Vous êtes sur la page 1sur 2

MÉTHODOLOGIE

Contrôle interne et gestion des risques opérationnels

Contrôle interne et gestion des risques opérationnels Marie-Agnès Nicolet La gestion des risques opérationnels

Marie-Agnès

Nicolet

La gestion des risques

opérationnels ne peut

se fonder sur les seules

méthodes quantitatives.

L’audit interne aura un rôle

majeur à jouer dans la

validation des démarches

Associée

de nature qualitative

Audisoft- permettant de réaliser

Consultants

une cotation des risques

et des contrôles.

Consultants une cotation des risques et des contrôles. Michel Maignan Responsable de la gestion des risques

Michel Maignan

Responsable de la gestion des risques

Banque

Cantonale

de Genève

P our la gestion des risques opérationnels d’une banque, les méthodes purement quantitatives ont vécu. En ef-

fet, si de nombreux établis- sements qui souhaitaient être en mé- thode avancée au moment de la mise en place de la réforme du ratio de solvabilité ont commencé par col- lecter leurs pertes, les bases de don- nées qui se sont ainsi constituées et la quantification des fonds propres ne s’avèrent pas des données suffi- santes pour le pilotage de ces risques. S’agissant des méthodologies qui permettent d’évaluer ces risques, la première phase est celle de l’identi- fication précise des événements de risques dont le niveau de détail doit permettre la mise en exergue de chaque facteur de risque. Cette pre- mière étape passe par une descrip-

tion précise des processus de chaque activité. La seconde étape consiste à évaluer ces événements de risques, en tenant compte de l’impact potentiel des conséquences et de la probabilité d’occurrence de ces risques. Cette éva- luation peut être menée avec l’aide d’experts, par le recours à des bases de données externes, ou par la défi- nition de scénarios pour lesquels l’impact financier du risque devra être évalué de la manière la plus pré- cise possible. Lorsque l’on ne dispose pas de don- nées statistiques suffisantes pour réa- liser une évaluation précisément chif- frée, une méthode consiste à dispo- ser d’intervalles permettant de coter les événements de risques afin de les hiérarchiser, du risque le plus fort au risque le plus faible ( t ableau ). Cette méthode aura l’avantage de visuali- ser les éléments de risques et les pro- cessus majeurs, au regard des risques potentiels qu’ils pourraient générer (sans tenir compte des dispositifs de contrôle interne déjà en place). Cette méthode ne permet pas une évaluation aussi précise que celle dite des scénarios, qui chiffre l'impact potentiel et la probabilité d'occu- rence. Elle pourrait être moins adap- tée à l'approche avancée pour l'ap- plication de Bâle II. En revanche, elle

permet d'accélérer le processus d'éva- luation des risques par les opéra- tionnels et sera particulièrement adaptée pour respecter les exigences des “saines pratiques” de la gestion des risques opérationnels. Lors de l’étape suivante, on se posera alors la question des dispositifs de contrôle et de maîtrise des risques existants. L’évaluation de ces derniers sera facilitée par la mise en place préa- lable d’un référentiel de contrôle- cible.

LA CONSTRUCTION DU RÉFÉRENTIEL DE CONTRÔLE CIBLE

Construire un référentiel cible de contrôle présente plusieurs avan- tages. Tout d’abord, présentant la cible à atteindre en matière de contrô- le, il sera, à périmètre d’activité égal, l’élément permanent qui permettra de réévaluer périodiquement les dis- positifs existants. Par ailleurs, ce ré- férentiel, qui peut se présenter sous forme de points de contrôles ou d’une série de questions, permet de mettre les dispositifs servant à couvrir ces risques en regard des événements de risques identifiés précédemment. Ce référentiel intègre à la fois les grands principes de contrôle inter- ne, comme les séparations de fonc-

Avril 2005

nº668

Revue Banque

5 1

RISQUES & RÉGLEMENTATION DISPOSITIF Illustration de hiérarchisation des événements des risques tion, par exemple

RISQUES

&

RÉGLEMENTATION

DISPOSITIF

DISPOSITIF

Illustration de hiérarchisation des événements des risques

tion, par exemple déclinées pour chaque couple processus/événement de risque, ainsi que l’ensemble des réglementations applicables et des normes déontologiques, notamment dans le cadre des activités de marché. Il intègre également les plans de conti- nuité d’activité qui sont l’unique moyen de couvrir les risques de si- nistres, à fréquence d’occurrence faible mais à impact très élevé. Il est important que les opération- nels eux-mêmes valident ce réfé- rentiel-cible de contrôle pour en as- surer la pertinence vis-à-vis de leur propre organisation.

L’ÉVALUATION DES DISPOSITIFS DE CONTRÔLE EXISTANTS

L’étape d’évaluation des dispositifs de contrôle interne et de maîtrise des risques est une étape particu- lièrement importante dans la dé- marche d’évaluation des risques opérationnels. En effet, c’est par la définition des écarts entre le réfé- rentiel-cible et les dispositifs exis- tants que seront cotés les systèmes de contrôle interne afin de mettre en place les plans d’action destinés à sécuriser les processus et diminuer les risques. Par ailleurs, l’évaluation des risques nets se déduira des risques bruts et de l’évaluation des dispositifs de contrôle existants. L’évaluation des dispositifs de contrôle est donc une étape essentielle des démarches de gestion des risques opérationnels, permettant à la fois de tracer la co- tation des risques en justifiant le ré- sultat obtenu, tout en assurant un pilotage des plans d’actions afin de sécuriser les processus.

5 2

Revue Banque

nº668 Avril 2005

I mpact

T

rè s élevé

I

mportante

I

mportante

C

ritique

C

ritique

C

ritique

Élevé

Mo y enne

Mo y enne

Importante

I mportante

C

ritique

Mo y en

Mo y enne

Mo y enne

Moy enne

I mportante

I mportante

Faible

Faible

Faible

M

oy enne

M

oy enne

I mportante

T

rè s faible

Trè s faible

Faible

M

oy enne

M

oy enne

I mportante

 

Trè s faible

Faible

M

oy enne

E

levée

Très élevée

Prob abili t é

Les démarches d’évaluation des risques pilotées par des directions de risques sont conduites par les opérationnels eux-mêmes, ce qui nécessitera une validation indépendante.

LE RÔLE DE L’AUDIT INTERNE VIS-À-VIS DE CES DÉMARCHES

Les démarches présentées ci-dessus, qui permettent de réaliser une cota- tion des risques et des contrôles, amènent naturellement à se poser la question du rôle de l’audit interne, tant en termes de validation des ré- sultats des risk-assessment qu’en termes d’utilisation de ces derniers pour pla- nifier les missions. En effet, les démarches d’évaluation des risques pilotées par des direc- tions de risques sont conduites par les opérationnels eux-mêmes, ce qui nécessiteracommel’ad’ailleursprévu le Comité de Bâle, une validation in- dépendante. Or, c’est bien là que l’au-

dit interne a un rôle majeur à jouer. Il s’agira de valider, par une métho- de d’audit, la valeur des expositions résiduelles par la réalisation de tests de validation sur certains axes, ain- si que par l’analyse de la cohérence entre les résultats des missions d’au- dit, d’une part, et du self-assessment, d’autre part. En revanche, rien n’empêche l’audit interne d’utiliser les résultats du self- assessment pour prioriser ses mis- sions, dans la mesure où l’ensemble des activités et des risques, y com- pris ceux considérés comme faibles par les opérationnels, font l’objet de revue dans un délai raisonnable. Enfin, les résultats des missions d’au- dit interne s’intègrent naturellement aux reportings consolidés de gestion des risques opérationnels et quelques indicateurs, comme le nombre de recommandations mises en place, peuvent également alimenter cet état de synthèse.