Risque opérationnel

Le risque opérationnel pour les établissements financiers (banque et assurance) est le risque de pertes directes ou indirectes dues à une incorrection ou à une défaillances des procédures de l'établissement (analyse ou contrôle absent ou incomplet, procédure non sécurisée), de son personnel (erreur, malveillance et fraude), des dispositifs internes (panne de l'informatique, ... ) ou à des risques externes (inondation, incendie, ... ). Dans le cadre du système Bâle II, la définition du risque opérationnel, les procédures à mettre en place pour le limiter et les méthodes de quantification ont été normalisées. Le but de ce système, mis en place dans les banques européennes en 2008, est d'éviter le risque systémique.

Les risques opérationnels ont pris une importance énorme dans le contexte bancaire né de la dérégulation, de l'imbrication croissante des acteurs du monde financier, de l'augmentation des capitaux manipulés et de la sophistication des produits comme l'ont montré les affaires Barings et Société Générale.

Dans le cadre du système Bâle II ont été définies les bonnes pratiques à mettre en place par chaque établissement financier. Le régulateur financier national est chargé de les évaluer et de les contrôler. Les établissements financiers peuvent opter pour un système d'évaluation de ces risques plus ou moins particulièrement élaboré. Depuis la réforme Bâle II, le risque opérationnel entre dans le calcul des fonds propres réglementaires de l'établissement bancaire avec une incidence proportionnelle à la qualité de ses procédures et de son système de suivi et d'évaluation.

Des mesures identiques à celles mises en œuvre dans le cadre de Bale II sont en cours de définition pour les compagnies d'assurance dans le cadre de la réglementation Solvabilité II.

Définition du risque opérationnel

Le régulateur du système Bâle II définit le risque opérationnel comme celui de pertes directes ou indirectes dues à une incorrection ou à une défaillance des procédures, du personnel et des dispositifs internes. Cette définition inclut le risque juridique; cependant, le risque de réputation (risque de perte résultant d'une atteinte à la réputation de l'institution bancaire) et le risque stratégique (risque de perte résultant d'une mauvaise décision stratégique) n'y sont pas inclus.

Cette définition recouvre surtout les erreurs humaines, les fraudes et malveillances, les défaillances des dispositifs d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations.

Le Comité de Bâle a retenu une classification qui institue sept catégories d'évènements^[1] liés à ce risque :

1. Fraude interne : par exemple, informations incorrectes sur les positions, falsifications, vol commis par un employé et délit d'initié d'un employé opérant pour son propre compte.
2. Fraude externe : par exemple, hold-up, faux en écriture et dommages dus au piratage informatique.
3. Pratiques en matière d'emploi et sécurité sur le lieu de travail : par exemple, demandes d'indemnisation de travailleurs, violation des règles de santé et de sécurité des employés, activités syndicales, plaintes pour discrimination et responsabilité civile généralement.
4. Clients, produits et pratiques commerciales : par exemple, violation de l'obligation fiduciaire, utilisation frauduleuse d'informations confidentielles sur la clientèle, opérations boursières malhonnêtes pour le compte de la banque, blanchiment d'argent et vente de produits non autorisés.
5. Dommages aux actifs corporels : par exemple, actes de terrorisme, vandalisme, séismes, incendies et inondations.
6. Dysfonctionnement de l'activité et des dispositifs : par exemple, pannes de matériel et de logiciel informatiques, problèmes de télécommunications et pannes d'électricité.
7. Exécution, livraison et gestion des processus : par exemple, erreur d'enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur d'accès aux comptes de la clientèle et défaillances des fournisseurs ou conflits avec eux.

Enjeux des risques opérationnels

Depuis le milieu de la dernière décennie, les connaissances en matière de risques de crédit et de risques de marché ont alimenté un large débat et ont fait l'objet de très nombreux travaux de recherche. Théoriquement, ces travaux auraient dû contribuer à des progrès significatifs dans l'identification, la mesure et la gestion des risques au sein du dispositif bancaire. Néanmoins, on ne peut éviter de s'interroger sur l'impact effectif de ces contributions, au vu d'événements récents qui ont exercé une influence déterminante sur la crise financière de 2008 : d'une part, la crise des subprimes, d'autre part, les pratiques des agences de notation financière dont l'intervention est déterminante dans le processus de maîtrise des risques de crédit.

Cela étant, au cours de la même période, l'évolution des marchés financiers, caractérisée surtout par la globalisation des activités bancaires et par leur dérégulation, a rendu ces activités - et par conséquent les profils de risque correspondants - de plus en plus complexes. Les régulateurs financiers se sont aussi rendu compte que les risques devenaient de plus en plus complexes à identifier du fait qu'ils étaient présents à l'ensemble des niveaux d'une organisation, de plus en plus complexes à mesurer de par la conjonction de pertes directes et de pertes indirectes bien plus délicates à quantifier, et de plus en plus complexes à gérer de par l'organisation de plus en plus transverse des métiers de la banque et de par les difficultés à bien maitriser les limites de leurs périmètres. C'est en partie pour ces raisons que tant les régulateurs que les institutions bancaires ont mis en place des moyens pour identifier, mesurer et contrôler les risques opérationnels : des événements comme ceux qui se sont produits à New York en septembre 2001, ou encore la série de fraudes survenues dans des institutions bancaires (Société Générale, Barings, pour ne citer que les plus médiatisées), démontrent quoique la gestion des risques bancaires va bien au delà des domaines des risques de crédit ou des risques de marché, et nécessite la prise en compte des risques opérationnels.

Contexte de la régulation des risques opérationnels propre au système Bâle II

Pour la détermination des fonds propres réglementaires, qui forme un des éléments clés de tout dispositif de régulation bancaire, le système Bâle II établit de nouvelles règles qui prennent mieux en compte la réalité économique, en affinant l'évaluation du profil de risque des institutions bancaires et en y intégrant des dispositifs de mitigation des risques. Cette nouvelle régulation permet aux banques qui répondent à certaines conditions de diminuer leurs exigences de fonds propres réglementaires, sous réserve d'être capables de démontrer une organisation interne efficiente dans la gestion de leurs risques.

Pour affiner la gestion et la maîtrise des risques, le ratio McDonough, remplaçant le précédent ratio Cooke, impose aux banques d'affecter une partie de leurs fonds propres à la couverture de leurs risques de crédit, de leurs risques de marché et − nouveauté du ratio McDonough − de leurs risques opérationnels.

Pour évaluer l'exposition d'un établissement bancaire aux risques opérationnels, le Comité de Bâle propose trois approches par ordre croissant de complexité et de sensibilité au risque,  :

• Une approche de base (Basic Indicator Approach BIA), consistant en un calcul forfaitaire (α = 15 %) des exigences de capital réglementaire (KBIA), sur la base du produit net bancaire (PNB) moyen des trois derniers exercices : KBIA = α * PNB
• Une approche standard (Standardised Approach STA), consistant, pour chaque ligne de métiers de la banque, en un calcul forfaitaire (β = 12 % à 18 %, selon les huit lignes définies) des exigences de capital réglementaire (KSTA), sur la base du PNB moyen enregistré sur ces lignes de métier au cours des trois derniers exercices : KSTA = Σ (β¹-⁸ * PNB¹-⁸)
• Une approche avancée (Advanced Measurement Approach AMA), consistant en un calcul des exigences de capital réglementaire (KAMA) s'appuyant sur le (s) modèle (s) interne (s) de mesure des risques opérationnels développé (s) par la banque et validé (s) par l'autorité de contrôle.

Même si le calcul des exigences de capitaux réglementaires est assez simple dans les deux premières approches (approche de base et approche standard), le cœfficient de pondération étant fixé par l'autorité de contrôle, l'utilisation de l'approche standard ou à fortiori celle de l'approche avancée est soumise à une acceptation de l'autorité de contrôle, elle-même conditionnée par le respect de certains critères d'éligibilité : «… Comme pour le risque de crédit, plus les outils de gestion sont performants, par conséquent plus l'approche est particulièrement élaborée, moins grande sera l'exigence de fonds propres. Quand les conditions requises pour l'usage d'une méthode sont réunies, la banque est encouragée à l'utiliser. Une banque internationale active, et les banques ayant des risques opérationnels significatifs, sont supposées utiliser une approche plus particulièrement élaborée que l'approche de base. Une combinaison des trois méthodes [approche de base, approche standard et approche avancée] est même envisageable suivant les activités, sous certaines conditions. ^[2]»

L'une des nouveautés du système Bâle II en matière de risques opérationnels est par conséquent d'inciter les institutions bancaires à perfectionner la gestion de leurs risques opérationnels, cette dernière étant encadrée par des exigences organisationnelles spécifiques à chacune des trois approches : plus l'organisation de la banque est complexe et particulièrement élaborée, à travers des dispositifs et des pratiques plus sensibles aux risques, plus l'approche proposée par le régulateur permet d'espérer une réduction du capital réglementaire.

Les bonnes pratiques en matière de risques opérationnels

La totalité du système Bâle II a été conçu pour inciter à évoluer progressivement vers la méthode avancée, celle-ci étant habituellement moins consommatrice en fonds propres réglementaires. Cette économie de fonds propres trouve sa contrepartie dans la mise en œuvre d'une organisation spécifique visant à un meilleur contrôle des risques opérationnels et , en définitive, à la réduction des pertes. C'est certainement la raison pour laquelle le régulateur a lui-même défini un code de saines pratiques à utiliser par les banques et leurs superviseurs.

Les principes de bonnes pratiques

Partant du principe fixé par le régulateur selon lequel un risque est correctement maîtrisé s'il est identifié, mesuré, évalué et géré, les trois approches ont pour objet de quantifier le risque opérationnel avec une sensibilité variable et par conséquent, pour le couple superviseur / banquier, de contribuer à une meilleure surveillance prudentielle de ce dernier. Parallèlement à ces outils de mesure, le régulateur a développé dix principes de bonnes pratiques^[3] nécessaires à la maîtrise des risques opérationnels, rappelant par là l'importance tant de l'implication de l'organe exécutif dans la mise place d'un tel dispositif, que de l'identification des risques opérationnels, surtout au travers d'une cartographie de ces derniers.

Élaboration d'un environnement correct pour la gestion du risque [opérationnel]

• Principe 1 : Le conseil d'administration [de l'institution bancaire] devrait considérer les principaux aspects du risque opérationnel de la banque comme une catégorie différente de risque à gérer, et il devrait approuver et réexaminer périodiquement le système de gestion de ce risque. Ce système devrait apporter une définition du risque opérationnel valable pour la banque tout entière et poser les principes permettant de identifier, évaluer, suivre et maîtriser/atténuer ce risque.
• Principe 2 : Le conseil d'administration devrait garantir que le système de gestion du risque opérationnel de la banque est soumis à un audit interne efficace et complet, effectué par un personnel fonctionnellement indépendant, pourvu d'une formation appropriée et compétent. La fonction d'audit interne ne devrait pas être directement responsable de la gestion du risque opérationnel.
• Principe 3 : La direction générale devrait avoir pour mission de mettre en œuvre le système de gestion du risque opérationnel accepté par le conseil d'administration. Ce système devrait être appliqué de façon cohérente dans la totalité de l'organisation bancaire, et les membres du personnel, à l'ensemble des niveaux, devraient bien comprendre leurs responsabilités dans la gestion du risque opérationnel. La direction générale devrait aussi être chargée d'élaborer des politiques, processus et procédures de gestion du risque opérationnel pour l'ensemble des produits, activités, processus et dispositifs importants.

Gestion du risque : identification, évaluation, suivi et maîtrise/atténuation du risque [opérationnel]

• Principe 4 : – Les banques devraient identifier et évaluer le risque opérationnel inhérent à l'ensemble des produits, activités, processus et dispositifs importants. Elles devraient aussi, avant de lancer ou d'exploiter des produits, activités, processus et dispositifs nouveaux, soumettre à une procédure correcte d'évaluation le risque opérationnel qui leur est inhérent.
• Principe 5 : – Les banques devraient mettre en œuvre un processus de suivi régulier des profils de risque opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion dynamique du risque opérationnel devraient être régulièrement communiquées à la direction générale et au conseil d'administration.
• Principe 6 – Les banques devraient adopter des politiques, processus et procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en conséquence par l'utilisation de stratégies appropriées, compte tenu de leur appétit pour le risque et de leur profil de risque globaux.
• Principe 7 – Les banques devraient mettre en place des plans de secours et de continuité d'exploitation pour garantir un fonctionnement sans interruption et limiter les pertes en cas de perturbation grave de l'activité.

Rôle des superviseurs

• Principe 8 – Les autorités de contrôle bancaire devraient exiger que l'ensemble des banques, quelle que soit leur taille, aient mis en place un dispositif efficace pour identifier, évaluer, suivre et maîtriser/atténuer les risques opérationnels importants, dans le cadre d'une approche globale de la gestion du risque.
• Principe 9 – Les superviseurs devraient procéder régulièrement, de manière directe ou indirecte, à une évaluation indépendante des politiques, procédures et pratiques des banques en matière de risque opérationnel. Les superviseurs devraient veiller à ce qu'il existe des mécanismes appropriés leur servant à se tenir informés de l'évolution dans les banques.

Rôle de la communication financière

• Principe 10 – La communication financière des banques devrait être suffisamment étoffée pour permettre aux intervenants du marché d'évaluer leur méthodologie de gestion du risque opérationnel.

Les enjeux organisationnels de mise en œuvre des principes de bonnes pratiques

La mise en œuvre de la méthode de base ne requiert aucune exigence organisationnelle spécifique. Si les structures des deux autres approches (standard et AMA) sont assez différentes, en raison essentiellement de la présence ou non d'une entité dédiée particulièrement à la gestion des risques opérationnels, leurs modalités de mise en œuvre devraient théoriquement être assez proches étant donné que, quelle que soit l'approche, ces modalités s'appuient d'une part sur un modèle de processement, d'autre part sur des fonctionnalités assez standardisées pour la totalité des banques :

Le modèle de processement des risques opérationnels

Le modèle de processement des risques opérationnels comporte quatre sous-processus clés nécessaires à l'élaboration d'un dispositif de gestion correct :

• l'identification du risque ;
• l'évaluation du risque ;
• le suivi du risque ;
• la maîtrise / atténuation du risque.

Identification

L'identification des risques opérationnels requiert de la banque qu'elle définisse quels sont les facteurs inhérents aux risques opérationnels et leurs dimensions multiples (codification, aspect interne / externe, fréquence, appartenance, sévérité, type de perte, activité (s) concernée (s), processus / fonctions concernées, données et dispositifs impliqués, etc. ). La mise en œuvre de ce premier sous-processus d'identification, dans le cadre du système Bâle II, se heurte dans un premier temps au problème d'une définition interne des risques opérationnels qui soit cohérente et compatible avec celle retenue par le système lui-même, et ensuite à celui de leur identification : en effet, si les pertes opérationnelles, qui matérialisent l'occurrence des risques opérationnels, étaient jusqu'désormais identifiées et contrôlées par les départements de contrôle interne ou d'audit interne, elles deviennent dans le nouveau système la responsabilité des responsables opérationnels dans l'ensemble des secteurs de la banque. La mise en œuvre de ce premier sous-processus d'identification risque d'être influencée par le contexte dans lequel fonctionne la banque («principles based» versus «rules based»), d'autant que certains vont jusqu'à identifier le risque opérationnel comme tout risque financier autre que risque de crédit ou risque de marché. Deuxième difficulté : une perte étant intrinsèquement mesurée en faisant usage de règles comptables, à cause de son impact sur la situation financière de la banque, l'application de ces règles comptables peut donner lieu à des interprétations divergentes. En particulier complexe s'avère l'évaluation de certains impacts (perte de marge brute, pertes de clientèle, par exemple).

Evaluation

Jusqu'désormais, pour évaluer les montants des risques, les experts en matière de gestion des risques ont essentiellement développé leur savoir-faire dans le domaine des risques de crédit et des risques de marché, en mettant l'accent sur l'application de méthodes quantitatives et statistiques de modélisation et de simulation. Il était par conséquent naturel que ces mêmes experts, tant au sein des banques que chez les autorités de contrôle, aient eu tendance à appliquer ces techniques éprouvées pour l'évaluation des risques opérationnels. Ainsi pourrait s'expliquer en partie la présence dans l'approche AMA de critères identiques à ceux de l'approche IRB utilisée pour les risques de crédit. Plus principalement, l'application de méthodes statistiques de modélisation pour l'évaluation des risques opérationnels a fait l'objet de sévères critiques, surtout dans le monde académique. Ainsi a-t-on fait valoir que certaines caractéristiques des données des pertes opérationnelles (distributions atypiques des montants de pertes extrêmes, événements de pertes irréguliers, fréquence et sévérité des pertes non stationnaires, existence ou non de pertes répétitives) n'étaient pas cohérentes avec les postulats de modélisation. A cette première objection s'ajouterait celle d'un manque certain de données, et en particulier de données cohérentes. Enfin nombreux sont ceux à souligner les difficultés à modéliser les événements à fréquence faible ainsi qu'à fort impact : trois types de modèles sont préconisés dans le cadre de l'approche AMA (méthode Internal Measurement Approach (IMA), méthode Loss Distribution Approach (LDA), méthode Scorecard). Certains considèrent que l'IMA a été conçue comme une version simplifiée, praticable et standardisée d'une approche actuarielle de type LDA, plus complète et plus satisfaisante, mais plus compliquée à mettre en œuvre^[4]. Ce serait sous la pression de certaines banques, surtout anglo-saxonnes, de l'IIF^[5] que la méthode Scorecard aurait été intégrée au système Bâle II. C'est à cause de ces critiques que se sont développées d'autres méthodes plus dynamiques visant à gérer les risques opérationnels à travers un contrôle plus global des processus dans lesquels ces risques sont potentiellement présents. Cela implique une simulation du fonctionnement de toute la chaîne des processus, basée à la fois sur des scénarios réels et une réalité virtuelle, donnant la possibilité de théoriquement d'anticiper l'ensemble des éléments relatifs à un processus spécifique, mais également l'ensemble des implications et interrelations. Il est intéressant de noter que cette méthode des scénarios est de plus en plus utilisée (¾ des banques sondées dans l'enquête PRMIA^[6] 2006 contre 50 % dans la même enquête 2005)  : elle part du principe que les risques opérationnels associés à un processus ne peuvent être évalués séparément de l'organisation dans laquelle ce processus fonctionne ; c'est dans l'interaction d'un processus avec son environnement que se trouvent les éléments clés d'appréciation des risques opérationnels. Pour bien identifier les corrélations entre les processus et les événements de pertes, la difficulté est de bien isoler ces processus les uns des autres afin d'évaluer correctement leur part de contribution dans une perte surtout. Cela étant, cette méthode comporte toujours des domaines d'incertitude, par exemple le choix des hypothèses sous-jacentes aux scénarios majeurs (hypothèses de place), l'évaluation de certains scénarios extrêmes (grippe aviaire, par exemple), ou encore les traitements concernant les assurances.

Suivi

Le suivi des risques opérationnels au moyen d'indicateurs corrects (indicateurs d'alerte, indicateurs de risque avéré et indicateurs de pertes) est le troisième processus-clé d'un dispositif de gestion de cette catégorie de risques. A ce stade se pose le problème de la consolidation des indicateurs, qu'on peut aborder au moyen de deux approches : bottom-up ou top-down. Dans l'approche bottom-up, les indicateurs clés des risques opérationnels sont définis et mesurés aux niveaux inférieurs, à l'endroit où l'appréciation individuelle des managers exercera un levier maximum sur le suivi des risques opérationnels, pour être ensuite consolidés progressivement jusqu'à un niveau central. Dans l'approche top-down, c'est selon la vision stratégique globale, de la rentabilité globale des opérations que l'allocation de capital réglementaire aux différentes activités sera décidée par les organes exécutifs selon leurs risques opérationnels. Dans ce contexte, les décisions prises aux niveaux supérieurs de la hiérarchie seront répercutées et traduites en plans d'actions suivis et maîtrisés par les managers au moyen d'indicateurs corrects.

Maîtrise et atténuation

La maîtrise et l'atténuation du risque forment certainement le sous-processus le plus complexe de cet ensemble, car de lui va dépendre la capacité de la banque à se doter de moyens de prévenir les risques en identifiant les leviers d'action corrects pour anticiper certains événements ou diminuer au maximum leur impact en cas de survenance. Ce sous-processus est spécifiquement complexe à gérer car il s'appuie simultanément sur deux fonctions qui interagissent l'une sur l'autre :

• d'une part, la fonction qui conduit à fixer le niveau maximum de risque de risque opérationnel accepté. Cela suppose de fixer des limites, limites globales ou limites par type de risque opérationnel. Mais cela requiert en particulier une évaluation comparative de la rentabilité attendue en contrepartie des risques pris : cette évaluation est fréquemment complexe à mettre en œuvre quand il s'agit de risques opérationnels à fort impact potentiel ou de risques opérationnels complexes à objectiver (risques humains^[7], par exemple) ainsi qu'à chiffrer car elle va dépendre de choix opérés dans la seconde fonction en matière de couverture de ces risques opérationnels.
• d'autre part, la fonction qui conduit à opérer un choix entre les différents modes de couverture (interne, externe via l'assurance ou l'externalisation), ainsi qu'à le traduire en plans d'actions précisant les mesures retenues, les responsabilités dans la mise en place et les délais de réalisation. C'est ainsi que les PCA (plans de continuité des activités) devraient logiquement être intégrés dans ce sous-processus ; or, on constate dans la pratique que peu de banques ont regroupé la gestion des risques opérationnels et celle des PCA dans une même entité ; malgré cela, une coordination commence à se mettre en place entre ces deux démarches

Des fonctionnalités assez standardisées

Les deux principales fonctionnalités applicatives à mettre en œuvre pour maitriser un dispositif de gestion des risques opérationnels sont d'une part la détermination du profil des risques opérationnels de la banque, d'autre part la mise en place d'un système de collecte d'événements de risque.

• La détermination du profil des risques opérationnels d'une banque correspond à l'identification, à chaque niveau de son organisation, des processus supportant des risques opérationnels, à la formulation de ces risques ainsi qu'à leur notation (probabilité d'occurrence et perte)  : c'est la phase de cartographie des risques opérationnels. Cette phase est une étape clé car elle va conduire à déterminer, avec plus ou moins de sensibilité, quelle est la nature des incidents qui seront collectés et par conséquent suivis ensuite. C'est elle qui permettra aussi de définir une nomenclature des risques opérationnels valable pour la totalité de l'organisation, cadre indispensable à une collecte efficace et homogène des incidents. La cartographie des risques est par conséquent la formalisation du travail d'identification des risques opérationnels. Cet exercice intègre théoriquement les phases suivantes : décomposition en activités des processus supportant des risques opérationnels; pour chaque activité, recensement des risques associés;pour chaque risque, évaluation des pertes et des probabilités d'occurrence; constitution d'une matrice des risques sur les axes fréquence et importance des pertes; enfin, sélection, à partir de la matrice, des risques significatifs (ceux que la banque décide de recueillir dans le système de collecte).

• Pour légitimer l'emploi des méthodes standard ou avancées, la banque doit parallèlement s'être pourvue au préalable d'un dispositif de collecte des incidents accessible par toutes ses entités, et d'une base de données dédiée pour stocker les incidents, et ce en vue de posséder un historique de pertes conforme aux exigences du régulateur. Les procédures de contrôle et de validation des incidents notifiés dans la base de données s'appuient généralement sur des workflows, outils qui permettent aux managers de visualiser l'origine des incidents, de contrôler la pertinence des informations remontées par la base et d'être averti en temps réel des événements intervenus dans leur service, pour rapidement mettre en place des actions correctives. D'autre part, des outils d'analyse (de type datamining) et de restitution peuvent être mis en œuvre, pour compléter la définition précise du profil de risques opérationnels de la banque.

Cela étant, pour assurer la couverture de leurs risques opérationnels, les banques font généralement appel à des modèles d'allocation, les deux approches les plus utilisées étant l'approche bottom-up et l'approche top-down, ou encore une combinaison des deux. Le principe de l'approche bottom-up est de calculer le besoin en capital réglementaire au niveau le plus fin, par exemple au niveau d'une catégorie d'opérations, et de consolider ensuite ces besoins à des niveaux de plus en plus centralisés jusqu'à la totalité de la ligne métier à laquelle seront alloués les fonds propres correspondants. A l'inverse, le principe de l'approche top-down consiste à désagréger une information mesurée sur la totalité des risques opérationnels de la banque et d'allouer ensuite ces fonds propres à des niveaux de plus en plus décentralisés.

La complexité des problèmes de mise en œuvre

Malgré la simplicité de ces deux enjeux (modèle de processement et fonctionnalités d'application), il s'avère que, dans la pratique, la mise en œuvre des différentes approches a soulevé et soulève toujours de nombreuses divergences dont la complexité est progressivement apparue à l'occasion des nombreuses missions d'enquête menées tant en France par la Commission Bancaire qu'à l'étranger par les autorités ou organismes compétents.

• Complexité liée à la nature même des risques opérationnels : contrairement aux autres catégories de risques (risques de crédit, risques de marché), les risques opérationnels concernent de manière transversale l'ensemble des activités et l'ensemble des secteurs de la banque ; tandis que les données disponibles pour les autres catégories de risques sont assez normées et couramment acceptées, celles qui concernent les risques opérationnels dépendent de chaque banque prise séparément. C'est probablement pour cette raison que la cartographie des risques est particulièrement variable (nombre d'événements de risque compris entre 100 et plus de 2000^[8]), chaque banque ayant sa propre vision quant au juste équilibre entre granularité et pertinence des événements de risque reconnus. Enfin la substance même des risques opérationnels est extrêmement volatile puisque, parfaitement, une grande partie d'entre eux pourrait être réduite à néant par conséquent même que leur identification devrait conduire à en éliminer la cause.
• Complexité liée à la gouvernance du dispositif : si l'implication des organes exécutifs des groupes bancaires dans la mise en œuvre du système de gestion du risque opérationnel au sein des métiers semble active, par contre rares sont ceux qui disposent de documentation formelle, posant les principes et les modalités de mise en œuvre de la politique en matière de risques opérationnels, telle qu'elle a été arrêtée par ces organes exécutifs. Ces derniers semblent cependant avoir bien compris l'obligation d'appuyer la fonction de gestion des risques opérationnels sur des gestionnaires de risques présents au sein même des différents métiers et fonctions, c'est-à-dire sur ceux qui sont proches des risques du terrain et ont une connaissance approfondie des activités. C'est ainsi que la majorité des banques ayant répondu à l'enquête PRMIA 2006 indiquent avoir mis en place un dispositif de gestion des risques opérationnels, couvrant principalement les bases de données incidents, la cartographie des risques, la mise en œuvre de scénarios et le calcul d'indicateurs d'alerte.

D'autre part, l'allocation de fonds propres au titre des seuls risques opérationnels demeure rare. Les grands groupes bancaires ayant opté surtout pour une approche AMA envisagent un calcul de fonds propres pour la totalité du groupe bancaire et une allocation de ces derniers aux différentes entités selon une clé d'allocation et un processus comme celui décrit ci-dessous. Rares sont les groupes qui envisagent de calculer des exigences au niveau d'une ou de plusieurs de leurs filiales, quoique les principes édictés par le Comité de Bâle relatifs à la reconnaissance transfrontière d'une approche AMA imposent un tel calcul pour les filiales significatives d'un groupe.

• Complexité liée aux choix organisationnels. Selon une enquête réalisée en France^[9], si la totalité des banques interrogées, même de taille moyenne, ont adopté une fonction dédiée à la gestion des risques opérationnels, il semble que deux types d'organisation prévalent aujourd'hui : soit – et c'est le cas particulièrement beaucoup le plus habituel – cette fonction, le plus fréquemment organisée de manière hiérarchique depuis les lignes de métiers ou les implantations géographiques jusqu'à une position centrale, est intégrée à une Direction des Risques, soit elle est couplée à une autre fonction (contrôle de gestion, audit interne, par exemple). Dans l'un et l'autre cas, on observe des difficultés pratiques pour délimiter la frontière entre l'audit interne de la qualité du système de gestion des risques opérationnels et les fonctions de gestion et de contrôle de ces mêmes risques.
• Complexité liée à l'exploitation des données : si on prend pour référence l'approche AMA qui invite les banques à utiliser quatre types de données (donnés de pertes internes, données de pertes externes, analyses de scénarios d'événements potentiels et analyses des facteurs d'environnement et de contrôle interne), on constate que certaines banques ont développé un modèle principalement statistique de calcul de fonds propres réglementaires, en s'appuyant sur des données de pertes internes et externes, et en utilisant des modèles de type Valeur en Risque (VaR, avec horizon à un an et intervalle de confiance de 99, 9 %).

L'utilisation de données historiques internes relève généralement d'une approche de type top-down, où les risques opérationnels sont en premier lieu identifiés et mesurés sur une base consolidée à partir de leurs pertes potentielles, et où les fonds propres sont ensuite alloués aux différentes lignes de métier. La sensibilisation croissante à cette modélisation statistique des risques opérationnels s'est heurtée pendant un temps à l'insuffisance des historiques de données internes ainsi qu'à des problèmes pratiques, surtout relatifs au niveau à partir duquel toute perte doit être collectée ainsi qu'à la façon dont celle-ci doit être capturée aux fins d'assurer une remontée correcte des données recherchées (collecte automatique ou déclarative) et une distribution crédible des pertes. Cependant, des progrès importants ont été réalisés dans ce domaine, surtout à cause de règles de collecte et de mesure qui s'harmonisent progressivement entre banques, et aussi du fait que le recours à des données externes a été facilité grâce à la maturité des bases consortiales (ORX^[10] devenant la référence). D'où une méfiance certaine à l'égard de l'unique utilisation de ces données historiques qui justifie le recours à des données externes.

L'utilisation de données externes soulève aussi des interrogations concernant la correction indispensable de biais statistiques et l'adaptation des données externes à la situation interne de la banque (problèmes de scaling).

D'autres banques construisent leur modèle de mesure en privilégiant davantage des données prospectives, de type analyses de scénarios et/ou indicateurs de risque. Dans ce cas, l'approche se veut bottom-up, les risques étant cartographiés au niveau de chaque ligne de métier à partir des causes, puis mesurés sur la base de fréquences et de sévérités de pertes estimées par les experts de chaque métier et/ou d'indicateurs de performance, de contrôle et de risque. Quoique les analyses de scénarios soient reconnues comme un élément important de la diffusion d'une culture du risque opérationnel, du fait qu'elles s'appuient sur l'expertise des gestionnaires au sein des métiers, elles nécessitent généralement de sérieuses précautions avant d'être complètement opérationnelles : en effet, ces analyses doivent être suffisamment structurées et cohérentes pour que les quantifications subjectives des risques opérationnels au niveau des métiers puissent alimenter correctement le modèle de calcul des fonds propres au niveau consolidé. Aussi certaines banques réservent-elles ce type d'analyse aux seuls événements à faible probabilité ainsi qu'à forte sinistralité.

D'autres banques utilisent ou s'orientent vers une méthode de scorecard (indicateurs de risque ou de performance, fondés en partie sur l'utilisation de critères qualitatifs) donnant la possibilité de surtout d'effectuer des allocations de fonds propres réglementaires entre lignes de métiers ou entre implantations géographiques selon leur capacité à maîtriser les risques opérationnels. Outre son aspect plus synthétique, cette méthode apporte un double avantage : elle introduit en premier lieu une dimension prospective qui s'inscrit dans une gestion active de prévention des risques opérationnels ; elle favorise ensuite le reporting aux organes exécutifs en fournissant, au moyen de tableaux de bord des performances locales, un état de progrès comparé à la stratégie définie par ces organes pour assurer la maîtrise des risques opérationnels. En pratique, l'identification des indicateurs de risque s'effectue à partir des risques identifiés lors de la cartographie et comparé à des indicateurs existants (indicateurs de qualité, de performance…). Sont ensuite choisis des indicateurs clés de risques (KRI^[11]) susceptibles de favoriser la prise de décision. Parmi les difficultés rencontrées dans la mise en place de cette méthode figure surtout l'interprétation qu'il convient de donner aux indicateurs (par exemple ceux liés aux ressources humaines), la définition de niveaux d'alertes cohérents avec la politique générale de gestion des risques opérationnels mais aussi les modalités d'agrégation des indicateurs.

De l'avis du régulateur lui-même, les banques [ont la volonté] d'adopter une approche plus pragmatique en termes de risque opérationnel en rééquilibrant le système vers la gestion des risques plutôt que vers leur seule mesure. L'utilisation de données prospectives suppose une prise en compte des changements intervenus ou à venir dans la gestion des risques opérationnels et/ou dans les activités des établissements et par conséquent une forte implication des gestionnaires de risque au niveau des métiers. Mais si l'utilisation de facteurs qualitatifs de type scorecards bénéficie d'une certaine expérience, surtout aux fins de l'allocation des fonds propres entre les différentes entités d'un groupe, la traduction quantitative de ces facteurs demeure problématique et n'apparaît pas véritablement stabilisée. Cette traduction quantitative est d'autant plus délicate quand les analyses de scénarios et les appréciations à dire d'experts ne s'inscrivent pas dans une démarche bien structurée et homogène au sein du groupe. Il est par conséquent d'autant plus indispensable que les établissements développent des questionnaires précis adressés aux experts des métiers mais aussi des indicateurs de risque pertinents et observables sur une base régulière, susceptibles de limiter le caractère subjectif ou alors quelquefois politique du processus de quantification. ^[12]

Enfin la mise en œuvre d'un système efficace de mesure et de gestion du risque opérationnel, quelles que soient les modalités d'analyse des données, requiert un système d'information correct. C'est là certainement un des domaines où les banques ont toujours d'importants progrès à accomplir, ce qui n'est certainement pas étranger au fait que la direction des dispositifs d'information n'est pas fréquemment représentée au sein des banques dans les comités de gestion des risques opérationnels. L'adaptation des dispositifs d'information aux exigences spécifiques du processement des risques opérationnels a par conséquent amené les banques à faire le choix entre le lancement d'un projet entièrement nouveau ou à la réalisation d'extensions conçues pour collecter les données nécessaires. Dans le premier cas, il s'est agi de mettre en œuvre une procédure entièrement nouvelle de collecte systématique des pertes et , à cet effet, de conduire des missions de sensibilisation à l'ensemble des échelons de la banque. Dans le second cas, il s'est plutôt agi de reprendre et de retraiter au niveau des métiers des historiques de pertes existants.

Dans un environnement aussi complexe, il est clair que la définition du véritable profil de risque d'un grand groupe bancaire et la mise en place d'une politique efficace de réduction des pertes opérationnelles dans chaque entité relève d'un projet global, nécessitant un déploiement à grande échelle, et partant, une réelle gestion du changement.

Les enjeux de conduite du changement associés à Bâle II concernent surtout la diffusion d'une nouvelle culture de vigilance à propos des risques opérationnels, et la pérennisation de ce dispositif.

Le premier enjeu consiste à diffuser une culture de vigilance à l'égard de ces risques dans chaque business unit de la banque. A ce titre, on peut parler de véritable acculturation des collaborateurs présente dans l'ensemble des modalités de la mise en œuvre (cartographie des risques opérationnels, système de collecte des incidents), le principal attribut de cet enjeu étant l'implication de chaque collaborateur de la banque.

Le second enjeu est d'éviter que le dispositif de gestion des risques opérationnels ne devienne figé, et par conséquent de faire en sorte qu'il puisse évoluer sous l'effet des actions correctives, des risques qui disparaissent, et des nouveaux risques qui apparaissent.

Globalement, l'enjeu du processement régulatoire des risques opérationnels n'est pas d'obtenir une certification du superviseur pour que la banque puisse utiliser telle ou telle approche proposée par le régulateur : il est de faciliter un progrès durable de la maîtrise des risques opérationnels par la banque, en responsabilisant chacune des parties prenantes (régulateur, superviseur, collaborateur de la banque). C'est bien à l'endroit où le système prend un degré supplémentaire de complexité puisqu'en définitive, la réussite de la mise en œuvre du système est tributaire non seulement des bonnes pratiques de la banque mais également de la flexibilité de la surveillance prudentielle exercée par le superviseur et de l'adaptabilité introduite dans le système par le régulateur.

La surveillance prudentielle des superviseurs

C'est essentiellement dans l'application de l'approche AMA que va s'exercer l'influence des superviseurs.

Pour ce qui concerne la France, la Commission Bancaire a opté pour une position «flexible» au cas par cas, c'est-à-dire banque par banque. Pour cela, la Commission Bancaire prendra en premier lieu en compte la manière dont chaque banque aura proportionné son approche AMA avec son profil de risques opérationnels. Cette autorité ne privilégiera aucune méthode plutôt qu'une autre, se réservant uniquement d'apprécier la pertinence d'ensemble des méthodologies retenues comparé au profil de risque. La Commission Bancaire se voudrait étrangère à toute approche trop normative et figée, incompatible avec la dimension évolutive des techniques et méthodologies développées par les banques dans le domaine des risques opérationnels. Pour ses démarches de validation, la Commission Bancaire exprime en premier lieu un souci de cohérence avec la surveillance prudentielle exercée par d'autres autorités de contrôle, en reprenant à son compte les principes d'home-host supervision et les principes d'une approche hybride entre filiales significatives et autres filiales, tels qu'ils sont proposés dans le système Bâle II. Elle précise ensuite les grandes lignes du contenu de sa démarche, en idéale conformité avec le contenu du système :

• évaluation par la Commission Bancaire de l'organisation de la fonction de gestion des risques opérationnels au sein de la banque.
• évaluation de l'intégration du dispositif de la gestion des risques opérationnels dans la gestion au quotidien des risques de la banque.
• évaluation de la robustesse du dispositif d'information et de la méthodologie développée par la banque.
• enfin, l'évaluation de la gestion des risques à forte sinistralité fait l'objet d'un développement tout spécifique de la part de la Commission Bancaire.

Finalement, c'est plus par sa logique d'intervention que par sa flexibilité que la surveillance prudentielle va subir un changement significatif : la vérification exhaustive des critères d'éligibilité, tant qualitatifs que quantitatifs, à l'AMA, ne s'inscrit par conséquent pas dans une simple logique d'appréciation de la conformité réglementaire d'un modèle. Elle repose en particulier sur une évaluation de la capacité des établissements à identifier, analyser, maîtriser et diminuer (tant la fréquence que la sévérité des pertes) leurs risques opérationnels^[13].

Notes et Références

Bibliographie et Autres Sources

• Christian Jimenez & Patrick Merlier, Prévention et Gestion des risques opérationnels, Revue Banque Édition, coll. «Comptabilité Contrôle», Paris, 30 septembre 2004, 283 p.  
• Pascal Dumontier, Denis Dupré, Cyril Martin, Gestion et contrôle des risques bancaires, Revue Banque, Paris, 2008, 294 p.  

• Antoine Sardi, Bâle II, AFGES Editions, Paris, 2004, 304 p.  

• (en) Book made of a collation of papers written by leading practitioners and thought-leaders in the field of operational risk management, Avances in Operational Risk - second edition, Risk Books, Londres, 2003, 272 p.  

Voir aussi

Liens externes

• Un article de Finance & Stratégies concernant la gestion du risque opérationnel

• Meteorix Méthode de modélisation économique simple et plateforme IT de simulation de scénarios.

Principaux mots-clés de cette page : risque - opérationnel - banque - gestion - approches - pertes - bancaire - système - processus - dispositifs - données - œuvre - principes - internes - méthodes - pratiques - mises - bâle - évaluation - propres - contrôle - indicateurs - activités - fonds - réglementaires - métiers - place - base - ensemble - régulateur -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/Risque_op%C3%A9rationnel_(%C3%A9tablissement_financier).
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 17/12/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.