propres ne changeait pas.

Insuffisances de l'accord "Bâle I "


1. Pas de différenciation par le risque:
¾ Un prêt émis par une firme notée AA par une grande agence de notation est traité de la
même manière qu'un prêt émis par une firme notée B
¾ Un prêt pour une banque du tiers monde (très risquée) nécessite 5 fois moins de capital
qu’un prêt pour une firme multinationale notée AAA (peu risquée) : Cela veut dire qu'il est
moins lucratif de détenir des actifs très risqués.
2. Pas d’incitation à la diversification de portefeuille
¾ Un simple prêt (prêt unique) nécessite le même capital qu’un prêt pour un portefeuille
d’actifs diversifié de même valeur.
¾ Pas de distinction entre un prêt de 1000 000 DA et 100 prêts de 10 000 DA

3. Arbitrage structurel:
¾ la pondération des engagements de crédit était insuffisamment différenciée pour rendre
compte de toute la complexité effective du risque crédit. Les banques ont généralement
pris avantage de ce manque de discrimination pour monter des opérations d'arbitrage.
¾ Les crédits à une maturité inférieure à un an ne sont pas soumis aux règles de régulation
du capital => Création de crédits à 364 jours, mais qui sont continuellement refinancées.

4. Pas de besoin de capital pour le risque opérationnel :


¾ Les activités bancaires amènent les banques à prendre des risques qui peuvent générer des
pertes considérables. Celles-ci varient dans le temps et en fonction des types d’activités
exercées. La banque doit donc disposer de fonds propres suffisants pour couvrir ces pertes
et poursuivre son activité. A cet effet, l'identification des risques opérationnels et leur
gestion autonome comme discipline séparée est considérée comme une nécessité
pressante mais non prise en compte par ce ratio (Ratio Cooke); d’où la nécessité d'un
amendement prenant en charge cette préoccupation.

15
SECTION 2 : STRUCTURE DES NOUVEAUX ACCORDS (LES PILIERS DE
BÂLE II) :

Vu les faiblesses du premier accord de Bâle (absence de sensibilité au risque, manque de


différenciation entre les débiteurs privés, différenciation arbitraire entre débiteurs publics; OCDE
et non OCDE, la non prise en compte des garanties et de la diversification du portefeuille, la
négligence de certains risques notamment les risques opérationnels…), le Comité de Bâle a
entamé des consultations devant mener à un nouvel accord sur les fonds propres, mieux adapté
aux complexités du monde financier actuel.

Le processus dénommé « Bâle II » désigne donc les discussions engagées depuis 1999
dans le cadre de la Banque des Règlements Internationaux, tendant à réformer les ratios
prudentiels que les banques exerçant une activité internationale doivent respecter.

Cette réforme est justifiée par la nécessité de renforcer la sécurité des activités bancaires
dans le contexte de la mondialisation. Mais elle est fondée sur des mécanismes qui renforceraient
puissamment la globalisation financière, le rôle central des critères de rentabilité financière, et
contribueraient sans aucun doute à servir les besoins de l’économie réelle, du développement
économique et de l’emploi; et ce dans le monde entier, dans les pays capitalistes développés
comme dans ceux du Sud.

Il est donc particulièrement utile de décrypter les mécanismes apportés par le nouvel
accord, sur le plan des fonds propres, de la supervision bancaire et de la communication financière
des banques pour saisir les enjeux de cette réforme qui reste très controversée.

"Si ce nouveau cadre vise à promouvoir une approche exhaustive de l'évaluation des
risques bancaires, ses objectifs fondamentaux restent les mêmes que ceux de l'Accord de 1988:
Promouvoir la sécurité et la cohérence du système bancaire et favorises une concurrence plus
égale entre les banques. Par delà les exigences minimales en fonds propres, on se propose
d'intégrer au nouveau cadre deux autres piliers : un processus renforcé d'étude de la
supervision et un recours efficace à la discipline de marché. Ces trois piliers se renforcent
mutuellement et aucun ne devrait être considéré comme plus important qu'un autre."1

1 M. ROZENBAUM, Analyse et gestion du risque bancaire, Edition ESKA Banque Mondiale, Paris 2004 p. 104,
traduit de: analyzing and managing banking risk, écrit par H.V. GREUNING et S. BRAJOVIC BRATANOVIC.
16
1) PILIER 1: EXIGENCES MINIMALES EN FONDS PROPRES :

Désormais, les fonds propres d'une Banque doivent permettre de couvrir une plus large
variété de risques auxquels elle doit faire face. Cette couverture est plus précise et moins
pénalisante que celle instaurée par le ratio Cooke.

Le premier pilier de Bâle II exige, comme dans la le ratio Cooke, un taux de fonds propres
(rapport entre le capital propre réglementaire et les actifs pondérés du risque) d’au moins 8%.
Les propositions du Comité visent cependant à définir d’une façon plus différenciée les actifs
pondérés du risque: Tandis que seuls les risques de marché et de crédit entraient jusqu'ici dans
leur calcul, les risques opérationnels y seront dorénavant inclus.

Le nouveau ratio de solvabilité se définit donc comme suit :

Ratio TOTAL DES FONDS PROPRES (tiers1 +tiers 2+ tiers3)


Mc Donough = ≥8%
Risques de crédit + (Risques de marché + Risques opérationnels) x12.5

Selon le Comité de Bâle, les fonds propres constitués servent en moyenne à couvrir le
risque de crédit (à hauteur de 70%), le risque de marché (à hauteur de 10%), et le risque
Opérationnel à hauteur de 12% des dits Fonds Propres). De là on voit l'importance qui est
accordée aux risques opérationnels dans les Nouveaux accords de Bâle: il occupe la deuxième
place (après le risque de crédit et avant le risque de marché). La figure ci-après montre l'évolution
du pourcentage de capitaux propres alloués à chaque type de risque (entre Bâle I à Bâle II), selon
les estimations du Comité de Bâle d'après une enquête menée auprès d'une centaine de banques:

90
80
70
60
50 Risques de crédit
40 Risques de marché
30 Risques opérationnels
20
10
0
Bâle I Bâle II
Unité : % (pourcentage)

Graphique n° 1: Allocation des fonds propres réglementaires aux catégories de

17
Le capital réglementaire se compose du :
9 Noyau de dur de fonds propres (Tiers 1) : capital versé, réserves publiées, bénéfice révisé.
9 Capital complémentaire (Tiers 2): Les provisions générales et les émissions subordonnées
d’une durée supérieure à 5 ans
9 Capital supplémentaire (Tiers 3) : Les émissions de dettes subordonnées d'une durée
supérieure à 2 ans. (le Tiers 3 ne peut couvrir que les risques de marché).
La mise à jour de l’accord de 1988 a surtout consisté à améliorer la mesure des
risques, c’est-à-dire le calcul du dénominateur du ratio. Les méthodes de calcul du risque de
crédit sont maintenant plus élaborées: Ce sont désormais des systèmes différenciés de
pondération du risque qui seront appliqués, et il sera possible de choisir entre plusieurs approches
pour calculer les exigences de fonds propres. Le nouveau dispositif propose aussi, et pour la
première fois, une mesure du risque opérationnel. Concernant les risques de marché, les
nouveaux accords n'ont pas apporté des changements considérables.

NB: Les Risques de marché et risques opérationnels sont multipliés au dénominateur du ratio
par un coefficient de 12,5 (ce qui n'est rien d'autre que 1/8%) parce que les exigences en FP
sont dues sur la totalité de ces risques, contrairement a celles concernant le risque crédit, qui
ne sont que de l'ordre de 8% des actifs risqués.

a- Détermination des exigences en FP pour le risque de crédit :


Deux grandes options sont ouvertes: approche standardisée et approche fondée sur les
notations internes (NI), cette dernière comportant deux variantes: simple et complexe.

-Approche standardisée: Du point de vue conceptuel, cette approche est identique à celle de
l’accord de 1988, mais elle est plus différenciée en fonction du risque: La banque attribue une
pondération à chacun de ses actifs risqués, et à chacune de ses positions de hors-bilan, et
produit une somme de valeurs pondérées. Un coefficient de 100% signifie que l'exposition est
traduite (en totalité) par une exigence de fonds propres égale à 8% de la valeur de l'actif
exposé. Un coefficient de 20% entraînera ainsi une exigence de 1,6% (8% de 20%).
Dans le Ratio Cooke, les coefficients de pondération sont fixés par grande catégorie
d’emprunteurs (souverain, banque ou entreprise). Le nouvel accord prévoit de les affiner par
référence aux notes publiées par un organisme d’évaluation externe (agence de notation, par
exemple). Ainsi, dans le cas des entreprises, le groupe indifférencié affecté du coefficient de
100% sera remplacé par quatre catégories de pondérations (20%, 50%, 100% et 150%).

-Approche fondée sur les notations internes (NI): Dans cette approche NI, les banques
pourront utiliser leurs estimations internes sur la solvabilité de leurs emprunteurs pour
évaluer le risque de crédit inhérent à leur portefeuille, à condition qu’elles respectent des
critères stricts en matière de méthodologie et de communication financière. Des cadres
d’analyse distincts seront proposés pour divers types d’expositions (par exemple crédits aux
entreprises et prêts aux particuliers) dont les caractéristiques de pertes sont différentes.
18
Dans l’approche NI, un établissement détermine la solvabilité de chaque emprunteur,
et le résultat produit une estimation du montant des pertes potentielles, qui sert d’assiette à
l’exigence de fonds propres. Le dispositif prévoit deux méthodologies: simple et complexe,
pour les prêts aux entreprises, aux emprunteurs souverains et aux banques: Dans la première
(simple), l’établissement estime la probabilité de défaillance (PD) associée à chaque
emprunteur, et son autorité de contrôle fournit les autres données. Dans la seconde, un
établissement doté d’un processus d’allocation des capitaux économiques suffisamment
développé sera autorisé, pour d’autres données nécessaires également, à recourir à ses propres
informations. Dans les deux cas, l’éventail des coefficients sera fortement élargi par rapport à
l’approche standardisée, ce qui entraînera une plus grande sensibilité à l’égard du risque.

-Atténuation du risque et titrisation : Le nouveau dispositif introduit un traitement et des


pondérations plus différenciés en fonction du risque pour les garanties, dérivés de crédit,
accords de compensation et opérations de titrisation, à la fois dans l’approche standardisée et
dans l’approche NI.

b- Détermination des exigences en FP pour le Risque de Marché:

Le risque de marché est le risque de perte ou de dévaluation sur les positions prises
suite à des variations de prix (cours, taux) sur le marché. Ce risque concerne les instruments
suivants: produits de taux (obligations, dérivés de taux), actions, change, matières premières...
Le risque sur produits de taux et actions se mesure sur la base du "portefeuille de
trading", c'est-à-dire des positions détenues par la banque pour son propre compte dans un
objectif de gain à court terme, par opposition aux activités "normales" et courantes de
financement et d'investissement. Par contre le capital requis pour la couverture des positions
en change et matières premières s'applique sur la totalité de ces positions.
Chaque catégorie d'instrument nécessite une méthode de calcul différente, qui consiste
toujours à évaluer d'abord une position, puis à calculer le capital requis en appliquant une
pondération de 0 à 8% sur cette position.

c- Détermination des Exigences en FP pour le Risque Opérationnel :


Il est nécessaire de couvrir le risque opérationnel, tout simplement parce qu'il prend
une importance croissante. Le volume des pertes opérationnelles entre 1980 et 2000 est de
l'ordre de 200 milliards de dollars. C'est pourquoi, afin que le risque opérationnel puisse
trouver sa place au dénominateur du nouveau ratio (pilier 1 du nouvel accord de 2001), le
Comité prend le soin de borner sa définition aux éléments mesurables, à l'exclusion du risque
stratégique ou réputationnel, qui ne sont pas facilement quantifiables. Trois approches sont
prévues par le nouveau ratio de solvabilité, pour le calcul des exigences en fonds propres au
titre du risque opérationnel:

19
¾ Approche par Indicateur de base (B.I.A ou Basic Indicator Approach):
C’est une méthode forfaitaire où le calcul du capital se fait à partir d’un indicateur
d’exposition (E.I). Le capital économique associé au risque opérationnel es relié aux résultats
(par exemple, le PNB ou le Revenu) mais pas au risque opérationnel réel, ni à la qualité
intrinsèque de la banque en terme de maîtrise de ces risques (qualité de l’audit interne ou la
couverture par les assurances à titre d'exemple).
Le Comité de Bâle propose de retenir le PNB comme proxy. Les fonds propres FP se
calculent alors très facilement à partir de la formule :
FP= α X PNB

Où α : facteur de pondération compris entre 12 et 20 % selon la banque.

¾ Approche Standardisée (S.A ou Standardized Approach ):


Cette approche est basée sur une répartition des activités de l'établissement en huit
(8) catégories standards configurant sa structure interne : (financement des entreprises,
banque de détail …). Pour chaque activité (ligne de métier), les exigences de fonds propres
sont calculées en multipliant un indicateur de risque opérationnel par un facteur de
pondération (Selon le type d’activité, l’indicateur et le pourcentage fixe peuvent différer).
L’exigence de fonds propres globale au titre du risque opérationnel correspond alors à
la somme des exigences pour chaque catégorie d'activité.

FP= Σ Fonds propres i = Σ ß i X Indicateur de risque i / i=1...8

¾ Approche par les Mesures Avancées (A.M.A ou Advanced Measures Approach):


L'approche « AMA » se distingue de la méthode standard en ce sens qu'elle intègre
l’obligation d'une évaluation et d'un suivi des risques rigoureusement établis et contrôlés.
Pour l'évaluation des risques, cela se traduit par l’obligation de collecter les incidents et les
données de pertes associées, avec un historique (de 3 ou 5 ans au minimum) permettant de
développer des modèles d'évaluation: Analyse des courbes de distribution des évènements
(fréquence et sévérité des pertes), prise en compte de différents niveaux d'exposition, et
mesure des pertes en cas de défaut. A coté de cette méthode, on pourrait citer la l'approche par
l'analyse des scénarios et l'approche Scorecard.

Ces modèles d'évaluation doivent faire l'objet d'un contrôle de qualité et être testés par
rapport aux données collectées et par rapport à des données externes. Les risques sont
quantifiés par le calcul d'une VaR (Value at Risk) avec un intervalle de confiance de 99,9%.

NB: Il sera consacré un chapitre entier pour la détermination des exigences en fonds propres
au titre du risque opérationnel; c'est pour cette raison que nous estimons qu'à ce stade cette
présentation sommaire des trois approches est suffisante.
20
2) PILIER II : PROCESSUS DE SURVEILLANCE PRUDENTIELLE :

Le "pilier 2" des nouveaux accords est fondé sur une implication beaucoup plus
importante des autorités de contrôle pour prévenir la défaillance des banques. Aussi, chaque
banque sera tenue de disposer d'une démarche d'évaluation de ses fonds propres(FP) en
fonction de ses risques économiques réels. Ce dispositif sera examiné par les autorités de
contrôle qui pourraient à tout moment demander aux banques de respecter un niveau de FP
plus élevé que la norme minimale.

Par ailleurs, la logique voulait que la réforme se traduise par un suivi consolidé du
risque et des fonds propres. Or il n'en est rien pour le moment: Toutes les entités d'un groupe
multinational devront déclarer localement leurs risques et leurs fonds propres tandis que
parallèlement le groupe les déclarera en consolidé auprès de son régulateur national.

La lecture des textes bâlois permet de regrouper les caractéristiques et objectifs


majeurs du "pilier 2" autour des quatre (04) principes-clés suivants.

Principe 1: Les banques doivent mettre en place un dispositif permettant d’évaluer


l’adéquation de leur capital économique à leur profil de risques (processus d’évaluation du
capital interne). L’analyse doit porter sur l’ensemble des risques, y compris ceux non
couverts par le pilier 1 (Evaluation exhaustive des risques), car à coté des risques pouvant être
quantifiés (risque de crédit, risque de taux du portefeuille bancaire, risques opérationnels,
risques de marché, et risque de liquidité), il en existe d'autres nécessitant une approche
davantage qualitative (risque de réputation, risque stratégique...).

Ce principe s'intéresse aussi au rôle de l'organisme délibérant (Direction Général,


Directoire) qui consiste en la mise en place d'un plan stratégique pour comprendre les niveaux
de risques pris par la banque, et à celui de l'organe exécutif (conseil d'administration,
conseil de surveillance) qui consiste à fixer la tolérance de la banque aux risques.

Enfin, la banque doit mettre en place un système de surveillance et de reporting


adéquat, et revoir régulièrement la structure du contrôle interne, pour vérifier son adéquation
avec une conduite ordonnée et prudente des opérations.

Principe 2:Le contrôleur bancaire confronte sa propre analyse du profil de risque de la


banque avec celle conduite par l’établissement lui-même et, en fonction de ses conclusions,
peut engager des actions prudentielles, que ce soit par la fixation de fonds propres supérieurs
aux exigences minimales ou par toute autre technique appropriée. Il s’agit du processus de
surveillance et d’évaluation prudentielle.

Principe 3: Il est important que les superviseurs exercent une surveillance préventive ; ils
doivent intervenir suffisamment en amont afin d’éviter que les fonds propres des
établissements deviennent inférieurs aux exigences minimales. La mise en œuvre de ces
21
principes doit être proportionnée à l’ampleur des risques pris : chaque risque doit être
considéré non seulement isolément mais également en termes d’importance relative au regard
des autres risques.

Principe 4: Intervention à un stade avancé des autorités de supervision : Les autorités de


contrôle doivent exiger l’adoption rapide de mesures correctives si les 3 premiers principes ne
sont pas respectés (ex: pour prévenir une baisse des FP en dessous du minimum requis). Ces
mesures peuvent inclure: l'intensification de la surveillance, restreindre le paiement des
dividendes, l'augmentation immédiate du capital...etc.

3) PILIER III : DISCIPLINE DE MARCHE :

Le 3ème pilier des accords Bâle II vise à promouvoir une plus grande transparence,
fondée sur la publication par les banques d’informations quantitative et qualitative sur la
nature et le suivi de leurs risques. Les exigences de communication financière sont
renforcées notamment sur: la structure du capital et le ratio, les objectifs et politique pour
chaque type de risque, la méthode de mesure et gestion du risque...etc. Ces exigences
devraient permettre de promouvoir la solidité des systèmes bancaire et financier.

La communication des établissements devra couvrir les 3 domaines suivants avec, au


minimum, une fréquence annuelle :

9 La structure des Capitaux Propres et les méthodes de valorisation des éléments de bilan;
9 Une analyse détaillée de l’exposition de l’établissement aux différents risques en
termes qualitatifs et quantitatifs, ainsi que la stratégie de gestion de ces risques ;
9 Le montant des Fonds Propres et leur adéquation avec le niveau de risque de
l’établissement ainsi que leur allocation par activité.
Un autre élément pris en considération a été la nécessité, pour le dispositif de publication
d’informations, de s’aligner sur les normes comptables internationales (IAS et IFRS).

Enfin, il est important de signaler que les principales justifications de la régulation


prudentielle, bien que très diverses, reposent essentiellement sur deux types d’arguments:
9 D’une part, les problèmes classiques du marché (asymétries d’information, externalités,
pouvoirs de marché...) entravent le bon fonctionnement des mécanismes privés de régulation.
9 D’autre part, certaines spécificités de l’industrie bancaire (ex: la fragilité induite par la
structure particulière du bilan bancaire, l’éventualité des faillites bancaires, le spectre du
risque systémique et le rôle joué par les banques dans le système de paiement...) légitiment les
missions prudentielles des pouvoirs publics. La réglementation bâloise (par le biais du 3ème
pilier) apparaît ainsi comme un moyen efficace pour assurer la compatibilité entre les
objectifs privés de la banque et les objectifs sociaux de stabilité financière du régulateur.
22
SECTION 3 : CLASSIFICATION DES RISQUES OPÉRATIONNELS DANS
BÂLE II :

Le régulateur à travers le processus du texte relatif à Bâle II a cherché à mieux définir


les éléments constitutifs du risque opérationnel. Comme souvent dans ce cadre, il a donné
une définition et des éléments d'identification "suffisamment généraux pour ne pas être
limitatifs". Ces éléments doivent être considérés comme un cadre de réflexion pour mettre en
place une classification des risques adéquate aux caractéristiques de chaque établissement.

A cet effet, le Comité de Bâle a défini une segmentation des risques en huit (8) Lignes
de métier, et sept (7) catégories d'événements qui permettront de constituer une matrice à
56 cases représentatives de l'ensemble des activités bancaires et risques associés.

I- DECOMPOSITION DE LA BANQUE EN LIGNES DE METIERS


La décomposition d'une banque en lignes de métier revient en fait à identifier les
principales sources de valeur ajoutée. Une ligne de métier correspond en générale à un produit
ou service, un segment de clientèle, un territoire géographique ou une combinaison des trois.

Dans le document consultatif (précisément dans son 'annexe 06), le Comité de Bâle a
donné une segmentation des activités (métiers) de la banque assez détaillée afin de répondre
aux exigences des méthodes Standard et Avancées:
¾ La méthode Standard vise à calculer des charges en capital propres à chaque ligne de
métier, sur la base d'une typologie de 8 métiers. Le PNB de chaque ligne est multiplié par
facteur de pondération (β) reflétant le risque lié à cette activité particulière.
¾ Quand è la méthode AMA, elle combine aux 8 lignes de métiers 7 types d'événements
(qui seront détaillés plus loin dans notre mémoire) pour calculer la charge en capital.

C'est de là donc que vient la nécessité de décomposer la banque en lignes de métier; le


Comité de Bâle en propose huit: Financement d'entreprises, Négociation et vente, Banque de
détail, Banque commerciale, Paiements et règlements, Services d'agence, Courtage de détail,
et enfin la Gestion d'actifs.

Chaque ligne de métier (Niveau 1) est détaillée en un ensemble de métiers (Niveau 2),
puis ventilée en un groupe d'activités (Niveau 3).

1) Financement d'entreprises: cette ligne contient les activités suivantes : Financement


des entreprises, Financement collectivités locales/administration publique, Banque d'affaires
ainsi que l'activité de Service & conseil.

Groupe d'activités: Fusions-acquisitions, engagement, privatisations, titrisation, titres de


dette, actions, prêts consortiaux, introductions en Bourse, placements sur le marché
secondaire.

23
2) Négociation et vente: concerne les Ventes, Tenue de marché, Positions pour compte
propre, Trésorerie.

Groupe d'activités : Valeurs à revenu fixe, actions, changes, matières premières, crédit,
financement, titres sur position propre, prêts et pensions, courtage, titres de dette, courtage de
premier rang.
NB: Pour cette ligne d'activité, le revenu brut se compose des profits/pertes sur les
instruments détenus à des fins de négociation (portefeuille évalué aux prix du marché) en
termes nets du coût de financement, plus les commissions de courtage de gros.

3- Banque de détail: Les activités intégrées dans cette ligne sont:


- Banque de détail: elle a pour groupe d'activités les Prêts et dépôts, services
bancaires, fiducie et gestion de patrimoine.
- Banque privée: concerne les Prêts et dépôts, services bancaires, fiducie et gestion de
patrimoine, conseils en placement.
- Cartes : regroupe les Cartes de commerçant, d’entreprise, de clientèle...etc.
NB: Le revenu brut de l’activité de banque de détail est constitué du produit net des
intérêts sur les prêts et avances aux particuliers et aux PME assimilées à la clientèle de détail,
et les commissions liées à l’activité de détail traditionnelle, le revenu net des swaps et dérivés
détenus pour couvrir le portefeuille bancaire de détail et le revenu procuré par les acquisitions
de créances sur la clientèle de détail.

4) Banque commerciale: C'est une ligne à part entière (elle n'est pas détaillée en métiers).
Groupe d'activités: Financement de projets, immobilier, financement d'exportations et de
commerce, affacturage (factoring), crédit bail, prêts, garanties, lettres de change.

NB: Le revenu brut de l’activité de banque commerciale comprend le produit net des
intérêts sur les prêts et avances aux entreprises (et aux PME assimilées), aux autres banques et
emprunteurs souverains, en plus des commissions liées aux engagements, garanties, lettres de
change, produit net (coupons et dividendes) sur les titres du portefeuille bancaire et les
profits/pertes sur swaps et dérivés destinés à couvrir le portefeuille bancaire commercial.

5) Paiements et règlements: Elle concerne uniquement la clientèle externe (qui n'est pas
domiciliée chez elle), et les opérations de règlement effectuées avec des confrères de la
place financière comme les opérations de compensation.

Groupes d'activité: Paiements, recouvrements, transfert de fonds, compensation et règlement.

NB: Les pertes subies au titre des paiements et règlements par une banque dans le
cadre de ses activités pour compte propre sont à intégrer dans les antécédents de pertes de la
ligne de métier concernée

24
6) Fonction d'agent: Dans cette ligne sont intégrées les activités suivantes :
- La conservation: Dépôts fiduciaires, certificats de titres en dépôt, prêts de titres (clients),
opérations de sociétés.
- Prestation d'agent aux entreprises.
- Services de fiducie aux entreprises.

7) Gestion d'actifs: elle représente la gestion de patrimoine pour le compte de tiers, et


comprend la gestion de portefeuille discrétionnaire, celle du portefeuille non discrétionnaire :

8) Courtage de détail: Elle concerne l'exécution des ordres (vente et achat d'actifs), et le
service complet. La banque dans ce cas n'intervient que sous forme de courtier.

NB: S’agissant de cette ligne de métier, le revenu brut est constitué principalement par
les commissions nettes perçues.

Remarques: La répartition en lignes de métiers (le mapping) doit respecter un certain nombre
de principes dont les suivants:
- Toutes les activités doivent être réparties entre les huit lignes d'activité; des procédures
doivent être en place pour définir la ventilation de tout élément nouveau (activité ou produit).
-Les activités auxiliaires sont objectivement affectées à une ou à plusieurs lignes-métier.
- Une banque peut utiliser une méthode interne de tarification pour répartir le revenu brut
entre les lignes-métier, à condition que le revenu brut total soit intégralement réparti entre ces
lignes. Ce processus de ventilation doit faire l’objet d’un audit indépendant.

II - CLASSIFICATION DES RISQUES PAR TYPES D’EVENEMENTS

Pour pouvoir mesurer le risque opérationnel, on part des effets directement observables
que sont les pertes, pour remonter aux causes, qui se manifestent sous forme d'événements
particuliers dont la typologie a été dressée par le Comité de Bâle dans son document
consultatif. Ces grandes catégories de risques opérationnels sont au nombre de sept (7): fraude
interne; fraude externe; insuffisance de pratiques en matière d’emploi et sécurité sur le lieu de
travail; négligence non délibérée des règles clients, produits, et pratiques commerciales;
dommages aux actifs corporels; arrêt accidentel de l'activité, et dysfonctionnement des
systèmes; dysfonctionnement des processus de traitement (exécution, livraison, produit fini).

Dans le document consultatif, chaque catégorie d'événement (Niveau 1) est définie,


puis déclinée en sous-catégories (Niveau 2). Enfin, des exemples concrets ont été donnés
pour chacune de sous-catégorie d'événement (Niveau 3).

25
1) Fraude interne: Perte due à des actes de fraudes ayant pour but de détourner des biens
ou de contourner la loi, la réglementation ou le règlement intérieur et qui impliquent au
moins une personne de la société. Cette catégorie est déclinée en deux sous catégories :

-Activité non autorisée : Transactions non notifiées (intentionnellement), transactions de type


non autorisé (avec perte financière), évaluation (intentionnellement) inexacte d’une position.

-Vol et fraude: absence de provision, Vol/extorsion/détournement de fonds, vol qualifié,


détournement ou destruction malveillante d’actifs, contrefaçon de documents, falsification de
chèques, trafic de devises, usurpation (de compte, d’identité...etc.), fraude fiscale (délibérée),
corruption et commissions occultes...

2) Fraude externe: Pertes liées à des actes de tiers visant à commettre une fraude ou un
détournement d'actif, ou à enfreindre ou contourner la loi. Elle se subdivise en:

-Vol et fraude : Vol qualifié, contrefaçon de documents, falsification de chèques....


-Sécurité des systèmes: Dommages dus au piratage informatique, vol d’informations ...

3) Pratiques en matière d’emploi et sécurité sur le lieu de travail: Perte résultant


d’actes non conformes à la législation ou aux conventions relatives à l’emploi, la santé ou la
sécurité, de demandes d’indemnisation au titre d’un dommage personnel ou d’atteintes à
l’égalité, actes de discrimination. Cette catégorie contient trois sous-catégories :
-Relations de travail : Questions liées aux rémunérations et aux avantages, à la résiliation du
contrat de travail, activité syndicale...etc.
-Sécurité du lieu de travail: Responsabilité civile (chute, accidents...), événements liés à la
réglementation sur la santé et la sécurité du personnel, indemnisation du personnel.
-Égalité des droits et discrimination : Tous types de discrimination.

4) Négligence non délibérée des règles clients, produits, et pratiques commerciales


Pertes résultant d’un manquement, non intentionnel ou dû à la négligence d'une
obligation professionnelle envers les clients ou la nature ou conception d’un produit:
-Conformité, devoir d’information et devoir fiduciaire: Violation du devoir fiduciaire,
atteinte à la vie privée, utilisation abusive d’informations confidentielles...etc.
-Pratiques commerciales ou de marché incorrectes : Manipulation du marché, délit d’initié
(au nom d’une entreprise), activité non conforme à l’agrément, blanchiment d’argent...
-Défauts d’un produit : Vices de conception ou non-respect des contraintes administratives
ou commerciales (absence d’autorisation ou de licence...), erreurs de modélisation...etc.
-Sélection, promotion et exposition au risque : Insuffisance de l’analyse des dossiers
clientèle, dépassement des limites d’exposition par client...
-Services de conseil: Litiges concernant la qualité des prestations de conseil.

26
5) Dommages aux actifs corporels : Pertes résultant des dommages causés aux biens
corporels en raison de catastrophes naturelles ou d’autres évènements. Exemples: séismes,
cyclone, actes de vandalisme et de sabotage, terrorisme...

6) Arrêt accidentel de l'activité, et dysfonctionnement des systèmes: Pertes liées à


une interruption de l'activité, aux dysfonctionnements d'un système d'information ou autres.
Exemples : Panne d’ordinateur, problème de logiciel, télécommunications...

7) Exécution, Livraison, Gestion des processus : Pertes résultant de la défaillance des


processus industriels ou des relations avec les contreparties ou les fournisseurs. Les sous-
catégories sont au nombre de sept:
-Saisie, exécution et suivi des transactions: Difficultés de communication, erreurs dans la
saisie ou le suivi, non-respect de délais ou d’obligations, erreurs de manipulation du modèle
ou système, erreurs comptables, fautes dans la gestion des sûretés, autres erreurs d’exécution.
-Surveillance et information financière: Manquement aux obligations d’information
financière, inexactitudes dans les rapports externes (entraînant des pertes)...etc.
- Acceptation et documentation clientèle: Absence d’autorisation par le client ou absence de
déni de responsabilité, pièces justificatives absentes ou incomplètes...
-Gestion des comptes clients: Accès non autorisé aux comptes, données clients incorrectes
(entraînant des pertes), actifs clients perdus ou endommagés par négligence.
-Contreparties commerciales : Prestations inadéquates à une contrepartie professionnelle,
litiges divers avec une contrepartie professionnelle.
-Fournisseurs : litiges commerciaux avec les fournisseurs et les sous-traitants.

III- AUTRES CLASSIFICATION:

Une lecture rapide de la typologie d'événements pourrait laisser croire qu'ils sont
regroupés dans des catégories figées et standards. En fait, il n'en est de rien, ces apports du
régulateur permettent de définir une nomenclature qui doit servir de base de réflexion pour la
constitution d'une classification propre à chaque établissement, ou groupe de banques.

La classification proposée par le Comité de Bâle ne se substitue donc pas à une


classification basée sur un référentiel commun (benchmark), visant à faciliter la
communication externe de la banque, à mieux cerner ses risques, et permettant de cadrer le
référentiel interne au référentiel règlementaire pour pouvoir répondre aux besoins déclaratifs.

A titre d'exemple, la classification en vigueur dans le Groupe Société Générale (qui est
aussi celle proposée par L'ABEF 1 pour les banques en Algérie) considère huit (08) catégories
de risques, chacune est déclinée en un ou plusieurs sous-catégories mutuellement exclusives :

1
ABEF: Association des Banques et Etablissements Financiers
27
1-Litiges commerciaux : Litiges sur activités de conseil, pratiques commerciales
inappropriées inadéquation des produits proposés, insuffisance du service au client, autres
litiges avec un tiers, contrat ou clauses contractuelles inapplicables.

2- Litiges avec les autorités : comprend le non-respect de la loi bancaire, des lois contre la
discrimination, de la réglementation du travail, des lois sur l’environnement, des règles de
fonctionnement des marchés organisés, des normes de sécurité et de santé, d’autres lois, des
exigences réglementaires locales, des exigences comptables ou de la communication
financière de la législation fiscale, ainsi que le blanchiment d’argent et financement du
terrorisme. Autrement dit, tout manquement à une réglementation ou loi commune.

3- Erreurs de "Pricing" ou d'évaluation du risque: Défaillance dans le dispositif de


gestion et de suivi des autorisations et des limites, évaluation incorrecte ou inexistante de la
position, données de marché et informations publiques fausses ou insuffisantes, modèle de
calcul de prix ou de valorisation erroné.

4- Erreurs d’exécution : Défaillance dans le processus de livraison et/ou de règlement de


la banque, dans les processus de gestion des confirmations d’opérations, dans la gestion
administrative d’une opération jusqu’à son échéance, erreurs dans la transmission, la saisie ou
la compréhension d’une instruction, absence ou inexactitude des données nécessaires à la
gestion des activités, absence ou inexactitude des rapports d’erreur dans les chaînes
informatiques, structure organisationnelle inadéquate ou faiblesse de l’environnement de
contrôle, défaillance dans la conservation pour compte de tiers de documents ou valeurs,
défaillances sur services rendus par des sous-traitants, défauts de rapprochement, ainsi que
l'accès laissé par la banque aux comptes d’un client sans l’accord de ce dernier.

5- Fraude et autres activités criminelles : Piratage informatique et autres attaques


malveillantes des systèmes d'information de la banque par des tiers, autre forme d’actes
criminels contre les actifs de la banque, vols/escroqueries /fraudes commis par des tiers, vols
par le personnel ou des prestataires internes, fraude sur des transactions par le personnel ou
avec sa complicité, utilisation non autorisée ou à mauvais escient d’information privilégiée et
confidentielle par le personnel.

6- Activités non autorisées sur les marchés (Rogue trading): Activités non autorisées sur
les marchés par le personnel

7- Pertes des moyens d’exploitation: Défaut de personnel, pertes des donnés, pertes des
moyens d’exploitation, et la perte de services.

8- Défaillance des systèmes d’information: Défaillance de matériel, données incohérentes


ou incompatibles, mauvaise gestion de projet, défaillance des softwares, faiblesse de la
sécurité logique (informatique), et enfin la faiblesse de la sécurité physique.

28
CONCLUSION
La réforme Bâle II du ratio de solvabilité bancaire s'inscrit dans une démarche mondiale
de réglementation, dont l’objectif premier est de prévenir les faillites des banques. Cette
réforme repose sur la quantification de la relation entre risques et fonds propres, ces derniers
représentant le moyen ultime permettant de faire face à des pertes importantes. En pratique, il
s’agit de respecter un ratio réglementaire entre fonds propres et actifs pondérés par leur
niveau de risque.

Mais cette réforme va plus loin : elle s'attaque au processus métier d'évaluation et de
gestion des risques, dans une perspective qualité. Au-delà de la dimension financière qui est le
calcul des fonds propres à allouer, Bâle II prend en compte et place ses exigences sur les
systèmes de notation et de surveillance: Le nouvel accord a été structuré en trois volets
appelés "piliers":

- Le premier pilier est articulé sur le fait que les établissements devront disposer d'un montant
de fonds propres au moins égal à la somme des montants calculés selon l’une des méthodes
proposées pour chacune des catégories de risques : Risques de Crédit, Risques de Marché, et
Risques Opérationnels,

- Le second pilier confère aux autorités de contrôle des pouvoirs renforcés, et leur permet en
particulier d'imposer, au cas par cas, des exigences de fonds propres supérieures à celles
résultant de la méthode utilisée,

- Le troisième et dernier pilier soumet les établissements à la « discipline de marché », et les


incite à publier des informations très complètes sur la nature, le volume et les méthodes de
gestion de leurs risques ainsi que sur l'adéquation de leurs fonds propres.

Concernant la classification des risques opérationnels, le Comité de Bâle a proposé une


nomenclature composée des sept risques majeurs auxquels la banque peut être confrontée, et a
donné une décomposition de la banque en huit lignes-métier, reprenant l'ensemble des
processus composant son activité.

Cependant, le comité n'impose pas à toutes les banques de prendre cette nomenclature
telle qu'elle est, mais il leur recommande juste de s'y référer pour mettre en place une
nomenclature personnalisée, pour vue que cette dernière soit exhaustive et suffisamment
justifiée. En effet, chaque établissement possède ses propres spécificités du fait de son passé,
des choix stratégiques réalisés, de son choix d'organisation, de ses systèmes d'information, des
lignes de métier existantes et de la typologie de ses clients. C'est pour cette raison qu'il doit
disposer d'un référentiel mieux adapté à ses spécificités, et plus facile à faire accepter à tous
les niveaux de l'organisme.

29
Chapitre II :
Détermination
des exigences
en fonds
propres et
mesure du
risque
opérationnel

30
CHAPITRE II : DETERMINATION DES EXIGENCES EN FONDS
PROPRES ET MESURE DU RISQUE OPERATIONNEL

Dans le nouvel accord de Bâle, les banques ont le choix entre trois approches pour
calculer les exigences de fonds propres au titre du risque opérationnel:

-La première et la plus simple est l’Approche par Indicateur de Base (les fonds propres
correspondent ici à 15% du produit brut annuel moyen atteint pendant trois ans);

- la seconde est l’approche standardisée (elle se base -elle aussi- sur le produit brut, mais, à la
différence de la formule simple, les exigences de fonds propres sont calculées d’après la somme
des produits bruts atteints par les différents secteurs d’activité de la banque et pondérés de facteurs
spécifiques);

-la troisième approche (Approche par les Mesures Avancées), quand à elle, incite les banques à
appliquer leurs propres méthodes d’évaluation du risque opérationnel, afin de déterminer un
montant de capital pour sa couverture sur la base d'une estimation réelle du risque et de sa
couverture.

Dans le présent chapitre, nous allons passer en revue ces trois approches, avec leurs
différents avantages et limites, tout en se focalisant sur la méthode AMA, car l'accord de Bâle II
veut justement inciter les grandes banques ou celles qui déploient une activité internationale à
mettre en œuvre cette dernière approche.

Le deuxième volet de ce chapitre sera consacré -quant à lui- à la problématique de


l'identification des risques opérationnels auxquels la banque est exposée (élaboration de la
cartographie des risques), et à celle de la mesure (quantification) de ces risques, et les
différentes techniques proposées par le Comité de Bâle à ce sujet, à savoir: la méthode des
Scorecards, la méthode des données de pertes internes (données historiques), et la méthode de
l'analyse des scénarios.

L'un des plus grands défis pour chaque banque réside dans la capacité à intégrer aux
données de pertes internes (issues de ses propres bases de données), les données du reste de
l'industrie financière (données externes), et les données relatives aux pertes extrêmes
(événement rares mais à fort impact) afin d'obtenir une distribution de perte robuste et qui
rend le mieux compte des pertes et des risques réellement encourus.

31
SECTION 1: APPROCHE PAR INDICATEUR DE BASE (B.I.A)

C'est celle que devraient normalement retenir les plus petites banques. Elle est simple,
voire fruste, en ce qu'elle n'intègre aucun raffinement du type "indicateur de pertes", mais se
borne à constituer des fonds propres contre les risques opérationnels sur un mode forfaitaire.
En effet, le facteur d'exposition sur lequel elle repose est le PNB, assorti d'un facteur de
pondération "α" dont le calibrage est fixé par le Comité de Bâle à 15%.
"Les banques appliquant l’approche Indicateur de Base doivent, au titre du risque
opérationnel, détenir des fonds propres correspondant à la moyenne sur les trois dernières
années d’un pourcentage fixe (α) de leur produit annuel brut moyen positif. Pour calculer la
moyenne, il convient d’exclure les chiffres d’une année pour laquelle le produit annuel brut
est négatif ou égal à zéro du numérateur et du dénominateur." 1 (Autrement dit, on ne retient
au numérateur que les Produits Annuels (PB) positifs -parmi ceux des trois dernières années-,
et au dénominateur que le nombre d’années, sur les trois écoulées, ayant un PB positif).

K IB = [ Σ PBi x α ] / n i= 1...n
Où:
- K IB est l'exigence de fonds propres selon l’approche indicateur de base.
- n: nombre d’années, sur les trois écoulées, pour lesquelles le produit annuel est positif.
- PB i : produit annuel brut, s’il est positif, sur les trois années écoulées.

Selon le Comité de Bâle, le PB (Produit Annuel Brut) correspond aux produits


d’intérêts nets et autres produits d’exploitation. Il est calculé :
- brut de toutes les provisions (pour intérêts impayés, par exemple) ;
- brut des frais d’exploitation ;
-net des plus ou moins-values réalisées sur cessions de titres du portefeuille bancaire;
-net des éléments exceptionnels ou inhabituels et produits des activités d’assurance.

Pour l'Approche BIA, aucun critère d’éligibilité (critère imposé par le régulateur
pour valider la mesure du capital donnée par cette approche) n’est exigé. Les banques qui
utiliseraient une telle méthode sont juste encouragées par le Comité de Bâle à appliquer le
"guide des bonnes pratiques relatives à la gestion et à la Supervision des Risques
Opérationnels", ou "Sound Practices" publié par le Comité en Février 2003.

Néanmoins, il n’est pas question pour autant que le régulateur autorise les banques
présentes sur la scène financière internationale (les grandes banques) à utiliser une approche
aussi grossière. Car ce mode de calcul pose évidemment problème en pénalisant les banques
profitables d’une part, et en n’incitant pas à la maîtrise des risques d’autre part.

1Comité de Bâle sur le Contrôle Bancaire, Convergence internationale de la mesure et des normes de fonds
propres (Dispositif révisé, Version compilée), Juin 2006.
32
SECTION 2: APPROCHE STANDARDISÉE (S.A)
Dans cette approche, les activités de la banque sont réparties en huit (08) lignes de
métier (Business Lines) qui ont été décrites en détail dans notre mémoire (3ème Section du 1er
Chapitre). Le capital de couverture est calculé pour chacune de ces lignes d'activité, et la
couverture globale qui doit être constituée par la banque au titre du risque opérationnel est
simplement la somme de capitaux calculés pour les différentes "Business Lines", pondérés par
des facteurs spécifiques β i):

FP SA = Σ FPi = Σ βi X PBi i = 1...8

En général, l'indicateur retenu pour toutes les lignes de métiers est le PNB. Cependant,
le Comité de Bâle autorise quelques banques à prendre des indicateurs différents pour les
différentes lignes (par exemple: l'indicateur retenu pour la gestion d'actifs peut être le montant
des fonds en gestion). Cette dernière approche s'appelle "Alternative Standardised Approach".

Lorsque l'indicateur retenu est le revenu brut, les facteurs βi déduits de l'étude
statistique des données de la QIS2 (Quantitative Impact Study) réalisée par le Comité de Bâle
sur un groupe de banques en 2002 sont représentés dans le tableau suivant :

Ligne de métier Facteur βi Taux Moyenne Médiane


Finance d'entreprise β1 18% 0.236 0.131
Trading et vente β2 18% 0.241 0.171
Banque de détail β3 12% 0.127 0.125
Banque commerciale β4 15% 0.169 0.132
Payement et règlements β5 18% 0.203 0.208
Services d'agence β6 15% 0.232 0.174
Gestion d'actifs β7 12% 0.185 0.133
Courtage de détail β8 12% 0.149 0.113
Tableau N°1: Facteurs de pondération relatifs aux PNB des lignes-métier dans une
Approche Standardisée
Source: E. LAMARQUE, Management de la banque, Edition PEARSON-Education France, Paris, 2005, p. 90
In : QIS2 réalisé par le comité de Bâle.

Comparée à l'Approche Basique, l'utilisation de l'Approche Standardisée devrait


générer un capital économique moins important: le Comité de Bâle indique que l’objectif de
la charge en capital est de 12% au lieu des 15% données par la méthode de l'Indicateur de
base. Ce gain potentiel en capital est donc un encouragement pour les banques utilisant
l'approche Basique à se doter de dispositif permettant l'utilisation de la Méthode Standardisée.

33
CRITERES D'ELIGIBILITE POUR L'APPROCHE STANDARD :

Contrairement à l'approche BIA, cette approche (Standardisée) nécessite des critères


d'éligibilité concernant la qualité du système de gestion du risque et le suivi des données de
perte internes:

a- Critères généraux :

¾ Le Comité de Direction et de Management doivent être activement impliqués dan la


perspective de gestion du risque opérationnel.
¾ La banque doit se doter d'un dispositif de management du risque opérationnel adapté
et implémenté (autrement dit: ce système de gestion doit être apparent et non intégré
dans le dispositif de contrôle interne par exemple) .
¾ Des ressources suffisantes doivent être consacrées à la gestion des risques
opérationnels (comme dans le cas des services d'audit et du contrôle interne).

b- Critères qualitatifs :

¾ Le dispositif de gestion des risques opérationnels dans la banque doit définir des
responsabilités claires concernant le développement d'une stratégie afin d'identifier,
évaluer, gérer, et contrôler les risques existants.

¾ Le risque opérationnel doit faire partie intégralement du dispositif de gestion du


profil de risque de la banque. Cette dernière doit systématiquement collecter des
informations concernant le risque opérationnel, y compris les données de pertes par
lignes de métiers. Ces informations doivent intégrer les reportings de suivi des
risques, et la banque doit mettre en place des dispositifs et des techniques pour
améliorer le management de ces risques au sein des différentes structures.

¾ Des rapports (reportings) réguliers sur les expositions au risque (incluant les données
de pertes) doivent être diffusés au management et au comité de direction.

¾ Le dispositif de contrôle des risques opérationnels doit être dûment documenté. Il doit
faire l'objet d'une validation indépendante régulière, tant au niveau opérationnel
(unités opérationnelles) qu'à celui du management (Direction).

¾ Le dispositif d'évaluation des risques opérationnels doit faire l'objet de contrôles


réguliers de la part de l'autorité de tutelle et/ou des auditeurs externes.

Ces critères d'agrément sont une incitation claire pour les banques ayant opté pour la Méthode
Standardisée à se doter de moyens et dispositifs permettant un passage rapide aux Méthodes
Avancées (AMA).

34
SECTION 3: APPROCHE PAR LES METHODES AVANCEES (A.M.A)
Le Comité de Bâle propose plusieurs alternatives au sein Des mesures AMA : une
méthode basée sur des paramètres internes (Internal Measurement Approach ou IMA), la
méthode Scorecard, l’analyse de scénarios ou sbAMA (Scenario-based AMA), et enfin, la
méthode LDA (Loss Distribution Approach), la plus sophistiquée sur le plan technique.

La pratique de chacune de ces méthodes est soumise au respect d’un ensemble de


critères qualitatifs, notamment en termes d’évaluation du risque opérationnel et de procédure
de collecte des données de perte: C’est là leur dénominateur commun. Sur le fonds, la
différence concerne essentiellement le type d’information privilégié dans le calcul du capital
réglementaire. La méthode LDA s’appuie sur un historique de données de perte, tandis que la
méthode des scénarii cherche à définir des scénarios prospectifs.

CRITERES D'ELIGIBILITE POUR LES METHODES AVANCEES :


Pour pouvoir utiliser une méthode AMA, la banque devra satisfaire de nombreux
critères d'éligibilité. Notons d'abord que la charge en capital calculée avec une méthode AMA
ne peut être inférieure à celle donnée par la méthode SA de plus de 25% :

FPAMA ≥ 3/4 FPSA

Les critères généraux cités précédemment (dans le cadre de l'Approche Standardisée)


sont valables et exigibles aussi pour les Méthodes Avancées (AMA). Néanmoins, il existe des
critères qualitatifs et quantitatifs propres à ces dernières :

a- Critères qualitatifs :

¾ La banque doit disposer d'une fonction de Gestion du risque opérationnel


indépendante, elle sera responsable de la définition et de la mise eu œuvre du
dispositif de gestion de ces risques (politiques et procédures concernant le contrôle des
risques, définition des reportings, des méthodologies de mesure, stratégie
d'identification, de quantification, de gestion et de contrôle des risques opérationnels.

¾ Le système de mesure doit intégrer les processus quotidiens de la banque, les


informations collectées doivent jouer un rôle primordial dans les reportings de gestion
des risques et l'allocation du capital. A cet effet, la banque doit disposer de techniques
d'allocation de capitaux aux principales lignes de métiers.

¾ Des reportings réguliers sur les expositions au risque (incluant les données de pertes)
doivent être diffusés au management et au comité de direction. La banque doit ainsi
disposer de procédures écrites pour prendre les mesures nécessaires aux reportings.

¾ Le dispositif de contrôle des risques opérationnels doit faire l'objet d'une validation
indépendante régulière au niveau opérationnel et à celui du management.

35
¾ La validation (obligatoire) du dispositif de mesure des risques par les auditeurs
externes et/ou autorités de tutelles doivent comprendre : une vérification du
fonctionnement du dispositif interne d'une manière appropriée, et une vérification de
l'auditabilité des flux de données collectées, y compris l'accès aisé aux spécificités
techniques et aux paramètres des systèmes de collecte d'information.

b- Critères quantitatifs :

Règles Générales : Elles sont valables pour toutes les mesures AMA (Scorecard, données de
pertes internes et externes, et scénarii).

¾ En l'absence de spécification quantitative par les autorités, la banque doit être à même
de démontrer la qualité de ses mesures et modèles selon les mêmes principes que ceux
demandés dans le cadre des approches IRB "Internal Rating Base" pour la surveillance
des risques crédit; c'est-à dire prendre en compte une période d'observation d'un an et
un intervalle de confiance de 99.9%.

¾ La flexibilité offerte aux banques dans la mise en œuvre des méthodes AMA doit
s'accompagner d'une grande rigueur dans les procédures de développement et de
validation des modèles internes.

Règles détaillées: applicables aux mesures du risque opérationnel élaborées en interne, aux
fins du calcul de l’exigence minimale de fonds propres.

¾ Le système interne de mesure du risque opérationnel doit couvrir la totalité du risque


défini par le Comité de Bâle et les types d’événements générateurs de pertes
opérationnelles.

¾ La banque doit calculer son exigence de fonds propres en agrégeant les pertes
attendues (EL) et les pertes inattendues (UL), sauf si elle peut démontrer que son
mode de fonctionnement interne couvre adéquatement (EL). Cela signifie que, si elle
veut baser ses exigences minimales de fonds propres réglementaires exclusivement sur
les pertes inattendues, la banque doit convaincre son autorité de contrôle qu’elle a
mesuré et pris en compte son exposition aux pertes attendues.

¾ L'exhaustivité des mesures du risque doit être suffisante pour appréhender les
principales sources de risque opérationnel affectant la distribution des pertes.

¾ Dans le calcul des exigences de fonds propres réglementaires, les estimations


individuelles des divers types de risque opérationnel doivent être additionnées. La
banque peut toutefois être autorisée à appliquer des coefficients de corrélation
déterminés en interne entre ces estimations individuelles, à condition de démontrer à
son autorité de contrôle que ses systèmes de détermination des coefficients de

36
corrélation sont rationnels. Les hypothèses de corrélations doivent être validées par la
banque à l’aide de techniques quantitatives et qualitatives appropriées.

¾ Tout système de mesure doit prendre en compte des critères clés (bien détaillés dans
les accords de Bâle) pour satisfaire au niveau de précision exigé par les autorités. Ceci
comprend l'utilisation des données internes, des données externes pertinentes, et des
données issues de l'analyse des scénarios.

Pour l'utilisation des données internes :

- La collecte de données internes (crédibles) est un préalable pour modéliser les pertes;

- Une banque doit disposer de procédures de collecte pour justifier la pertinence des données;

- Pour déterminer les exigences en FP, la banque doit se baser sur une période d'observation
des données historiques de cinq (5) ans (cette période est de trois ans si la banque vient de
commencer l'utilisation de la méthode des données de pertes).

- les données doivent répondre aux critères suivants :


• Toutes les données doivent être affectées aux "lignes de métier" et aux "événements de
risque" pour pouvoir les adresser aux autorités.
• Les données doivent être collectées de toutes les structures et de tous les processus de
la banque. En cas d'exclusion d'une activité ou d'une structure, la banque doit
justifier l'absence de l'impacte de cette exclusion.
• Un niveau minimum de perte à enregistrer pour alimenter la base doit être défini
(exemple: 1000 € ou 1000000 DZD).
• Des critères spécifiques d'affectation doivent être définis par la banque pour les
événements survenus dans une structure ayant plus d'une "ligne de métier".

Pour les données externes :

-Une banque doit disposer de procédures pour identifier les situations dans lesquelles elle aura
recours aux données externes, et leur mode d'intégration (seuil, ajustements qualitatifs...).

- L'utilisation de données externes doit être régulièrement revue, bien documentées, et faire
l'objet d'audits indépendants et réguliers.

Pour les données des scénarios :

¾ Les scénarios utilisés par les banques doivent être conçus avec des experts en
cohérence avec les données externes;

¾ Les scénarios pourront être utilisés pour déterminer l'impacte des événements rares
ayant des sévérités très élevées sur la distribution de base (issue des données de pertes
internes).

37
SECTION 4 : MESURE DU RISQUE OPERATIONNEL

Les techniques de mesure des risques opérationnels s'inscrivent dans le cadre des AMA
(Approches par les méthodes avancées) ; c'est justement cela le plus grand avantage de ces
méthodes : les fonds propres nécessaires à la couverture des risques opérationnel sont déterminés
suite à une véritable mesure et quantification de ces risques, et pas sur la base d'indicateurs
globaux, comme les approches Basique et Standard.

Avant de mesurer le risque, il est important de le définir et de délimiter son périmètre. La


première étape consiste donc à établir une "cartographie de risques" qui doit s'appuyer sur une
analyse des processus métiers existants. A cet effet, une segmentation des activités de la banque
en processus porteurs de risques est nécessaire. Le découpage se fait non pas en fonction de
l'organisation mais en fonction des services offerts, et des événements de pertes possibles.

Pour chaque événement de perte possible, on évalue le risque en termes de sévérité


(montant) et de fréquence (nombre de fois dans un laps de temps). La cartographie étant réalisée,
il est important de mettre en place une base "incidents " dans laquelle on recense les événements
de perte au fur et à mesure de leur survenance. C'est à partir de cet historique de pertes qu'il sera
possible de quantifier le risque, de le distribuer et d'analyser les impacts de telle ou telle mesure
prise pour son atténuation. Trois approches de mesure sont alors possibles:

1- Les approches statistiques : l'approche la plus connue est la LDA "Loss Distribution
Approach" ou Approche par la Distribution des Pertes. Elle s'appuie sur l'analyse des données
historiques de pertes, qui proviennent de l'établissement (données de pertes internes), ou de
sources externes. A la base de cet historique, on calcule deux lois de distribution : Sévérité des
pertes et Fréquence des pertes. Ensuite une VaR à 99% est déterminée pour chaque combinaison
"ligne de métier / risque" selon un e formule bien élaborée;

2- L'approche Scorecard : Cette méthode consiste à établir pour chaque catégorie de risque une
grille d'appréciation fondée à la fois sur des critères qualitatifs et sur des critères quantitatifs. Un
"score" est donné aux différents risques associés aux processus; Un "score limite" sera enfin
recommandé par la Direction Générale, et devra être atteint dans un délai déterminé.

3- Approche par analyse des scénarii : il s'agit d'interroger les opérationnels et d'obtenir de leur
part une évaluation à dire d'expert des niveaux de perte. La construction des scénarii (scénarios)
combine l'ensemble des facteurs de risque déterminants, et les estimations de leurs impacts
possibles. L'intérêt de cette méthode est de pouvoir capter des événements singuliers (rares) dont
les conséquences pourraient être graves pour l'établissement, et qu'une approche statistique basée
sur des données historiques aurait du mal à modéliser.

38
1 : CARTOGRAPHIE DES RISQUES OPERATIONNELS :

Les banques sont maintenant tenues de mettre en place des outils d'identification et
d’analyse des risques opérationnels afin de garantir l’exactitude des estimations et
l’accessibilité à l’information (données de pertes, exposition de la banque aux risques ...), et
ainsi permettre de mieux protéger les intérêts des actionnaires et des clients. Dans un premier
temps, la gestion du risque opérationnel implique l’identification et la mise en place d'une
nomenclature des risques existants; après cela viennent l’évaluation, la surveillance, le
contrôle et l'atténuation de ces risques. Il est donc nécessaire de développer une solution de
traitement et de recensement des risques pouvant être déployée à l’ensemble des activités.

La cartographie des risques est un relevé des principaux risques pour lesquels sont
et/ou seront mis en place des systèmes de mesure, d'analyse, de surveillance et de maîtrise.
(Le risque étant la Possibilité que se produise un événement susceptible d'avoir un impact sur
la réalisation des objectifs, se mesure en termes de probabilité et de conséquences).

Démarche d'une Cartographie des risques :


"La démarché d'une cartographie consiste à associer à chaque processus modélisé les
événements de risques qui peuvent entrainer une perte, en donnant pour chaque couple ainsi
recensé une vision des impactes possibles, et le degré de maitrise estimé. Ces travaux d'auto-
évaluation une fois réalisés permettront d'avoir une bonne vision des risques auxquels est
soumis l'établissement et, par conséquent, de sa capacité à y faire face". 1
La cartographie s'appuie donc sur une analyse des processus métier de la banque, à
laquelle on croise la typologie des risques opérationnels (Un processus métier désigne un
ensemble de tâches coordonnées en vue de fournir un service complet à la clientèle). La
définition des processus métier répond en premier lieu à un découpage économique de
l'activité de la banque, et non un découpage organisationnel.
L'identification des processus métier part ainsi des différents services offerts, et
identifie les acteurs (qui peuvent appartenir à des entités différentes au sein de l'organisation)
et les tâches impliquées dans la fourniture de chaque service.
A chaque étape du processus on associe ensuite les incidents susceptibles d'en
perturber le déroulement et d'entraîner la non réalisation des objectifs fixés (en termes de
résultat concret, ou de délais). Pour chaque événement, le risque est évalué par rapport à :

- La probabilité d'occurrence (de survenance), appelée "fréquence".


- Perte encourue en cas de réalisation, appelée "sévérité".

1
C. JIMENEZ & P.MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque
EDITIONS, Paris, 2004, page 34.

39
Les étapes de la démarche globale d'une cartographie sont les suivantes:

1- Représenter les processus d'activités et risques associés (définition exhaustive de tout les
événements à risque);
2- Identifier et évaluer les risques bruts (avant toute mesure d'atténuation ou de couverture).
3- Apprécier le dispositif de contrôle (maitrise) des risques, et évaluer le risque net.
4- Etablir une nomenclature des risques résiduels (en intégrant le dispositif de contrôle).
a- Représentation des processus d'activités et risques associés :

C'est la première étape, elle consiste à dresser un récapitulatif des différents risques
opérationnels qui touchent les services de la banque et causent des pertes. Elle commence par
la décomposition de la banque en ses lignes de métiers et différents processus. Sur cette base,
en y associant les événements de risque, il sera possible de réaliser une autoévaluation des
risques intrinsèques ou bruts.

Exemple: Association de risques à un processus de la banque : prenons le cas du Processus


d'octroi de crédit immobilier de l'activité banque de détail.

1 - Montage du 2- Etude du dossier 3-Signature du contrat 4 - Prise (collecte)


dossier de crédit & & Décision et de l'échéancier des garanties et
Collecte des pièces d'octroi de crédit de remboursement. réalisation

1. a- le client ne 2. a - Erreur 3. a- le client 4. a - Erreur du


mentionne pas d'appréciation du conteste les notaire et invalidité
toutes les dossier ou du risque. particularités du des actes.
informations. crédit et poursuit la
2. b - Falsification 4. b - Falsification
1. b - certaines banque pour défaut
de signature lors de des actes de
de conseil.
pièces sont des faux. la décision d'octroi garanties par le
1. c - perte d'une ou 3. b - l'échéancier
2. c - complicité client...etc.
plusieurs pièces... de remboursement
avec le client. est inadéquat...etc.

b- Identification et évaluation des risques bruts :

L'identification va porter sur l'impacte (financier et/ou d'image) et la fréquence des


événements retenus. Il s'agit là d'une cotation subjective des risques, car le poids de chaque
facteur est attribué par chacun des responsables des activités en fonction de sa propre
perception de ce risque, de l’importance qu’il lui accorde, et non d’un historique, qui nous
aurait renseignés sur la fréquence de la survenance du risque et de son impact financier sur
l’activité considéré. Des règles objectives d'évaluation d'impacte doivent être fixées pour
obtenir un référentiel homogène : un exemple de règles est donné dans le tableau ci-après :
40
Impacte
Très faible Faible Moyen Fort
Critère
Critère d'impact financier : Entre
Inférieure à Entre 10000 € Supérieure à
Charge financière (perte ou 100000 € et
10000 € et 100000 € 500000 €
manque à gagner). 500000 €
Risques de Risques de
Critère d'impact d'image: Pas de Pourrait
perte perte de
Impact sur les tiers (agences de conséquences entrainer des
d'image et de clients ou
notation, clients, actionnaires) induites. réclamations.
confiance partenaires.
Critères de fréquence ou
Inférieur à Entre 10 et Entre 100 Supérieur à
d'occurrence:
10 100 et 1000 1000
Nombre d'événements par an
Tableau N°2 : Exemple de critères d'appréciation objectifs des risques bruts

Dans cette phase (estimation des risques bruts), il est important de recenser tous les
risques existants, même si l'on estime qu'ils sont couverts par un dispositif de contrôle ou de
maitrise approprié. L'exhaustivité est donc l'un des objectifs majeurs de cette étape.

c- Appréciation du dispositif de maitrise et évaluation du risque net :

Après avoir recensé tous les risques potentiels, il est nécessaire d'apprécier les mesures
existantes (qui auraient un impact réducteur), et d'essayer de mesurer cette réduction. A cette
étape seront estimés donc les dispositifs de contrôle et organisationnels, les outils de suivi
de l'activité, ainsi que les éléments de réduction ou de transfert de risque. Et comme l'on se
situe dans une démarche d'autoévaluation, ce sont les opérationnels eux-mêmes qui vont
porter un jugement sur ce dispositif. Donc, la constatation de risques peu ou mal maitrisés à
ce stade ne doit pas entrainer une sanction pour les opérationnels chargés du processus en
question, et cela dans le but d'avoir une vision la plus réaliste et sincère. Pour chaque risque,
on appréciera le dispositif de maitrise à l'aide de critères jugés pertinents :

Appréciation Très faible Faible Moyen Fort


Moyens de contrôle mis en œuvre X
Efficacité du dispositif X
Pertinence du dispositif X
Fréquence de contrôle X

Tableau N°3 : Tableau d'appréciation du dispositif de maitrise du risque.

NB: il est utile de distinguer entre le risque net avant transfert (assurance, garantie, clauses
contractuelles) et le risque net après transfert. Ce qui permettrait d'évaluer les apports du
dispositif de maitrise interne et puis les éléments de maitrise externe.
41
d- Classification des risques:
Le risque net, une fois évalué (en termes de fréquence et d'impact), une nouvelle
nomenclature sera établie. Elle sert à déterminer (au cas par cas) si le risque, qui subsiste
toujours malgré la mise en place du dispositif de contrôle et des actions préventives, est
acceptable ou nécessite d'autres mesures complémentaires de réduction.
Le graphique suivant permet de positionner les différents risques grâce au couple
"impact/fréquence" dans des zones précises, qui nécessitent des mesures particulières :

Fréquence/
Dans cette partie, les
Probabilité
risques doivent être
impérativement maîtrisés
contrôle
actif

Surveillance
attentive

Contrôle
ponctuel

Couts/Impact
En raison de la faiblesse de leur probabilité En raison de leur nature,
et de leur impact, ces risques ne doivent être ces risques doivent être
contrôlés que périodiquement attentivement surveillés.

Figure n° 2 : Zones de risques et fréquence des contrôles

Source : Global Association for Risk Professionnels.

Cette étape permet donc d'identifier les risques majeurs susceptibles de mettre
gravement en péril l'activité, et qui ne sont pas encore maitrisés.

En résumé, La cartographie, reflétant la vision la plus détaillée des risques dont la


Direction souhaite disposer au plus haut niveau, doit permettre d'établir des synthèses
relatives à toutes les activités, et à ce titre doit être établie par un département central de suivi
des risques. Par contre pour être réaliste et utile, l'analyse des processus métier et des risques
encourus doit être confiée aux opérationnels concernés.
Enfin la cartographie ne saurait être complète que si elle s'accompagne de
l'identification des Facteurs Clés de Risque "KRI ou key risk indicators": ce sont les éléments
quantitatifs susceptibles d'augmenter la probabilité de réalisation d'un événement de perte:
nombre d'opérations traitées, taux d'absentéisme ...etc. Cette notion constitue le fondement de
la méthode dite des "Scorecard", qui fera l'objet de la prochaine section.
42
2 : MESURE DU RISQUE OPERATIONNEL PAR LA METHODE SCORECARD:
Cette méthode s'apparente à un "scoring" appliqué aux différents événements de
risques opérationnels associés aux lignes de métiers (business lines).
" Le score est attribué principalement à dire d'expert, ce qui en fait une méthode
essentiellement qualitative, qui se base sur la qualité du contrôle interne et des mesures de
prévention mises en œuvre." 1 .

a- Définition des éléments influençant le score :

A partir d'une cartographie des risques opérationnels définie au préalable, on peut


déployer une Scorecard en pondérant par des poids standards les facteurs influençant la
survenance de chaque risque.
Exemple : Prenons comme exemple la Fraude interne. L'un des facteurs de prévention qui
sera inévitablement considéré sera la possibilité (pour le personnel ou les étrangers) d'accéder
à des locaux dont l'accès est en principe limité.
Degré de contrôle Note
Exemples
d'accès attribuée
Elevé 1 Bureaux personnels, à cartes d'accès très sécurisées
Sécurité assurée par des gardiens, et un système de Vidéo-
Moyen 3
surveillance.
Faible 6 Accès avec des clefs (métalliques)
inexistant 9 Accès non restreint, aucun système de surveillance.

Dans la fonction de Score, une seule note est attribuée à ce critère (degré de contrôle
d'accès). Cette note (dans notre exemple 1, 3, 6 ou 9) sera pondérée par un facteur déterminé,
et ajoutée à des notes correspondantes à d'autres critères (elles aussi pondérées par des poids
spécifiques). La somme de ces notes pondérées (scores) va déterminer un "score final"; c'est
ce dernier qui intéresse les décideurs.

Ligne de métier : fraude interne

Critère d'évaluation Note (Ni) poids (Pi) Score


Contrôle d'accès 9 0.10 0.90
Système de rotation du personnel 1 0.25 0.25
Contrôle hiérarchique 6 0.50 3.00
... 1 0.10 0.10
Kème critère 3 0.05 0.15
Total 1 = 100% 4.40
Tableau n°4: Calcul du Score final dans la méthode des Scorecards.

1 C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS,
Paris, 2004, page 93.
43
Le score final est obtenu en sommant les notes pondérées:

S = Σ (Ni x Pi) , avec Σ Pi= 1

S= (9 * 0.110) + (1 * 0.25) + (6*0.50) + (1 * 0.10) + (3 * 0.05) = 4.40


- Ni représente la note attribuée au critère i
- Pi est le poids du critère i dans la fonction Score

Remarque:
Il est intéressant de remarquer que la somme des pondérations est égale à 1 (100%), car ces
pondérations représentent les poids des variables dans la fonction Score, par conséquent, le
poids total est de 100%.

Pour cet exemple, plus le score est élevé, plus le risque est important. C'et pour cela
que l'Organe Exécutif fixe généralement un "Score Limite" qui est un score minimal
souhaitable qui doit être atteint dans un délai déterminé.

Score
Score minimal cible 4.40

Ce travail sera fait pour les autres catégories de risque, et un score global sera
déterminé et comparé à un score minimal cible.

b- Particularités de la Méthode Scorecard :

-Particulièrement utilisée pour l’allocation des fonds propres entre les différentes lignes de
métier et/ou entre implantations géographiques, la méthode de scorecards conduit à noter de
manière synthétique chaque entité d’un groupe et permet d’informer l’organe exécutif, au
travers d’un tableau de bord rassemblant l’ensemble des scores locaux, sur l’état de mise en
œuvre de la politique de risques qu’elle a définie dans chaque entité.

-La méthode Scorecard a un biais dû au fait qu'elle prétend fonder des calculs parfois
extrêmement sophistiqués (des scores très précis) sur des données d'échantillonnage rares,
dispersées, et soumises à un nombre d'appréciations subjectives (avis des opérationnels).

- Elle fond les estimations sur les événements qui se sont déjà produits, pas sur ceux qui
pourraient réellement se produire, et parmi lesquels se trouvent les plus redoutés, ceux qui se
produisent rarement mais avec des conséquences lourdes.
44
-La méthode des scorecards offre de ce point de vue une alternative intéressante, puisqu'elle
s'appuie non pas sur des données de pertes effectivement constatées, mais sur des indicateurs
clés de risque (KRI), qui incorporent donc une vision "a priori" des risques opérationnels.
Cette méthode consiste à produire pour chaque catégorie de risques, une grille d'appréciation
regroupant des indicateurs quantitatifs: taux de turnover, nombre d'opérations… et qualitatifs:
appréciation de la vitesse d'adaptation du personnel à un changement, par exemple.

-Des questionnaires sont établis par des équipes d'experts regroupant des spécialistes du
risque et des opérationnels de chaque ligne métier. Ces questionnaires englobent les critères
qui gouvernent à la fois la probabilité et l'impact potentiel d'un risque. Une fois ces
questionnaires établis, on effectue une première évaluation a priori du capital minimum requis
au titre du risque opérationnel, qui doit être en principe légèrement surévalué, car par la suite
on n'utilisera plus que les scorecards pour estimer le montant global de capital à allouer. Ce
capital est ensuite distribué entre toutes les catégories de risques en évaluant, pour chaque
ligne métier, l'importance relative de ces différentes catégories.

-La répétition de ce processus permet d'évaluer au fil du temps les fonds propres à allouer
pour chaque ligne métier. Comme cette évaluation se fait indépendamment des autres lignes
métier, il ne s'agit pas d'un jeu à somme nulle: le montant global de capital réglementaire peut
diminuer ou augmenter en fonction des scores obtenus, et en fonction des corrélations qui
pourraient exister entre les risques d'une ligne de métier et ceux d'une autre.

- Cette déclinaison sur la totalité des processus et lignes de métiers présenterait un


investissement très lourd (nécessité de mise en place de modèles d'allocation sophistiqués).
En contrepartie, le lien avec les pertes réelles n'est pas assuré, du fait du critère subjectif de
la méthode, et des données prospectives qu'elle utilise.

- Il est aussi utile de préciser que la sensibilité des estimations du risque opérationnel aux
variations des facteurs et les pondérations attribuées à ceux-ci est une source de biais et de
subjectivité qu'il faut chercher à diminuer autant que possible. Outre les variations du risque
liées à l’amélioration du contrôle de celui-ci, la mesure du risque opérationnel doit aussi
refléter les aggravations possibles liées à une complexité accrue des processus ou à une
augmentation du volume d’activité.

Malgré son aspect plus ou moins subjectif, la méthode des scorecards permet d'obtenir
un tableau détaillé du profil de risques de l'établissement. Elle permet également d'impliquer
les opérationnels dans le suivi des risques, et constitue de ce fait une forte incitation à leur
réduction.

45
3 : METHODE DES SCENARIOS :

L’analyse de scénarii (sbAMA ou scenario based AMA) est en fait un prolongement de


la méthode Scorecard. Le risque y est envisagé comme une combinaison de la sévérité et de la
fréquence des pertes potentielles sur une période donnée. Elle est utile surtout pour la
modélisation des événements rares.

La fréquence potentielle de la perte peut être mesurée en nombre d’occurrences


annuelles et la sévérité (potentielle) de la perte en unités monétaires.

Exemples:
On entend parler d'une perte potentielle de 50 000 euros deux fois par an, une perte
potentielle de 15 000 euros quatre fois par an, ou une perte potentielle de 2.5 millions d'euros
une fois tous les cent ans.

L'analyse des scénarios est déjà largement appliquée aux risques de marché et de
crédit. Dans le cas du risque de marché, il s’agit par exemple d’apprécier l’impact d’une
hausse potentielle des taux directeurs de 40 points de base sur le PNB futur de la banque, ou
l’incidence d’une inversion probable de la courbe des taux sur la valeur du portefeuille de
négociation de la banque. Concernant le risque de crédit, on peut par exemple analyser l'effet
de la dégradation possible de la notation ou la défaillance pure et simple d'un débiteur.

De manière générale, les scénarios sont donc des événements susceptibles de se


produire dans l’avenir. Ils sont générés à partir de bases préexistantes de risque en simulant
des événements potentiels et leur impacte sur les paramètres de risque : Fréquence
(probabilité) et impact (montant de la perte).

Concernant le risque opérationnel, les scénarios sont généralement établis sur les
facteurs de risque opérationnel au niveau des différentes lignes d'activité de la banque (ex :
sécurité des systèmes, saisie, exécution et suivi des transactions...). Le but est alors de tirer de
ces scénarios étudiés une information utile. Par exemple :

- Quelle est la probabilité qu’une ou plusieurs de ces facteurs de risque fassent défaut sur un
intervalle de temps trop restreint?

- Quel impact négatif en résulte ? (sur la survie de la banque, son image...)

Si la probabilité de survenance d'un sinistre (déduite de l'analyse de ces scénarios) est


insignifiante, on considère que la banque n'est pas exposée à un risque opérationnel sérieux.

L'utilisation des scénarios pour le risque opérationnel n'est pas bien réputée au milieu
des banques. Néanmoins, la démarche de cette méthode est bien proposée par un groupe de
banques ("Scénario-based AMA Working Group" ou Groupe de Travail sur les Méthodes
avancées) qui a proposé les étapes suivantes, jugées utiles dans cette démarche :
46
a- Génération et choix des scénarios :
Les scénarios choisis peuvent concerner toutes les lignes de métiers (ex:
Indisponibilité de personnel, rupture de l'alimentation en électricité pour une période plus ou
moins longue...), ou être spécifiques à une ligne particulière (ex: rupture de l'interface d'une
station de trading pour un cambiste ou un trader pendant une minute: cela est un scénario qui
concerne en particulier la ligne d'activité "négociation et vente").

On pourrait distinguer les scénarios de base de ceux de stress : les premiers sont des
scénarios facilement réalisables (ont une probabilité forte de réalisation), et les seconds ne
sont que très rarement réalisables, et permettent d'analyser l'impacte des événements
exceptionnels sur la banque.

Cette étape est composée de deux volets : Choix des paramètres, et Documentation.

1 - choix des paramètres :

Elle consiste à déterminer pour une structure ou ligne de métier les éléments de risque qui
pourraient être retenus comme des paramètres (cela peut être directement déduit de la
cartographie).

Exemple:
Pour l'activité crédit aux particuliers, le nombre d'erreurs du chargé d'études
(fréquence d'incidents) est directement lié au nombre de dossiers traités (volume des
opérations). Le volume peut donc être tenu comme paramètre pertinent pour le risque d'erreur
d'exécution. Des scénarios seront envisagés sur ce paramètre:

- Volume standard : 6 dossiers par mois

- Volume "scénario 1" : 15 dossiers par mois.

- Volume "scénario 2" (stress) : 40 dossiers par mois.

Ce travail devrait refait être pour d'autres lignes d'activité, où les paramètres influant
sévèrement sur un risque seront simulés, et feront l'objet de scénarios. Le choix de ces
paramètres pourrait aussi être issu de l'historique des pertes, ou à l'aide des benchmarks ou
références du secteur.

2- Documentation :

Chaque scénario établi dans l'étape précédente devra faire l'objet d'une justification et
d'une documentation suffisante pour être revu par des personnes qui n'ont pas participé à son
établissement. La documentation devra préciser à coté du processus et du facteur de risque, la
description du risque et la fréquence et sévérité des pertes standards et de stress.

47
Donc, La sélection des scénarios doit prendre en considération l’environnement dans
lequel la banque opère. Ces scénarios doivent être raisonnables et appropriés aux décisions à
prendre et aux objectifs fixés.

b- validation des scénarios proposés:


Les scénarios proposés dans l'étape précédente une fois documentés, devront être
validés (par des personnes n'ayant pas participé à leur constitution) et revus par comparaison
avec les pertes effectivement subies (bases de données de pertes existantes), afin d’en assurer
le caractère raisonnable et fiable.

Des critiques seront apportées sur la cohérence d'ensemble de ces scénarios, ainsi que
sur chaque élément en particulier (fréquences et impacts proposés, documentation...).

Pour apporter de telles critiques, les personnes validant les scénarios s'appuient sur des
éléments tels que les constats du service d'audit interne, l'avis d'experts, l'historique des
pertes, les bases d'incidents externes (benchmark), le niveau des KRI ...etc.

c- Appréciation de la qualité des données :


L'un des critères les plus pertinents pour pouvoir valider des scénarios est
l'appréciation de la qualité et de la provenance des données qui ont servi à leur construction.
A cet effet, la banque peut combiner des données issues de son système d'information (bases
de données internes) et des données externes pour construire des scénarios qui doivent être
plus ou moins fiables et réalistes.

En effet, des données faussées à l'origine conduiraient sans doute à des résultats de
scénarios irréalistes et erronés. Le contrôle des données est donc primordial pour juger de la
pertinence (à priori) des scénarios mis en place.

De plus, le choix des données utilisées dans les scénarios est un élément de validation
sur lequel s'appuie le régulateur (dans les accords de Bâle) pour valider le modèle d'allocation
des fonds propres.
d- Détermination du modèle et des paramètres :
Les résultats des scénarios (estimation des fréquences et sévérités des pertes
potentielles) ainsi que les paramètres déterminés par cette analyse vont intégrer les modèles
quantitatifs retenus par la banque (par exemple : le modèle LDA qui sera traité dans la section
prochaine).

Le risk manager doit toujours préserver la possibilité d'expliquer la relation entre les
paramètres retenus dans le modèle et les résultats obtenus des simulations; Le but étant de
pouvoir tirer des conclusions utiles pour orienter sa politique et stratégie de réaction face aux
événements plus ou moins rares et imprévisibles.
48
e- Restitution des résultats :
C'est la phase finale de la démarche d'analyse des scénarios, elle constitue la finalité
même de cette démarche, et consiste en l'exposition des résultats obtenus dans les simulations.
Elle porte notamment sur:

¾ La description du risque simulé et de ses facteurs;

¾ L'analyse des fréquences des événements simulés;

¾ L'analyse de l'impact des événements simulés (dans le cas où ces derniers se


produisent);

¾ Le niveau de maitrise estimé du risque simulé (dispositif de prévention ou


d'atténuation);

¾ Actions préventives préconisées (investissements, transfert du risque, contrôle


interne...)

En résume, un scénario doit être réaliste et stable dans le temps (rester pertinent s'il est
reproduit dans des intervalles réguliers). Cela est valable pour les scénarios de stress, car un
scénario avec des pertes gigantesques -bien que imaginable- ne serait pas très informatif à la
banque, et induit à une allocation exagérée de fonds propres.

Les scénarios de stress permettent une vision de la pérennité des activités de la banque
à un horizon plus lointain sous des hypothèses de conjoncture différentes de celles connues
actuellement

4 : METHODE DES DONNEES DE PERTES INTERNES (LDA) :

Pour pallier les insuffisances de la méthode Scorecard (subjectivité et manque de


concordance avec les pertes réelles), les banques ont recours aux méthodes statistiques, dont
l'exemple le plus représentatif est l'approche par la « Distribution des pertes » ou « Loss
Distribution Approach » (LDA). Elle s'appuie sur une base de données des événements de
pertes collectés au sein de l'établissement, enrichi de données provenant de sources externes.
a- Principe de l'approche LDA :
Etant une approche purement statistique est largement utilisée dans le domaine
des assurances et de façon pratique, l'approche LDA utilise les données de pertes
antérieures en s'appuyant sur le travail d'identification et de standardisation des types
de risques par lignes d'activité (Bâle II) pour : modéliser la distribution de fréquence
de perte, la distribution de sévérité de perte, puis combiner les deux distributions pour
déterminer la valeur à risque par ligne d'affaire et au niveau global
49
b- Démarche de l'approche LDA
La démarche consiste d'abord à établir, pour chaque ligne métier et chaque type
d'événement de pertes, 2 courbes de distribution des probabilités de pertes, l'une représentant
la fréquence des événements de pertes sur un intervalle de temps donné, (loss frequency
distribution), l'autre la sévérité de ces mêmes événements (loss severity distribution). Pour ce
faire on trie les événements de pertes par fréquence d'une part, et par coût (impacte) d'autre
part, et l'on représente le résultat sous forme graphique (histogrammes).

Pour chacune des distributions obtenues, on recherche ensuite le modèle


mathématique qui rend le mieux compte de la forme de la courbe. Pour valider le choix d'un
modèle mathématique, on met en relation le résultat (fréquence ou perte) prédit par le modèle
mathématique et le résultat de la courbe issue des données réelles : si les 2 courbes se
superposent, le modèle est réputé fiable.

On combine alors les 2 distributions, en utilisant une simulation de Monte-Carlo afin


d'obtenir, pour chaque ligne métier et chaque type d'événement, une courbe agrégée de
distribution des pertes pour un horizon de temps donné. Pour chacune, la Value At Risk
(VAR) est la perte maximale encourue avec une probabilité de 99,9%. Le capital requis dans
le cadre de Bâle II est alors la somme des VAR ainsi calculées.

Bien que le processus d'une LDA soit assez complexe et demande des outils
statistiques et modèles sophistiqués, il pourrait être résumé en quatre étapes cruciales:

1- Modélisation de la distribution de la sévérité des pertes:

C'est l'étape la plus importante et la plus sensible: la qualité et la robustesse de tout le


processus de mesure du risque et donc de l'allocation optimal du capital dépend en grande
partie de cette étape. Elle est par ailleurs la plus difficile et est abordée de différentes façons:

9 La méthode traditionnelle et la plus simple, se limite aux données internes, une distribution
théorique (Lognormal, Gamma, weibul) 1 est sélectionnée, l'estimation des paramètres se fait
par la technique du maximum de vraisemblance (EMV) et les tests statistiques (Khi-deux,
Kolmogorov-Smirnov) 2 permettent de valider la distribution.
Cette méthode est assez simple, sa mise en œuvre est assez rapide, cependant les
résultats empiriques ne sont pas satisfaisants, et de nombreuses cellules possèdent très peu de
données et il est difficile de capter les pertes extrêmes avec une telle approche.

1
Ces trois lois ont des distributions statistiques à un nombre réduit de paramètres. Les distributions de ces lois
sont uniques et connues lorsque les paramètres sont connus.
2
Ces tests permettent de dire si la courbe de distribution statistique des pertes a bel et bien une allure similaire à
la courbe de la loi théorique à laquelle nous voulons comparer notre série de données.
50
9 Une méthode alternative (Frachot, Georges et Roncali) : Cette méthode ne considère les
pertes qu'au dessus d'un certain seuil, les données de toutes les sources sont fusionnées tout en
considérant qu'elles sont issues de la même famille de distribution. La technique de maximum
de vraisemblance est par la suite utilisée pour la modélisation en ajoutant les différents seuils
comme des paramètres de maximisation.
L'une des principales limites à cette méthode est le fait que les pertes externes peuvent
être très élevées comparativement aux pertes internes et biaiser considérablement les résultats.

9 Une troisième alternative (Alexander) est fondée sur l'approche bayésienne, la distribution
a priori des paramètres est obtenue grâce aux données externes, les données internes servent
d'échantillon objectif pour le calcul de la vraisemblance, permettant ainsi d'estimer les
distributions de paramètres a posteriori.
La principale difficulté de cette approche se pose lorsqu'un véritable conflit apparaît
entre les données internes et externes disponibles, entraînant ainsi une différence considérable
dans l'ordre de grandeurs des paramètres issus des deux échantillons.

2- Modélisation de la distribution de fréquence des pertes :

L'approche traditionnelle est suffisante pour estimer de façon robuste la loi


(distribution de probabilité) de la fréquence des pertes. Les résultats empiriques sont souvent
satisfaisants, et les distributions théoriques résultantes sont le plus souvent la loi de poisson
ou la loi Binomial Négative.

3- Construction de la distribution agrégée (par simulation Monte-Carlo) :

Elle permet d'obtenir une approximation de la distribution globale (associant fréquence


et sévérité) des pertes annuelles pour chaque croisement (ligne-métier / événement de risque).
La principale source de biais de cette méthode est les corrélations éventuelles (entre les
différents couples ligne-métier/risque) qui sont généralement ignorées, ce qui n'est pas du tout
évident en pratique.

4- Calcul de la VaR et validation des résultats :

La dernière étape de la démarche LDA consiste à calculer une VaR (Valeur en Risque
ou Value at Risk) pour chaque couple (ligne de métier/risque) sur un horizon d'un an et au
niveau de confiance de 99.9%.

La « VAR » est un concept très global, dont l’objectif est de fournir une réponse
quantifiée à la question suivante : Pour un intervalle de confiance choisi a priori (dans notre
cas 99.9%), et pour un horizon temporel donné (dans notre cas 1 an), quel est le montant de
perte maximale que peuvent engendrer les activités actuelles ?

Avant de répondre à cette question, on doit définir deux variables clés:

51
- Probability of event (PE)
- Loss at given event (LGE)

Les pertes dues au risque opérationnel sont la combinaison de ces deux variables
aléatoires : La probabilité d'événement PE est une mesure de la fréquence (Nombre) de pertes
par rapport à un nombre donné d’opérations sur un intervalle de temps donné.
La perte en cas de réalisation de l’évènement LGE, est le montant de la perte lorsque
l’événement de perte se produit
Le calcul de la VaR, nécessite en la détermination dans une première étape de la
distribution statistique (loi de probabilité) des pertes en fonction des deux variables
aléatoires (PE, LGE), et dans une deuxième étape la distribution globale (finale) de pertes de
tous les événements possibles, tout en supposant que les deux variables aléatoires sont
indépendantes entre elles.
Vu le niveau de détail, et la diversité des techniques de simulation (ex: Monte-Carlo...)
que la détermination de ces lois de probabilité nécessite, et compte tenu de l'objectif principal
recherché dans ce chapitre (qui n'est rien d'autre que la présentation générale des diverses
techniques de quantification des risques opérationnels), nous allons donner un exemple très
simplifié de calcul de la VaR, dans lequel nous supposerons que la distribution de ces deux
variables est connue, et poserons un certain nombre d'hypothèses simplistes, qui sont bien
sûre difficilement vérifiables sur le terrain.
Exemple: Soient donc les distributions suivantes des variables PE et LGE:

Distribution de pertes en fonction du nombre Distribution de pertes en fonction de leur


d’évènements sévérité
Probabilité (Pi) Nombre d’événements (PE i) Probabilité (Pj) Sévérité de perte (LGEj)
45% 0 50% 500
35% 1 40% 2000
20% 2 10% 15000
Unité: millions de Dinars.

Tableau n° 5: Exemple de distribution de pertes de (PE, LGE)

-Calculons le nombre moyen de défaillances (PEmoy): PEmoy = Σ Pi * PEi

PEmoy = (45%*0) + (35%*1) + (20%*2) = 0.75 (proche d'une "1" perte)

-De même, La sévérité moyenne attendue (LGEmoy) est: LGEmoy = Σ Pj * LGEj

LGEmoy = (50%*500) + (40%*2000) + (10%*15000) = 2550 (million DA)

52
Selon l’hypothèse de l’indépendance entre les deux variables aléatoires PE, et LGE, on
peut calculer la perte moyenne attendue.

La perte moyenne attendue (EL)= Nombre moyen de défaillances attendues * Sévérité


moyenne attendue.

Donc, EL = 0.75 * 2550 = 1912 (million DA)

La deuxième étape repose sur la connaissance du montant de pertes de tous les


évènements possibles (voir tableau ci-dessous).

Nombre Première Deuxième


Pertes totales Probabilité
d’évènements perte perte
0 0 0 0 0.45 = 45%
1 500 0 500 0.35*0.5= 0.175 = 17.5%
1 2000 0 2000 0.35*0.4= 0.14 = 14%
1 15000 0 15000 0.35*0.1= 0.035 = 3.5%
2 500 500 1000 0.2*0.5*0.5= 0.05 = 5%
2 500 2000 2500 0.2*0.5*0.4= 0.04 = 4%
2 500 15000 15500 0.2*0.5*0.1= 0.01 = 1%
2 2000 500 2500 0.2*0.4*0.5= 0.04 = 4%
2 2000 2000 4000 0.2*0.4*0.4= 0.032 = 3.2%
2 2000 15000 17000 0.2*0.4*0.1= 0.008 = 0.8%
2 15000 500 15500 0.2*0.1*0.5= 0.01 = 1%
2 15000 2000 17000 0.2*0.1*0.4= 0.008 = 0.8%
2 15000 15000 30000 0.2*0.1*0.1= 0.002 = 0.2%
TOTAL 1 = 100%

Tableau n° 6 : Loi de probabilité de la Distribution de la perte finale

Comme les variables aléatoires sont supposées indépendants, la probabilité de chaque


évènement, est le produit de la multiplication des probabilités des événements le composant:
Exemple:
Probabilité d'une perte cumulée de 30000 = (Probabilité de survenance de deux événements
X Probabilité que la 1ère perte soit de 15000 X probabilité que la 2ème perte soit de 15000).
Donc, la probabilité d'une perte cumulée de 30000 = 20%*10% *10% = 0.002 = 0.2%

Le tableau suivant retrace toutes les possibilités de pertes totales, avec leurs
probabilités respectives, ainsi que la probabilité cumulée. Cette dernière représente la
probabilité que la perte maximale à enregistrer soit cette perte en question:
53
Pertes totales ordonnées Probabilité Probabilité cumulée
0 45% 45%
500 17.5% 62.5%
1000 5% 67.5%
2000 14% 81.5%
2500 8% 89.5%
4000 3.2% 92.7%
15000 3.5% 96.2%
15500 2% 98.2%
17000 1.6% 99.8%
30000 0.2% 100%

Tableau n° 7: Probabilités cumulées de la perte totale

Selon ce tableau, une perte 15000 correspond à une probabilité de réalisation de 3.2%. De
même, la probabilité que la perte soit inférieure à 15000 (probabilité cumulée) est de 96.2%.

Finalement, et à un seuil de confiance bien déterminé, on peut calculer la perte


maximale résultante (et par conséquent la VaR). Par exemple, la probabilité que la perte soit
inférieure à 17000 M DA est de 99.8%. autrement dit, dans 99.8% des cas, la perte totale ne
dépasse pas 17000 million DA. La VaR est obtenue par l'application de la formule suivante:

VAR (α) = Perte totale (α) – Perte moyenne attendue


Avec α: Seuil de confiance choisi

Donc, la VaR à 99.8% est : (17000 M DA - 1912 M DA), soit 15088 million DA.

c-Difficulté de mise en œuvre d'une approche LDA:


9 Le besoin de disposer de séries de pertes historiques assez longues (3 ans et 5 ans).

9 Le problème de fusion et d'utilisation simultanée des données internes et externes,


provenant de sources hétérogènes (présentant des paramètres et caractéristiques différentes),

9 Le problème crucial de spécification et de modélisation des dépendances (corrélations)


entre les fréquences et sévérités des pertes, et entre distributions agrégées.

9 Insuffisance de la VaR (critère très technique ayant un aspect purement mathématique)


comme critère d'analyse, et outil de gestion permettant une meilleure identification et
validation des différents facteurs amplifiant un risque, une mise en évidence des interactions,
de leurs évolutions et de leurs différents impacts sur l'ampleur de ce risque;

9 Nécessité de l'utilisation simultanée de différents modèles (demandant un niveau de


technicité élevé) pour obtenir de meilleures prévisions, et difficulté de validation.
54
CONCLUSION
Dans le présent chapitre, nous avons essayé de présenter des méthodes que les banques
peuvent utiliser pour l'évaluation de leurs risques opérationnels, et ainsi la détermination des
fonds propres nécessaires pour la couverture des risques résiduels. Malgré la diversité de ces
méthodes, elles intègrent toutes l'une de deux grandes approches: Bottom-up ou Top-down,
selon que l'on souhaite ou non obtenir très rapidement des éléments chiffrés, et selon que l'on
soit prêt ou non à investir des montants importants pour disposer de données fiables:
a- Approche Top –Down :

L'approche top-down pourrait être assimilée à la méthode Indicateur de base (B.I.A)


en ce sens que l'on se fondra sur un référentiel simplifié, et que l'on privilégiera des aspects
qualitatifs plus rapides à obtenir que des éléments chiffrés issus de la collecte des incidents.

Dans l'approche top-down, la logique sera plus curative que préventive, en ce sens que
le dispositif allégé ne permettra pas d'être en prise directe avec les opérationnels mais sera
plutôt une modélisation des risques permettant la détermination d'un montant approximatif
des fonds propres globaux à allouer à la couverture des risques opérationnels, en présupposant
qu'il y a une certaine constante dans les risques en fonction de paramètres qui seront définis à
dire d'expert.
Cette approche donne une estimation du risque opérationnel sur la base des variations
historiques des résultats (ou d'un certain nombre d'indicateurs) après intégration de facteurs
tels que l'évolution de l'activité où le coût lié aux changements. L'hypothèse sous–jacente est
que les pertes historiques sont une bonne mesure des pertes futures.

Dans cette approche, certaines banques ont tendance à évaluer l'exigence de fonds
propres pour le risque opérationnel en prenant simplement un pourcentage d'un indice
d'activité comme le produit brut bancaire. D'autres estiment le risque opérationnel selon un
pourcentage fixe correspondant aux coûts opérationnels de l'établissement où de la ligne
métier. A titre d'exemple La Bank of America prend comme référence 25 % des coûts fixes et
50 % des dépenses autres que les intérêts versés.

Cette approche présente l'avantage de la facilité de mise en place, une fois que
l'élément inconnu de volatilité des résultats historiques des activités est résolu. Toutefois elle
présente une faible valeur analytique ; un rapport difficile à établir entre les pertes réellement
dues au risque opérationnel et l'évolution historique du revenu (ou d'un autre indicateur).

On peut dire que les modèles proposés par cette méthode ne sont pas propices à la mise
en œuvre d'un contrôle interne, d’où la négligence constatée de la qualité du dispositif de
contrôle. Dans ce cadre, et pour mieux maîtriser le risque opérationnel, les établissements
s'orientent d'avantage vers des approches à forte valeur ajoutée type " Bottom-Up ".
55
b- Approche Bottom –Up :

L'approche bottom-up pourrait, quand à elle, être assimilée aux méthodes avancées
(A.M.A) avec dispositif implanté à tous les niveaux de l'organisation et orienté vers une
mesure réelle des pertes et un souhait de gestion anticipative.

"C'est sans nul doute l'approche que prendra à terme la majorité des établissement,
mais elle nécessite plus d'investissements et un délai de mise en œuvre beaucoup plus long
pour disposer d'un ensemble complet d'outils de mesure et de prévention." 1

Les modèles bottom-up correspondent à une approche structurelle dans laquelle


l'identification, l'évaluation des pertes et risques sont définis à l'intérieur de la banque en
fonction de la logique de comportement, en séparant tout ce qui peut provenir des personnes,
des processus et de la technologie.

En effet, lors d'une telle approche, chaque opération est analysée de son initiation
jusqu'à sa comptabilisation. A chaque étape les tâches et contrôles clés sont décrits, testés et
évalués. Cela permet une estimation plus réaliste et détaillée du risque lié à chaque processus.

Le recensement et l'évaluation des risques opérationnels se fait selon une cartographie


(zones géographiques, lignes de métier, entités, et activités) qui se décline de la catégorie plus
globale à la plus exhaustive.

Cette approche apparaît plus utile pour comprendre la nature du risque opérationnel et
pour permettre la mise en place d'un système de contrôle interne. Elle est à forte valeur
ajoutée car elle permet une réelle économie de fonds propres, et une réelle gestion des risques
opérationnels du fait de leur connaissance approfondie.

Toutefois, elle présente l'inconvénient de l'onérosité, du fait de la nécessité d'une mise


en place de dispositifs assez complexes, et d'un système de contrôle rigoureux. Ajouté à cela
son inefficacité face à la mesurer du risque lié aux événements rares ayant des conséquences
désastreuses.

1C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS,
Paris, 2004, p.80

56
Chapitre III :
Méthodes de
couverture des
risques
opérationnels

57
CHAPITRE III : METHODES DE COUVERTURE DES
RISQUES OPÉRATIONNELS

La question de savoir si le respect des exigences posées par le Comité de Bâle


comportait des avantages implicites a déjà souvent été soulevée au niveau des banques. Bien
qu’il soit tentant de se conforter dans l’idée que l’argent dépensé pourra partiellement être
récupéré plus tard sous une quelconque forme, il n’est pas établi que des contrôles accrus qui
faciliteront l'atténuation des risques opérationnels sont déployés au niveau de nos banques.

A cet effet, les outils mis en œuvre dans le cadre de la réforme Bâle II ne doivent pas
seulement permettre de calculer un capital règlementaire alloué au risque opérationnel. Ils
doivent aussi servir à identifier des insuffisances dans le dispositif de contrôle interne et
conduire à concevoir les actions correctives nécessaires. L'impacte de ces dernières, mesuré à
l'aide des mêmes outils devrait permettre en améliorant le profil de risques, de réduire le
montant du capital qu'il sera nécessaire d'immobiliser au titre du risque opérationnel.

Comment les banques sont-elles donc censées couvrir et atténuer efficacement le


risque opérationnel, face à l’incroyable diversité des dangers et menaces qui pèsent désormais
sur leur activité ? Comment peuvent-elles répondre avec succès aux nouvelles contraintes qui
émanent des autorités régulatrices tout en préservant leur rentabilité future? Ces deux
questions sont au cœur des enjeux liés à la gestion du risque opérationnel, et ne sont pas sans
effet sur la capacité future des banques à atténuer considérablement ce type de risque.

Plusieurs actions permettant la prise en considération des risques (qui sont d'ailleurs
valables pour le risque opérationnel) existent, mais elles se rapprochent souvent de l’une de
ces 4 catégories, réunies par Dorfman en 1997 sous la dénomination des « 4T » :

- Tolérer (rétention des risques)


- Traiter (atténuation des risques)
- Terminer (élimination des risques)
- Transférer (adosser le risque à un tiers moyennant une prime)

Dans certains cas, ces stratégies ne sont bien sûr pas applicables car elles impliquent
des compromis inacceptables pour la banque et ses décideurs. Tout dépend finalement de la
nature du risque contre lequel on souhaiterait lutter. Des stratégies ciblées doivent être
définies en fonction du secteur d’activité, des ressources disponibles...etc.

Pour mieux gérer ses risques opérationnels, la banque a recours à ses moyens et
dispositifs internes qui sont à première vue peu couteux, mais dans plusieurs cas ces moyens
s'avèrent inefficaces ou incomplets, elle aura donc recours à des moyens externes qui
pourraient être plus couteux, mais cependant plus efficaces.
58
SECTION 1: LA COUVERTURE INTERNE DES RISQUES :
La couverture interne comprend toutes les initiatives d'amélioration des processus, du
dispositif de contrôle ou de prévention qui vont permettre d'atténuer les risques
opérationnels, en réduisant leur fréquence ou leur impact.

1- LA CONTINUITE DES ACTIVITES :


Dans l’environnement en réseau des banques d’aujourd’hui, la reprise sur sinistre
intervient la plupart du temps "trop tard". Bien souvent, aucune interruption de processus
métiers stratégiques ne peut être tolérée. Dans le secteur bancaire, une panne de système ne
durant que quelques minutes peut se traduire en dommage irrémédiable. C'est pour cette
raison qu'il faut mettre en place un "Plan de continuité d'activité ou PCA" qui est
communément connu sous son appellation anglaise "BCP ou Business Continuity Plan".

La gestion des risques opérationnels consiste finalement à sélectionner de manière


systématique les approches censées minimiser à moindre coût les effets de la réalisation d’une
menace pour la banque. Tous les risques ne sont malheureusement pas toujours évitables ou
réductibles, ne serait-ce que pour des raisons pratiques et financières. Dès lors, toutes les
organisations sont obligées d’accepter un certain niveau de risques résiduels ou inévitables.

Définition du Plan de Continuité d’Activité (PCA):

Le PCA est un élément majeur dans un dispositif de maitrise des risques opérationnels,
devant faire en sorte que quels que soient les événements qui puissent survenir et leur gravité,
la banque soit à même d'assurer au mieux les prestations de services attendus par ses clients;
en garantissant un niveau minimal de services, en respectant ses engagements et ses
obligations règlementaire et en pérennisant ses revenus.
Le Plan de Continuité d'Activité peut donc être défini comme étant un ensemble de
mesures et de procédures qui visent à assurer, y compris face à des chocs extrêmes, le
maintien des activités essentielles, de façon temporaire et selon un mode dégradé, puis leur
retour à la normale. Il s'agit ici d'arrêt (choc) suite à l'indisponibilité d'une ressource de travail
indispensable (locaux, électricité, climatisation, téléphone, télécopieur, informatique...), et
non pas de la réalisation d'un risque inhérent à la profession (défaillance d'une contrepartie,
dépôt de bilan d'un client ...).

Mise en place du Plan de Continuité d’Activité (PCA):

Pour mieux comprendre l'intérêt des dispositifs du PCA, et pour illustrer les étapes
cruciales devant être suivies pour la mise en œuvre de celui-ci, nous allons présenter
l'exemple suivant:

59
Exemple: Voici une situation à laquelle une banque peut très bien se trouver confrontée:

Le lieu de travail d'une activité (X) est sinistré pendant la nuit, par un incendie qui
détruit les locaux et leur contenu.

¾ Si rien n'a été prévu, le personnel est à la rue, les correspondants de l'activité (clients,
fournisseurs, collègues,...) n'arrivent plus à travailler dans des conditions pareilles, sans savoir
pourquoi, et la résolution de tous les problèmes va prendre d'autant plus de temps que rien n'a
été anticipé pour joindre et réunir le personnel dans un local disposant des conditions
minimales pour reprendre au moins partiellement l'activité ; d'où l'intérêt d'avoir prévu une
structure de crise et un plan d'urgence.

¾ Puis, après un certain temps, un environnement de travail est remis à disposition, et le


personnel peut faire redémarrer l'activité : si rien n'a été prévu, la reprise va être chaotique,
des rattrapages de traitement peuvent être oubliés ou erronés (à cause des perturbations et de
la pression sous laquelle le personnel travaille), entraînant des problèmes ou pertes plus ou
moins graves, à court terme et à long terme ; d'où l'intérêt d'avoir préétabli un plan de retour
à la normale.

¾ Pour effectuer ce retour à la normale dans de bonnes conditions, l'activité doit pouvoir
récupérer les données nécessaires ou vitales, qu'elles soient sur support magnétique ou papier:
si rien n'a été prévu, ces données ont été détruites par le sinistre; la perte de ses données
vitales peut être très préjudiciable à l'activité...(car les statistiques ont montré que près de 50%
des entreprises qui perdent leurs données dans un sinistre déposent leur bilan dans les jours
qui suivent, et 90% abandonnent leur activité dans les deux ans); d'où l'intérêt d'avoir préservé
les données vitales de l'activité par la mise en place des mesures conservatoires appropriées.

¾ De plus, si l'activité est à forts enjeux, un arrêt prolongé peut avoir de lourdes
conséquences pour la banque : si rien n'a été prévu, l'arrêt peut atteindre cette durée fatidique;
d'où l'intérêt d'un plan de secours permettant la reprise rapide de l'activité vitale.

En résumé, pour mettre en place un plan de continuité efficace, le gestionnaire des


risques opérationnels doit suivre une méthodologie qui pourrait être retracée en ces étapes :

a- Analyse des risques, processus, et détermination des besoins de continuité :

Lors de la réalisation des cartographies, tous les risques potentiels ont dû être évalués,
les besoins en matière de continuité (les priorités relatives face à une indisponibilité soudaine)
sont alors prédéfinis.

A cette étape, une collecte des informations sur la criticité des activités et des
processus, ainsi que les ressources indispensables pour leur bon fonctionnement s'avère aussi
un élément primordial pour une bonne élaboration du PCA.
60
En complément à ces éléments, une étude des flux de données, des dispositifs de
maitrise des risques, et de l'impact brut et net des événements à risque sera aussi demandée
aux responsables. Ces derniers sont aussi tenus d'indiquer pour chaque processus vital le Délai
Maximum d'Interruption Admissible (DMIA).

Toutes ces données seront ensuite utilisées pour construire plusieurs Stress tests
(Scénarios de crise), en prenant en compte plusieurs hypothèses : par exemple sur le délai
d'interruption qui pourra être considérées de quelques heures à plusieurs semaines.

Les résultats des stress tests seront complétés par une analyse d'impactes en termes de
pertes financières et d'atteinte à l'image...etc. (en ce qui concerne les systèmes d'information,
il convient également de déterminer les pertes acceptables de données, et les moyens
nécessaires à leur régénération.

b- Plan de prévention et proposition de solutions en cas de crise :

La fréquence et la profondeur des tests devant être menés par les banques varient selon
les circonstances. Par exemple, si un test implique, une fois par an, le déplacement de
collaborateurs ou d’infrastructures dans le but de simuler la reprise des activités à la suite
d’une explosion, seuls 20% des collaborateurs devront être réellement déplacés. L'étendu des
tests et leur fréquence varient en outre en fonction des ressources concernées : les tests de
réseau et de stockage de données doivent par exemple être réalisés plus fréquemment.

Dans cette étape, le gestionnaire des risques opérationnels doit avoir une bonne vision
du dispositif de contrôle et de la quantification du risque résiduel. Pour chaque processus, les
opérationnels proposent des alternatives de continuité aux responsables d'activités; ces
dernières doivent tenir compte des DIMA qui ont été arrêtés.

En ce qui concerne les risques majeurs, le dispositif de prévention devra prendre en


compte une indisponibilité de la quasi-totalité des ressources de la banque, et se préparer à
une situation de crise pouvant remettre en cause tout ou partie des activités.

Pour cette dernière situation, la banque doit adopter une approche plus régionale de
continuité opérationnelle, afin de se préparer à l’éventualité d’un événement touchant
plusieurs sites simultanément. La diversification géographique est considérée comme l’un des
plus puissants outils de continuité opérationnelle de la banque. Cette approche sera complétée
par la mise en ouvre de techniques de haute disponibilité (reposant sur des systèmes de
réplication de données) dédiées aux applications critiques, permettant aux équipements de
sauvegarde de prendre le relais instantanément. Ces systèmes sont évidement assez couteux,
mais ils devraient permettent de minimiser les risques associés aux pertes de données et les
délais de reprise sur sinistre.

61
c- Mise en place du dispositif de continuité opérationnelle:

Après tant d'études (sur les besoins de continuité) menées lors des étapes précédentes,
la banque doit être en mesure de définir les moyens de réaction concrets en cas de crise, et
d'ordonner à ses équipes les travaux à réaliser et la démarche à suivre.

Le dispositif de crise doit prévoir trois principales étapes qui doivent se succéder (dans
un respect particulier des délais) : La période de stress (plan de crise), la période de
fonctionnement en mode dégradé, et le plan de retours à la normale.

9 Plan de crise : Il nécessite la mise en place d'une cellule spécialisées avec des rôles
bien déterminé pour chaque membre (vu le caractère urgent de la situation), le respect des
délais est la prise de décision appropriée à très court terme sont les caractères essentiels de
ce plan. Le déclanchement ou non du plan de crise est une prérogative du haut responsable
de la banque (après qu'il soit alerté par un responsable opérationnel directement ou par voie
hiérarchique).

9 Plan de fonctionnement en mode dégradé: En cas de sinistre majeur, il est probable


que le cite d'exploitation soit indisponible pour une période plus ou moins longue, ce qui va
nécessiter de trouver un site de repli (intermédiaire) pour une reprise partielle de l'activité. A
cette étape, il faut prévoir toutes les dispositions pour assurer un fonctionnement quasi-
normal de l'activité, et déterminer les ressources qui doivent être disponibles sur le site de
repli quelques jours après le sinistre.

9 Plan de retours à la normale : La finalité du dispositif de crise est de gérer la période


du sinistre pour assurer un retour à la normale aussi vite que possible. Le délai de ce retours
dépondra de l'impact du sinistre sur la disponibilité des ressources, sur le système et les
données... Le plan doit prévoir la manière de reconstitution des données, et des états
règlementaires (documents comptables) non produits dans la période de crise.

d- Maintient du PCA en condition opérationnelle :

Un PCA ne vaut pas plus que la feuille de papier sur laquelle il est imprimé s’il n’est
pas testé régulièrement : « Aucun plan de continuité opérationnelle ne fonctionne sans tests »
déclare Jeffrey Kuhn, Directeur général, en charge de la continuité opérationnelle, à la Banque
de New York, dans un article publié sur le site internet : http\\:www.att.com.

Les tests doivent être réalisés d'une manière périodique et avec une fréquence
suffisante. Toutes les informations (coordonnées des collaborateurs, données sur le cite de
repli...) doivent être mises à jour, et tous les collaborateurs doivent s'habituer au rôle qu'ils
auront à jouer dans une situation de crise.

62
Nous ne pouvons ignorer le caractère très onéreux de ces tests (sauf pour les
établissements de petite taille). C'est pour cette raison qu'il est souhaitable (pour leur
substitution) de varier les scénarios et activités touchées, de manière à s'assurer que tous les
acteurs connaissent la procédure à suivre (du moins théoriquement).

Enfin, il est important de noter que les cadres intermédiaires ou les niveaux
hiérarchiques inférieurs sont souvent négligés dans les banques: La personne qui doit
effectuer le travail ne peut être remplacée. En outre, garantir la mise en place de ces plans de
continuité opérationnelle et leur compréhension par le personnel n’est pas suffisant, les
banques doivent de plus vérifier les plans de continuité opérationnelle de leurs fournisseurs et
partenaires.

En final, nous pouvons dire que les plans de gestion des risques et des crises ne seront
jamais parfaits. C’est à force de pratique et d’expérience que le gestionnaire pourra améliorer
sa stratégie. Il s’agira notamment de suivre la sinistralité, de procéder aux mises à jour
régulières des différents traitements choisis, de communiquer et de sensibiliser les acteurs
internes et externes à la politique mise en place…

Il faut surtout vérifier que les mesures prises soient toujours fonctionnelles et
légitimes, tout en s’assurant que le niveau de risque n’a pas évolué dans l'environnement.

2- LA DELEGATION DE POUVOIRS :
La définition des postes, pouvoirs et responsabilités au sein de la banque est
primordiale pour préciser à chaque niveau d’exécution l’origine des informations à traiter, la
liste des tâches à effectuer (modalités d’enregistrement, de traitement, de restitution des
informations et les procédures de contrôle associées à chaque étape...), la périodicité des
traitements et les destinataires des informations traitées (compte-rendu des travaux).

La séparation des fonctions a pour objectif (via une organisation adéquate ou un


rattachement hiérarchique différent) d’éviter qu’une personne ou un groupe de personnes
cumule les fonctions d’engagement, d’enregistrement et de contrôle dans un même processus
opérationnel. Elle permet ainsi de prévoir une distinction nette entre celui qui décide et celui
qui exécute, entre celui qui opère et celui qui valide, tout en offrant une garantie d’un contrôle
indépendant et permanent sur une activité. L’objectif recherché est de prévenir et dissuader,
ou à défaut de permettre une détection sans retard des erreurs ou des irrégularités commises.

Le prestige associé à cette délégation de pouvoir, ainsi que les effets de réputation,
incitent les membres du Conseil d'administration de la banque à surveiller le comportement
des responsables, et à limiter les prises de risque excessives, et les abus de pouvoir et de biens
sociaux. Ainsi, une diminution considérable des risques opérationnels (notamment le risque
de fraude interne et de Rogue Trading) sera sans doute constatée.
63
3- LES CHARTES D'ETHIQUE :
Presque inconnues en Algérie, et largement répandues à l'Etranger (notamment aux
USA), les chartes d'éthique sont l'ensemble des règles de déontologie auxquelles s'adhèrent
tous les collaborateurs au sein d'un organisme. Dans le cadre de la gestion des risques
opérationnels, ces chartes sont devenues un exercice obligé pour démontrer l'implication
effective des adhérents dans la lutte contre tout acte illégal ou frauduleux, tant au niveau
interne, qu'au niveau externe.
Ces chartes, n'ayant pas une valeur juridique (comme les contrats) et n'étant pas
normées, enregistrent une grande disparité entre les organismes dans leur rédaction. Elles sont
souvent le résumé des pratiques souhaitables (et exemplaires) au lieu de travail, et des règles
de bonne conduite, et de préservation des intérêts de l'établissement et de ses clients.
Le dispositif sera d'autant plus efficace qu'il va être réalisé non pas comme un
engagement unilatéral de l'employeur, mais comme une partie du règlement intérieur ou une
annexe au contrat de travail. Chaque collaborateur signe ainsi sur le code de bonne conduite,
s'engage sur les règles et pratiques à respecter, et connait les conséquences possibles en cas de
manquement.
Il est cependant souhaitable d'informer les collaborateurs sur les dernières évolutions
règlementaires, et de les sensibiliser sur l'importance du respect de ces règles d'éthique.

4- LA COUVERTURE BUDGETAIRE DES SINISTRES :


Les risques qui font partie de l’activité quotidienne (courante) de la banque, mais qui
ne présentes pas des grands sinistres susceptible d’être couverts par des assurances ou de faire
objet d’un plan de continuité sont en générale pris en charge par la banque dans sa gestion
budgétaire courante. L’objectif d’une telle mesure est de réduire l’impact de ces risques et les
budgets qui leurs seront dédiés.

Trois types de couverture budgétaires sont les plus largement répandus :

• La rétention du risque : on entend par "rétention" l’acceptation pure et simple d’un risque;
Autrement dit, ne pas prendre de mesure particulière pour l’atténuer. Cette pratique peut
s’avérer bien fondée (justifiée) lorsqu’il s’agit de risques conduisant à de très faibles pertes,
car les coûts de mise en œuvre d’un dispositif particulier de gestion peuvent être trop
importants face à l’enjeu (les pertes) qui ne représente que des montants potentiellement
faibles. Dans ces cas, les charges résultant des pertes sont assumées au fur et à mesure de leur
constatation et sont en fait considérées comme des dépenses constantes.

"Le risque peut être refusé car jugé inacceptable. Mais il peut être accepté pour
différentes raisons: L'impacte est jugé négligeable; le coût de la parade est supérieur au
bénéfice anticipé; il est une source de profit; il est inévitable. Le risque est souvent accepté,
64
mais avec une limite. La première décision consiste donc à déterminer le degré
d'acceptabilité du risque en fonction des conséquences qu'il peut produire." 1

En revanche, une telle pratique (la rétention) ne peut être tolérée lorsqu’il s’agit de
pertes potentielles élevées; un dispositif particulier de gestion s’impose alors. Ainsi, faut-il
s’assurer que les pertes acceptées restent toujours faibles en tendance, car une évolution de
cette dernière à la hausse nécessite bien un changement de stratégie envers ces risques de
pertes qui ne peuvent désormais être acceptés et pris en charge dans les budgets de la banque.

Des seuils de pertes tolérables doivent donc être fixés; et les pertes doivent être relevées
"au fil de l’eau " c’est à dire dès les premiers moments de leurs survenance. Dans le cas où
une dégradation de la tendance est constatée, il faut être capable de fixer avant qu'il ne soit
trop tard une forme de "frein" aux pertes, qui impliquera une couverture d’un autre type ou un
renforcement des mesures de suivi afin de revenir à des seuils acceptables.

• La constitution de provision : Dans le cas ou des sinistres relativement importants auraient


été survenus à maintes reprises, et dans l’absence d’un mode de couverture particulier, la
banque peut faire face aux dégâts causés en constituant une provision "ex-ante" correspondant
au montant moyen des pertes.

Cependant, les montants mis en provision ne peuvent rester improductifs ; ils doivent
être logés dans des comptes spécifiques et faire l’objet de divers placements: Ces derniers
doivent être choisis de manière à garder une liquidité suffisante pour pouvoir disposer de
l’argent au moment de la survenance du sinistre.

La méthode de provisionnement a comme avantage le fait de ne pas affecter


considérablement le résultat courant de la banque, du fait que des reprises sur les provisions
non utilisées seront faites en fin d’exercice; seules les dépenses réellement engagées
figureront comme charges. En revanche, cette pratique (l’approvisionnement) aura un impacte
négatif sur la rentabilité de la banque, car les alternatives de placement (ayant une liquidité
suffisante) qui se présenteraient seront sans doute peu rentables.

Enfin, la constitution d’un historique de perte sera la bienvenue, pour montrer que le
provisionnement statistique est réalisé sur des bases quantitatives solides; autrement dit, que
les montants mis en provision convergent vers les "pertes moyennes" enregistrées pour éviter
une immobilisation de fonds inutile, ou -bien au contraire- insuffisante.

• La couverture par endettement : Lorsqu’une banque ne veut pas ou ne peut pas transférer
un risque significatif (sinistre) aux assurances, elle peut opter pour la souscription d’un
emprunt (ouverture d'une ligne de crédit) afin d'obtenir les fonds nécessaires pour faire face
aux dégâts causés par le sinistre.

1
A. SARDI, Audit et contrôle interne bancaire, Editions AGFES, Paris 2002, p.186
65
Il est toutefois plus judicieux de négocier un droit de tirage irrévocable sur une ligne
de crédit auprès d’un autre établissement, pour ne mobiliser que le montant dont elle aurait
besoin au moment du sinistre. La banque n'aura ainsi à payer de frais financiers que sur le
montant qu'elle a mobilisé (cette opération peut s’apparenter à l’ouverture d’une ligne
d’escompte commercial) ; un plafond sera fixé par l’établissement auprès duquel la ligne est
ouverte, et les fonds empruntés ne peuvent excéder ce plafond convenu.
Cette opération est utile pour pallier le manque de liquidité dont peut souffrir la
banque face à des dégâts importants, mais ne lui règle pas le problème définitivement, car
c’est à elle d’assumer les conséquences du sinistre (et doit donc restituer les fonds
empruntés).
La solution de l’emprunt semble donc peu convaincante comme mode de gestion, car
la banque ne fait que régler un problème de liquidité, ajouté à cela la difficulté de trouver un
organisme qui accepterait d’ouvrir cette ligne de crédit à la banque, sachant pertinemment que
les fonds octroyés ne seront pas investis dans des projets nouveaux et rentables, mais à réparer
des dégâts causés par un sinistre, et dont le montant exacte n’est généralement pas connu.
Enfin, notons que cette option diminue les capacités de refinancement normales de la
banque, donc elle ne nous semble pas relever une bonne gestion préventive.

SECTION 2: LA COUVERTURE EXTERNE DES RISQUES :


La banque ne peut pas ou ne veut pas toujours couvrir ses risques opérationnels par ses
seuls moyens internes. Elle préfère dans plusieurs cas les endosser à un tiers plus spécialisé en
la matière, et doté d'outils d'analyse et de gestion plus performants.

1- LES CONTRATS D’ASSURANCE :


Avant de parler de l’assurance comme technique de couverture du risque opérationnel, il
est utile de signaler ce qui suit :

Le premier document consultatif du Comité de Bâle ne mentionnait pas que la


souscription d'une police d’assurance pouvait constituer une alternative à la constitution de
fonds propres. Dès le début de l'année 2001, un groupe de neuf grandes compagnies
d’assurance et de réassurances internationales ont adressé au Comité un premier projet
(proposition) visant à faire reconnaître l’assurance comme moyen de réduction des risques.

Le Comité a alors dans son deuxième document consultatif admis le principe de


l’assurance comme "technique d’atténuation des risques aux fins des exigences de fonds
propres règlementaires", et a définis des critères d'éligibilité pour que la couverture offerte par
les assurances soit prise en compte (dans la limite de 20% de l'exigence en fonds propres au
titre du risque opérationnel).

66
L'assurance est définie comme étant: "un outil de financement du risque. Le financement
du risque consistant à transférer à l'extérieur de l'entreprise le coût du risque résiduel, le coût
du retour à la normale. Ce transfert pour financement permet à l'entreprise affaiblie par un
sinistre grave de trouver, au bon moment, les ressources nécessaires à son redressement sans
affecter de manière irréversible son compte de résultat et/ou ses fonds propres." 1

Utilité du recours aux assurances pour la gestion du risque opérationnel :

Pour la banque, l'allocation de fonds propres à des activités non directement productives
(comme la couverture du risque opérationnel) constitue une pratique ayant des conséquences
négatives sur sa compétitivité et sa rentabilité: Les actionnaires exigent en général un ROE
(Return On Equity ou retour en capital) 2 assez élevé, ce qui ne se réalise pas forcement en
affectant les fonds propres pour la couverture de risques financiers.
Les banques doivent donc à la fois satisfaire les objectifs de rentabilité fixés par les
actionnaires et les exigences du régulateur (qui consiste entre autres en la mise en place d'un
dispositif d'atténuation du risque opérationnel). Un tel compromis est difficilement réalisable;
c'est là que le recours aux assurances s'impose comme solution permettant de satisfaire les
deux parties. En effet, la souscription de garanties d'assurance autorise l'établissement à
déduire jusqu'à 20% des fonds propres nécessaires à la couverture de certains risques.

Types de risques couverts par les assurances:


Pour permettre une meilleure couverture des risques opérationnels, les sociétés
d'assurance (notamment dans les pays où les services financiers sont assez développés)
proposent différentes polices couvrant des catégories spécifiques de risques:
9 Assurance des dommages aux biens : couvrant le patrimoine de la banque en cas
d'incendie, d'attentats, d'évènements naturels et autres. Elle concerne entre autres les
assurances multirisques bâtiments et matériels, tous risques informatiques…etc.
9 Assurance pour personnels, salariés: Régimes sociaux du personnel, prévoyance des
maladies, accidents, arrêt de travail… elle concerne aussi les collaborateurs et les stagiaires
(pour les accidents pouvant leurs survenir dans leur activité ou leurs déplacements
professionnels), ainsi que les clients lorsqu'ils sont dans les locaux de la banque.
9 Assurance en matière de responsabilités: Sert à indemniser les tiers des dommages
engageant la responsabilité civile professionnelle des dirigeants ou mandataires sociaux, et
résultant d'une erreur de la banque ou de l'un de ses salariés ou responsables.

1
C.VERET, "l'assurance comme technique de réduction des risques", Revue d'Economie Financière, Juin 2006,
N° 84, Edition: Association de l'Economie financière, Paris, p 30.
2 ROE désigne le résultat ou capital dégagé par chaque unité monétaire supplémentaire investie par l'actionnaire.

67
9 Assurance des pertes financières: Sert à indemniser la banque des actes de fraude, de
malveillance, des détournements, vols de cartes bancaires ou de chéquiers… Cette assurance
couvre aussi les pertes financières en cas de diminution du chiffre d'affaire suite à un arrêt
total ou partiel d'activité du à une carence de services (comme l'énergie). Ce type d'assurance
doit être accompagné d'un plan de continuité d'activité pour garantir son efficacité.

La liste est loin d'être exhaustive, les contrats d'assurance étant négociables de gré à gré.
Les assureurs ne cessent de développer leur gamme de produits pour élargir leurs parts de
marché; et l'une de leurs politiques consiste en l'alignement de leurs produits avec la
nomenclature des risques adoptée par le comité de Bâle pour permettre aux banques une
couverture plus exhaustive de leurs risques spécifiques via les contrats d'assurance.

Les types d'assurances :

a- L'assurance traditionnelle: c'est un outil classique de transfert du financement d'un


risque à une société externe, dont la raison d'être est de couvrir le coût du risque de plusieurs
entreprises. L'assureur espère que les primes collectées auprès d'un grand nombre d'assurés
permettront largement de couvrir les sinistres qu'il aura à indemniser; ainsi, il est mieux doté
pour diversifier ses risques (via son portefeuille de clientèle) qu'une entreprise seule.

b- L'auto-assurance: Pratiquée surtout au sein des grand groupes, la forme la plus évoluée
est la création d'une filiale d'assurance ou de réassurance (appelée dans ce cas "captive"). La
captive est donc créée pour assurer principalement les risques du groupe auquel elle
appartient. Son intérêt est d'abord d'ordre fiscal: les prestations de services et les flux
financiers entre la captives et les filiales du groupe sont dans la plupart des cas exonérées de
taxes, et par conséquent, la prime d'assurance est nettement réduite.

Cependant, l'intérêt réel d'une captive est de doter le groupe d'une structure de gestion et
de couverture des sinistres, avec un effet de mutualisation entre filiales permettant de financer
des risques peu fréquents et assez graves. Aussi, les primes versées par les filiales à la captive
sont consolidées en réserve dans la captive lors des bonnes années, pour financer les années à
forte sinistralité (et non "perdues" comme dans le cas de leur versement à l'assureur externe).

c- La réassurance : Elle permet à l'assureur de transférer une partie des risques qu'il a
acceptés vers d'autres entités qui sont les réassureurs. En effet, l'assureur est un établissement
financier, il est par conséquent tenu de respecter des règles sur les engagements et les fonds
propres imposées par le régulateur. De ce fait, la réassurance se présente pour lui comme une
solution lui permettant d'augmenter sa capacité à se refinancer.
De plus, il y a des risques que l'assureur juge "trop importants" pour lui (malgré le fait
qu'il a accepté de les assurer), et dont la survenance aurait des conséquences néfastes sur son
résultat ou sa solvabilité. Il préfère donc les endosser aux grandes compagnies de réassurance.

68
Limites à la couverture des risques opérationnels par voie d'assurance:
Dans le nouveau dispositif de Bâle, l'assurance est acceptée comme technique de
couverture pour les risques opérationnels. Cependant, la réduction au titre de cette dernière est
globalement plafonnée à 20% de la totalité des fonds propres alloués. Elle intervient en fin de
processus, après calcul des exigences de fonds propres par les modèles internes qui tiennent
compte du niveau de réduction du risque mis en œuvre (prévention et protection).
La réduction de capital est calculée par type d'assurance, et de risque opérationnel
correspondant. Par exemple, la déduction au titre des assurances de biens (qui est la plus
courante) ne peut excéder 20% du coût estimé du risque "dommage aux biens" même si la
police d'assurance en couvre réellement 80%.

L'application des assurances reste donc encadrée et limitée par le dispositif de Bâle, et
ce malgré le fait que les conditions d'éligibilité des polices à la déduction soient très strictes.

En résumé, la couverture des risques opérationnels (non encore couverts via un


dispositif particulier) par des fonds propres est une obligation réglementaire. Ces fonds
propres sont immobilisés sans contrepartie; il est donc intéressant de calculer le coût de cette
immobilisation et le rendement supplémentaire qui pourrait être dégagé en cas de
souscription d'assurance, pour pouvoir effectuer un arbitrage entre les deux options.

2- L'EXTERNALISATION D'ACTIVITE:

La banque n'arrive pas toujours à maîtriser les processus et les coûts de certaines
activités qui ne sont pas au cœur de son métier, mais qui lui sont quand même utiles pour la
réalisation des autres processus, ou qui lui rapportent une importante valeur ajoutée malgré
leur sous-traitance auprès des tiers.

A cet effet, la banque peut recourir à "l'externalisation" de ces taches, afin d'éviter les
risques opérationnels ou le surcoût résultant de leur réalisation au niveau interne.

"Les moteurs d'une externalisation sont le plus souvent économiques. L'entreprise


souhaite déléguer à un prestataire des travaux qui ne sont pas considérés comme son cœur de
métier, tout en bénéficiant d'un rapport prix/prestation intéressant, ou des fonctions qui
nécessitent des investissements et une technicité dont on considère qu'ils peuvent être
avantageusement assumés par un prestataire externe, qui va mutualiser ses investissements sur
un portefeuille de clients" 1

1C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS,
Paris, 2004, page 135.
69
Les risques associés à une externalisation:

a - Risque stratégique:
L'externalisation étant le délaissement d'une activité particulière, elle induit un sérieux
risque appelé "risque stratégique". En effet, des activités considérées à un instant donné
comme non stratégique peuvent le devenir selon l'évolution du marché ou des technologies
utilisées. De telles activités peuvent s'avérer extrêmement importantes pour la banque, et
ayant une grande influence sur son image et sur les besoins urgents de sa clientèle.
L'externalisation peut aussi faire perdre à la banque un savoir-faire et des compétences dans
l'activité délaissée, qu'elle aura ensuite beaucoup de male à reconstituer si elle le souhaite.
b- Risque d'exploitation:
En externalisant une tâche, la banque devient indépendante des processus d'activité de
ses sous-traitants et de leur qualité de gestion. Autrement dit, elle sera obligée de se soumettre
aux délais de livraison de ces derniers, et de supporter les risques d'exploitation engendrés par
les processus externalisés. Le pouvoir d'action de la banque (pour faire face aux problèmes et
retards de livraison) sera nettement réduit.
c- Risque financier:
L'externalisation d'une activité n'est jamais neutre financièrement. En effet, si l'on
espère des réductions de coûts relativement rapides, il ne faut pas oublier les charges induites
pas le suivi des prestations attendues et le contrôle de la qualité et des objectifs fixés.
L'externalisation induit donc des coûts inévitables, dus à la nécessité de la mise en
place d'un mode de coordination des équipes internes/externes, au contrôle du respect des
clauses contractuelles et leur actualisation, à l'évaluation de la qualité de prestation, aux
demandes d'évolution formalisées et contractualisées, aux contrôles de facturation,…etc.
d- Risque juridique :
Des risques juridiques naissent dès lors que la relation de sous-traitance est
contractualisée entre banque et prestataire, et des engagements et droits leur sont attribués.
Les aspects juridiques sont donc primordiaux dans l'approche d'externalisation, car les
différends liés au non respect des clauses des contrats de sous-traitance sont assez courants.
Les risques seront d'autant plus importants que l'externalisation s'accompagne de transfert de
moyens d'exploitation (location de matériel et de locaux…), et l'échange de compétences
humaines entre la banque et son prestataire.
Tous ces éléments de risque impliquent une grande vigilance dans l'analyse des
conséquences d'une externalisation en matière de risques opérationnels. Le simple fait de ne
plus être directement en charge de travaux n'implique pas nécessairement une diminution du
risque y afférent, au contraire, cela pourrait bien engendrer d'avantages de risques (différends
contractuels, interruption de processus...), qui n'existaient pas avant l'externalisation.
70
3- L'UTILISATION DES PRODUITS DERIVES (TRANSFERT DE RISQUE SUR UN MARCHE):
Les produits dérivés sont des actifs financiers dont le prix dépend des conditions
futures d'un marché (prix futurs, indices…). Leur utilisation est assez répandue dans le cadre
de la gestion du risque crédit, et le type le plus utilisé est "l'option", qui confère à son
acquéreur un "droit d'exercice" lorsque les conditions du marché lui sont favorables.

Les produits dérivés sont aussi de réelles couvertures de risques opérationnels qui
répondent à priori aux critères de Bâle. Par exemple, la mise en place d'un dérivé climatique
pour couvrir une partie du coût d'un risque (inondation, tempête…), clairement identifié sous
forme d'une option qui est levée (exercée) lorsque le sinistre survient, est un outil efficace du
financement du risque, qui peut venir en déduction des fonds propres alloués à ce dernier
(dans le cadre de son dispositif de maîtrise.).

Dans le cadre de l'utilisation des produits dérivés pour la couverture de risques


opérationnels, l'exercice d'une option est souvent associé à un indice sur une zone
géographique donnée, qui indique l'ampleur d'un sinistre et sert de référence pour le règlement
(Au Japon par exemple, l'indice peut être l'amplitude d'un séisme dans l'une des grandes îles).

"Les options de type "catastrophe insurance options" qui existent aux Etats-Unis et
qui servent à la couverture de risques de type catastrophes naturelles sont essentiellement
utilisées par les assureurs qui souhaitent diversifier leurs engagements, ou trouver leur
capacité de transfert de risque complémentaire." 1

Des marchés organisés de produits dérivés existent, notamment dans les pays ayant
des marchés financiers assez développés (comme les U.S.A), où les conditions contractuelles
sont standardisées.

A coté de ces marchés organisés, on trouve les marchés "de gré à gré" où tout est à
priori possible; puisque se sont les deux parties qui définissent les termes du contrat et par
conséquent leurs engagements réciproques.

Nous tenons enfin à signaler que dans notre pays, les produits dérivés sont presque
inexistants (encore moins ceux servant à la couverture des risques opérationnels). Cela revient
au fait que notre marché financier n'est qu'à ses balbutiements, donc ce type de produits n'y
existe même par, et à la réglementation de la Banque d'Algérie en termes d'utilisation des
produits dérivés qui est très limitative et stricte.

1C. JIMENEZ & P. MERLIER, Prévention et Gestion des Risques Opérationnels, Revue-Banque EDITIONS,
Paris, 2004, page 142.

71
CONCLUSION
Nous avons passé en revue, tout au long du présent chapitre les divers outils de
couverture du risque opérationnel existants, et les risques qui sont liés à chacun d'eux, et qu'il
est primordiale d'estimer avant d'opter pour une méthode de couverture ou une autre.

La panoplie d'outils internes combinée aux différentes alternatives de couverture


externe permettra de maîtriser les risques opérationnels, et non de les annihiler. La question
principale reste donc de trouver la combinaison optimale de ces outils pour une gestion
efficace des risques, et pour une économie réelle de fonds propres.

Au terme de ce chapitre, nous avons jugés utile de résumer l'attitude de la banque


envers les risques opérationnels suivant leurs degrés de sévérité et de fréquence. Pour ce faire,
nous allons présenter la "Matrice de l'univers des risques", qui nous fait prendre conscience
des différents types de risques en les schématisant: La fréquence d'occurrence des sinistres en
ordonnée et la gravité (sévérité ou impact) en abscisse. Après les avoir identifié les types de
risques, il faut les réduire si nécessaire puis financer le risque résiduel.

Cette matrice est donc représentée par le schéma suivant:

Fréquence Prévention
Risques à
éviter

Rétention
Protection

Gravité
Figure n°3: La matrice de l'univers des risques

72
A chaque type de risques peuvent être associés ces modes privilégiés de réduction et
de financement:

9 Fréquence faible, gravités faible (en bas à gauche): aléas du compte d'exploitation. Il n'est
généralement pas utile de les réduire. Ils peuvent servir de signes avant-coureurs de risques
plus significatifs. Ils sont financés par rétention, c'est-à-dire naturellement absorbés dans le
compte de résultat annuel.

9 Fréquence forte, gravité faible (eu haut à gauche): risque de fréquence (encore appelés
risques récurrents). Les plus significatifs font l'objet de mesures de prévention qui agissent sur
les causes pour diminuer la probabilité d'occurrence des sinistres. C'est le domaine d'action du
contrôle interne. Il s'agit de ramener ces risques vers le bas, sans les faire dériver à droite.

9 Fréquence faible, gravité forte (en bas à droite): risques de gravité (intensité, sévérité…).
Ces risques, qui ne surviennent pas souvent, impactent fortement l'entreprise lorsqu'ils se
produisent. Il est nécessaire de prendre des mesures de protection. Cette protection agit sur la
gravité pour limiter les dégâts; elle est préparée avant sinistre, mais déclenchée après sinistre.
C'est le domaine des plans de continuité d'activités (PCA) et de la gestion de crise. Il s'agit de
ramener le poids de ces risques vers la gauche (diminuer leur gravité). Ces risques sont
financés par assurance, montages alternatifs et en dernière instance par les fonds propres.

9 Fréquence forte, gravité forte (en haut à droite): ces risques sont à éviter pour préserver
la pérennité de l'entreprise. Toutes les mesures de réduction doivent être conjuguées pour
diminuer la fréquence et la gravité. Si, après réduction, certains de ces risques s'installent
durablement, il faut supprimer les activités qui en sont à l'origine, quitte à avoir un manque à
gagner correspondant à la rentabilité de l'activité supprimée.

Ainsi, nous constatons que le mode de financement ou de couverture doit être adapté au type
de risque et à son évaluation résiduelle (après réduction).

73
Chapitre IV :
Cas de la gestion
du risque
opérationnel à
la Société
Générale
Algérie

74
CHAPITRE IV: CAS DE LA GESTION DES RISQUES
OPÉRATIONNELS À LA SOCIÉTÉ GÉNÉRALE ALGÉRIE

Le poids du risque opérationnel est resté pendant très longtemps sans prise en charge
réelle par les banques à travers le monde, notamment nos banques algériennes. Il a toujours
été relégué derrière le risque de crédit qui constituait leur préoccupation majeure (et d'un
degré moindre, le risque de Marché).
Cependant, avec la faillite de plusieurs grands pôles bancaires à cause des événements
classés sous l'égide du risque opérationnel, et l'avènement des nouveaux accords de Bâle, Le
Groupe S.G a rapidement pris conscience de la nécessité de gérer ce type de risques. Les
gestionnaires se sont aperçus qu’une mauvaise atténuation du risque opérationnel ne constitue
plus un coût d’opportunité, mais un risque de perte réelle pouvant sérieusement mettre en
péril la vie de la banque.
A la lumière des développements théoriques, souvent complexes, qui nous ont permis
de relever les outils de mesure et les principes de gestion du risque opérationnel, véhiculés par
les chapitres précédents de ce mémoire, et après quatre mois de stage pratique, au cours
desquels, nous avons pris connaissance de l’organisation de la Société Générale Algérie (qui
sera appelée par abréviation SGA dans la suite du mémoire), et plus particulièrement, de son
secrétariat. Nous devons, à présent, être à même de retracer les principales étapes du
management du risque opérationnel au sein de la SGA, et par cela nous aurons traité la
gestion de ces risques au sein du Groupe Société Générale (Groupe S.G), d'autant plus que
c'est ce dernier qui édicte les directives à SGA en termes de démarche à suivre pour la prise
en compte des risques opérationnels.
Mais avant d'entamer ce chapitre, nous avons jugé indispensable de citer les quelques
difficultés que nous avons rencontrées pour l'élaboration de ce cas pratique. En effet, le
service du secrétariat Général (structure qui s'occupe du risque opérationnel à la SGA) a n'a
été opérationnel qu'au mois de Mars 2007, c'est-à-dire un mois avant que nous entamions
notre stage. C'est la raison pour laquelle la gestion des RO n'est qu'à sa phase théorique à
SGA (mais cela est déjà une langueur d'avance par rapport aux autres banques- notamment
publiques- en Algérie).
Aussi, nous tenons à signaler le manque de données de pertes (Loss Data) pour
construire un cas pratique de calcul des exigences en fonds propres au titre du risque
opérationnel selon les Méthodes Avancées (chose que nous souhaitions faire au moment ou
on a opté pour le choix de ce thème). Ce manque revient au fait que la SGA n'a réalisé qu'un
seul exercice RCSA "Risk & control Self Assessement" (qui consiste -entre autres- à collecter
les données du risque opérationnels), ce qui ne permet pas d'avoir un historique suffisant et
des données exhaustives pour calculer les exigences en FP.

75
Ajouté à cela, les données de pertes concernant le Groupe SG sont tenues par la
Direction Générale (en France), et nous n'avons malheureusement pas pu y accéder en raison
du caractère très confidentiel et onéreux de ce type de données. De plus, le Groupe s'est fixé
comme échéance pour l'application des méthodes AMA le mois de Janvier 2008; de ce fait,
les données de pertes collectées ne sont pas encore complètes, elles servent surtout à
construire l'historique exigé par le régulateur, et à familiariser les filiales avec les procédures
de recensement des pertes opérationnelles.

Pour répondre aux exigences de notre étude, nous avons structuré notre cas pratique
selon l'organisation suivante, qui nous apparait la mieux adéquatée et la plus exhaustive:
- Une première section, dans laquelle nous présenterons un historique du Groupe S.G, ainsi
que l'organisation de la SGA, en mettant en exergue la place qu'occupe la structure prenant en
charge le risque opérationnel. Quelques chiffres clés concernant les pertes opérationnelles et
quelques indicateurs de performance du Groupe S.G viendront enrichir cette section.
- Une seconde section sera consacrée au référentiel des risques opérationnels au Groupe S.G,
et à la démarche de l'élaboration de la cartographie des risques au niveau de la SGA.
-La troisième section, quant à elle, traitera le processus de mesure des Risques Opérationnels
à la Société-Générale Algérie: Procédure de collecte des données de pertes, l'analyse des
scénarii, l'exercice RCSA, le suivi des indicateurs clés de risque KRI ...etc.
- En dernier lieu, une conclusion (partielle) viendra apporter notre avis personnel modeste sur
l'environnement réglementaire, et sur la réalité de la gestion du risque opérationnel et le stade
atteint par la Société-Générale Algérie dans ce défi.

76
SECTION 1 : PRESENTATION DE LA STRUCTURE D'ACCUEIL.

"Société-Générale est un groupe européen de services financiers de premier plan, actif


dans 77 pays et employant près de 120 000 salariés de 113 nationalités différentes. Le Groupe
affiche une solidité financière élevée illustrée par son ratio de solvabilité (Tier one) de 7,8 %
et par sa notation financière à long terme : AA (pour Standard & Poor’s 1 ), Aa2 (pour
Moody’s) et AA (pour Fitch) au 31 décembre 2006. Le groupe Société Générale est organisé
en trois pôles : les Réseaux de Détail et Services Financiers, les Gestions d’Actifs et Services
aux Investisseurs et la Banque de Financement et d’Investissement." 2 (À titre d'information,
Le 11 mai 2007, l’agence de notation Moody’s a relevé la notation long terme de Société
Générale de Aa2 à Aa1).

Le groupe Société Générale est donc l'un des groupes bancaires les plus performants et
les mieux notés de la zone euro. Il poursuit une politique de croissance durable fondée sur un
développement sélectif de ses services, une innovation forte tournée vers la satisfaction de ses
clients sur ses différents marchés et une croissance interne et externe soutenue.

1-Aperçu historique sur le Groupe SG :


La Banque Société-Générale a été créée au dix-neuvième siècle (en 1864) par appel
public à l’épargne. Durant les soixante premières années de sa création, Elle a tissé un réseau
de guichets sur l’ensemble du territoire français (1500 guichets en 1940, contre 32 en 1870).

Installée à Londres dès 1871, la Société-Générale développe rapidement son dispositif


international grâce à l’extension du Réseau de la Sogénal (une filiale de droit allemand,
constituées des agences d’Alsace-Moselle qui ont été apportées à la Société Générale
Alsacienne, après la guerre de 1870 en France) à des pays du centre de l’Europe (Allemagne,
Autriche, Suisse, Luxembourg), à son implantation en Afrique du Nord (1909-1911) et plus
tard, aux États- Unis (1940).

Nationalisée par les autorités françaises en 1945, la Société Générale a joué un rôle
actif dans le financement de la reconstruction. Après la réforme du système bancaire Français
en 1966, elle a diversifié ses interventions en direction de la clientèle de particuliers.

En juillet 1987, la Société-Générale est redevenue un groupe bancaire de renommée


internationale grâce à sa privatisation.

En 1997, l’acquisition du Crédit du Nord a permis à la Société Générale d’élargir son


activité de détail en France, avec un large réseau de banques régionales. En 2001, le groupe
SG a absorbé la Sogénal.

1
Standard & Poor's, Moody's et Fitch sont trois des plus crédibles agences mondiales de notation financière.
2
Groupe Société-Générale, Document de référence pour l'année 2007, page 2.
77
Actuellement, la Société Générale est présente dans 77 pays à travers tous les
continents, via son réseau BHFM (Banque Hors France Métropolitaine) sous la tutelle duquel
est placée la Société Générale Algérie.

2- Organigramme de la S.G.A et place de la cellule Risque Opérationnel:


L'organigramme fonctionnel de la SGA (Figure n°4) a été instauré par la Directive n°
2/2006 du 15 Octobre 2006. Il se caractérise par une grande innovation pour la prise en
compte des risques opérationnels: La création d’un Secrétariat Général "Sgl" auquel sera
rattachée la structure qui s'occupera de la gestion des RO: c'est le service Risque Opérationnel
et Conformité ou "SglRoc" par abréviation.

Pour mener à bien sa mission, et pour avoir une certaine autonomie dans ses rapports
et décisions, Le service Risque Opérationnel et Conformité est situé à un niveau hiérarchique
élevé, il est directement attaché au Président du Directoire via le Secrétariat Générale. Le
service SglRoc a pour mission la mise en place de la politique du Groupe en matière du risque
opérationnel à travers un ensemble d’actions qui sont :

9 L’écriture des procédures requises (l’organisation de la remontée des pertes, le suivi des
KRI….).
9 Organisation et validation de la remontée des pertes opérationnelles à travers l’outil
OpRisk Monitor.
9 Mettre en place des plans d'actions permettant de prévoir, réduire et couvrir les risques.
9 Contribuer à la mise en place du plan de continuité de l’activité (PCA).
9 Organiser la formation sur les risques opérationnels.
9 Superviser l'Autoévaluation des Risques et des contrôles (RCSA)
9 Préparer les différents rapports et reportings à transmettre aux structures hiérarchiques.
9 Suivre la mise en place de la surveillance permanente au sein de la filiale.
9 Assurer le contrôle de conformité.
9 veiller à l’identification des risques de non conformité et à la mise en œuvre des dispositifs
de prévention appropriés ;
9 sensibiliser les lignes métier opérationnelles aux risques de non conformité par une action
de formation ;
9 assister les lignes-métiers opérationnelles dans leur action au quotidien, en s’assurant
notamment qu’elles disposent d’une documentation actualisée et adaptée à leurs métiers ;
9 donner son avis au regard du risque de non-conformité sur tout nouveau produit ou
modification significative, de produits existants, dans le cadre d’une procédure formalisée.

78
Direction de l'Audit Direct. des Risques/
interne Recouvrement

Président du
Directoire
Secrétariat Direct. des projets &
Général organisation

Sce Risque Opérationnel et Conformité

Département Qualité

Département Juridique

Direction des Direction


Direction Direction du Direction Ressources administrative &
Commerciale Développement Monétique Humaines financière

Qualité Marketing
Produits Informatique

- Administration Moyens de
-Gestion du paiement
Personnel
-Particuliers Professionnels Portefeuille
Central
- Gestion des
-Grandes carrières. Moyens
entreprises Analyse Crédit Généraux
- Recrutement
-PME
Comptabilité
-Crédit Service Client
Bail commercial Formation Contrôle de
Gestion
Service client
Commerce extérieur
Trésorerie
Réseau
Service Client
Caisse
Particulier Centrale

Figure n° 4: Organigramme Fonctionnel de la SGA (selon la directive n° 2/2006)

79
3- Quelques Chiffres sur le Groupe Société Générale :
" Le Groupe a réalisé d’excellentes performances, avec un résultat brut d’exploitation
de 8714 M€ sur l’année 2006, en hausse de 22,2 % par rapport à 2005, et un résultat net part
du Groupe de 5 221 M €, en progression de 18,6 %." 1 . C'est ainsi que le Groupe décrit
l'évolution de sa performance pour la dernière année dans son document de référence.

Le tableau suivant montre l'évolution du PNB (Produit Net Bancaire) ainsi que celle
des Fonds Propres Moyens entre l'année 2005 et le premier trimestre de l'année 2007:

2005 2006 2007

trim.1 trim.2 trim.3 trim.4 trim.1 trim.2 trim.3 trim.4 trim.1


PNB
(M €) 4 750 4 458 4 871 5 087 5 771 5 709 5 266 5 671 6 046

FP
moyens 15 771 16 412 17 083 17 759 18 437 19 454 20 482 22 054 23 268
(M €)
Unité: million d'Euro
Tableau n°8: Evolution du PNB et des Fonds Propres Moyens pour la période (2005-2007)

De l'analyse de ce tableau, on remarque que les fonds propres sont en nette progression,
ce qui constituerait un bon indice de sécurité pour les actionnaires et les tiers, et un bon
élément d'appréciation du degré de respect des ratios prudentiels pour le régulateur (cette
appréciation doit être complétée par celle concernant l'évolution des niveaux de risques).

Approche retenue par le Groupe S.G pour la gestion des risques opérationnels:

En termes de gestion des risques, et d'application du nouvel accord de Bâle, l’objectif


du Groupe Société Générale est d’être autorisé (par la Commission Bancaire Française) à
utiliser les méthodes avancées (IRBA pour le risque de crédit, et AMA pour le risque
opérationnel) en janvier 2008.

En ce qui concerne le risque opérationnel, Le Groupe SG a retenu donc l’approche


AMA dans l’objectif d'une mesurer précise et d'une mise en place d'un dispositif de pilotage
efficace de ces derniers. En 2004, les pertes internes afférentes au risque opérationnel au sein
du Groupe ont représenté 1,2 % du PNB. Ce chiffre est très loin des 15% et 12% (du PNB)
que le comité de Bâle a donné pour estimation des pertes dues au risque opérationnel dans le
cadre des approches BIA et Standard.

Le Groupe entend ainsi transformer la contrainte réglementaire en une véritable


opportunité d’optimisation de gestion du risque.

1
Groupe Société-Générale, Document de référence 2007, page 26.
80
A cette fin, les objectifs poursuivis par le Groupe SG dans ce domaine sont nombreux et
variés, mais aussi complémentaires :

 Meilleure compréhension et appropriation des risques opérationnels encourus.


 Meilleure connaissance du niveau de maîtrise des risques opérationnels et de
l’impact potentiel d’une concrétisation de ces risques
 Allocation cohérente des ressources nécessaires à la réduction de ces risques
 Meilleure communication externe sur les risques opérationnels, notamment
auprès des investisseurs et des agences de notation, et réduction du risque d’image.
 Allocation des fonds propres permettant de mesurer avec pertinence la
performance réelle des activités, après prise en compte des risques opérationnels.

Le Groupe dispose à cet effet d’un historique et d'une base de données des pertes internes
couvrant la plupart des entités, en France comme à l’étranger (structure BHFM). Cette base de
données permet d’analyser les pertes (par catégorie d’événement, cause, ligne d'activité…) et
de suivre leur évolution ainsi que les plans d’actions correctrices proposés.

L'analyse des pertes agrégées (entre 201 et 2004) montre que les risques de Fraude
interne et Litiges avec les autorités dépassent de loin les autres types de risques (comme le
confirme le graphique suivant). Cela serait dû à la concentration des activités du groupe sur la
banque de détail et le financement d'investissement qui sont porteurs de ces types de risques.

Unité: million d'Euro

Graphique n°2: Répartition des pertes opérationnelles au sein du Groupe SG pour


la période 2001-2004 (en M€)

81
SECTION 2 : CLASSIFICATIOIN ET CARTOGRAPHIE DES RISQUES
OPÉRATIONNELS A LA SOCIÉTÉ-GÉNÉRALE ALGÉRIE:
Avant d'entamer le processus de cartographie des risques opérationnels à la Société
Générale Algérie, il est nécessaire de s'entendre sur une définition commune à travers toutes
les entités du Groupe, et une nomenclature de risques unique et exhaustive.

Définition et Référentiel des Risques Opérationnels au Groupe SG:

Le risque opérationnel (RO) est Défini par le Groupe comme étant " le risque de perte
résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnels et
systèmes internes, ou à des événements extérieurs, y compris les évènements de faible
probabilité d’occurrence, mais à risque de perte élevé." 1

Cette définition rejoint celle donnée par le comité de Bâle dans son premier document
consultatif. Il est cependant intéressant d'y relever la mise en valeur de l'importance des
événements rares, et aux conséquences désastreuses.

NB: Il est à noter qu’au sein du Groupe SG, le risque d’image est inclus dans la définition du
risque opérationnel (contrairement à la définition donnée par le Comité de Bâle). 2

Au Groupe SG, le référentiel des risques opérationnels est composé de huit (8) catégories
d’événements représentent les manifestations concrètes possibles ces dits risques. Chaque
catégorie d’événement est ensuite déclinée en une ou plusieurs sous-catégories d’événements
mutuellement exclusives (on peut y compter 49 sous-catégories).

Contrairement à la nomenclature proposée par le comité de Bâle dans ses documents


consultatifs, qui considère que les huit lignes d'activité comportent toutes les mêmes
catégories de risques (qui sont au nombre de sept), la nomenclature adoptée par le Groupe
S.G, et par bon nombre de grands groupes bancaires européens considèrent 49 sous-catégories
de risques distinctes, appartenant à huit grandes catégories d'évènements.

Cela est n'est bien évidemment pas contraire aux recommandations du Comité de Bâle, qui
autorise les établissements à choisir une nomenclature de risques personnalisée, adéquate à
leurs types d'activités et à leurs environnements. Néanmoins, le choix d'une classification ou
une autre doit être justifié et argumenté.

Dans la nomenclature adoptée par le Groupe S.G, on peut remarquer qu'une catégorie entière
a été consacrée aux défaillances des systèmes d'information, un risque qui est très significatif
de nos jours.

1
Rencontres RISQ, Point d'étape sur le dispositif risques opérationnels, 13 Juin 2007 (www.socgen.com )
2
Projet Bâle II au Groupe SG- Risque Opérationnel -Politique de collecte des pertes internes -Version 2.9
82
Erreurs de Fraude et Activités non
Litiges Litiges avec Pertes des
"Pricing" ou Erreurs autres autorisées sur
commer- les les marchés moyens
d'évaluation d’exécution activités
ciaux autorités (Rogue trading d’exploitation
du risque criminelles

• Litiges sur • Non-respect de • Défaillanc • Défaillance dans • Piratage • Activités • Défaut de


activités de la loi bancaire e dans le le processus de informatique non personnel
conseil livraison et/ou de et autre autorisées
• Non-respect des dispositif de règlement de la attaque sur les • Pertes des
• Pratiques lois contre la gestion et
de suivi des banque malveillante marchés donnés
commerciales discrimination
inappropriées autorisation • Défaillance dans des systèmes par le
• Pertes des
• Non-respect de s et des les processus de informatiques personnel
• Inadéquation la réglementation de la banque moyens
limites gestion des
des produits
du travail
par des tiers d’exploitation
• Évaluation confirmations
proposés • Non-respect des incorrecte ou d’opérations • perte de
lois sur • Autre
• Insuffisance l’environnement inexistante • Défaillance dans forme services
du service au de la position la gestion d’actes
client • Non-respect des administrative criminels
règles de • Données de d’une opération
• Autres fonctionnement marché et contre les
jusqu’à son actifs de la
litiges avec un des marchés information échéance
tiers organisés publiques banque
fausse ou in • Erreurs dans la
• Contrat ou • Non-respect des transmission, la • Vols/escro
normes de suffisantes
clauses saisie ou la queries
sécurité et de
contractuelles
santé
• Modèle de compréhension /fraudes
inapplicables calcul de d’une instruction commis par
• Non-respect prix ou de • Absence ou des tiers
d’autres lois valorisation inexactitude des
• Vols par le
• Non respect des erronés données nécessaires
personnel
exigences à la gestion des
réglementaires activités
locales
• Fraude sur
• Absence ou des
• Non-respect des inexactitude des transactions
exigences rapports d’erreur par le
comptables ou de dans les chaînes personnel ou
la communication informatiques avec sa
financières
• Structure complicité
• Non-respect de organisationnelle
la législation inadéquate • Utilisation
fiscale /faiblesse de non
• Blanchiment et l’environnement de autorisée : à
financement du contrôle mauvais
escient
terrorisme • Défaillance de d’informatio
conservation pour n privilégiée
compte de tiers de et
documents/valeurs confidentiell
• Défaillances sur e par le
services rendus par personnel
des sous-traitants
• Défauts de
rapprochement
• Accès laissé par la
banque aux comptes
d’un client sans
l’accord de ce dernier

Figure n° 5: Classification des risques opérationnels au Groupe Société Générale

83
Cartographie des risques intrinsèques à la S.G.A

Dans le cadre de l'exercice RCSA (Auto-évaluation des Risques et des contrôles) qui
sera traité plus loin dans notre cas pratique, une cartographie des risques intrinsèques a été
mise en place par la Direction du groupe, et renseignée par la S.G. Algérie.

Cette cartographie vise à évaluer l'exposition de la filiale (SGA) aux différentes catégories et
sous-catégories d'événements, en tenant compte uniquement de l'environnement dans lequel
elle opère (le système bancaire et l'environnement juridique algérien), et sans tenir compte du
dispositif de contrôle et de prévention des risques.

La cartographie des risques intrinsèques élaborée par le Groupe S.G est un document
comportant les 8 catégories et les 49 sous-catégories d'événements; chacune est bien définie et
illustrée par des exemples pratiques pour chaque ligne de métier concernée, et suivie d'une
grille d'évaluation du degré d'exposition de la filiale au risque en question.

Pour illustrer cela, nous allons donner l'exemple du risque de "défaillance du matériel" de la
catégorie "Défaillance des systèmes" tel qu'il est représenté à la cartographie des risques
intrinsèques de la S.G.A:

Catégorie N° 8 - Défaillance des systèmes d'information


Tout problème, fonctionnel ou technique, aussi bien dans les installations informatiques
(hardware), les logiciels ou applications (Software) ou les équipements de communication:
mauvaise adaptation aux besoins, manque de maintenance, introduction non intentionnelle de
virus informatique, environnement physique insuffisamment sécurisé, procédures d'accès/
habilitations inadaptées…

Sont inclus dans cette catégorie les défaillances de systèmes d'information (hardware,
software, communications), de leurs dispositifs de sécurité logique ou physique, ainsi que les
défaillances relatives aux projets informatiques.

Sous-catégorie N° 44 – Défaillance du matériel

Les événements classés dans cette catégorie sont ceux qui concernent une interruption
ou un dysfonctionnement des systèmes informatiques et des et de communication internes.

L'indisponibilité des systèmes gérés par des fournisseurs de services externes (système
de cotation électronique de bourse, système de cotation d'ordres, de compensation centrale de
paiement...etc.) est classée en catégorie "perte de moyen d'exploitation - perte de service".
84
Métiers Exemples
-Banque de détail Dysfonctionnement dû à la capacité de stockage du système, la vétusté du matériel
-Banque Dysfonctionnement dû à une mise à niveau non faite
d'investissement
Dysfonctionnement dû à l'insuffisance du système d'architecture
-Fonctions
transversales Dysfonctionnement dû à une maintenance insuffisante

Evaluation du RI 44- Défaillance du matériel

Non exposé Faible Modéré Elevé Très élevé

Justification

NB: La colonne "Justification" n'est généralement renseignée que lorsqu'il s'agit de risque
"faible" ou "non exposé".

Analyse de la cartographie des risques intrinsèques de la S.G.A:

- La plupart des risques sont classés "élevé" ou "très élevé", chose qui est due à la complexité
de l'environnement bancaire, juridique et sécuritaire dont opère la S.G.A.

-Les risques qui ne représentent par de sérieuses menaces sont ceux liés aux opérations sur le
marché (cela est dû à la non existence de telles activités), et ceux liés au non respect de
certaines règlementations (lois contre la discrimination, lois sur l'environnement…).

- Le risque de "pratiques commerciales inappropriées" (qui est un litige opposant la banque à


un client, et portant sur la pratique commerciale non-conforme à la déontologie) est classé
comme risque "très élevé". Cela résulte des problèmes d'interprétation des lois et codes,
recours aux tribunaux par les clients, contrat en langue arabe…

- Le risque de non respect de la loi bancaire (locale ou française) est aussi l'un des risques les
plus importants, il est classé "très élevé", car entraînant un risque de pénalité très forte.

- Le risque des "contrats ou clauses contractuelles inapplicables" est faible, cela est dû au fait
que la plupart des contrats sont standardisés, ce qui a nécessité une profonde étude de la part
de la banque sur l'applicabilité des clauses.

85
SECTION III: DISPOSITIF DE MESURE DES RISQUES OPÉRATIONNELS AU
GROUPE SOCIÉTÉ GÉNÉRALE:
La stratégie du Groupe S.G en termes de gestion des risques opérationnels est globalement
axée sur l'exercice RCSA "Risk & Control Self-Assessement" ou "Autoévaluation des Risques
et des Contrôles", qui consiste en l'élaboration des Scorecards Métiers suite à un processus de
cartographie de risques, avec et sans prise en compte des dispositifs de prévention.

Aussi, pour le calcul des fonds propres réglementaires, le Groupe développe un modèle
interne de mesure du risque opérationnel basé sur une Approche par la Distribution des Pertes
(LDA ou Loss Distribution Approach). A cet effet, de nouvelles simulations de calculs ont été
effectuées en 2006 et ont intégré les données de pertes internes, l'impacte des couvertures
d’assurance ainsi que les résultats des analyses de scenarii de chocs majeurs afin de fiabiliser
et stabiliser les paramètres du modèle.

Ajouté aux dispositifs précédents, le niveau des facteurs de risque opérationnel est suivi
régulièrement via un référentiel de KRI (Key Risk Indicators) permettant d'avoir une idée sur
l'exposition des entités du groupe aux risques en suivant les facteurs induisant ces derniers.

Ainsi, les différents dispositifs de mesure (pertes internes, RCSA, KRI, etc.) doivent
permettre :
- d’identifier les lacunes existantes (insuffisances de contrôle interne, nature de pertes
récurrentes, scénarios de sinistre exposant la banque à un risque excessif et non couvert, etc.),
- d’élaborer, face à ces lacunes, des plans d’actions palliatifs,
- de suivre la mise en œuvre effective des actions correspondantes.

1- LA COLLECTE DES PERTES INTERNES (LOSS DATA) :

Compte tenu des nouvelles règles imposées par le Comité de Bâle (allocation de fonds
propres, communication financière, surveillance prudentielle accrue), il est indispensable pour
le groupe de mesurer finement les pertes opérationnelles et de les identifier en volume et en
nature. Selon la Direction du Groupe, cela a pour motivation :

¾ Au niveau interne :

- d'analyser les causes qui ont engendré ces évènements


- d'identifier et mettre en place les mesures correctives nécessaires
-de minimiser les risques et par voie de conséquence augmenter les résultats du groupe.

¾ En externe:

- vis à vis des régulateurs : de respecter les normes réglementaires de fonds propres
- vis à vis des agences de notations : d'influencer positivement la notation de la SG.

86
Objectif de la collecte des pertes:

Le Groupe a mis en place une procédure de collecte des pertes internes constatées
principalement pour mieux connaître, maîtriser le risque opérationnel afin de pouvoir l'évaluer
le gérer, et allouer ainsi les fonds propres permettant de le couvrir, comme l’exige la
réglementation Bâle II. Le Groupe voit donc comme utilité à cette procédure de:

- Répondre aux exigences de Bâle II pour les banques ayant retenu la méthode AMA pour le
calcul des Fonds Propres (le cas du Groupe SG).
- Alimenter en Central une base de données qui permet de calculer le montant de capital à
allouer pour couvrir ce risque.
- Entreprendre des actions afin de réduire, prévenir et couvrir le RO.

Les pertes qui seraient collectées sont déclarées au niveau central pour constituer une
base de données de pertes internes à l'aide d'un progiciel appelé "OpeRisk Monitor", que nous
nous allons présenter plus loin dans notre mémoire.

Le type de pertes à déclarer:

Sont à déclarer lorsqu'elles sont comptabilisées les pertes associées à l'une des catégories
d'événements suivantes:

1-Les événements de risque opérationnel: La réalisation d’un événement se traduisant par une
perte financière au compte de résultat doit être déclarée au moment de sa comptabilisation.
Exemples: les pertes dues à un vol d'espèces, un piratage informatique… sont déclarées
comme étant des événements de risque opérationnel.

2-Les événements de Risque Opérationnel associé à un Risque de Crédit (RO/RC): les pertes
associées à ces événements sont déclarées même si elles ne sont pas prises en compte dans le
calcul du capital exigé au titre du RO.
Exemple: Lors d'une opération de crédit, la banque commet une erreur lors de la constitution
d'une garantie (ex: erreur dans la dénomination de la contrepartie dans un acte d'hypothèque),
et la contrepartie se relève par la suite défaillante (risque de crédit). On considère qu'il y a
perte opérationnelle associée à du risque de crédit à hauteur du montant garanti par la sûreté.

3-Les événements de Risque Opérationnel associé à un Risque de Marché (RO/RM): ces


pertes doivent être déclarées même si elles ne sont pas prises en compte dans le calcul du
capital exigible au titre du risque opérationnel.
Exemple: Les pertes engendrées par une position (ex: position longue en $) qui a été
prise sur le marché des devises par erreur d'un trader de la banque (ex: ordre d'achat au lieu
d'un ordre de vente) sont considérées des pertes opérationnelles, associées à un risque de
marché puisqu'elles sont dues en partie à une évolution défavorable du cours de la monnaie en
question sur le marché.
87
NB: une telle opération peut aussi engendrer des profits involontaires (évolution
favorable du cours du $) même si l'ordre a été émis par erreur. La collecte de ces profits n’est
pas obligatoire (ils ne sont pas pris en compte pour le calcul des fonds propres réglementaires
au titre du RO) mais peut être utile au pilotage des risques.

4- Les quasi-pertes: Des événements de risque opérationnel qui n’ont pas eu d’impact
financier, mais qui auraient pu en avoir un. Même si leur déclaration n’est pas obligatoire, ces
informations sont utiles pour analyser des sources de risques et des éventuelles failles dans les
contrôles. Exemple: Une tentative d'attentat terroriste contre une agence de la banque a
échoué, mais aurait pu avoir un impacte financier si elle est survenue: cela est une quasi-perte.
Les seuils de déclaration et les pertes à déclarer:
Les montants à prendre en compte dans la déclaration d'une perte sont ceux liés à l’événement
l'ayant générée (impact financier brut avant toute récupération ou encaissement indemnisation
d’assurances), les coûts associés ainsi que les coûts des évènements connexes.
¾ Coûts associés : Ce sont de coûts inévitables, nécessaires pour la résolution de
l'événement, comme le coût de réparation des actifs endommagés, frais de consultant externe
pour étudier les causes ou résoudre l’incident, honoraires d’avocats, huissiers, coûts
exceptionnels affectés à la résolution de l’incident (heures supplémentaires, embauche de
personnel intérimaire…).
¾ Evénements connexes : Des événements reliés à l’événement initial, et qui n'auraient pas
lieu si l'événement principal ne s'était pas produit.
Exemple: une fraude informatique a généré des coûts de remise en état du système
d’information. Ultérieurement, des clients, invoquant la responsabilité de la banque pour des
préjudices subis du fait de cette fraude, engagent des actions judiciaires qui génèrent des frais
de procédure à la charge de la banque.

Concernant le seuil de déclaration, tous les événements précédents doivent être


obligatoirement déclarés, dès lors que le montant du sinistre dépasse 10 000 Euros et dès que
ces risques font l’objet d’un enregistrement comptable (perte, provision, compte de charges).
Ce seuil s’applique au montant brut de la perte (i.e. avant récupération venant de tiers ou des
assurances). Ce seuil s’apprécie par événement de risque, i.e. en cumulant, le cas échéant, les
montants des différentes pertes générées par le même événement.

NB: -Pour l'entité SGCIB (filiale du groupe exerçant l'activité de Banque d'Investissement), le
seuil de déclaration est fixé à 25000 € au lieu de 10000 €.
- Par exception, toute perte potentiellement supérieure à 1 million d’euros, doit être
enregistrée en montant dès que l’incident générateur est identifié et même si les pertes ne sont
pas encore arrêtées ou provisionnées

88
Les montants à ne pas déclarer suite à un événement de risque opérationnel sont :
- Les coûts dus à un changement de stratégie commerciale (risque stratégique),
- Le PNB ou les profits potentiels non réalisés, (manque à gagner) du fait d’une incapacité
temporaire à travailler liée à un événement de risque opérationnel (coût d’opportunité),
- Les sommes dépensées pour des gestes commerciaux (EX: la banque décide de rembourser
un client privilégié suite à un litige, or une action en justice lui aurait donné raison, et le client
ne serait pas indemnisé: cela est un geste commercial servant à fidéliser la clientèle).

Les entités responsables de la procédure de collecte des pertes:

¾ L'entité déclarante: c'est celle qui déclare (saisie) la perte, même si ce n'est pas à son
niveau que cette dernière est survenue.
¾ L'entité responsable: entité où l’événement de risque s’est produit et qui a la capacité
d’engager des actions correctrices pour éviter que cela ne se reproduise. L'entité responsable
peut être un centre de profit (générant un bénéfice ou un résultat pour la banque, comme
l'agence ou la direction de trésorerie), ou un centre de traitement /support (réalisant des tâches
répétitives pour le compte des autres structures, comme la Direction de la comptabilité).
¾ Ligne de métier imputée : le ou les centres de profit auxquels la perte est imputée. Il s’agit
des entités SG correspondant à l’une des huit lignes-métiers définies par le texte
réglementaire Bâle 2 (cf. Chapitre I). Une fonction support ne peut donc pas être ligne-métier
imputée.
¾ L’entité juridique concernée: c'est la personne morale qui enregistre la perte dans ses
comptes; il s'agit du Groupe S.G lui même ou de l'une de ses filiales.
La déclaration d'un événement de perte:

Elle se fait par un responsable habilité de l'entité déclarante. La déclaration s'effectue


par la saisie d’une fiche par événement générant une ou plusieurs pertes sur l’outil OpRisk
MONITOR (module de collecte des pertes). Elle doit porter sur:
-l'identification de l'événement de risque opérationnel ayant induit la perte: indiquer en quoi
il y a une défaillance interne ou externe, renseigner sur les causes de l'événement…etc.
-Le montant à déclarer: donner un niveau de détail proportionnel à l'ampleur de la perte
brute; le montant déclaré est lui-même susceptible d’évolutions (nouvelle perte liée au même
événement, nouvelle dotation aux provisions, reprise de provisions ou récupération…). Les
montants à prendre en compte sont ceux liés à l’événement ayant généré la perte, les coûts
associés et les coûts des évènements connexes.
-l'affectation de la perte dans le groupe: Préciser l'entité responsable et l'entité imputée
(centre de profit et entité juridique).
-Les dates utiles: Date de l'événement, de la comptabilisation en pertes, des récupérations…
-Les mesures correctrices: mesures prises pour éviter que l'événement ne se reproduise.

89
La validation de la déclaration:

La validation est une étape obligatoire pour chaque déclaration de perte: elle constitue un
contrôle de la fiabilité et de la pertinence des déclarations, elle doit être effectuée par une
personne distincte du déclarant. Le validateur doit contrôler notamment:
-L'éligibilité de l'événement au titre de risque opérationnel.
-La cohérence entre le descriptif de l'événement et son classement en sous-catégorie de risque.
-La cohérence du montant de la perte avec la devise associée.
-Le renseignement des autres informations (entité responsable, mesures correctrices…).
La modification/ suppression d'une déclaration:

La modification d'un événement (ajout ou d'un montant, modification d'un élément...)


peut se faire par la même personne l'ayant saisi, et est soumise à validation; la date de
déclaration reste cependant inchangée (c'est la date du 1er événement).

Par contre, la suppression d'un événement de perte déjà validé dans la base n'est
possible qu'avec l'accord préalable de PRES/BA2/OPE (l'entité responsable de l'application
du projet Bâle II dans le Groupe) dès lors que son montant brut (avant récupérations) est
supérieur ou égal au seuil de 100.000 Euros. Elle doit être justifiée et documentée.
Présentation de l'outil de saisie des pertes "OpRisk Monitor"

La collecte des données de pertes internes (imposée par le comité de Bâle pour toutes
les banques ayant choisi une méthode AMA) doit répondre à des critères précis. Ainsi, les
banques devront avoir un historique de pertes de 5 ans (ou au minimum 3 ans au démarrage).
A cet effet, le Groupe S.G s'est doté du logiciel OpeRisk Monitor permettant une meilleure
organisation de la collecte, et l'accès direct à la base de données centralisée des pertes afin de:
- limiter les risques d’erreurs liés à la multiplication des étapes de saisie manuelle.
- gagner du temps en permettant des saisies au fil de l’eau et une intégration dans la base de
données des pertes en temps réel.
-sécuriser le circuit de validation.
- consulter à tout moment la base de donnés des pertes en fonction des habilitations et du
périmètre des utilisateurs.
- suivre une perte tout au long du circuit de validation.

Les utilisateurs pourront accéder à l’outil via une interface accessible par le navigateur
Intranet/Internet. L'accès est sécurisé par un mot de passe individualisé, et l'utilisateur aura
l'interface ayant toutes les informations nécessaires pour l'identification de l'événement de
perte (cette interface est présentée en annexe à la fin du mémoire).

Pour illustrer la déclaration d'un événement sur OpeRisk Monitor, voici un exemple de
déclaration de perte auquel on a assisté durant notre stage:
90
SAS OpRisk Monitor
Informations générales sur l'événement
Type d'impact:
Classification Etat de l'événement:
Perte
générale: Important Comptabilisé en perte/gain
Perte
* Titre de l'événement * Pays de l'incident
Pénalité pour dépôt tardif de la déclaration mensuelle Algérie

* Description de l'événement

La déclaration de TVA et le paiement afférent s'effectuent dans le centre de recette des


impôts dont dépend l'agence bancaire.
Mensuellement, la Direction Administrative et Financière établit pour l'ensemble des agences
les déclarations, calcule le montant de la TVA à verser, et donne instruction au responsable
d'agence de déposer la déclaration faxée, accompagnée du règlement par chèque de banque
tiré sur l'agence.
En janvier 2005, un envoi de la déclaration par fax a été effectué le dernier jour de dépôt (soit
le 20 du mois suivant) laissant un délai de réaction court à l'agence pour émettre le chèque et
déposer le tout.
Le coursier de l'agence s'étant présenté quelques instants avant l'heure de fermeture de la
recette, le système informatique fermé de la recette n'a pu permettre la saisie de la déclaration
et du règlement, lesquels ont été officiellement déposés en J+1 donc hors délais.
Une pénalité de dépôt tardif a donc été appliquée en notre défaveur. Nous avons déposé un
recours gracieux pour le moment sans suite favorable.

Début de l'événement: 21/01/2005


Clôture de l'événement: 31/12/2005
Date de découverte: 25/01/2005

Entité responsable: Catégorie/Sous catégorie d'événement:


+ BHFM + LITIGE AVEC LES AUTORITES
- SGA - Non respect de la législation fiscale

Récapitulatif du/des montant(s) déclaré(s) en EUR


Perte brute: 15 000,00
Récupérations hors assurances: 0,00
Perte nette (Avant récupérations d'assurances)) 15 000,00
Récupérations d'assurances: 9 160,00
Perte nette: 5 840,00

Figure n°6: Exemple de saisie d'événement perte sur OpeRisk Monitor


91
2- LE SUIVI DES INDICATEURS CLES DE RISQUE (KRI) :

Les Indicateurs Clés de Risque (Key Risk Indicators) sont des éléments qui permettent
de détecter les risques avant leur survenance, ils peuvent être isolés, identifiés et mesurés.
Utilisés correctement, ces indicateurs sont considérés comme outils de comparaison de
l'exposition au risque entre les unités d'une même banque, ou entre banques de même niveau.
Le Groupe défini l'indicateur clé de risques (KRI) comme étant "une donnée objective et
mesurable devant permettre d’évaluer un ou plusieurs risques clé et ainsi d’améliorer leur
pilotage". 1 Donnée objective et mesurable: signifie qu'elle est quantifiable, facilement
reproductible, documenté et auditable.
Les indicateurs de risque les plus connus sont la rapidité de la croissance, le lancement de
nouveaux produits, la rotation des employés, les ruptures de transactions, les pannes de
système, le nombre de litiges et de réclamations…etc.

Objectif des KRI:

Dans le cadre des "saines pratiques pour la gestion et la surveillance du risque opérationnel",
le comité de Bâle recommande aux banques de mettre en place une gestion proactive de leurs
risques opérationnels par le suivi de leurs Indicateurs Clés de Risque. La mise en œuvre de
cette recommandation devient obligatoire pour les banques (à l’exemple de Société
Générale), qui ont choisi la méthode AMA pour le calcul des exigences minimales de fonds
propres au titre des risques opérationnels.

Le suivi régulier des KRI permet la mesure quantitative et vérifiable du risque en


complétant les autres outils (l’exercice du RCSA, la collecte des pertes internes et l'analyse
des scénarii). Il permet en outre d’obtenir des alertes en amont sur d'éventuelles pertes à venir.

Détermination des KRI:

En pratique, les KRI sont des statistiques et/ou diverses mesures qui peuvent donner une idée
de l’exposition d’une entité ou de métiers aux risques. Ils sont revus de façon périodique
(chaque mois ou chaque trimestre) pour alerter la banque sur les modifications ou évolutions
porteuses de risques.

L’identification des KRI est assurée par les responsables des Branches, des lignes métiers,
des entités filiales ou succursales, des fonctions supports ou des filières. Les KRI doivent être
compris, adoptés par tout le monde et vérifiables. Ainsi, ils doivent être suffisamment
documentés pour permettre leur revue par l’audit interne, l’Inspection Générale et les
régulateurs.

1
Société Générale- Projet Bâle II – Risque opérationnel - Policy KRI
92
Référentiel des KRI à la SGA:

Le Groupe Société Générale a arrêté un référentiel KRI, à l’intérieur duquel Chaque


entité doit puiser les indicateurs à suivre. Ce même référentiel a été repris par la SGA et
enrichi par de nouveaux indicateurs, il contient environ 350 indicateurs, ayant tous les
caractéristiques (propriétés) suivantes, permettant de les distinguer les uns des autres :
Propriété Description ou commentaire
Identifiant Référence unique pour une même entité responsable
Nom Nom de l’indicateur
Description Description synthétique de l’indicateur
Objet Justification de la mesure
Entité Responsable La structure responsable de mesurer et de collecter cet indicateur
Personne à contacter En cas de question sur le KRI
Lignes métier concernées
Entité(s) juridique(s)
Catégorie(s) d’événement Le ou les catégories d’événement pour lesquelles le KRI permet d’évaluer le
risque intrinsèque ou résiduel.
Sous-catégorie(s) Le ou les sous-catégories d’événement pour lesquelles le KRI permet
d’événement d’évaluer le risque intrinsèque ou résiduel.
Facteur(s) de risque Le ou les facteurs de risque pour lequel le KRI permet d’évaluer la qualité du
concerné(s) dispositif de prévention et de contrôle.
Fréquence de calcul Quotidienne, Hebdomadaire, Mensuelle, Tous les deux mois, Trimestrielle,
Semestrielle…
Unité de mesure Nombre, fréquence, taux, montant (devise)…
Règles de calcul Description de ses règles de calcul et d’agrégation par entité
Fréquence de reporting Fréquence ou seuil minimal de reporting ou de suivi à partir duquel il doit
faire l’objet d’un suivi (reporting systématique ou ponctuel…)
Circuit de reporting Description du circuit correspondant
Norme ou benchmark Peut être établie de façon spécifique à un KRI, pour une entité donnée
Seuil d’alerte Seuil (valeur constatée ou variation) au-delà duquel un KRI doit faire l’objet
d’un suivi spécifique (procédure d’escalade) et déclencher d’éventuelles
actions correctrices.
Objectif Seuil ou évolution à atteindre, à une échéance fixée.

Tableau n°9: Propriétés d'un Indicateur Clé de Risque

La liste communiquée à la Société-Générale Algérie par sa structure hiérarchique


(BHFM) contient des KRI "obligatoires" que la SGA doit impérativement renseigner (ils sont
au nombre de 27), et d'autres KRI facultatifs. Cette liste est évolutive: chaque structure peut y
ajouter des indicateurs qu'elle juge pertinents, à condition de les justifier et documenter.

93
Le tableau suivant reprend quelques exemples de KRI relatifs aux deux premières
catégories de risques SG: "litiges commerciaux" et "litiges avec les autorités:
Catégorie Sous-Catégorie d'événement SG Exemples de KRI
d'événement
Litiges 1 Litiges sur activités de conseil Nombre de litiges juridiques en cours
commerciaux
2 Pratiques commerciales inappropriées
Nombre de plaintes reçues (demandes de
3 Inadéquation des produits proposés compensation)

4 Insuffisance du service au client Nombre de réclamations clientèle ayant


débouché sur un litige commercial
5 Autres litiges avec un tiers (fournisseur, prestataire…)

6 Contrat ou clauses contractuelles inapplicables


Litiges avec les 11 Non respect de règles de fonctionnement des marchés Nombre de réclamations reçues
autorités organisés (actions, futures, marchandises, obligations, etc.)
Amendes liées au non respect des normes
13 Non respect d'autres lois (non citées dans cette catégorie
de marchés organisés
d’événement)
14 Non respect des exigences réglementaires locales ou Cas de litiges ou non-conformité aux règles
françaises ou lois

17 Blanchiment (interne et externe) et financement du Sanctions imposées et actions juridiques


terrorisme associées
Nombre de transactions suspectes

Source: Société Générale- Projet Bâle II – Risque opérationnel - Policy KRI

Tableau n°10: Exemples de KRI pour les deux premières lignes de métier

Un reporting régulier des KRI est effectué par la SGA, le niveau des indicateurs
"obligatoires", ainsi que celui de quelques indicateurs facultatif est transmis trimestriellement
à la BHFM pour appréciation et recommandations.

3- L'EXERCICE RCSA (RISK & CONTROL SELF ASSESSEMENT)

Le RCSA ou "l'Autoévaluation des Risques et des contrôles" est l'un des plus
performants outils de mesure et de pilotage des risques opérationnels à la SGA. Il s'agit d'une

Le RCSA a pour but d’évaluer les risques résiduels auxquels la banque est exposée:
a- En évaluant les risques intrinsèques existants (risques inhérents à la nature de l’activité en
faisant abstraction de l’environnement de prévention et de contrôle).
b- Puis en appréciant la qualité des dispositifs de prévention et de contrôle en place
permettant de réduire ces risques (existence et efficacité des dispositifs de détection et de
prévention des risques et/ou leur capacité à en diminuer les impacts financiers)
c- Enfin, en déduisant l’exposition aux risques résiduels (après prise en compte de
l'atténuation des risques réalisée par l’environnement de prévention et de contrôle, mais sans
prise en compte des couvertures d’assurance).
Cet exercice doit permettre d’identifier les zones de faiblesse, de mettre en place des mesures
de prévention et de contrôle ainsi que des plans d’actions correctrices ont été conçus.
Démarche de l'exercice RCSA:
94
Pour piloter les risques, il faut d'abord les identifier et mesurer. La démarche de
l'exercice RCSA est donc axée sur trois grandes étapes: Elaboration de la cartographie des
risques intrinsèques, appréciation du dispositif de contrôle et de prévention, et enfin
estimation des risques résiduels.
1- Elaboration de la cartographie des risques intrinsèques:

L’établissement de la cartographie des risques intrinsèques est effectué par les principaux
responsables opérationnels de la filiale. Il s'agit d'estimer le niveau des risques en tenant
compte uniquement de l'environnement dans lequel opère la banque, et sans prendre en
compte quelconque dispositif de prévention et d'atténuation: Il s'agit de l'appréciation de la
sécurité de l'environnement auquel appartient la banque.

A cet effet, une cartographie des risques intrinsèques (traitée précédemment dans notre
mémoire) est mise en place par la Direction du Groupe et renseignée par la SGA. Cette
dernière s'appuie par le référentiel des risques opérationnels adopté par le Groupe; l'exposition
à chaque sous-catégorie de risque étant appréciée par une note allant de "o" jusqu'à "4".

0 Non exposé
1 Faible
2 Modéré
3 Elevé
4 Très élevé

Exemple: Une agence SGA est fortement exposée au risque "Erreur d'exécution"; la note qui
sera attribuée à cette sous-catégorie dans la cartographie des risques intrinsèques est "4".

NB: Les cartographies des risques intrinsèques doivent être obligatoirement commentées.
Après évaluation, les cartographies des filiales sont validées par leurs Directions respectives
et par BHFM siège.

2- Evaluation du dispositif de prévention et de contrôle:

Pour se protéger, la Banque met en place des dispositifs de prévention et de contrôle


visant à réduire ses risques opérationnels à un niveau jugé acceptable.

Afin d'évaluer de tels dispositifs, la SGA a mis en place les "Scorecard Métier", qui
sont une sorte de questionnaires adaptés pour chaque structure. Les Scorecard métier sont
ensuite agrégées dans une Scorecard globale (contenant dans le cas de SGA 1946 questions).

Pour chaque risque, la Scorecard métier contient -entre autres- les informations suivantes:

95
- La sous-catégorie d'événement: représentant une parmi les manifestations concrètes
possibles des risques pour la banque.

- Les facteurs de risques: Il est nécessaire d’identifier les principales causes internes ou
externes de ces manifestations (les catégories d'événement) : ce sont les facteurs de risques.
Exemple : Insuffisances des procédures de gestion des réclamations clientèle.

- Les questions d'évaluation: à l'aide de ces questions, on apprécie le dispositif de prévention


et de contrôle pour chaque facteur de risque. Cette démarche d’auto-évaluation met en
évidence l’efficacité des processus de contrôle interne (y compris sa formalisation).

- La notation des questions et leur justification: la mise en place d’une Scorecard a pour
objectif de permettre la mise en évidence :
-l’existence ou l’absence de dispositifs de prévention et de contrôle,
-la qualité des dispositifs de prévention et de contrôle existants.
Une note allant de "1" à "4" sert à apprécier le dispositif de contrôle de chaque risque:

4 Satisfaisant
3 Assez bon
2 Faible
1 Très faible

Pondération des facteurs de risque:


C'est une étape facultative : elle permet à l’entité concernée de qualifier l’importance relative
de chaque facteur de risque pour une catégorie ou sous-catégorie d’événement.
Les pondérations doivent être sélectionnées parmi un barème allant de 1 à 5 (5 étant le poids
le plus important ; 3, le poids moyen…) et expliquées. Par défaut, les facteurs de risque sont
équipondérés (poids moyen = 3), pour dire qu'ils ont des poids presque équivalents.

NB: Nous tenons à signaler que BHFM a décidé de ne pas utiliser cette possibilité.

Notation et justification des facteurs de risque:


Le noteur (responsable de l’entité évaluée ou la personne déléguée) répond aux questions
d’évaluation des dispositifs de prévention et de contrôle correspondants aux facteurs de
risques retenus.

Un facteur de risque peut concerner plusieurs catégories / sous-catégories d’évènements. Il


doit toujours être considéré en fonction de la ou des catégories ou sous-catégories
d’événement auxquelles il se rapporte. (Il est cependant possible qu’un facteur de risque soit
noté de la même façon pour toutes ces catégories ).
96
Validation des Scorecard entités:

Toute scorecard entité renseignée et notée doit être envoyées par le noteur à sa hiérarchie pour
validation. Le valideur doit vérifier que toutes les questions ont bien été notées, qu'une
justification valable a été fournie pour chaque note et pondération éventuelle des facteurs de
risque, qu'une cohérence des notes pour l’ensemble des entités de son périmètre est assurée.

Afin de finaliser cette étape, nous avons jugé utile de citer cet exemple de facteur de
risque évalué dans la scorecard entité: Il s'agit du facteur de risque "sécurité des
équipements" et concerne le métier de "Sécurité des systèmes d'information". Il a été repris
tel qu'il a été renseigné à la Scorecard.

Catégorie Sous-catégorie
Question Note* Justification
d'événement d'événement

Fraude et Piratage informatique et Les équipements critiques sont- chaque site est doté
autres autres attaques ils équipés d'onduleurs pour d'un onduleur et
activités malveillantes des systèmes faire face aux coupures 4 d'un générateur
criminelles informatiques de la banque d'énergie électrique ? électrique
par des tiers

* la note 4 correspond à l'appréciation "satisfaisant"

Tableau n°11: Exemple de risque évalué à la Scorecard Métier "Sécurité des systèmes d'information" SGA.

3 – Elaboration de la Cartographie des risques résiduels:

Il s'agit de la dernière étape du RCSA, elle consiste à estimer les risques par catégorie
d’événement et par ligne métier au sein des branches ou par Direction Fonctionnelle, en
prenant en compte les différents dispositifs de prévention et d'atténuation des risques mis en
place par chaque entité évaluée.

La cartographie des risques résiduels résulte des notes consolidées des risques intrinsèques et
de celles du dispositif de prévention et de contrôle. Elle doit obligatoirement être commentée.

Hiérarchiquement, la cartographie des risques intrinsèques est généralement établie à un


niveau plus élevé que les Scorecards entité. Les cartographies des risques résiduels des lignes-
métier sont quand à elles établies au sein des Branches et Directions Fonctionnelles, et
doivent être validées par leurs Directions respectives.

Les risques résiduels doivent être quantifiés par le responsable de la Ligne Métier
selon l’échelle de quantification fixée par la Direction de l’entité. Cette échelle est identique
pour les risques résiduels et pour les risques intrinsèques (lorsqu'elle existe).

97
Détermination du niveau du risque résiduel:
Comme les risques intrinsèques et le niveau de contrôle, une note est attribuée au
risque résiduel. Cette note est obtenue par division de la note du risques intrinsèque par la
note du dispositif de contrôle consolidée pour chaque catégorie d’événement (ou chaque sous-
catégorie d’événement si la Branche ou l’entité le souhaite). Un paramètre (note) d'ajustement
est parfois ajouté à la note obtenue afin de consolider le poids de certains risques.

Note du niveau de Risque Note du niveau de risque intrinsèque


= + paramètre d'ajustement
Résiduel (Score) Note du niveau de Dispositif de contrôle

- Le paramètre d'ajustement peut être de "1" à "2", il est ajouté notamment pour les risques
« élevés » et « très élevés » quand les notes du dispositif de prévention sont « Faibles » ou
« Assez bonnes ». En effet, dans ces cas-là, il est attaché - par prudence - plus d’importance à
la note du Risque Intrinsèque qu’à celle de la qualité des mesures de prévention et de
contrôle.

La note obtenue (score) correspond à une évaluation du risque résiduel comme suit:

Note obtenue Evaluation du risque résiduel


0 à 1 inclus Faible
1 à 2 inclus Modéré
2 à 3 inclus Elevé
3 à 4 inclus Très élevé

Le score ainsi obtenu permettra d'identifier les zones de faiblesse des mesures de
prévention et de contrôle et de mettre en œuvre des plans d’actions correctrices.

Consolidation des Scorecards par Lignes Métier et par axe filières:


Les notes de la qualité du dispositif de prévention et de contrôle (et par conséquent le
niveau du risque résiduel) seront obtenues par consolidation des scorecards entité notées
suivant les règles suivantes :
- La note d’un facteur de risque est la moyenne arithmétique des notes de ses questions.
- La note d’une sous-catégorie d’événement est la moyenne arithmétique pondérée des notes
de ses facteurs de risque. En l’absence de pondération précisée pour les facteurs de risque
d’une sous-catégorie d’événement, ces facteurs de risque sont réputés équipondérés.
- La note d’une catégorie d’événement est la moyenne arithmétique des notes de ses sous-
catégories d’événement.
La consolidation peut aussi se faire par axe filières, en considérant la moyenne
arithmétique des notes des entités "filles" pour obtenir celle de l'entité "parente".
98
Fréquence de l'Exercice RCSA:
Un premier exercice RCSA devait être mené sur un périmètre significatif du Groupe
SG avant le 30 juin 2006. Concernant la SGA, Un seul exercice RCSA a été réalisé; Cela est
dû à la mise en place tardive de la structure s'occupant des risques opérationnels (Début
2007).
L'exercice doit être renouvelé au moins une fois par an ou lors de changements majeurs
dans les environnements opérationnels et de contrôle des entités (nouvelle organisation,
nouvelle activité, évolution réglementaire, automatisation d’un processus).

3- L'ANALYSE DES SCENARII

Afin de compléter les données historiques (collectées par la procédure de collecte des
pertes internes "LDA"), et les données prospectives (construites partiellement par la
procédure du RCSA), le groupe essaye de compléter sa base de données en intégrant les
données afférentes aux événements rares mais à fort impacte, par la mise en place une
procédure appelée "Analyse de scénarii" et par abréviation "AS" .

Un scénario décrit la survenance potentielle d’un évènement de risque susceptible


d’engendrer des pertes opérationnelles. Le scénario est associé à une catégorie d’événement
de risque (obligatoire) et à une sous-catégorie d’événement de risque (souhaité) de la
classification de la SG. 1

La liste des scénarios, revue annuellement, doit couvrir de façon satisfaisante les
risques les plus sévères au regard des activités du Groupe. Elle regroupe les scénarios des
pôles (touchant une seule entité du Groupe à la fois), et les scénarios transversaux
(concernant simultanément plusieurs Pôles ou entités du Groupe).
Les Grandes Etapes d'une Analyse de Scénarii (AS):
¾ Décrire l’événement de risques et ses conséquences sur les entités concernées,
¾ Caractériser l’événement de risque par des fréquences d’occurrence ou des temps de
retour, associés à des sévérités,
¾ Identifier et évaluer les différents types d’impacts financiers,
¾ Présenter les montants et les fréquences de façon à pouvoir les intégrer dans le calcul du
capital réglementaire AMA,
¾ Identifier les mesures de réduction prises (contrôle, PCA, couvertures d’assurance).
L’identification des scénarios à étudier découle de l’analyse d’éléments propres au
dispositif AMA et/ou externes que sont : les résultats du RCSA, la qualité des dispositifs de
prévention et de continuité d’activité "PCA", les pertes internes historiques "PI", les bases de

1 Société Générale- Projet Bâle II – Risque opérationnel - Procédure Analyse de scénario


99
données de pertes externes "PE", les évolutions de l’environnement réglementaire, les travaux
de la place, les données fournies par le contrôle interne, les évènements importants dans le
Groupe SG (ex: nouvelle activité…), les avis d’experts, les couvertures d’assurance, les
rapports et préconisations de l’Inspection Générale et des services d’Audit interne et externe.
La combinaison des informations issues des différentes sources précitées permet aux
experts d'identifier les scénarios possibles et d'estimer leur probabilité de survenance ainsi que
leurs impacts potentiels.

Les Scénarios extrêmes:


Pour qu'un scénario soit pris sérieusement en compte pour le calcul de la charge en
capital, il faut qu'il associe une fréquence significative et une sévérité importante. Ainsi, la
sévérité (pertes) la plus élevée, qui correspond au scénario de stress défini par les experts, doit
être associée à un temps de retour minimal (TRM) pour que le capital lié à ce scénario soit
significatif. Le TRM varie suivant la valeur des sévérités (voir le tableau ci-après):

Sévérité Temps de retours minimal


de 5 à 10 Millions € au moins 1 / 30 ans
de 10 à 30 Millions € au moins 1 / 100 ans
de 30 à 50 Millions € au moins 1 / 300 ans
supérieure à 50 Millions € au moins 1 / 1000 ans

Ex : Un scénario dont la sévérité maximale est évaluée à 40M€ pour un temps de retour d’1
fois tous les 140 ans sera considéré comme un scénario extrême. Tandis qu'un scénario dont la
sévérité maximale est évaluée à 100M€ pour un temps de retour d’1 fois tous les 1500 ans ne
sera pas considéré comme un scénario extrême, et ne sera pas pris en considération.

Les critères liés à la "zone de risque" objet de l'AS:


Une "zone de risque" est définie comme le croisement d’une catégorie ou sous-catégorie
d'événement de risque et d’une ou plusieurs ligne(s) ou sous-ligne (s) métier du Pôle.
EX: Zone 1 = Inadéquation des Produits Proposés (Litiges Commerciaux) X banque de détail.
-Pour qu'une zone de risque soit éligible à l'AS, elle doit satisfaire l'un des critères suivants:
¾ Risque intrinsèque noté 4 (jugé très élevé dans la cartographie des risques intrinsèques
réalisée par l'exercice RCSA);
¾ Risque résiduel noté au moins 3 (i.e. risque élevé);
¾ Perte interne au moins égale à 1 million d’€ (100M DZD) sur la zone de risque ciblée;
¾ Pertes externes importantes pouvant concerner la zone ciblée;
¾ Rapports d’audit signalant des risques particulièrement importants;
¾ Evolutions de la réglementation générant un risque significatif sur la zone concernée;
100
Le tableau suivant illustre la réalisation d'une analyse de Scénario sur la base des
cartographies du RCSA (risques intrinsèques et risques résiduels):
ligne-métier A: ligne-métier B: Commentaires : Proposition d’AS
Banque de détail paiements & (Appréciation des pour l ‘année N :
règlements niveaux intrinsèque et
résiduel de la zone -Nouvelles AS
Risque Risque Risque Risque de risque) -Actualiser des AS
intrinsèque résiduel intrinsèqu résiduel - Supprimer des AS
max max e max max
-Risque intrinsèque
Défaillance dans le
de 4 sur la ligne Un scénario est à
processus de livraison métier A (très élevé)
4 3 1 1 réaliser sur la ligne
et/ou de règlement de la métier A
- Risque résiduel
banque élevé
absence ou inexactitude
Fort risque Une AS existante sur
des rapports d’erreur
1 1 4 2.15 intrinsèque sur la la ligne métier B est à
dans les chaînes ligne métier B réévaluer
informatiques

Risque jugé très AS existante sur la


Non-respect de la loi
1.05 0.30 1.00 1.00 faible sur les deux ligne métier B jugée
contre la discrimination lignes de métier inutile est à supprimer

Tableau n°12: Exemple de réalisation des AS sur la base des cartographies du RCSA

NB: -Pour les scénarios extrêmes, il est recommandé de ne pas considérer un périmètre
d’activité plus fin que celui d’une filiale ou d’une sous-ligne métier dans un pays.
-Un même scénario peut regrouper plusieurs sous-catégories de risques dans une même
catégorie d’événement. EX: litige sur activités de conseil et insuffisance du service au client.
-Les Pôles peuvent -à leur initiative- définir leurs zones de risque en utilisant des
niveaux plus contraignants (exemple : risque résiduel noté au moins 2, perte de 700000 €).

Cohérence entre les pertes estimées par l'AS et les données de pertes:
Le chiffrage de l’AS, effectué essentiellement "à dire d’experts ", doit être comparé
aux pertes internes (PI) disponibles afin de garantir une vraisemblance des estimations: c'est
l'un des critères les plus importants pour la validation des scénarii proposés. Il est
indispensable de réaliser certains contrôles de cohérence entre les données empiriques de l’AS
et les PI disponibles sur la zone de risque commune (ou comparable):
¾ Comparaison des sévérités: Une justification est à fournir lorsque la sévérité maximale de
l’AS est inférieure ou égale à la PI la plus élevée sur la zone de risque correspondante (car
cela voudrait dire que le scénario testé n'est pas le pire des cas qui pourraient se présenter).
¾ Comparaison des temps de retours: Ce contrôle de cohérence est à effectuer sur des
montants de perte AS et PI de même ordre de grandeur. Les montants de l’AS doivent
cependant être supérieurs à ceux des pertes internes:
La règle dans ce cas est que chaque hypothèse de perte de l’AS doit enregistrer au
maximum un temps de retour (TR) deux (2) fois supérieur à celui de la perte interne. Au-
101
delà, les Pôles doivent fournir une explication sur la différence considérable des délais de
retours. Cependant, l’historique de pertes du Groupe ne permet pas d’effectuer des contrôles
de cohérence au-delà d’un certain nombre d’années, car le Groupe ne dispose en 2007 que
d’un historique de perte maximum de 6 ans. Pour illustrer ces contrôles de cohérence, nous
allons en proposer quelques exemples dans le tableau suivant:

ETAPE 1 : ETAPE 2 :
Comparaison des Comparaison des TR Rapport
Effectuer une
Hypothèses pertes AS et des PI Rapport des pertes comparaison
de l’AS et des PI des TR
AS/PI
Pertes Données des TR ? AS/PI
TR de
de l’AS des PI TR des PI
l’AS
1 / 0.25 =4
1 / 0.25 an
Hypothèse 1 0.5 M€ 0.5 M€ égales oui 1 / an explication
(trimestrielles)
nécessaire
3 /2 = 1.5
Même ordre de
Hypothèse 2 0.5 M€ 0.47 M€ oui 1 / 3 ans 1 / 2 ans pas
grandeur
d'explication
Ecart trop important Pas de contrôle
Hypothèse 3 4.2 M€ 1 M€ entre la perte de l’AS de cohérence:
et celle de la PI le scénario est
rejeté
Même ordre de 15 / 6 = 2.5
Hypothèse 4 7 M€ 6.8 M€ oui 1 / 15 ans 1 / 6 ans explication
grandeur
nécessaire
Pas de PI disponible Pas de contrôle
Hypothèse 5 10 M€ actuellement pour ce de cohérence
montant possible

Tableau n°13: Exemple de contrôle de cohérence entre les données de pertes et de l'AS.

NB: Des contrôles de vraisemblance entre les données des AS et les pertes externes
disponibles sur le sujet doivent aussi être effectués.

Validation et mise à jour de la liste des scénarios:


La validation de la liste des scénarios se fait à deux niveaux: une première validation
est faite au niveau des pôles, elle concerne surtout les scénarios "pôles" (et non transversaux),
et une deuxième est faite par la structure centrale responsable du pilotage des risques
opérationnels (ayant pour sigle RISQ/OPE/PIL). Les scénarios transversaux (proposés par les
Directions Fonctionnelles) et les scénarios de pôles sont envoyés à la structure
(RISQ/OPE/PIL) pour validation, avant le lancement des travaux d’analyse et d’évaluation.
Cette dernière assure la cohérence de la liste des scénarios du Groupe SG avec celle des autres
acteurs bancaires de la place ayant opté pour la méthode AMA.
La liste des scénarios doit être mise à jour fréquemment par l'intégration des nouveaux
scénarios, l'actualisation des scénarios existants et la suppression des scénarios devenus
obsolètes.

102
CONCLUSION

Ces dernières années, d’énormes efforts ont été déployés par le Groupe Société-
Générale pour améliorer sa gestion du risque opérationnel. En effet, le Groupe a modernisé
son système d’information pour répondre aux exigences pratiques de la collecte de données
sur le risque opérationnel. Cela est devenu possible avec le progiciel OpeRisk-Monitor qui a
totalement été déployé en 2005, ainsi qu'un réseau de plus de 600 correspondants permettant
la liaison entre ses différentes structures, et un management des risques au niveau central.
Concernant la Société-Générale Algérie (SGA), la gestion des risques opérationnels se
limite à leur indentification (définition, référentiel et cartographies) et à leur quantification et
suivi (collecte des données de pertes internes, exercice du RCSA, suivi des KRI...).
En ce qui est de la couverture des risques opérationnels, elle n'est pas encore explicite
à la SGA, elle est assurée implicitement par le dispositif de contrôle interne, et la souscription
de quelques polices auprès des sociétés d'assurance nationales (assurance de biens, assurance
incendies...). De plus, la SGA n'a enregistré (depuis la création du service SglRoc à nos jours)
qu'une douzaine d'événement de pertes, dont les montants ne sont pas importants; ce qui
constitue un historique insuffisant, et des données non exhaustives, et tarde par conséquent la
mise en place d'un dispositif particulier de couverture.
Pour les Plans de Continuité d'Activité (PCA), nécessaire à la gestion des situations de
crise et de sinistres majeurs, ils ne sont pas encore mis en place à la SGA: le groupe a
construit quelques PCA pour les Directions stratégiques, mais la plupart ne sont qu'en phase
théorique, et ne sont pas encore opérationnels.
Pour toutes ces raisons, nous nous sommes contentés de ne traiter dans ce dernier
chapitre que l'identification et la mesure des risques opérationnels à la Société-Générale
Algérie. Néanmoins, à notre avis, le stade atteint par la SGA est assez satisfaisant, comparée
aux autres banques de la place, et vu la réglementation de la banque d'Algérie qui n'incite pas
(à nos jours) les banques pour la prise en compte des risques opérationnels dans le calcul des
exigences de fonds propres réglementaires.
En effet, en Algérie seul Bâle I est en vigueur, car nos banques ne sont pas encore
prêtes à l'application du nouveau ratio de solvabilité, et notre environnement réglementaire
n'est pas très incitatif à ce sujet. Le risque Opérationnel est néanmoins évoqué dans le
règlement BA n° 02-03 du 14 novembre 2002 portant sur le contrôle interne des banques et
des établissements financiers et qui a pour objet de "définir le contenu du contrôle interne que
les banques et les établissements financiers doivent mettre en place, en particulier, les
systèmes de mesure et d'analyse des risques et les systèmes de leur surveillance et maîtrise":
Au sens du présent règlement, on entend par risque opérationnel le "risque résultant

103
d'insuffisances de conception, d'organisation et de mise en œuvre des procédures
d'enregistrement dans le système comptable et plus généralement dans les systèmes
d'information de l'ensemble des événements relatifs aux opérations de la banque ou de
l'établissement financier concerné". La Banque d’Algérie a adressé de même, en ce début
d’année 2007, un questionnaire aux banques à l’effet d’analyser la situation de ces dernières
par rapport à Bâle II, dans lequel une partie a été consacrée à des question se rapportant à la
disponibilité de nos banques à mettre en place des méthodes Standards (SA) et Avancées
(AMA) pour la mesure des risques opérationnels ; aucune date (ultimatum) n’est cependant
arrêtée pour ce passage à Bâle II, et encore moins le plan d’action à suivre pour l'application
du nouveau ratio de solvabilité.

104
CONCLUSION GENERALE
La réforme Bâle II du ratio international de solvabilité bancaire s'inscrit dans une démarche
mondiale de réglementation de la profession bancaire remontant à la fin des années 80, dont l’objectif
premier est de prévenir les faillites des banques. L'aspect le plus novateur des nouveaux accords est
que désormais, la réforme ne se limite plus aux seuls risques financiers « classiques », comme le
risque de crédit ou les risques de marché (risque de change, risque de taux, etc.), mais couvre aussi le
Risque Opérationnel. En effet c'est pour la première fois que le risque opérationnel va:

9 faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord).


9 être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO
si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord)
9 faire part de la communication financière des banques au marché (Pilier 3 de l’Accord).
S’il n’est pas nouveau, le risque opérationnel a néanmoins pris une importance
croissante ces dernières années, principalement en raison des modifications du cadre
d’exercice et de la conduite des activités bancaires. Cet essor des risques opérationnels est
notamment lié à la banalisation de la gestion massive et en temps réel des opérations,
engendrant un risque d'erreur et de fraude qu'on ne peut négliger. Il est par ailleurs le résultat
de la sophistication de ces activités, tant dans la conception de nouveaux produits auxquels
sont associés de nouveaux risques, que dans la mise en place de systèmes d’information de
plus en plus complexes. La multiplication des pratiques d’externalisation d’activités a
également contribué à l’essor des risques opérationnels auxquels les banques sont exposées,
notamment lorsque ces dernières n’auraient pas mis en place les dispositifs de contrôle et les
conditions d’une maîtrise adéquate de leurs prestations externalisées. Enfin, l’importance
prise par le risque opérationnel s’explique aussi, de manière plus récente, par l’attention
accrue portée aux risques exogènes à faible probabilité d’occurrence mais à fort impact, c’est-
à-dire susceptibles de causer des pertes massives (catastrophes naturelles, actes terroristes…).
Le risque opérationnel est donc un risque majeur pour la rentabilité et la survie d'une
banque; sa perception comme un élément totalement aléatoire et non mesurable a été pour
longtemps la cause de pertes très lourdes, ayant même conduit à l'effondrement de plusieurs
groupes bancaires partout à travers le monde. A cet effet, il faut le transformer en un objet
spécifique, mesurable et quantifiable, facteur de performance. Les banques doivent ainsi
mettre en place une gestion quantifiée et sophistiquée de ces risques afin de faciliter et
d’améliorer leur prise en compte dans le cadre du nouveau ratio de solvabilité.
L’état actuel des chantiers "Risque Opérationnel" dans les groupes bancaires
internationaux est en phase de finalisation. Quant à l’Algérie, l’insuffisance patente des
dispositifs de supervision, et le retard dans l'application du nouvel accord font que nos
banques (notamment publiques) n'ont pas, à nos jours, fourni l'effort suffisant pour une bonne
connaissance et une bonne maîtrise de ces risques.
105
Concernant le Groupe Société-Générale, le choix a été porté dès première vue sur
l'utilisation des Méthodes Avancées (approche prescrite par les textes bâlois) pour la gestion
des risques opérationnels: le calcul du capital réglementaire au titre de ces risques se fera par
la méthode AMA dès le mois de janvier 2008. A cet effet, le Groupe exige à ses filiales,
notamment celles qui ne sont pas tenues par la réglementation locale de leur pays
d'implantation de couvrir leurs risques opérationnels (cas de la SGA), de mettre en place et de
développer les dispositifs de suivi et outils de mesure constituant la méthode AMA
(cartographie et référentiel de risques opérationnels, suivi d'indicateurs de risque, collecte de
données de pertes…).
Ces travaux devraient aboutir notamment à mieux connaître le profil de risque des
activités exercées (cartographie des risques opérationnels), à développer et alimenter les outils
nécessaires au pilotage de ces risques (référentiel de risques par activité, indicateurs clés de
risque "KRI", incidents opérationnels et pertes consécutives à leur survenance). Ils visent
également à améliorer et coordonner les processus de gestion existants en intégrant les
problématiques de contrôle interne, de sécurité des systèmes d’information, de déontologie,
de Plans de Continuité des Activités et des financements (fonds propres, provisions,
assurances) dans le cadre d’un dispositif de maîtrise globale des risques. Enfin, ils permettront
d’accroître la vigilance et la réactivité des unités opérationnelles qui bénéficieront de ce fait
des retours d’expériences, et de répondre aux exigences du marché et du régulateur.
Néanmoins, la mise en place d’un modèle de risque opérationnel requiert des
investissements assez coûteux et complexes en matière de formation, de communication et
surtout de système d’informations. Aussi, la mise en œuvre d’un modèle ne peut être l’affaire
des techniciens uniquement; les choix qui seront faits dans l’architecture de gestion et dans les
principes méthodologiques doivent être validés par le management de la banque au plus haut
niveau. A cet effet, il est plus intéressant (et moins coûteux) pour les banques de tailles
moyennes (comme la plupart de nos banques algériennes) qui ne peuvent investir des sommes
importantes en matière de recherche, d'analyser l'expérience des banques internationales et de
s'appuyer sur les modèles existants, pour le développent de leurs propres modèles internes.

106
BIBLIOGRAPHIE

(I) OUVRAGES

1) BRAJOVIC BRATANOVIC Sonja & VAN GREUNING Henni, "Analyse et gestion


du risque bancaire", Banque Mondiale Editions ESKA, Paris, 2004, 384 pages.

2) JIMENEZ Christian & MERLIER Patrick, "Prévention et Gestion des Risques


Opérationnels", Revue-Banque EDITIONS, Paris, 2004, 283 pages.

3) RONCALLI Thierry, "La Gestion des Risques Financier", Edition Economica, Paris
2004, 455 pages.

4) SARDI Antoine, "Audit et Contrôle Interne Bancaires", Editions AFGES, Paris, 2003,
1099 pages.

5) SARDI Antoine, "Bâle II", Editions AFGES, Paris, 2004, 304 pages

(II) REVUES ET ARTICLES DE PERIODIQUES

6) BAUD Nicolas, FARCHOT Antoine et RONCALLI Thierry, "l'utilisation des


données externes pour le risque opérationnel: comment économiser les fonds propres?"
Banque Magazine n°641, Novembre 2003, Edition Revue BANQUE, Paris, pages 66-67.

7) BARRION Laurence, BEN SALEM Mourad,"Vers un risque opérationnel mieux géré


et mieux contrôlé", BANQUE stratégie, janvier 2002, n° 189, REVUE BANQUE
EDITIONS, Paris, p 2 à 4.

8) CATERINE Benoit & RIVIERE Olivier, "Risque opérationnels : indicateurs, le


chainon manquant" Banque Magazine, n°641, Novembre 2002, pages 68-69.

9) FARCHOT Antoine & RONCALLI Thierry : "mixing internal and external data for
managing Operational Risk", Groupe de Recherche Opérationnelle (GRO), Crédit
Lyonnais, Paris, Janvier 2002.

10) MAURER Frantz, "Quelles données pour le risque opérationnel ? ", BANQUE
stratégie, Novembre 2006, N° 242, REVUE BANQUE EDITIONS, Paris, p 30 à 38.

11) ROY-LARENTRY Céline, Olivier RIVIERE, "Risque Opérationnel : Les


enseignements de l’exercice de collecte des pertes en 2002", BANQUE stratégie, N°
647, Mai 2003, REVUE BANUUE EDITIONS Paris, p 62 à 64

107
12) VERET Catherine, "l'assurance comme technique de réduction de risques", Revue
d'Economie Financière n° 84 Juin 2006, Edition: l'Association d'Economie Financière,
Paris, p 73 à 92.

(III) SEMINAIRES ET AUTRES:

13) INEUM Consulting: "Préparation des banques à l’application des normes Bâle II",
séminaire ABEF, Alger, 16 Novembre 2006.

14) LAWERENCE David: "Loss data approach", Séminaire à Citi Bank, Septembre
2003.

15) MEKOUAR Rachid: "quantification des risques dans le secteur bancaire; approches
résultant des recommandations du Comité de Bâle 2", séminaire AMRAE, 2003.

16) MEKOUAR Rachid: "quantification des risques dans le secteur bancaire; approches
résultant des recommandations du Comité de Bâle 2", séminaire AMRAE, 2003.

17) ZUBERBUHLER Daniel: " Bâle II: incidences sur les banques suisses et leurs
crédits aux PME", Commission Fédérale des Banques Suisses, CVCI - Assemblée
générale du 9 avril 2003.

18) "Document de Référence pour l'année 2006", Groupe Société Générale, 2006.
19) "Document de Référence pour l'année 2007", Groupe Société Générale, 2007.
20) "Risques Opérationnels et stratégie bancaire", Séminaire à KPMG, Décembre 2003.
21) "The Operationnel Risk Directory 2005", OpeRisk Advisory, mai 2005.

(IV) TEXTES REGLEMENTAIRES:


22) "Convergence internationale de la mesure et des normes de fonds propres, dispositif
révisé", Comité de Bâle, Juin 2003.

23) "Deuxième document consultatif sur la revision des exigencies en fonds propres",
Commission Bancaire Européenne ,2003.

24) "Règlement n° 02-03 du 14 novembre 2002 portant sur le contrôle interne des
banques et des établissements financiers", Banque d'Algérie.

25) "Sound Practices for the Management and Supervision of Operational Risk", Comité
de Bâle, Juin 2003.

108
(V) SITES INTERNET

26) http://www.apbt.org.tn (Association Professionnelle Tunisienne des Banques et des


Etablissements Financiers)

27) http://www.banque-de-france.com (site de la BANQUE DE France)

28) http://www.bis.org (site de la BANQUE MONDIALE).

29) http://www.gro.creditlyonnais.fr (Groupe de recherche opérationnelle Crédit Lyonnais).

30) http://www.marches-financiers.net
31) http://www.voirin-consultants.com
32) http://www.xerion-finance.com

109
Liste des figures:
Figure n°1: Nomenclature des risques bancaires selon la Banque Mondiale.

Figure n°2: Zones de risques et fréquences des contrôles.

Figure n°3: Matrice de l'univers des risques.

Figure n°4: Organigramme fonctionnel de la Société-Générale Algérie

Figure n°5: Classification des risques opérationnels au Groupe Société-Générale

Figure n°6: Exemple de saisie d'événement de perte sur OpeRisk Monitor

Liste des graphiques:


Graphique n°1 : Allocation des fonds propres réglementaires aux catégories de risques.

Graphique n°2: Répartition des pertes opérationnelles au Groupe SG entre (2001 et 2004).

Liste des tableaux:


Tableau n°1: Facteurs de pondération relatifs aux PNB des lignes-métier dans une Approche
Standardisée.

Tableau n°2: Exemple de critères d'appréciation du risque brut.

Tableau n°3: Tableau d'appréciation du dispositif de maitrise du risque.

Tableau n°4: Calcul du score final dans la méthode des Scorecards.

Tableau n°5: Exemple de distribution de pertes de (PE, LGE)

Tableau n° 6 : Loi de probabilité de la Distribution de la perte finale

Tableau n° 7: Probabilités cumulées de la perte totale.

Tableau n° 8: Evolution du PNB et des Fonds Propres Moyens pour la période (2005-2007)

Tableau n°9: Propriétés d'un Indicateur Clé de Risque

Tableau n°10: Exemples de KRI pour les deux premières lignes de métier

Tableau n°11: Exemple de risque évalué à la Scorecard Métier "Sécurité des systèmes
d'information" SGA.

Tableau n°12: Exemple de réalisation des AS sur la base des cartographies du RCSA.

Tableau n°13: Exemple de contrôle de cohérence entre les données de pertes et de l'AS.
110
Table des matières

INTRODUCTION GENERALE...................................................................................... 01

CHAPITRE PRELIMINAIRE......................................................................................... 03

1- Le risque de Crédit....................................................................................................... 03

2- Le risque de Marché.....................................................................................................03

3- Le risque Opérationnel................................................................................................. 04

4- Autres Risques............................................................................................................. 04

CHAPITRE I: ACCORDS DE BALE ET RISQUE OPERATIONNEL..................... 07

SECTION 1: HISTORIQUE DES ACCORDS DE BALE............................................... 09


1- Les missions du Comité de Bâle....................................................................... 09
2- Le statut du Comité de Bâle............................................................................. 10
3- Les travaux du Comité de Bâle......................................................................... 10
a- Bâle I (Ratio Cooke)..................................................................................... 12
b- L’amendement de 1996 et la proposition de Juin 1999................................ 14
SECTION2: STRUCTURE DES NOUVEAUX ACCORDS (LES PILIERS DE BALE II).... 16
1-Pilier 1: Exigences minimales en fonds propres................................................ 17
a- Détermination des exigences en FP pour le risque de crédit.......................... 18
b- Détermination des exigences en FP pour le Risque de Marché................... 19
c- Détermination des Exigences en FP pour le Risque Opérationnel............... 19
2- Piler 2: Processus de surveillance prudentielle................................................. 21
3- Pilier 3: Discipline de marché........................................................................... 22
SECTION 3: CLASSIFICATION DES RISQUES OPERATIONNELS DANS BALE II... 23
1- Décomposition de la banque en lignes de métier............................................. 23
2- Classification des risques par types d'événements............................................ 25
3- Autres classifications........................................................................................ 27
CONCLUSION........................................................................................................... 29

111
CHAPITRE II: DETERMINATION DES EXIGENCES EN FONDS PROPRES ET
MESURE DU RISQUE OPERATIONNEL................................................................ 30
SECTION1: APPROCHE PAR INDICATEUR DE BASE (B.I.A).................................. 32
SECTION2: APPROCHE STANDARDISEE (S.A)...................................................... 33
Critères d'éligibilité pour l'Approche Standard..................................................... 34
a- Critères généraux.......................................................................................... 34
b- Critères qualitatifs......................................................................................... 34
SECTION3: APPROCHE PAR LES MESURES AVANCEES (A.M.A)........................... 35
Critères d'éligibilité pour les Méthodes Avancées................................................ 35
a- Critères qualitatifs......................................................................................... 35
b- Critères quantitatifs....................................................................................... 36
SECTION4: MESURE DU RISQUE OPERATIONNEL................................................. 38
1- Cartographie des risques opérationnels............................................................. 39
Démarche de la cartographie des risques.............................................................. 39
a- Représentation des processus d'activités et risques associés........................ 40
b- Identification et évaluation des risques bruts................................................ 40
c- Appréciation du dispositif de maitrise et évaluation du risque net............... 41
d- Classification des risques.............................................................................. 42
2-Mesure du risque opérationnel par la méthode Scorecard................................. 43
a- Définition des éléments influençant le score................................................ 43
b- Particularités de la Méthode Scorecard........................................................ 44
3- Méthode des Scénarios..................................................................................... 46
a- Génération et choix des scénarios................................................................. 47
b- validation des scénarios proposés................................................................. 48
c- Appréciation de la qualité des données......................................................... 48
d- Détermination du modèle et des paramètres................................................. 48
e- Restitution des résultats................................................................................ 49
4- Méthode des Données de Pertes Internes (LDA).............................................. 49
a- Principe de l'approche LDA.......................................................................... 49
b- Démarche de l'approche LDA....................................................................... 50
c- Difficulté de mise en œuvre d'une approche LDA........................................ 54
CONCLUSION............................................................................................................ 55

112
CHAPITRE III : METHODES DE COUVERTURE DES RISQUES
OPERATIONNELS........................................................................................................... 58

SECTION1: COUVERTURE INTERNE DES RISQUES................................................. 59


1- La Continuité des Activités............................................................................... 59
a- Analyse des risques, processus, et besoins de continuité.............................. 60
b- Plan de prévention et proposition de solutions en cas de crise..................... 61
c- Mise en place du dispositif de continuité opérationnelle.............................. 62
d- Maintient du PCA en condition opérationnelle............................................ 62
2- La Délégation des Pouvoirs.............................................................................. 63
3- Charte d'Ethiques...............................................................................................64
4- Couverture Budgétaire des Sinistres................................................................. 64
SECTION2: COUVERTURE EXTERNE DES RISQUES................................................ 66
1- Les contrats d'assurances.................................................................................. 66
a- Types de risques couverts par les assurances................................................ 67
b- Les types d'assurances.................................................................................. 68
c- Limites à la couverture des risques opérationnels par voie d'assurance....... 69
2- L'Externalisation d'activité................................................................................ 69
Les risques associés à une externalisation........................................................ 70
3- Le transfert du risque sur un marché (utilisation des produits dérivés)............ 71
CONCLUSION............................................................................................................ 72

CHAPITRE IV: CAS DE LA GESTION DES RISQUES OPERATIONNELS A LA


SOCIETE GENERALE ALGERIE................................................................................... 74

SECTION1: PRESENTATION DE LA STRUCTURE D'ACCUEIL..................................... 77


1-Aperçu historique sur le Groupe SG.................................................................. 77
2- Organigramme de la S.G.A et place de la cellule Risque Opérationnel........... 78
3- Quelques Chiffres sur le Groupe Société Générale.......................................... 80
SECTION2: CLASSIFICATION ET CARTOGRAPHIE DES R.O A LA S.G.A............... 82
1-Définition et Référentiel des Risques Opérationnels au Groupe SG............................ 82

2- Cartographie des risques intrinsèques à la S.G.A........................................................ 84


Analyse de la cartographie des risques intrinsèques de la S.G.A................................ 85

113
SECTION3: DISPOSITIF DE MESURE DES R.O AU GROUPE SOCIETE GENERALE.. 86
1- La collecte des pertes internes..................................................................................... 86
a- Objectif de la collecte des pertes................................................................... 87
b- Le type de pertes à déclarer.......................................................................... 87
c- Les seuils de déclaration et les pertes à déclarer........................................... 88
d- La déclaration d'un événement de perte........................................................ 89
e- La validation de la déclaration...................................................................... 90
f- La modification/ suppression d'une déclaration............................................ 90
g- Présentation de l'outil de saisie des pertes "OpRisk Monitor"...................... 90
2- Le Suivi des Indicateurs Clés de Risque (KRI)........................................................... 92
a- Objectif des KRI........................................................................................... 92
b- Détermination des KRI................................................................................. 92
c- Référentiel des KRI à la SGA...................................................................... 93
3- L'Exercice RCSA (Risk & Control Self Assessement)..................................... 94
Démarche de l'Exercice RCSA............................................................................. 95
a- Elaboration de la cartographie des risques intrinsèques............................... 95
b- Evaluation du dispositif de prévention et de contrôle.................................. 95
c- Elaboration de la Cartographie des risques résiduels.................................... 97
d- Fréquence de l'Exercice RCSA..................................................................... 99
4- L'Analyse des Scénarii..................................................................................... 99
a- Les Grandes Etapes d'une Analyse de Scénarii (AS)................................... 99
b- Les Scénarios extrêmes................................................................................ 100
c- Les critères liés à la "zone de risque" objet de l'AS...................................... 100
d- Cohérence entre les pertes estimées par l'AS et les données de pertes......... 101
e- Validation et mise à jour de la liste des scénarios........................................ 102
CONCLUSION........................................................................................................... 103

CONCLUSION GENERALE........................................................................................... 105

Bibliographie............................................................................................................ 107

Liste des Figures................................................................................................................. 110

Liste des graphiques.......................................................................................................... 110

Liste des tableaux................................................................................................................ 110

114