Les principes de gestion du risque

operationnel et de resilience
operationnelle
Auteur : RSBP-TN
Ce document a été compilé pour être utilisé dans le cadre du Programme régional pour les petites entreprises
(RSBP). Le document est disponible dans la section Bibliothèque de la plate-forme de partage et d'échange de
connaissances RSBP sur www.rsbp-tn.org

D
’une manière générale, la gestion des risques englobe le processus
d'identification des risques auxquels la banque est exposée, la mesure des
expositions à ces risques, la mise en place d'un programme efficace de
planification et de surveillance des fonds propres, la surveillance permanente des
expositions aux risques et des besoins en fonds propres correspondants, la prise
de mesures pour contrôler ou atténuer les expositions aux risques et la
communication à la direction générale et au conseil d'administration des
expositions aux risques et des positions en fonds propres de la banque.
Le Comité de Bâle sur le contrôle bancaire a récemment entamé des travaux
relatifs au risque opérationnel. La gestion de ce risque devient un élément
important d'une bonne pratique de gestion des risques par les banques.
Le risque opérationnel est inhérent à tous les produits, services et activités
bancaires, et la gestion efficace de ce risque (opérationnel) a toujours été à la base
du programme de gestion des risques d'une banque. Les types les plus importants
de risque opérationnel concernent les défaillances des contrôles internes et de la
gouvernance d'entreprise. Ces défaillances peuvent entraîner des pertes
financières dues à des erreurs, à des fraudes ou à l'incapacité d'exécuter les tâches
en temps voulu, ou compromettre les intérêts de la banque d'une autre manière.
D'autres aspects du risque opérationnel comprennent les défaillances majeures
des systèmes de technologie de l'information ou des événements tels que des
incendies majeurs ou d'autres catastrophes.
Le Comité de Bâle sur le contrôle bancaire a introduit ses principes de bonne
gestion du risque opérationnel en 2003, avant de les réviser en 2011 pour y
intégrer les leçons tirées de la crise financière mondiale de 2007-2009. En 2014, le
Comité a procédé à un examen de la mise en œuvre des principes et a proposé

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
des révisions des approches standardisées pour le calcul du capital pour le risque
opérationnel. En décembre 2017, les réformes de Bâle III finalisées ont complété
les améliorations du dispositif réglementaire mondial. Les révisions ont visé à
restaurer la crédibilité du calcul des actifs pondérés en fonction des risques (RWA)
et à améliorer la comparabilité des ratios de fonds propres des banques en
renforçant la solidité et la sensibilité au risque et en restreignant l’utilisation des
approches fondées sur les modèles internes pour le risque de crédit et le risque
opérationnel. Le Comité a donc rationalisé le cadre du risque opérationnel en
proposant une seule approche standard de sensibilité au risque, applicable à
toutes les banques.
En mars 2021, le Comité de Bâle sur le contrôle bancaire a publié des
principes de la résilience opérationnelle, qui visent à rendre les banques plus
aptes à résister, à s'adapter et à se redresser en cas d'événements adverses
graves. Outre ces principes de résilience opérationnelle, le Comité publie
également des révisions de ses principes de bonne gestion du risque opérationnel
qui reflètent la relation entre la résilience opérationnelle et le risque opérationnel.
Ce document présente les principes de gestion du risque opérationnel ainsi ceux
de la résilience opérationnelle proposés par le Comité de Bâle sur le contrôle
bancaire.

1. Les définitions du risque opérationnel

Le risque opérationnel est inhérent à tous les produits, activités, processus et

systèmes bancaires. Il est défini dans le cadre du capital comme étant le risque de
perte résultant de processus internes (personnes et systèmes inadéquats ou
défaillants) ou d'événements externes. Cette définition inclut le risque juridique,
mais exclut le risque stratégique et le risque de réputation. La gestion efficace du
risque opérationnel est un élément fondamental du programme de gestion des
risques d'une banque. Une gestion saine du risque opérationnel reflète l'efficacité
du conseil d'administration, et de la direction générale.

La définition du risque opérationnel a été souvent critiquée vu la difficulté de

mesurer certaines pertes. La définition proposée par le Comité de Bâle inclut
l'erreur humaine, la fraude et la malveillance, les défaillances des systèmes
d'information, les problèmes liés à la gestion du personnel, les litiges
commerciaux, les accidents, les incendies ainsi que les inondations... Autant
dire que son champ d'application semble si large qu'on n'en perçoit pas

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
immédiatement l'application pratique. La notion de risque opérationnel apparaît
à première vue peu innovante, puisque les banques n'ont pas attendu le Comité
de Bâle pour organiser leurs activités sous forme de procédures, et développer
des services d'audit interne pour vérifier la bonne application de ces procédures.
Cependant, des faillites spectaculaires ont attiré l'attention des régulateurs sur la
nécessité de doter les banques de mécanismes de prévention et de couverture
contre les risques opérationnels (par l'allocation de fonds propres dédiés).
La mise en œuvre préconisée par un nombre croissant d'études sur ce sujet est
de considérer comme un risque opérationnel réel : tout événement qui
perturbe le déroulement normal des processus d'affaires et qui génère une
perte financière ou une atteinte à l'image de la banque (bien que ce dernier
résultat ait été explicitement exclu de la définition du Comité de Bâle, il reste
toujours une préoccupation majeure).
Une gestion proactive du risque opérationnel, en plus de permettre le respect des
exigences du Comité de Bâle, conduit nécessairement à une amélioration des
conditions de production : rationalisation des processus qui se traduit par une
productivité accrue, amélioration de la qualité conduisant à une meilleure image
de marque... En particulier, une telle approche permet de développer des outils
quantitatifs qui définissent des objectifs mesurables pour les équipes
opérationnelles en termes de réduction du risque opérationnel. L'environnement
général favorise une plus grande prise en compte du risque opérationnel qui
devient, au même titre que la gestion du risque de crédit et du risque de marché,
une composante intrinsèque des activités bancaires.

Le développement d'une méthode de suivi du risque opérationnel se heurte

cependant à de nombreux freins internes, qu'ils soient psychologiques ou
organisationnels. La direction elle-même peut avoir tendance à minimiser l'impact
du risque opérationnel, car il s'accompagne toujours d'un côté "erreur humaine"
qui engagent la responsabilité des cadres supérieurs et les aspects qu'ils préfèrent
ignorer. Cependant le sujet s'impose et le corpus méthodologique s'étoffe et se
structure progressivement.

Mise en place du suivi du risque opérationnel

La première étape du processus de suivi du risque opérationnel consiste à établir

une cartographie des risques. Cette cartographie s'appuie sur une analyse des
"business processus", qui se croisent avec la typologie du risque opérationnel.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Un business processus métier est un ensemble de tâches coordonnées, qui visent
à fournir un produit ou un service aux clients. La définition des business processus
correspond essentiellement à une analyse ''business-oriented'' de l'activité de la
banque, et non à une analyse organisationnelle. La détermination des business
processus commence donc par l'identification des différents produits et services,
puis des acteurs (qui peuvent appartenir à différentes entités au sein de
l'organisation) et des tâches impliquées dans la fourniture de ces produits.
Ensuite, à chaque étape du processus, il faut attribuer les incidents susceptibles
de perturber son déroulement et d'empêcher l'atteinte de ses objectifs (en termes
de résultats concrets, ou en termes de temps). Pour chaque événement, le risque
est évalué en termes de : probabilité d'occurrence, perte résultante en cas de
réalisation.
Chaque événement à risque potentiel doit être affecté à une catégorie de risque
(ce qui facilite et accélère l'analyse des données futures) et, en termes
d'organisation, à l’unité/département (« business line » en anglais) où l'incident
surviendrait. Le Comité de Bâle a défini des listes types pour ces sujets.
La classification des risques doit correspondre à la vue d'ensemble souhaitée par
le management, doit permettre des analyses synthétiques transversales à
l'ensemble des activités et à ce titre doit être établie par une direction centrale des
risques. En revanche, pour être réaliste et utile, l'analyse des business processus
et des risques encourus doit être confiée aux opérationnels concernés. Ils
utiliseront un cadre rigoureux, identique pour tous, mais qui leur permet de
décrire leurs activités.
Enfin, la cartographie ne serait pas complète si elle ne s'accompagne pas de
l'identification d'indicateurs clés de risque : ce sont des éléments quantifiables
susceptibles d'augmenter la probabilité de survenance d'un risque : nombre
d'opérations traitées, taux d'absentéisme, etc. Cette notion est connue comme
étant la "méthode du tableau de bord".
L'identification initiale des risques débouche sur une cartographie "théorique" des
activités, cependant l'expérience ne permet que d'une part, de valider cette
description et d'autre part, d'identifier les domaines d'activité sensibles afin de
mettre en place des contrôles adaptés. Il est alors temps de collecter les incidents
observés dans une base de données historique, qui permet d'évaluer les pertes
réelles causées par les risques opérationnels (données de perte).
La collecte des données se fait généralement en mode déclaratif. Les
opérationnels remplissent des formulaires standardisés, qui sont ensuite saisis
dans une base de données, ou saisissent directement les données dans
l'application. Pour des incidents tels que des pannes d'ordinateurs, il est possible
d'envisager une collecte de données automatique ou semi-automatique (un

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
"rapport de panne" créé automatiquement est ensuite complété manuellement
avec les montants des pertes encourues). De telles bases de données, alimentées
pendant plusieurs années consécutives, se transforment en une source précieuse
d'informations pour la gestion du risque opérationnel. Ces données permettent
de dégager une vision objective et quantifiée des risques encourus, à condition
qu’elles aient été collectées de manière fiable et réaliste.
La collecte de données sur les sinistres s'appuie sur la carte précédemment établie
pour enregistrer et référencer les incidents ce qui permet également, par un effet
rétroactif, de régler la carte. Il existe également des bases de données similaires,
mais provenant de sources externes. Ces données complètent les données
collectées en interne puisque les bases de données historiques n'enregistrent par
définition que les incidents déjà survenus dans la banque. Afin d'obtenir une
mesure plus réaliste, un échantillon de données provenant d'autres institutions
est ajouté. Ces données nécessitent cependant un effort d'analyse et d'adaptation
à la situation spécifique de la banque.
L'analyse statistique des données de perte enregistrées permet de construire un
graphique des événements de perte, qui vont d'événements fréquents avec un
impact financier limité, à des événements extrêmement rares avec des
conséquences catastrophiques. Cette répartition des risques peut ensuite être
utilisée pour effectuer toutes sortes de calculs sophistiqués.

2. Les mesures du risque opérationnel

La nécessité de mesurer le risque opérationnel découle des recommandations du
Comité de Bâle, qui obligent les banques à allouer un montant de fonds propres
suffisant pour couvrir leur risque opérationnel.

Théoriquement, ce montant de fonds propres devrait correspondre à la perte

maximale encourue en raison du risque opérationnel dans la banque, avec une
probabilité élevée (99%) dans un horizon de temps donné (par exemple, un an). Il
s'agit donc essentiellement d'une "Value at Risk" (VaR). La question est de savoir
comment calculer cette VaR.
Il existe des méthodes de mesure « indépendantes » qui ne sont pas issues d'une
décision du régulateur, ou plus précisément qui ne rentrent dans la catégorie des
« méthodes avancées » du Comité de Bâle mais qui souvent utilisées (par ex :
méthodes statistiques, approches basées sur des scénarios et approches de
tableau de bord).

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Le Comité de Bâle a introduit des principes pour une gestion saine du risque
opérationnel en 2003. L'une des principales innovations de l'accord de Bâle II par
rapport à Bâle I a été non seulement d'exiger l'allocation de capital pour couvrir le
risque opérationnel mais aussi de plaider pour un système de gestion du risque
opérationnel.
Bâle II a proposé aux banques trois méthodes de calcul des fonds propres. La
méthode choisie doit être cohérente au sein d'un groupe bancaire.

1. La méthode d'indicateur de base consiste à appliquer une pondération de

15% au moyen du Produit Net Bancaire des trois derniers exercices (Capital
Requis= Moyenne (3derniers PNB) *0.15).

2. L'approche standardisée permet d'appliquer un coefficient multiplicatif qui

dépend du business (Capital Requis= Moyenne (3derniers PNB) *Facteur
multiplicatif).

3. Enfin l'approche avancée permet à la banque de construire sa propre

méthode d'évaluation et de calcul du risque opérationnel.

La méthode retenue ainsi que les conditions de mise en œuvre (existence d'une
structure centralisée de contrôle des risques, fréquence et pertinence du
reporting...) doivent être soumises à l'approbation préalable du régulateur. Pour
être éligible, cette méthode nécessite que les données suivantes soient
disponibles : données de pertes internes (spécifiques à la banque), données
sinistres externes (bases de données transversales pour l'ensemble de la
profession), analyse des scénarios d'événements potentiels, environnement des
affaires et facteurs de contrôle interne.

Le Comité de Bâle s'est particulièrement attaché à définir une classification type

des business et des risques opérationnels.
La maîtrise et l'atténuation du risque opérationnel ramènent à la cartographie des
risques. Il faut d'abord déterminer un niveau de risque acceptable, puis identifier
les actions requises pour ramener le risque "inhérent" (risque existant avant
l'application des mesures préventives) à ce niveau. La mise en œuvre des mesures
de contrôle et des plans d'action résulte alors d'un compromis entre le coût
d'exécution et le niveau de risque obtenu.

Le Comité de Bâle en 2011 a révisé les différents principes concernant le risque

opérationnel proposés par le Comité de Bâle II pour intégrer les enseignements

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
de la crise financière mondiale de 2007-2009. Le Comité a également reconnu que
les principes de 2011 ne tenaient pas suffisamment compte de certaines sources
importantes de risque opérationnel, telles que celles découlant des risques liés
aux technologies de l'information et de la communication (TIC). Aussi, les risques
stratégiques et de réputation n'ont pas été pris en compte par la gestion des
risques opérationnels des banques. D'autres révisions ont été apportées pour
assurer la cohérence avec le nouveau cadre de risque opérationnel dans la
révision des réformes de Bâle III en décembre 2017.

À la suite de la crise financière mondiale de 2007-09, deux lacunes principales ont

été constatées au niveau des exigences concernant le risque opérationnel.
Premièrement, les exigences de fonds propres en matière de risque opérationnel
sont insuffisantes pour surmonter certains chocs dus au risque opérationnel.
Deuxièmement, la nature des pertes opérationnelles a montré des difficultés au
niveau des modèles internes utilisés pour fixer les exigences en matière des fonds
propres. Les nouvelles approches de décembre 2017 portent sur deux éléments
de base pour la détermination des exigences de fonds propres :

(1) une mesure du revenu de la banque est mise en place

(2) une mesure des pertes historiques de la banque est exigée

L'idée de base est que le risque opérationnel augmente rapidement tant que le
revenu de la banque augmente. Aussi, les banques qui ont déjà subi des pertes
liées au risque opérationnel sont plus susceptible de les subir de nouveau à
l'avenir. C'est à partir de ces constatations que les exigences de fonds propres à
l'égard du risque opérationnel, en décembre 2017, ont été reformulées, de tel
sorte que :
Fonds propres au titre du risque opérationnel = BIC x ILM
Où :
BIC (Business Indicator Component) = ∑(𝛼𝑖 . 𝐵𝐼𝑖 )
BI (Business Indicator) est la somme de trois composantes : intérêts, crédits-bails
et dividendes ; services ; et une composante financière.
𝛼𝑖 est une série de coefficients marginaux qui sont multipliés par le BI sur la base
de trois tranches (i=1, 2, 3 caractérisant la tranche),
L’ILM (Internal Loss Multiplier) est une fonction du BIC et de la composante perte
(LC), où le LC est fixé à être égale à 15 fois les pertes historiques moyennes d’une
banque sur les 10 dernières années.
En général, les autorités de contrôle peuvent fixer un ILM = 1 pour toutes les
banques de leur juridiction. C'est ainsi que les exigences de fonds propres sont

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
fixées seulement par le BIC. Pour rendre les comparaisons entre les banques
faciles, toutes les banques doivent présenter leurs pertes historiques liées au
risque opérationnel, y compris dans les juridictions où l’ILM est égale à 1.

En 2014, le Comité a procédé de nouveau à un examen de la mise en œuvre des

principes. L'examen de 2014 a révélé que plusieurs principes n'avaient pas été
correctement mis en œuvre et que des orientations supplémentaires sont
nécessaires pour faciliter leur mise en œuvre dans plusieurs domaines.
Une bonne gouvernance interne constitue le fondement d'un Operational Risk
Management Framework (ORMF) efficace et adéquat. D'une façon générale, les
contrôles internes sont généralement intégrés dans les activités quotidiennes
d'une banque et sont conçus pour : garantir, dans la mesure du possible, que les
activités de la banque sont efficientes et efficaces ; que ces informations sont
fiables, opportunes et complètes ; et que la banque respecte les lois et
réglementations en vigueur.

3. Les lignes de défense

Les banques s'appuient généralement sur trois lignes de défense : (i) la gestion
des unités commerciales ; (ii) une fonction indépendante de gestion du risque
opérationnel d'entreprise (Corporate Operational Risk management Function
CORF) ; et (iii) une assurance indépendante. Selon la nature, la taille et la
complexité de la banque, ainsi que le profil de risque de ses activités, le degré de
formalité de la mise en œuvre de ces trois lignes de défense variera.

Assurer des lignes de défense efficaces

Les banques doivent veiller à ce que chaque ligne de défense :

• dispose de ressources adéquates en termes de budget ;
• dispose d'outils et de personnel ;
• a des rôles et des responsabilités clairement définis ;
• est formée de manière continue et adéquate ;
• promeut une solide culture de gestion des risques dans l'ensemble de
l'organisation ;
• et communique avec les autres lignes de défense pour renforcer l'ORMF.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Le Comité a souligné que, malgré le modèle des trois lignes de défense largement
adopté par les banques, la confusion autour des rôles et des responsabilités
entrave parfois son efficacité. Ainsi, la révision des Principes est également
l'occasion de souligner que ce modèle doit être utilisé de manière adéquate et
proportionnelle par les institutions financières pour gérer chaque type de sous-
catégorie de risque opérationnel, y compris le risque ICT.

1ère ligne de défense : la gestion des unités commerciales

Dans la pratique de l'industrie, la première ligne de défense est la gestion des

unités commerciales. Une bonne gouvernance du risque opérationnel reconnaît
que la direction de l'unité commerciale est responsable de l'identification et de la
gestion des risques inhérents aux produits, activités, processus et systèmes dont
elle est responsable. Les banques devraient avoir une politique qui définit
clairement les rôles et les responsabilités des unités opérationnelles concernées.
Les responsabilités d'une première ligne de défense efficace dans la promotion
d'une culture solide de gestion du risque opérationnel devraient inclure :

• l'identification et l’évaluation de l'importance des risques opérationnels inhérents

à leurs unités d'affaires respectives grâce à l'utilisation d'outils de gestion des
risques opérationnels ;
• l'établissement des contrôles appropriés pour atténuer les risques opérationnels
inhérents et évaluer la conception et l'efficacité de ces contrôles grâce à
l'utilisation d'outils de gestion des risques opérationnels ;
• la signalisation si les unités opérationnelles manquent de ressources, d'outils et
de formation adéquats pour assurer l'identification et l'évaluation du risque
opérationnel ;
• la surveillance et la prise en compte des profils de risque opérationnel des unités
opérationnelles ainsi que l'assurance qu'elles respectent la déclaration d'appétit
et de tolérance au risque opérationnel établie ;
• la signalisation des risques opérationnels résiduels non atténués par les contrôles,
y compris les événements de perte opérationnelle, les lacunes des contrôles, les
insuffisances des processus et le non-respect des tolérances au risque
opérationnel.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
2ème ligne de défense : une fonction indépendante de gestion du risque
opérationnel d'entreprise, le CORF.

Un CORF fonctionnellement indépendant est généralement la deuxième ligne de

défense. Les responsabilités d'une deuxième ligne de défense efficace devraient
inclure :
• le développement d'une opinion indépendante concernant (i) les risques
opérationnels importants identifiés dans les unités opérationnelles, (ii) la
conception et l'efficacité des contrôles clés, et (iii) la tolérance au risque ;
• la contestation de la pertinence et la cohérence de la mise en œuvre par l'unité
opérationnelle des outils de gestion du risque opérationnel, des activités de
mesure et des systèmes de reporting, et l'apport de preuve de ce défi efficace ;
• l'élaboration et la mise à jour des politiques, des normes et des lignes directrices
en matière de gestion et de mesure du risque opérationnel ;
• l'examen et la contribution au suivi et au reporting du profil de risque
opérationnel ;
• la dispense d'une formation sur les risques opérationnels et inculquer une
sensibilisation aux risques.

Le degré d'indépendance de la CORF peut différer d'une banque à l'autre. Dans

les petites banques, l'indépendance peut être obtenue grâce à la séparation des
tâches et à un examen indépendant des processus et des fonctions. Dans les
grandes banques, la CORF devrait avoir une structure hiérarchique indépendante
des unités commerciales génératrices de risques et être responsable de la
conception, de la maintenance et du développement continu de l'ORMF au sein
de la banque. Le CORF engage généralement des groupes de contrôle d'entreprise
pertinents (par exemple, Conformité, Juridique, Finance et Informatique) pour
soutenir son évaluation des risques opérationnels et des contrôles. Les banques
devraient avoir une politique définissant clairement les rôles et les responsabilités
de la CORF, reflétant la taille et la complexité de l'organisation.

3ème ligne de défense : une assurance indépendante

La troisième ligne de défense fournit une assurance indépendante au conseil

d'administration du caractère approprié de l'ORMF de la banque. Le personnel de
cette fonction ne devrait pas être impliqué dans le développement, la mise en

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
œuvre et le fonctionnement des processus de gestion des risques opérationnels
par les deux autres lignes de défense. Les examens de la troisième ligne de
défense sont généralement effectués par l'audit interne et/ou externe de la
banque, mais peuvent également impliquer d'autres tiers indépendants dûment
qualifiés. L'étendue et la fréquence des examens doivent être suffisantes pour
couvrir toutes les activités et entités juridiques d'une banque.

4. La gouvernance et l’environnement
Étant donné que la gestion des risques opérationnels évolue et que
l'environnement des affaires change constamment, la haute direction doit
s'assurer que les politiques, processus et systèmes de l'ORMF restent
suffisamment robustes pour gérer et garantir que les pertes opérationnelles sont
traitées de manière adéquate et en temps opportun. Les améliorations de la
gestion du risque opérationnel dépendent fortement de la volonté de la Direction
Générale d'être proactive et d'agir rapidement et de manière appropriée pour
répondre aux préoccupations des gestionnaires du risque opérationnel.
Concernant les Principes de bonne gestion du risque opérationnel, le Conseil
d'Administration (CA) doit prendre l'initiative d'établir une culture de
gestion des risques solide, mise en œuvre par la Direction Générale. Le
Conseil d'Administration et la Direction Générale devraient établir une culture
d'entreprise guidée par une solide gestion des risques, établir des normes et des
incitations pour un comportement professionnel et responsable, et veiller à ce que
le personnel reçoive une formation appropriée en matière de gestion des risques
et d'éthique. Les banques doivent élaborer, mettre en œuvre et tenir à jour un
cadre de gestion du risque opérationnel pleinement intégré dans les processus
globaux de gestion du risque de la banque. Il convient de noter que l'ORMF adopté
par une banque individuelle dépendra d'une série de facteurs, notamment la
nature, la taille, la complexité et le profil de risque de la banque.
Dans le cadre de la Gouvernance, le Conseil d'Administration devrait approuver et
revoir périodiquement le cadre de gestion du risque opérationnel et veiller à ce
que la Direction Générale mette en œuvre efficacement les politiques, les
processus et les systèmes du cadre de gestion du risque opérationnel à tous les
niveaux de décision. Aussi bien, il doit approuver et réviser périodiquement une
déclaration d'appétence et de tolérance au risque pour le risque opérationnel qui
précise la nature, les types et les niveaux de risque opérationnel que la banque
est prête à assumer. Dans le même ordre d'idées, la Direction Générale devrait
élaborer, pour approbation par le Conseil d'Administration, une structure de

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
gouvernance claire, efficace et solide avec des lignes de responsabilité bien
définies, transparentes et cohérentes. La Direction Générale est responsable aussi
de la mise en œuvre et du maintien constant dans l'ensemble de l'organisation
des politiques, processus et systèmes de gestion du risque opérationnel dans tous
les produits, activités, processus et systèmes importants de la banque,
conformément à la déclaration d'appétence et de tolérance au risque de la
banque.
En ce qui concerne l'environnement de gestion des risques, le premier point porte
sur l'identification et l'évaluation. A ce niveau, La Direction Générale doit assurer
l'identification et l'évaluation complètes du risque opérationnel inhérent à tous les
produits, activités, processus et systèmes importants afin de s'assurer que les
risques inhérents et les incitations sont bien compris. La Direction Générale
devrait s'assurer que le processus de gestion du changement de la banque est
complet, doté des ressources appropriées et bien articulé entre les lignes de
défense pertinentes.
Le deuxième point est celui du monitoring (ou suivi) et reporting. C'est ici que la
Direction Générale devrait mettre en œuvre un processus pour surveiller
régulièrement les profils de risque opérationnel et les expositions opérationnelles
importantes. Des mécanismes de signalement appropriés doivent être en place
au niveau du Conseil d'Administration, de la Direction Générale et des unités
commerciales pour soutenir la gestion proactive du risque opérationnel.
Au niveau du Contrôle et atténuation, les banques doivent disposer d'un
environnement de contrôle solide qui utilise des politiques, des processus et des
systèmes ; des contrôles internes appropriés ; et des stratégies appropriées
d'atténuation et/ou de transfert des risques.
Le quatrième point est porte sur les Technologies de l'information et de la
communication. Les banques doivent mettre en œuvre un programme solide de
gestion des risques liés aux TIC conformément à leur cadre de gestion du risque
opérationnel.
Le cinquième point est la planification de la continuité des activités : les banques
doivent mettre en place des plans de continuité des activités pour garantir leur
capacité à fonctionner de manière continue et limiter les pertes en cas de
perturbation grave des activités. Les plans de continuité des activités doivent être
liés au cadre de gestion du risque opérationnel de la banque.
Le sixième point porte sur l’importance de la divulgation. Par exemple, les
déclarations publiques d'une banque doivent permettre aux parties prenantes
d'évaluer son approche de gestion du risque opérationnel et son exposition à ce
risque.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
 5. La résilience opérationnelle

Reconnaissant le potentiel accru de perturbations importantes des opérations

bancaires en raison de pandémies, de catastrophes naturelles, d'incidents de
cybersécurité ou de défaillances technologiques, le Comité de Bâle a également
élaboré des principes de résilience opérationnelle.

Dans les années qui ont suivi la crise

financière mondiale de 2007-2009, les
réformes du cadre prudentiel du
Comité de Bâle sur le contrôle bancaire
ont renforcé la surveillance du système
bancaire mondial et ont entraîné un
certain nombre de changements
structurels visant à renforcer la
résilience financière des banques. Bien
que significativement des niveaux plus élevés de fonds propres et de liquidité ont
amélioré la capacité des banques à absorber les chocs financiers, le Comité de
Bâle estime que des travaux supplémentaires sont nécessaires pour renforcer la
capacité des banques à absorber les événements liés au risque opérationnel qui
pourraient entraîner des défaillances opérationnelles importantes ou des
perturbations à grande échelle sur les marchés financiers.

À la lumière du rôle critique que jouent les banques dans le fonctionnement de

l'infrastructure financière mondiale, accroître leur résilience doit apporter des
garanties supplémentaires au système financier. Même avant la pandémie de
COVID-19, le Comité de Bâle considérait que des perturbations opérationnelles
importantes mettraient inévitablement à l'épreuve les améliorations de la
résilience du système financier réalisées depuis la crise financière de 2007-09. Au
fur et à mesure de la progression de la pandémie de COVID-19, le Comité de Bâle
a observé que les banques adaptaient rapidement leur posture opérationnelle en
réponse à de nouveaux risques ou à des changements dans les risques existants
qui se sont produits dans différentes parties de leur organisation.
Reconnaissant qu'une série de dangers potentiels ne peuvent être évités, le
Comité estime qu'une approche pragmatique et flexible de la résilience
opérationnelle peut améliorer la capacité des banques à résister aux dangers

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
potentiels, à s'y adapter et à s'en remettre, et ainsi atténuer les impacts négatifs
potentiellement graves.
Le Comité définit la résilience opérationnelle comme la capacité d'une banque
à réaliser des opérations critiques en cas de perturbation. Cette capacité
permet à une banque d'identifier et de se protéger contre les menaces et les
défaillances potentielles, de réagir et de s'adapter, ainsi que de récupérer et
d'apprendre des événements perturbateurs afin de minimiser leur impact sur la
réalisation des opérations critiques impactées perturbations. Lors de l'examen de
sa résilience opérationnelle, une banque doit partir du principe que les
perturbations se produiront et doit tenir compte de son appétence globale pour
le risque et de sa tolérance aux perturbations.
Le terme opérations critiques est basé sur les principes de haut niveau du Forum
conjoint de 2006 pour la continuité des activités. Il englobe les fonctions critiques
telles que définies par le Financial Stability Board (FSB)1 et est élargi pour inclure
les activités, les processus, les services et leurs actifs de soutien pertinents dont la
perturbation serait importante pour la poursuite des activités de la banque ou son
rôle dans le système financier. Le caractère « critique » d'une opération
particulière dépend de la nature de la banque et de son rôle dans le système
financier. La tolérance des banques aux perturbations doit être appliquée au
niveau des opérations critiques.
Les principes de résilience opérationnelle du Comité sont organisés autour des
sept catégories suivantes :
(1) Gouvernance

(2) Gestion des risques opérationnels

(3) Planification et test de la continuité des activités

(4) Cartographie des interconnexions et interdépendances des opérations critiques

(5) Gestion des dépendances tierces

(6) Gestion des incidents

1 Selon le FSB, les fonctions critiques sont définies comme « les activités exercées pour le compte de tiers dont la défaillance
entraînerait la perturbation de services vitaux pour le fonctionnement de l'économie réelle et pour la stabilité financière
en raison de la taille ou de la part de marché du groupe bancaire, des et interconnexion interne, complexité et activités
transfrontalières. Les exemples incluent les paiements, certaines activités de prêt et de dépôt dans le secteur commercial
ou de détail, la compensation et le règlement, des segments limités des marchés de gros, la tenue de marché dans certains
titres et des secteurs de prêt spécialisés très concentrés.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
(7) Technologies de l'information et de la communication (TIC) résilientes, y compris
la cybersécurité.

Les principes doivent être appliqués sur une base consolidée aux banques
conformément au champ d'application du Cadre de Bâle. Au niveau de la
première catégorie "Gouvernance", les banques doivent utiliser leur structure de
gouvernance existante pour établir, superviser et mettre en œuvre une approche
de résilience opérationnelle efficace qui leur permette de réagir et de s'adapter,
ainsi que de se remettre et d’apprendre des événements perturbateurs.

• Le conseil d'administration devrait examiner et approuver l'approche de résilience

opérationnelle de la banque en tenant compte de l'appétit pour le risque de la
banque et de sa tolérance aux perturbations de ses opérations critiques.

• La Direction Générale doit mettre en œuvre l’approche de résilience

opérationnelle de la banque et s’assurer que les ressources financières,
techniques et autres sont correctement allouées afin de soutenir l’approche
globale de résilience opérationnelle de la banque et doit fournir des rapports en
temps opportun sur la résilience opérationnelle continue des unités d'affaires de
la banque à l'appui de la surveillance du conseil.

• Le conseil d'administration doit jouer un rôle actif dans l'établissement d'une large
compréhension de l'approche de la banque en matière de résilience
opérationnelle, en communiquant clairement ses objectifs à toutes les parties
concernées, y compris le personnel de la banque, les tiers et les entités
intragroupe.

Concernant la deuxième catégorie "gestion des risques opérationnels", les

banques devraient tirer parti de leurs fonctions respectives de gestion du risque
opérationnel pour identifier en permanence les menaces externes et internes et
les défaillances potentielles des personnes, des processus et des systèmes et pour
évaluer rapidement les vulnérabilités des opérations critiques et gérer les risques
qui en résultent conformément aux approches de résilience opérationnelle.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
La catégorie "planification et test de la continuité des activités" recommande
aux banques de mettre en place des plans de continuité des activités et de mener
des exercices de continuité des activités dans une série de scénarios graves mais
plausibles afin de tester leur capacité à exécuter des opérations critiques en cas
de perturbation.

• Un plan de continuité efficace doit être tourné vers le futur lors de l'évaluation de
l'impact des perturbations potentielles. Des exercices de continuité des activités
doivent être menés et validés pour une gamme de scénarios graves mais
plausibles qui intègrent des événements et des incidents perturbateurs.

• Un plan de continuité des activités efficace doit identifier les opérations critiques
et les principales dépendances internes et externes pour évaluer les risques et
l'impact potentiel de divers scénarios de perturbation sur les opérations critiques.
Ces plans devraient intégrer des analyses d'impact sur l’entreprise et des
stratégies de reprise ainsi que des programmes de test, de formation et de
sensibilisation, et des programmes de communication et de gestion de crise.

• Les plans de continuité doivent développer, mettre en œuvre et maintenir un

exercice régulier de continuité des activités englobant les opérations critiques et
leurs interconnexions et interdépendances, y compris celles par le biais de
relations avec, mais sans s'y limiter, des tiers et des entités intragroupes. Les
exercices de continuité des activités devraient soutenir la sensibilisation du
personnel à la résilience opérationnelle, y compris la formation du personnel, afin
qu'il puisse s'adapter et réagir efficacement aux incidents.

• Les plans de continuité des activités doivent fournir des orientations détaillées
pour la mise en œuvre du cadre de reprise après sinistre de la banque. Ces plans
doivent établir les rôles et les responsabilités pour la gestion des perturbations
opérationnelles et fournir des directives claires concernant la succession de
l'autorité en cas de perturbation qui affecte le personnel clé. En outre, ces plans
doivent clairement définir le processus de prise de décision interne et définir les
déclencheurs qui vont activer le plan de continuité des activités de la banque.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
• Les plans de continuité des activités des banques pour la fourniture d'opérations
critiques et de services tiers critiques contenus dans leurs plans de redressement
et de résolution doivent être cohérents avec leurs approches de résilience
opérationnelle.

Sur le plan "cartographie des interconnexions et interdépendances des

opérations critiques", une fois qu'une banque a identifié ses opérations
critiques, elle doit cartographier les interconnexions et interdépendances internes
et externes nécessaires à la réalisation des opérations critiques conformément à
son approche de la résilience opérationnelle.

• Les fonctions respectives doivent cartographier (c'est-à-dire identifier et

documenter) les personnes, la technologie, les processus, les informations, les
installations et les interconnexions et interdépendances nécessaires pour
exécuter les opérations critiques de la banque, y compris celles qui dépendent,
mais sans s'y limiter, de tiers ou des arrangements intragroupe.

• Les banques peuvent tirer parti de leurs plans de redressement et de résolution,

le cas échéant, pour définir les opérations critiques et doivent déterminer si leurs
approches de résilience opérationnelle sont correctement harmonisées avec les
cartographies organisationnelles des opérations critiques et des services tiers
critiques contenues dans leurs plans de redressement et de résolution.

• L'approche et le niveau de granularité de la cartographie doivent être suffisants

pour permettre aux banques d'identifier les vulnérabilités et de soutenir les tests
de leur capacité à exécuter des opérations critiques en cas de perturbation,
comme décrit dans le Principe 3, compte tenu de l'appétit pour le risque et de la
tolérance de la banque aux perturbations.

"La gestion des dépendances tierces" prévoit que les banques doivent gérer
leurs dépendances vis-à-vis de certaines relations, y compris celles de tiers ou
d'entités intragroupe, mais sans s'y limiter, pour la réalisation d'opérations
critiques.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
• Les banques doivent procéder à une évaluation des risques et à une diligence
raisonnable avant de conclure des accords.

Les banques doivent élaborer des procédures appropriées de continuité des

activités et de planification d'urgence et des stratégies de sortie pour maintenir
leur résilience opérationnelle en cas de défaillance ou de perturbation chez un
tiers ayant une incidence sur la fourniture d'opérations critiques. Les scénarios
dans le cadre des plans de continuité des activités de la banque doivent évaluer la
substituabilité des tiers qui fournissent des services aux opérations critiques de la
banque, et d'autres alternatives viables qui peuvent faciliter la résilience
opérationnelle en cas de panne chez un tiers.

Au niveau de "la gestion des incidents", les banques doivent élaborer et mettre
en œuvre des plans d'intervention et de reprise pour gérer les incidents
susceptibles de perturber l'exécution d'opérations critiques, conformément à
l'appétence pour le risque et à la tolérance aux perturbations de la banque. Les
banques doivent améliorer en permanence leurs plans de réponse aux incidents
et de rétablissement en intégrant les enseignements tirés des incidents
précédents.

• Les banques doivent tenir un inventaire des réponses aux incidents et des
ressources de récupération, internes et tierces pour soutenir les capacités de
réponse et de récupération de la banque.

• La gestion des incidents doit intégrer le cycle de vie d'un incident.

• Les procédures de réponse aux incidents et de récupération doivent être

périodiquement revues, testées et mises à jour. Les banques doivent identifier et
traiter les causes profondes des incidents afin de prévenir ou de minimiser la
récurrence en série.

• Les enseignements tirés d'incidents antérieurs, y compris d'incidents vécus par

d'autres, doivent être dûment pris en compte lors de la mise à jour du programme

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
 de gestion des incidents. Le programme de gestion des incidents d'une banque
doit gérer tous les incidents affectant la banque, y compris ceux attribuables à des
dépendances vis-à-vis, mais sans s'y limiter, de tiers et d'entités intragroupe.

La catégorie "Inclusion des technologies de l'information et de la

communication (TIC) résilientes, y compris la cybersécurité" porte sur des
programmes de protection, de détection, d'intervention et de récupération qui
intègrent une connaissance appropriée de la situation et transmettent des
informations pertinentes en temps opportun pour que les processus de gestion
des risques et de prise de décision soutiennent et facilitent pleinement la livraison
des opérations critiques de la banque.

• Les banques devraient disposer d'une politique documentée en matière de TIC,

qui stipule les exigences en matière de gouvernance et de surveillance, la
propriété des risques et la responsabilité, les mesures de sécurité des TIC,
l'évaluation et le suivi périodique des contrôles de cyber-sécurité, la réponse aux
incidents, ainsi que les plans de continuité des activités et de reprise après sinistre.

• Les banques doivent identifier leurs actifs informationnels critiques et

l'infrastructure dont ils dépendent. Les banques devraient également hiérarchiser
leurs efforts en matière de cyber-sécurité en fonction de leur évaluation des
risques liés aux TIC et de l'importance des actifs informationnels critiques pour les
opérations critiques de la banque, tout en respectant toutes les exigences légales
et réglementaires pertinentes relatives à la protection et à la confidentialité des
données. Les banques doivent élaborer des plans et mettre en œuvre des
contrôles pour maintenir l'intégrité des informations critiques en cas de cyber-
événement, comme le stockage sécurisé et la sauvegarde hors ligne sur des
supports immuables des données soutenant les opérations critiques. Les banques
devraient évaluer régulièrement le profil de menace de leurs actifs
informationnels critiques, tester les vulnérabilités et assurer leur résilience aux
risques liés aux TIC.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Ces catégories sont basées sur le Principles for the sound management of
operational risk (PSMOR) mis à jour par le Comité de Bâle et sur des directives
fondées sur des principes précédemment publiées sur la gouvernance
d'entreprise, la continuité des activités, l'externalisation et d'autres cadres de
gestion des risques pertinents.
Pour sa part, la Commission européenne a publié une proposition législative de
règlement sur la résilience opérationnelle numérique dans le secteur des services
financiers de l'UE (Digital Operational Resilience in the EU financial services sector
"DORA"). DORA vise à garantir que tous les participants au système financier
disposent des protections nécessaires pour atténuer les cybers attaques et autres
risques. La législation proposée obligera les entreprises à s'assurer qu'elles
peuvent résister à tous les types de perturbations et de menaces liées aux TIC. La
proposition introduit également un cadre de surveillance pour les fournisseurs
tiers critiques, tels que les fournisseurs de services cloud.
DORA couvre un large éventail d'institutions financières, y compris les
établissements de crédit, les établissements de paiement, les établissements de
monnaie électronique, les entreprises d'investissement, les fournisseurs de
services de crypto-actifs, les dépositaires centraux de titres, les gestionnaires de
fonds d'investissement alternatifs, les sociétés de gestion d'OPCVM, les
administrateurs d'indices de référence critiques, les fournisseurs de services de
financement participatif , et fournisseurs de services tiers TIC. De nombreuses
entreprises qui n'ont pas été soumises auparavant à des réglementations
spécifiques en matière de TIC entrent dans le champ d'application proposé de
DORA.
DORA fait actuellement l'objet d'un examen minutieux par le Parlement européen
et le Conseil. Le Conseil a adopté une orientation générale sur la proposition de la
Commission, qui constituera son mandat de négociation pour les négociations
avec le Parlement européen. En s'appuyant sur les orientations existantes et les
pratiques actuelles, le Comité de Bâle sur le contrôle bancaire (CBCB) cherche à
développer un cadre cohérent et à éviter les doubles emplois.

6. Conclusion
Bien que les principes de gestion du risque opérationnel et de la résilience
opérationnelle visent des objectifs différents, ils sont étroitement liés et se
complètent. En effet, un système efficace de gestion du risque opérationnel et un
niveau solide de résilience opérationnelle contribuent à réduire la fréquence et

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
l'impact des événements de risque opérationnel ce qui contribue à son tour à la
stabilité du système bancaire et donc la stabilité du système financier.
Le programme de résilience opérationnelle doit être aligné sur la stratégie globale
de toute l’organisation de sorte qu'il contribue à orienter les décisions
d'investissement ainsi que les opérations quotidiennes. Cela nécessite un
engagement et une implication systématique et efficace du conseil
d'administration, de la Direction Générale et de toutes les parties concernées.
L'objectif ultime est donc de gérer la volatilité de l'impact généré par les problèmes
associés aux « événements menaçant l'activité ». Cela signifie un programme de
gestion des risques complet qui intègre principalement la gestion du risque
opérationnel, la gestion de la continuité des activités et la gestion des risques liés
aux tiers.

Références

• Basel Committee on Banking Supervision (2021), « Revisions to the Principles for the Sound

Management of Operational Risk », Mars, d515.

• Basel Committee on Banking Supervision (2021), « Principles for Operational Resilience », Mars, d516.

• Basel Committee on Banking Supervision(2017), « Bâle III : finalisation des réformes de l’après-crise »,

Décembre, d424.

• https://eba.europa.eu/

• https://www.bis.org/

• https://www.imf.org/external/index.htm

• Tavares M., R. Camus et N. Demoulin : « DORA : un futur cadre juridique européen de la résilience

opérationnelle numérique », Lettre d’actualité réglementaire PwC | Banque # 22 - Novembre 2020

Avertissement
Ce document a été publié pour contribuer et stimuler la discussion sur des sujets liés au financement des MPME
ou d'autres sujets pertinents en Tunisie. Les opinions présentées sont celles de l'auteur / auteurs de ce document
et ne représentent pas nécessairement les vues de la BERD ou des contributeurs et donateurs du RSBP pour l'Asie
centrale. Le RSBP ne garantit pas l'exactitude, l'exhaustivité ou la qualité des informations fournies dans ce
document. Le RSBP, ses contributeurs et donateurs n'assument aucune responsabilité pour tout dommage causé
par l'utilisation des informations publiées dans ce document.

Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org