This dissertation has been submitted by a student. This is not an example of the work written by our professional dissertation writers.

REMERCIEMENTS

Nous tenons a remercier particulierement notre Maitre de memoire, Madame Joelle Cernes pour sa precieuse aide dans la construction et la realisation de ce projet.

Nos remerciements se portent egalement vers l'equipe enseignante:

  • Au corps professoral pour la richesse des enseignements et des echanges tout au long des trois dernieres annees au sein de l'ESG.
  • A Sandrine Chokron et Jean-Christian Mazzoni pour leur energie, sympathie et soutien pendant tout le deroulement de ce memoire.

INTRODUCTION GENERALE

L'univers bancaire se caracterise par une multiplicite de risques et toute activite, qu'elle soit commerciale ou industrielle, implique un risque. La banque, elle, de part ses activites, supporte naturellement des risques. La presence d'un risque de pertes causee par des defaillances techniques ou d'erreurs humaines dues a des evenements internes ou externes a la banque est le principal probleme auquel font face les banques aujourd'hui. C'est donc par consequent, le risque operationnel sur lequel nous allons axer notre travail. Il serait donc important et judicieux que les banques disposent de methodologies efficaces qui permettent de quantifier et d'evaluer le risque operationnel, source de probleme. Le risque operationnel occupe actuellement un interet croissant au sein des banques. Il est tres probable que ceci soit du a des evenements recents ayant entraine des pertes importantes et surtout une prise de conscience accrue des etablissements bancaires. Il est donc primordial de mettre en place des outils adequats de gestion du risque.

Selon des analystes tel que Antoine Sardi, les pertes sont estimees a 12milliards de dollars sur les 10 dernieres annees. Il est sans dire que ce chiffre est non negligeable, d'ou l'importance de trouver des solutions afin de le reduire.

Il s'agit ainsi, dans l'objet de ce travail, de mettre l'accent en premier lieu, sur la notion de risque operationnel, puis en second lieu de tenter d'evaluer tant au niveau qualitatif que quantitatif ce risque et pour finir de presenter quelques techniques permettant de reduire ce risque.

PREMIERE PARTIE: Identification du risque operationnel

Presentation

Definition

Nous constatons qu'il n'y a pas de definition a proprement dite du risque operationnel. Selon l'ouvrage 'Audit et controle interne bancaires' d'Antoine SARDI (editeur AFGES), le risque operationnel est ' une serie de pertes occasionnee par la gestion des operations qui ne sont pas reliees directement aux risques parfaitement identifiables'. Ces risques que l'auteur appelle 'risques identifiables' ne sont d'autres que les risques financiers, ceux-ci comprend les risques de marche, de credit, de liquidite et de taux d'interet. C'est ainsi dire que les risques operationnels sont autres que les risques dernierement cites.

Cependant deux definitions du risque operationnel sont neanmoins proches, selon le meme ouvrage, au chapitre 'Les risques majeurs de l'activite bancaire' qui reprend ces definitions, nous avons:

  • Definition selon le Comite de Bale: 'Risque direct ou indirect de pertes resultant de processus internes, de personnes et de systemes defaillants ou inadequats, ou d'evenements externes.'. Cette definition recouvre les erreurs humaines, les fraudes et malveillances, les defaillances des systemes d'information, les problemes lies a la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations. En outre, cette reforme s'attaque au processus metier d'evaluation et de gestion des risques, dans une perspective qualite (vis a vis de la clientele, des autorites de controle, notamment avec les normes ISO), et va au-dela de la dimension financiere (qui est le calcul de fonds propres a allouer) puisque Bale II prend en compte et place ses exigences sur les systemes de notation et de surveillance.
  • Definition selon le reglement CRBF 97-02: 'Le risque resultant d'insuffisances de conception, d'organisation et de mise en œuvre des procedures d'enregistrement dans le systeme comptable et plus generalement dans les systemes d'information de l'ensemble des evenements relatifs aux operations de l'etablissement'.

Il faut noter que le risque operationnel a des caracteristiques specifiques: il est 'omnipresent, diffus et endogene'. En effet le risque operationnel est un risque au quotidien dans la gestion des operations, il peut s'agir d'une mauvaise redaction juridique du contrat ou meme une negligence en matiere de gestion des garanties, tout ceci contribue a un risque de perte.

Pourquoi est-il 'diffus'? Car le risque operationnel n'est pas toujours direct ou apparent. Pourquoi dit-on qu'il est endogene? Car c'est un risque qui survient a l'interieur de la banque et non exogene comme peut l'etre, par exemple, les risques de marche et les risques de credit.

Differents types de risques

Plus precisement qu'indique precedemment, le risque operationnel est compose de risques de defaillances operationnelles et de risques operationnels strategiques.

Risque operationnel strategique:

Qu'est-ce le risque operationnel strategique? C'est le risque lie a des evenements exterieurs non maitrisables comme par exemple: la concurrence d'un nouveau venu sur le marche capable de changer les regles du jeu, des catastrophes naturelles, des perturbations politiques, ou d'autres facteurs non controlables par l'etablissement bancaire. Le risque operationnel strategique appele aussi 'risque de dependance exterieure' est un risque non negligeable pour les banques. Cette notion de 'risque de dependance exterieure' montre bien que le risque ne peut etre maitrise car ne depend pas d'elle et bel et bien d'evenements issus de son environnement.

Cependant, et en tenant compte de notre reflexion, on va s'interesser seulement et plus precisement au risque de defaillance operationnelle. Celui-ci est interne et peut etre quantifie, voire maitrise par les banques et ce dans la mesure ou l'on peut consacrer une partie des fonds propres a la couverture de ce risque. Nous allons alors passer a la definition de celui-ci.

Risque de defaillance operationnelle:

Le risque de defaillance operationnelle est le risque de perte directe ou indirecte provenant de defaillances potentielles de personnes employees, de processus engages et de technologies utilisees. Ce sont des risques qui peuvent etre le resultat de plusieurs raisons. En voici quelques exemples: une destruction de donnees, des erreurs de traitements, des fraudes humaines, une defaillance informatique.

Nous pouvons ainsi les classer en 3 categories et citer quelques exemples internes aux banques tels que:

  • Le risque de transaction: celui-ci est cause par des erreurs pouvant survenir dans les operations telles que: transferts, virements, encaissements, paiements et deblocage des fonds.
  • Le risque de controle operationnel: il provient d'un manque de controle dans les activites de Front office, Middle-Office et Back-office.
  • Le risque de systeme: il est du a des erreurs ou des defauts pouvant survenir dans le maintien du systeme informatique et de l'organisation.

Les defaillances operationnelles ne se produisent pas souvent mais leur impact et leur frequence sont incertains. C'est pourquoi leur anticipation est fondamentale pour l'attenuation de leurs consequences.

C'est donc dans cette optique que nous allons detailler les composantes du risque de defaillance operationnelle (que l'on peut aussi retrouve sous forme de synthese en tableau dans l'annexe 1):

Le risque juridique

Le reglement CRBF 97-02 definit le risque juridique comme 'le risque de tout litige avec une contrepartie resultant de toute imprecision, lacune ou insuffisance de nature quelconque susceptible d'etre imputable a l'etablissement au titre de ses operations'.

Cela correspond donc a un risque de perte qui est le resultat d'application imprevisible d'une loi ou d'une reglementation, voire meme d'impossibilite d'executer un contrat.

En d'autres termes, il s'agit du risque qu'une partie subisse une perte parce que le droit ou la reglementation ne correspond pas avec les dispositifs du systeme de reglement de titres, l'execution des accords de reglement ou les droits de propriete conferes par le systeme de reglement. Si la reglementation et l'application du droit n'est pas claire, il y a un risque juridique.

Les rapports juridiques entre les operateurs sont normalises, pour se faire, des contrats cadres sont mis en place. Cette methode permet de standardiser les elements souvent admis dans les contrats, ainsi les clauses non habituelles seront quant a elles, nommees. Les transactions peuvent ainsi s'appuyer sur une reference connue et admise, et les negociations entre les parties a un contrat portent seulement sur les elements specifiques (conditions de prix, de taux, de duree).

Il existe 2 principaux organismes qui delivrent des contrats dits types:

  • ISDA (International Swap Dealers Association) qui est une association regroupant les principaux intervenants sur les produits derives et qui defini un contrat cadre pour regir les operations sur ces produits.
  • BBAIRS (British Bankers Associations For Interest Rate Swap) qui opera pour le Royaume-Uni.

Il est donc important d'instituer des contrats cadres visant a limiter les risques de contestation. En effet, le risque juridique, dont l'impact financier est susceptible d'etre tres important, recouvre notamment les aspects suivants:

  • Le risque d'etre condamne a verser des dommages et interets du fait d'une imprecision dans un contrat ou d'une erreur de redaction, du fait d'une faute civile ou penale telle que le soutien abusif, la rupture de financement, l'appel en comblement de passif, le defaut de conseil et le non respect de clauses contractuelles;
  • C'est aussi le risque de voir tout ou partie des contrats se trouver inapplicables en droit ou en fait: cas de la contrepartie qui ne disposait pas de la capacite juridique pour realiser la transaction en cause, non validite de certaines clauses dans certains pays, conflit de competences entre juridictions, deni de justice;
  • Enfin, c'est le risque du non respect des dispositions juridiques en vigueur ou le non prise en compte des changements survenus dans la legislation en vigueur.

Dans ce cadre, il est egalement utile de disposer des moyens de preuve des elements de transaction (enregistrement des conversations, confirmation ecrite).

Le risque humain

Le risque humain, inherent a la qualite de la personne nait du non respect des exigences attendues des moyens humains (exigence de competences et de disponibilite, de deontologie...). Ce risque peut etre intentionnel, (notamment en cas de fraudes), ou non intentionnel, (erreur humaine).

Les erreurs humaines dites ' non intentionnelles ', sont souvent couteuses et leur prevention comme leur detection a priori, dependent de la competence du personnel, de leur niveau de vigilance, de leurs capacites d'adaptation aux evolutions techniques, mais aussi de la technicite des operations a traiter et de la qualite du materiel et de la logistique utilisee.

Le risque intentionnel, ou ' delibere ', resulte de l'inobservation des regles de procedures, de prudence, de deontologie, de la malveillance, tout ceci, se concretisant par la realisation d'operations frauduleuses (exemple : l'escroquerie ou le vole de carnets de cheques par un collaborateur de la banque).

Ce risque, comme le risque de defaillance operationnelle, est assez difficile a anticiper. Meme si les etablissements bancaires peuvent prendre toutes les mesures necessaires (formation ou sensibilisation des collaborateurs aux risques qu'ils encourent), l'etablissement n'est pas a l'abri d'eventuelles pertes de controles d'un collaborateur (folie, depression...). Ce qui dans ce cas, n'exclut pas la possibilite d'engager la responsabilite de la banque.

Le risque de blanchiment

Le systeme bancaire peut servir consciemment ou inconsciemment a blanchir les enormes profits tires des activites criminelles, notamment ceux de la drogue. La confiance du public dans les banques peut etre ebranlee par une publicite defavorable resultant d'une association involontaire des banques avec des criminels. De plus, les banques peuvent s'exposer elles-memes a des pertes directes dues a la fraude, en acceptant des clients indesirables et par la compromission de certains employes avec des criminels. Ce delit est considere comme aggrave lorsque il est commis de façon habituelle ou en utilisant les facilites que procure l'exercice d'une activite professionnelle.

Selon la loi du 13 mai 1996 (code penal art. 324-1), celle-ci definit le delit general de blanchiment comme 'le fait de faciliter, par tout moyen, la justification mensongere de l'origine des biens ou des revenus de l'auteur d'un crime ou d'un delit ayant procure a celui-ci un profit direct ou indirect.'

Le processus du blanchiment se deroule en trois etapes:

  • Le placement qui consiste a introduire de l'argent dans le systeme bancaire par conversion des especes provenant directement de l'infraction primaire ou sous-jacente en une autre forme de produit financier.
  • La dissimulation qui consiste a brouiller les pistes de l'origine des fonds par la multiplication d'operations bancaires ou financieres afin d'en occulter la provenance.
  • Avec la troisieme etape, celle de l'integration(ou conversion) qui se definit comme l'utilisation des fonds blanchis dans les produits mobiliers ou immobiliers de l'economie legale.

La majeure partie des operations de blanchiment necessitent l'intervention des etablissements de credit:

  • Depots en espece des fonds d'origine sale
  • Virements effectues entre plusieurs comptes bancaires
  • Utilisation des comptes bancaires des entreprises fantomes ou ecrans
  • Exploitation frauduleuse de facilites du commerce international
  • Achat par les fonds sales d'instruments financiers

En effet les banques garantissent la rapidite des transactions, de plus le code du secret professionnel rend le fraudeur anonyme a cet egard.

Le risque administratif/comptable

Les particularites de la fonction comptable dans un etablissement de credit sont tres fortes: flux comptables et de nombre de comptes considerables, decentralisation des enregistrements dans les nombreuses applications informatiques, complexite pour traduire dans les comptes annuels une image fidele. Deux risques sont inherents: perte de la piste d'audit qui se manifeste par l'absence ou l'insuffisance de la justification des comptes et la traduction d'une image non fidele dans les comptes annuels du fait de l'application de mauvaises normes comptables ou la fourniture d'informations ns on pertinentes.

On entend par ce risque toutes les erreurs provenant de l'enregistrement des operations, la saisie, les rapprochements et les confirmations tels que: un double encaissement de cheque, un credit porte au compte d'un tiers et non du beneficiaire, le versement du montant d'un credit avant la prise effective de la garantie prevue, le depassement des limites et autorisations pour la realisation d'une operation.

Parmi les erreurs administratives, on citera principalement le risque comptable, qui est souvent mal identifie au sein des etablissements de credit, vu qu'on n'accorde a la fonction comptable qu'un role d'information legale, par la presentation des comptes, un role declaratif et fiscal, et enfin une fonction liee a la production des elements reglementaires. Or, des dysfonctionnements lies a la comptabilite peuvent apparaitre, notamment en raison d'erreurs humaines, d'une formation insuffisante du personnel, ou bien encore lors d'un changement de tout ou partie du systeme d'information, ou de modifications dans l'organisation ou les procedures des etablissements.

Le risque informatique

D'apres l'ouvrage Audit et controle interne bancaires de SARDI, chapitre 1.2 sur les risques majeurs de l'activite bancaire, l'auteur definit le risque informatiques de la maniere suivante: 'L'informatique est un veritable outil de production dans une banque. Son efficacite est un facteur decisif dans la bataille de la rentabilite et de l'adaptation a un environnement de plus en plus difficile et concurrentiel.'

La croissance des pertes dues a des sinistres informatiques a fait prendre conscience aux banques des dangers lies a ce risque.

Le risque informatique apparait selon des categories differentes, il peut etre lie a une probabilite d'erreurs dans la conception des programmes informatiques, qui peut avoir pour origine une erreur de comprehension due a une mauvaise analyse prealable du domaine a informatiser, ou encore une intervention inopportune de programmation affectant un autre programme. Est egalement attache a ce risque le risque de divulgation confidentielle a l'exterieur de l'etablissement de credit.

Le prejudice potentiel, ne peut s'apprehender que par defaut comme le cout d'un nouveau developpement informatique ou plus indirectement des pertes de resultats issus de la mauvaise qualite de la gestion des produits et services.

Le risque informatique peut engendrer des defaillances des systemes de telecommunication ou de systeme de place: impossibilite temporaire de negocier suite a une panne de reseau (impossibilite de deboucler une position), systeme de place en defaut ou deborde.

Ce probleme a concerne plus les banques que d'autres secteurs, en effet une difficulte technique rencontree par une banque risque de se repercuter rapidement sur ses contreparties, voire dans les cas extremes, sur l'ensemble du systeme financier.

Enjeux

Les enjeux de l'identification des risques operationnels, mais surtout les moyens necessaires pour les anticiper et les reduire sont devenu tres important depuis le milieu de la derniere decennie.

Il s'agit bien sur de mettre en place des moyens pour identifier, mesurer et controler les risques operationnels, afin d'eviter des evenements comme ceux survenues dans des institutions financieres, des evenements tels que l'effondrement de la Barings, le cas de la Societe generale ou des cas de blanchiment d'argent.

Il est de plus en plus difficile d'identifier les risques du fait qu'ils sont presents a tous les niveaux d'une organisation. De plus des pertes tant directes qu'indirectes rendent les mesures beaucoup plus delicates a quantifier. C'est en partie pour ces raisons que tant les regulateurs que les institutions bancaires ont mis en place des moyens pour identifier, mesurer et controler les risques operationnelscar tous les evenements passes demontrent bien que la gestion des risques bancaires va bien au dela des domaines des risques de credit ou des risques de marche, et necessite la prise en compte des risques operationnels.

Selon l'ouvrage 'Le controle interne des risques', chapitre Apprehender les risques de l'entreprise, de Jean Luc Masselin, les pertes subies par les etablissements bancaires au titre du risque operationnel sont evaluees a plus de 200 milliards d'euros sur la periode 1980-2000. Et plus recemment, l'exercice de collecte de pertes realise en 2002 par le groupe Risk Management du Comite de Bale revele que les 89 banques ayant participees a cet exercice on connu sur leur seul exercice 2001 plus de 47000 evenements de pertes pour un montant cumule de pertes operationnelles s'elevant a pres de 7.8 milliards d'euros.

Il faut bien savoir qu'un risque operationnel, donc le cout de l'erreur, peut tres vite se chiffrer a plusieurs centaines de milliers voir en millions d'euros.

Nous pouvons bien remarquer l'ampleur des degats causes par une gestion peu maitrisee des risques operationnels. Certes ces chiffres sont de 1980 a 2002, mais cela renforce seulement le fait que ces risques ne sont pas des evenements nouveaux, et qu'il est necessaire et primordial de mettre en place des outils de maitrise de ces risques. A noter que les risques operationnels occupent 20% des risques totaux dans une banque. Voire annexe 2, schema sur la part des risques operationnels dans la banque.

Prise en compte du risque operationnel dans les banques

Le facteur humain: un risque pas assez pris en compte

Le risque operationnel est le seul risque ayant comme particularite de concerner tous les employes au sein de l'entreprise. Bien qu'il represente 20% des risques globaux, tout le monde y est confronte. Pourtant, les banques n'ont pas toujours prete attention a ce risque potentiel.

La premiere cause est due a la caracteristique majeure des risques operationnels: ils ne sont pas en general porteurs de valeur. A l'oppose, la gestion des risques de marche et de credit est necessaire au developpement de l'activite bancaire. Leur prise en compte etait donc fondamentale pour les banques.

Une autre cause de cette negligence est la non prise en compte du facteur humain dans les banques.

D'apres les chiffres de la Banque des Reglements Internationauxde 2008:

  • 43 % des cas de realisation du risque operationnel sont lies a une erreur d'execution des processus internes.
  • 3 % des cas de realisation du risque operationnel sont lies a une fraude interne.
  • 34 % des couts occasionnes par la realisation du risque operationnel sont lies a des erreurs d'execution.
  • 11 % des couts occasionnes par la realisation du risque operationnel sont lies a la fraude interne.

Les risques humains sont specifiques dans la mesure ou ils sont lies a une ressource dotee d'une volonte propre, ayant une strategie personnelle qui peut se contredire avec celle de l'employeur.

Le secteur bancaire est sensible a ce risque car le capital humain constitue la principale source de valeur d'une banque. Pour illustration, la masse salariale represente pres de 50% des couts de production d'une banque.

Les etudes du comite de Bale ont montre qu'en 2001, 89 banques ont subi pres de 8 milliards d'euros de pertes dues aux risques operationnels.

La prise de conscience de la necessite de la gestion du risque operationnel est donc recente. Elle s'est appuyee sur la nouvelle reglementation du comite de Bale, qui date de 2006.

La reglementation: nouvelle approche Bale II

La reglementation de Bale 2 a apporte un changement considerable par rapport a la version initiale: la prise en compte des risques operationnels ainsi que les risques de marche dans le calcul de l'exigence des fonds propres.

Auparavant, seuls les risques de credit etaient consideres comme fondamentaux et donc compris dans ce calcul. Desormais, l'approche reglementaire Bale 2 couvre tous les types de risques a travers trois piliers:

  • Pilier 1: Le pilier 1 definit les methodes de calcul pour l'exigence des fonds propres et de mesure du risque de credit et du risque operationnel. Le ratio McDonough exige que les fonds propres de la banque representent au moins 8% de la somme des risques de credits (a hauteur de 85%), des risques de marche (5%) et des risques operationnels (10%). Ainsi, ce pilier a pour objectif d'evaluer les risques portes par un etablissement pour determiner les fonds propres minimaux necessaires a la couverture de ces risques. Nous verrons par la suite les differentes methodes que peuvent employer les etablissements bancaires.
  • Pilier 2: Le pilier 2 met en avant la necessite d'une surveillance prudentielle et comporte des recommandations concernant la gestion des risques ainsi que la transparence et la responsabilite prudentielle. Il vient completer le pilier 1.
  • L'analyse doit porter sur l'ensemble des risques, y compris ceux non couverts par le pilier 1. Au-dela des risques pouvant etre quantifies (risque de taux du portefeuille bancaire, risque de concentration, risque de transformation, risque residuel si l'efficacite des collateraux est inferieure a celle escomptee), il s'agit de ceux necessitant une approche davantage qualitative (risque de reputation, risque strategique).

    Selon les recommandations de la Banque de France, la mise en œuvre de ces principes doit etre proportionnee a l'ampleur des risques pris : chaque risque doit etre considere non seulement isolement mais egalement en termes d'importance relative et au regard des autres risques.

  • Pilier 3: Il s'agit d'etablir une certaine discipline de marche a travers trois axes:
    • Uniformisation des bonnes pratiques bancaires: quelle que soit la banque et quelle que soit la reglementation qui la regit (droits nationaux) les pratiques doivent etre transparentes et uniformisees.
    • Les bases mises en place pour ce calcul sont une puissante source de donnees de gestion, qui reconcilient les vues risques, comptables et financieres;
    • Transparence financiere: les analystes trouveront une lecture des portefeuilles de risque identique pour toute banque dans tous pays

    L'une des innovations du dispositif Bale II est donc d'inciter les etablissements bancaires a ameliorer la gestion de leurs risques operationnels par leur prise en compte dans le calcul de ratios.

    Des propositions ont ete formulees dans le cadre de Bale 3. Le comite de Bale s'active en effet aujourd'hui pour renforcer le dispositif de controle des banques. Il s'agit de rediger de nouvelles regles bancaires supposees renforcer les bilans en cas de crise. Les futures normes prudentielles reposent sur trois ratios : solvabilite, liquidite court terme et liquidite long terme. Les banques, assez sceptiques, previennent que ces normes peseront sur le financement de l'economie. Les ratios de solvabilite et de liquidite long terme sont les deux ratios qui posent probleme au sein des etablissements financiers.

    L'echeance est a priori fixee pour 2012 mais de nombreux debats restent a venir.

Du risque operationnel vers le risque de non-conformite

Le reglement 97-02 definit Le risque de non-conformite comme ' Un risque de sanction judiciaire, administrative ou disciplinaire, de perte financiere significative ou d'atteinte a la reputation, qui nait du non respect de dispositions propres aux activites bancaires et financieres, qu'elles soient de nature legislatives ou reglementaires, ou qu'il s'agisse de normes professionnelles et deontologiques, ou d'instructions de l'organe executif prises notamment en application des orientations de l'organe deliberant'.

33 evenements de risques sont regroupes en 6 themes de non-conformite

  • Connaissance des clients et surveillance des flux
  • Nouveau produits et nouvelles activites
  • Relations commerciales
  • Conflits d'interets
  • Regles deontologiques personnelles
  • Reglementation professionnelle

A chaque evenement indesirable correspond un theme de non-conformite.

Les risques operationnels et de non-conformite doivent etre soumis a la meme vigilance. L'integration d'une cartographie des risques de non-conformite dans la cartographie des risques operationnels permet a l'etablissement financier d'eviter la multiplication des outils specifiques, de beneficier des cotations des processus par les responsables metiers et d'enrichir la cartographie des risques operationnels grace a l'expertise des Responsables Conformite Deontologie.

En fait le departement de la conformite veille a ce que la banque agisse conformement a ses propres regles, a la legislation en vigueur, au code de conduite, ainsi qu'aux bonnes pratiques afin d'eviter tout risque d'irregularite dans le fonctionnement de l'Institution, de ses organes et de son personnel.

DEUXIEME PARTIE: Mesure et typologie des risques operationnels

Quantification du risque

Apres avoir donne une definition la plus complete possible de la notion de risque operationnelle, il est important dans cette seconde partie de tenter de la mesurer. C'est donc dans des termes bancaires que nous parlerons de quantification du risque. La quantification d'un risque est donc la mesure, l'estimation de ce risque en termes de chiffre. En regle generale, la methode la plus utilisee mais aussi acceptee est celle de la probabilite multiplie par la gravite.

D'ou la formule suivante : Risque = Probabilite × Gravite

Nous allons donc tenter de donner une definition breve de la probabilite et de la gravite.

La probabilite en terme scientifique et d'apres un mathematicien français LAPLACE Pierre Simon (1749-1827), qui ecrit en 1795 : 'La probabilite est une fraction, dont le numerateur est le nombre de cas favorables, et dont et le denominateur est le nombre de cas possibles.'

Cette definition est commune car en terme bancaire, elle designe les possibilites de realisation du risque. On peut egalement utiliser la notion de frequence d'occurrence.

La probabilite se mesure a partir :

De criteres qualitatifs, tels que :

  • une frequence importante, moyenne, faible, ou quasiment certaine, probable, quasiment impossible, etc.....
  • une echelle de 1 a 10

De criteres quantitatifs :

  • une probabilite effective pour une periode donnee
  • une frequence

En regle generale, la frequence de survenance d'un risque est inversement proportionnelle a la qualite de gestion de ce dernier : ' un risque bien maitrise a une tres faible probabilite de se realiser '.

La gravite peut se traduire par l'appreciation du risque. La mesure globale du risque, sa gravite, resulte d'une decision strategique de l'organisation fondee sur les valeurs d'impact et de potentialite. Cette decision peut etre traduite en termes ' d'aversion aux risques '.La gravite est la quantification de la perte engendree par la realisation du risque. Cette perte peut s'exprimer :

De maniere qualitative :

  • la gravite peut etre forte, moyenne, faible, ou insignifiant, mineur, modere, majeur, catastrophique, etc....
  • une echelle de 1 a 10

De maniere quantitative :

  • la perte financiere engendree (en monnaie)
  • les pertes d'exploitation (en jours de production).

Selon les etablissements bancaires, les choix de mesure du risque sont differents. Ainsi pour se faire, celles-ci se basent sur 2 types d'analyse, historique et prospective.

Analyse historique

L'analyse historique prend en compte les risques qui ont menace l'entreprise dans le passe et en tient ainsi compte lors de la mise a jour ou de la conception de la cartographie des risques. Le but principal de cette methode est de determiner les lignes de metier touchees directement ou indirectement par un evenement defavorable dans le passe, et d'essayer d'evaluer l'occurrence de tels evenements.

Pour cela, il suffit de dresser un recapitulatif des differents risques qui ont touche les services de la banque et qui ont provoque des pertes. Ayant ces donnees, les etablissements de credits auront suffisamment de couples risques/metier, pour pouvoir finalement etablir une matrice risques /metier. Cette methode est beaucoup plus facile pour des banques qui possedent un historique de donnees internes, relatif aux differents evenements. Il conviendra aussi de degager l'importance accordee a chaque type de risques selon une appreciation quantitative sous forme de probabilite, ou de maniere qualitative sur une echelle d'importance.

Cette methode trouve ses limites au niveau du recueil des donnees dans la mesure ou les banques ne souhaitent pas avouer leurs defaillances internes. En effet cela pourrait contribuer a une degradation de leur image et de leur reputation, malgre le fait que ces elements soient pourtant necessaires a la construction de bases de donnees fiables.

Toutefois, certains etablissements s'orientent lentement vers la construction de base de donnees 'incidents' qui regroupe un historique relatif aux evenements generateurs de risques, les frequences d'apparition, les possibilites de realisation, les fonctions concernees, les pertes degagees.

En fait, sur la base de donnees, les banques auront la possibilite de mesurer leur exposition aux risques operationnels, pour ainsi prevenir leur ampleur et donc pour au final decider du montant necessaire a la couverture du risque.

Analyse prospective

L'analyse prospective est une methode qui consiste a faire l'inventaire des differents facteurs du risque operationnel auxquels les metiers de la banque peuvent etre exposes. Pour cela, une typologie des risques operationnels est etablie (risques listes dans les composants du risque de defaillance operationnelle partie 1.1.2) en prenant en consideration des facteurs d'ordre interne, et d'autres d'ordre externe. Par ailleurs, en deployant des demarches de quantification des consequences de ces risques, l'etablissement pourra mieux se situer pour mesurer, prevenir et gerer efficacement ces risques. Une fois que les risques sont identifies, Il faut ensuite determiner les lignes metiers exposees aux risques operationnels. Cette etape consiste a diviser les differents processus elementaires de la banque en sous processus, voire d'affiner cette division en dressant une liste des differents fonctions au sein de chaque departement de la banque. A chaque ligne de metier est alors associe le risque qui peut l'affecter directement ou indirectement.

Evaluation du risque par typologie

Approches utilisees par les banques

D'apres l'ouvrage AUDIT ET CONTROLE INTERNE BANCAIRES, d'Antoine Sardi, dans le chapitre 2.7 intitule 'Le risque operationnel' p.315: 'Le risque operationnel est consommateur de fonds propres qu'il convient d'affecter aux unites et centres de profit en fonction de leur performance (ou score) en matiere de reduction de ce risque. Ce qui devrait inciter les unites operationnelles a mieux maitriser ce risque pour diminuer la consommation des fonds propres dont la remuneration peut representer un cout significatif'.

En effet, pour une banque, les fonds propres constituent:

  • Un element essentiel de sa solvabilite
  • La derniere ligne de defense en cas de difficultes dues a des pertes
  • Le gage ultime des deposants

Il faut savoir aussi que pour couvrir un risque operationnel, une banque doit avoir l'equivalent en montant de fonds propres.

Ainsi une banque doit disposer d'une fonction de gestion du risque operationnel bien identifiee.

Nous pouvons ajouter aussi que chaque etablissement bancaire dispose de ses methodes de calculs et qu'elles sont confidentielles et differentes d'une banque a une autre.

Il est donc difficile de connaitre les methodes exactes de calculs pour une banque.

Cependant differentes pratiques ont ete recensees par le Comite de Bale:

Approche Top Down

Une methode Top down, de par son nom, signifie que c'est une methode descendante. Nous prenons donc en compte des informations globales pour finir dans le detail. Nous pouvons visualiser cette methode en forme d'entonnoir:

La methode Top down, sur la base des donnees historiques precedemment definies et apres la prise en compte des facteurs tels que le cout lie aux changements ou l'evolution de l'activite, donne une estimation du risque operationnel. Dans cette approche selon SARDI Audit et controle interne bancaires - Chapitre 3.3 sur l'approche Top-down, l'auteur dit que, 'Certaines banques ont tendance a evaluer l'exigence de fonds propres pour le risque operationnel en prenant seulement en compte un pourcentage d'un indice d'activite comme le produit brut bancaire (PNB).' Le PNB etant considere comme le chiffre d'affaire d'une banque, il comprend essentiellement des resultats provenant de l'activite de credit (marge d'interet), de l'activite d'investissement (les plus ou moins values) et de l'activite de service (les commissions d'interets).

D'autres banques prennent en compte un pourcentage des frais generaux, le niveau des fonds propres necessaires pour couvrir le risque se traduirait donc par la formule suivante:

  • Indice d'activite x multiplicateur de la ligne d'activite x k
  • k = un score representant l'environnement

Il est vrai que cette approche presente un avantage, celle de prendre en compte les elements des resultats historiques. Cependant, nous pouvons constater que les modeles proposes ne tiennent pas ou peu compte de la qualite du controle interne n'est pas assez prise en compte. En effet, il est difficile d'etablir un rapport entre perte et revenu variable, de meme qu'entre risque operationnel et revenu variable.

C'est ainsi que pour mieux maitriser le risque operationnel, les etablissements s'orientent d'avantage vers des approches a forte valeur ajoutee type " Bottom-Up ".

Approche Bottom Up

Ce modele s'applique pour differents etablissements, ainsi nous avons pris le soin de prendre une definition d'un auteur qui s'interesse aux entreprises pour illustrer l'approche. Cet auteur est donc Andre Gosselin qui, dans son livreInvestir dans les titres de petites entreprises, aux editions Transcontinental; nous donne la definition suivante: 'L'approche dite ascendante ou bottom-up, de bas en haut, qui con­siste moins a faire le chemin inverse qu'a selectionner des titres sans attacher une grande importance a l'examen d'un secteur industriel ou a l'etude de la conjoncture economique d'ensemble d'une societe[...] il est possible de trouver des entreprises extraordinaires dont le titre en Bourse est sous-evalue par le marche, et que ces entreprises ont un potentiel de croissance superieur a la normale en depit de l'etat de sante de leur secteur industriel ou de l'economie en general. En somme, l'approche ascendante recommande d'acheter des titres de compagnies qui sont relativement autonomes par rapport a leur environnement economique et qui ont la capacite de s'autodevelopper par leurs propres moyens.'

Ce que nous pouvons comprendre dans cette definition, et qui rejoint celle des etablissements bancaires, est que cette approche correspond a une approche structurelle dans laquelle, comme pour les entreprises, nous prenons en compte des indicateurs a l'interieur de l'etablissement. En effet les indicateurs des secteurs ne sont peut etre pas tres representatifs des problemes internes. Il faut alors pour ainsi dire, prendre en compte au sein meme des banques, l'identification et l'evaluation des risques et de ses pertes en fonction des ses processus, ses technologies et de sa logique de comportement. A chaque etape, les taches et controles cles seront donc dechiffres et evalues.

Le recensement et l'evaluation des risques operationnels sont traduits dans une cartographie des risques operationnels (zones geographiques, ligne metier, entite, activite et productivite) se declinant de la plus globale a la plus exhaustive. Il faut savoir que plusieurs analyses de scenarios doivent etre mis en œuvre et que les banques doivent les etudier minutieusement afin que celles-ci soit operationnelles et pretes a etre utilisees. Ce n'est donc pas une tache facile et cela prend beaucoup de temps a la conception. Les risques sont cartographies au niveau de chaque ligne de metier a partir des causes, puis mesures sur la base de frequences et de severites de pertes estimees par les experts de chaque metier et/ou d'indicateurs de performance, de controle et de risque. De nouveau, il est important de souligner que les banques fonctionnent differemment et que cette methode prend en compte des criteres tout a fait differents d'une banque a une autre. Certaines banques recourent ainsi aux analyses de scenarios pour les seuls evenements a faible probabilite et a forte sinistralite, d'autres de maniere plus systematique pour tous les types d'evenements identifies.

Pour tous, la demarche doit etre suffisamment structuree et coherente dans le groupe afin que les quantifications subjectives des risques au niveau des metiers puissent alimenter correctement le modele de calcul des fonds propres. En pratique, l'identification des indicateurs de risque s'effectue a partir de risques identifies lors de la cartographie et par rapport a des indicateurs existants (indicateurs de qualite, de performance...). Les etablissements orientent par ailleurs leurs efforts sur la selection d'indicateurs cles de risques, centres sur les risques les plus importants et susceptibles de faciliter la prise de decision. Parmi les difficultes rencontrees dans la mise en place de cette methode figurent notamment l'interpretation qu'il convient de donner aux indicateurs (par exemple ceux lies aux ressources humaines), la definition de niveaux d'alertes coherents avec la politique de risques du groupe ainsi que les modalites d'agregation des indicateurs.

Cette approche apparait utile pour comprendre la nature du risque operationnel et pour permettre un controle interne efficace. Elle est source de creation de valeur car elle integre des cartographies des risques operationnels lies aux activites et process comprenant l'identification, l'analyse et l'evaluation des risques.

Elle permet de contribuer d'une part a la connaissance des risques operationnels au niveau des activites, et d'autre part au changement comportemental des differents acteurs et notamment les operationnels.

Nous allons ensuite proceder a un exemple simple de quantification de perte attendue par un etablissement bancaire:

Prenons l'exemple d'une banque qui a pour activite la banque de detail, celle-ci souhaiterait quantifier son risque par l'approche bottom up.

  • Nous allons noter P la probabilite que l'evenement se realise (calculee a partir de donnee historiques de la banque)
  • Et prendre en compte la notation attribuee par l'audit interne

Ce qui nous donne une base suivante:

  • Note 1 (qui correspond a une bonne note): P= 1%
  • Note 2 (note moyenne): P= 2%
  • Note 3 (mauvaise note): P= 3%

Ensuite nous estimons a partir des donnees historiques, une severite de la perte a 2000€.

  • Nombre d'operation: 10000
  • Note moyenne: 1.2 soit P= 1.2%

Ce qui nous donne une perte attendue (expected loss) de: 10000 x 0.012 x 2000 = 240000€

Nous constatons donc que pour 10000 operations et une severite de la perte estimee a 2000€ et pour une probabilite de realisation de l'evenement a 1.2%, une perte a hauteur de 240000€. Ceci est un resultat non negligeable, de meme qu'il pourrait etre multiplie par la perte inattendue (non maitrisable car non connue).

Methodes d'evaluation definies par la Comite de Bale

Le comite de Bale a retenu trois approches, dans l'ordre de presentation: l'approche de base, l'approche standard et l'approche avancee. Voire annexe 3 (Les pre-requis organisationnels des 3 methodes)

Ces trois approches ont pour objet de quantifier le risque operationnel avec une sensibilite variable et donc de contribuer a une meilleure surveillance de ce dernier. En effet, un risque ne peut etre correctement maitrise que s'il est identifie, mesure, evalue et gere. Parallelement a ces outils de mesure, le Comite de Bale a donc developpe les principes necessaires a une bonne maitrise des risques operationnels. D'une part, il a soumis l'utilisation de l'approche standard et surtout de l'approche des mesures avancees au respect de criteres qualitatifs, notamment en matiere de gouvernance, d'audit et de controle interne. Une banque doit disposer d'une fonction de gestion du risque operationnel bien identifiee, responsable de la conception et de la mise en œuvre du dispositif de mesure et de gestion de ce risque. Ce dispositif doit etre integre a la gestion quotidienne des risques de l'etablissement et le risque encouru doit faire l'objet de comptes rendus adequats. Il doit aussi faire l'objet d'un examen periodique des auditeurs. D'autre part, de maniere plus generale, le Comite a elabore des saines pratiques de gestion et de controle du risque operationnel, rappelant l'importance tant de l'implication de l'organe executif dans la mise en place d'un tel dispositif que de l'identification des risques, notamment au travers d'une cartographie de ces derniers.

D'apres ce schema et pour appuyer ce qui a ete decrit dans les precedents paragraphes, il est important pour les etablissements bancaires d'adapter leurs approches utilisees a leur activite car comme nous pouvons le constater que le schema, plus la methode utilisee et avancee, moins le niveau des exigences en fonds propres sera consequent.

Approche de base

La methode de base (art. 649) est particulierement simpledans son principe : les fonds propres doivent couvrir 15 % du produit brut bancaire moyen (pnb moyen) des trois dernieres annees (sauf les annees ou celui-ci ne serait pas strictement positif). Ce produit est brut de provisions et de frais d'exploitations, et net de plus ou moins-values, elements exceptionnels et produits d'assurance (art.650).

Elle se traduit par la formule suivante: Calcul forfaitaire des exigences = PNB moyen x 15%

Approche standard

L'approche standard (SA pour Standardised Approach) s'attache a huit niveaux de lignes de metiers (certains etant divises en sous-niveaux). Le produit brut de chaque ligne est suppose connu. Il suffit ensuite d'appliquer la methode precedente mais par ligne de metier et de remplacer l'unique 15% de l'approche de base par les coefficients suivants (appeles pourcentages beta ßi):

Notons que si le produit brut d'une ligne est negatif, il y a compensation avec une autre ligne. Les facteurs beta seront determines a l'issu d'une etude en cours.

Dans cette methode, les activites des banques sont reparties en huit lignes de metier.

Pour connaitre les activites qui rentrent en compte dans les lignes metiers, je vous invite a vous referer a l'annexe 4, intitule Tableau du referentiel national des domaines et sous-domaines.

Cette methode standard est liee aux produits nets bancaires metiers multiplies par un facteur de ponderation refletant le risque lie a l'activite donne par le regulateur.

Pour adopter cette methode, les banques doivent repondre a certains criteres d'eligibilite sur la qualite du systeme de gestion des risques et sur le suivi notamment des donnees de pertes.

Le niveau des fonds propres du risque operationnel se calcule comme suit :

Fonds Propres (FPRO) = S ßi* PNBi (Ainsi pour chaque ligne de metier (i), un indice d'exposition unique (PNB) multiplie par un facteur de ponderation (ßi) refletant le risque lie a l'activite.)

Voici le tableau recapitulant les 8 lignes metiers et son coefficient de ponderation:

Pour eclaircir la methode, prenons l'exemple d'une banque qui souhaiterait allouer le minimum de fonds propres, elle devra alors ainsi se specialiser dans les activites moins consommatrices de fonds propres telles que la banque de detail, la gestion d'actifs ou les activites de marche pour compte de la clientele. Ces activites demandent un beta de 12%. Ainsi si un coefficient de 60% du PNB est realise en banque de detail et les 40% restants pour moitie respectivement en financement d'entreprise et en banque commerciale. Et que nous considerons un PNB total de 500000€, cela nous donne le calcul suivant:

Ø (0.6 x 500000) x 0.12 + (0.2 x 500000) x 0.18 + (0.2 x 500000) x 0.15 = 69000€

En rouge: 0.6 correspondant a la part alloue a l'activite de banque de detail et 0.12 son coefficient beta respectif.

En vert: 0.2 correspondant a la part alloue a l'activite financement d'entreprise et 0.18 son coefficient beta respectif.

En violet: 0.2 correspondant a la part alloue a l'activite de banque commerciale et 0.15 son coefficient beta respectif.

Le resultat se traduit de la maniere suivante: pour une PNB total de 500000€ et pour des allocations a celui-ci dans 3 lignes metiers differents et a differents coefficient beta, nous retenons le resultat de 69000€ qui correspond au montant necessaire de fonds propres pour couvrir le risque operationnel. Soit pour cet exemple, un ratio de 13.8% affecte au fonds propres pour pallier les risques operationnels.

Approche interne ou methode avancee (AMA)

Dans la methode des mesures avancees, l'exigence est calculee par un modele interne, developpe par la banque, sous des contraintes qualitatives et necessitent l'accord du superviseur.

Ainsi, cette methode suppose que la banque soit en mesure de collecter, de conserver et d'analyser toutes les donnees internes concernant les pertes liees aux risques operationnels et de les utiliser comme base du calcul des fonds propres correspondants. Ainsi en respectant la decomposition entre les huit lignes d'activites et les sept categories de risques.

Les principes associes aux modeles internes sont les suivants :

  • L'utilisation de donnees internes avec un historique de pertes d'au moins cinq ans (trois ans au moment de la mise en œuvre) et a partir d'un seuil adequat ;
  • L'utilisation de donnees externes retraitees pour etre pertinentes et comparables a des donnees internes (c'est-a-dire aux donnees de la banque) ;
  • L'analyse par scenarios est une auto-evaluation des risques, notamment pour les risques a faible probabilite et fort impact ;
  • L'evaluation de l'environnement et du systeme de controle interne des risques consideres (c'est une appreciation de la qualite de la gestion des risques).

Un calcul de mesure de la perte attendue pour chaque couple (expected loss EL) est realise. Il est ensuite calcule sur cette base, le besoin en capital des risques operationnels (FPRO) grace a un facteur multiplicateur.

  • EL = PE1 x LGE2 x E3
  • 1 Probabilite de l'evenement
  • ² Perte en cas d'evenement
  • 3Exposition au risque operationnel

Il est exige un plancher de fonds propres de l'ordre de 75%

Les fonds propres a allouer sont la somme des pertes attendues pour chaque couple ponderes d'un facteur ? specifique (les cinquante six facteurs sont fixes par le regulateur).

G correspondant a l'estimation de la perte inattendue, qui peut etre un multiple d'EL.

Le risque operationnel a ete la cause de nombreuses defaillances dans les etablissements de credit. Les banques ont d'ailleurs tire des leçons du passe et mettent en œuvre des procedures pour le controler.

Pour exemple, d'apres le chapitre 2.7 intitule risque operationnel d'Antoine SARDI, 'Pour l'activite de credit, 100 evenements de perte on ete recenses, l'indicateur d'encours est le nombre de credit soit 10 0000. Ce qui donne une probabilite d'evenement de 0.01 ou 1%. La perte moyenne pour chaque evenement est de 1000€.

La perte attendue est: 10000 x 0.01 x 1000 = 100000€. Si le multiplicateur gamma est 20, la perte inattendue, donc l'exigence de fonds propres, sera egale a 2000000€.'

Le comite de Bale identifie 3 approches:

Internal measurement approaches (IMA)

L'approche repose sur l'estimation de la perte attendue. Cette estimation est ponderee d'un multiple 'gamma ?' qui represente la perte inattendue. Cette methode peut etre complexe.

Loss distribution approaches (LDA)

L'idee generale de la methode LDA est de modeliser la perte liee au risque operationnel pour une periode donnee (par exemple, un an) et d'en deduire la valeur en risque. Sardi souligne que 'cette methode tente d'estimer la perte inattendue directement et non par l'usage d'un simple multiple de la perte attendue.'

Scorecard approaches

Une grille d'appreciation d'experts est definit pour chaque activite i et chaque risque j. Cette methode s'apparenterait a une serie de questions ponderees, dont certaines peuvent s'apparenter a des scenarios. Elle permet d'etablir des probabilites et des montants de risque. Chaque score de risque est pondere par un indicateur d'exposition et d'un facteur d'echelle. Attention, c'est une methode qui nous donne l'impression d'un resultat tres precis, seulement il faut mettre un bemol et se souvenir que cette methode ne delivre pas de resultat certain.

Nous souhaiterions pour terminer les methodes d'analyses avancees, prendre un exemple tres bien explique dans le chapitre du risque operationnel de Sardi p.324:

'Une banque repartit ses activites en quatre categories et ses evenements de pertes en trois types de pertes. Elle a collecte pendant plusieurs annees des donnees completees par le recours a des banques de donnees externes. Les chiffres expriment pour chaque activite et chaque type de pertes une moyenne des evenements de pertes et de la severite des pertes.

La perte attendue est le simple produit du nombre de pertes par la severite de la perte. La perte inattendue est estimee en appliquant les multiplicateurs issus de la loi de Poisson pour les evenements de perte et la loi log-normale pour la severite des pertes pour un intervalle de confiance de 99.9%'

Voici le resultat de ces estimations:

Intervalle de confiance 99.9%

Ainsi nous constatons que pour le total general de perte moyenne est estimee a 3640€ pour 4 activites d'une banque/3 types de risques. Cependant, nous constatons que le montant des fonds propres exige pour cette methode est de 87314€ soit 24 fois le montant de perte attendue. Nous pouvons ainsi dire que le facteur multiplicateur prend en compte un ratio large pour pallier aux risques inattendus qui pourrait dans cet exemple represente 24 fois la perte attendue.

TROISIEME PARTIE: Facteurs des risques operationnels

Facteurs internes

Structure de la banque

La viabilite d'une banque repose essentiellement sur sa structure et notamment sur son mode de gouvernance.

Il s'agit de l'ensemble des processus, reglementations, lois et institutions influant la maniere dont la banque est dirigee, administree et controlee.

La gouvernance a "pour but de fournir l'orientation strategique, de s'assurer que les objectifs sont atteints, que les risques sont geres comme il faut et que les ressources sont utilisees dans un esprit responsable", selon l'IT Governance Institute. Elle repose sur 4 principes fondamentaux: la transparence, la responsabilite, la participation et l'etat de droit.

La banque doit disposer d'une cellule dediee a la conformite. La direction de la conformite est en charge:

  • d'effectuer une veille reglementaire,
  • de diffuser des informations aupres des operationnels,
  • de verifier leur formation dans ce domaine
  • de s'assurer du respect de la conformite aux regles externes et internes relatives aux activites bancaires et financieres.

La banque doit s'assurer du bon fonctionnement de cette cellule afin de limiter les risques operationnels mais egalement afin de ne pas etre mis en cause par les autorites de controle pour defaut de surveillance.

Nature des activites de la banque

Les etablissements de credit n'ont pas tous les memes activites.

Ils effectuent des operations de banque (reception des fonds du public, operations de credit, mise a la disposition du public de moyens de paiements) ainsi que des activites annexes (operations de change, conseil et assistance en matiere de gestion de patrimoine...).

Des services et activites d'investissement sont egalement possibles comme par exemple, la gestion de portefeuille pour compte de tiers, la negociation pour compte propre, l'execution d'ordres...

Ces activites ne sont pas obligatoires pour obtenir l'agrement, il s'agit en quelque sorte d'options pour l'etablissement qui souhaite se developper. Les banques auront donc des risques operationnels variant en fonction de la nature de leurs activites.

Par exemple, si la banque propose comme service le conseil en investissement, cela represente peu de risques d'ordre operationnel. Par contre, si l'etablissement execute des ordres pour des tiers, cela peut engendrer des erreurs d'operations. Cela augmentera les risques operationnels du fait des taches a effectuer pour realiser cette activite (enregistrement des donnees, transmission d'ordre...)

Qualite de ses ressources humaines

La phase de recrutement est une phase essentielle dans la gestion des risques operationnels.

Un des risques attribue au departement des ressources humaines est l'erreur de recrutement: une personne recrutee n'est pas adaptee au poste et ne peut pas atteindre les objectifs demandes. Cela peut entrainer des tensions au sein de la banque, un mecontentement des clients mais egalement une surcharge de travail pour les autres employes. Or la surcharge de travail peut favoriser les erreurs dites operationnelles.

L'etablissement de credit doit donc s'appuyer sur des outils tels que des outils d'analyse de profils, des guides de recrutement ou encore des organismes exterieurs specialises dans le recrutement.

De plus, la formation reste un outil essentiel pour garantir la qualite du personnel. Les employes doivent s'assurer de leur connaissance sur l'activite. La defaillance de formation peut avoir comme consequence des fautes operationnelles, notamment en matiere de conformite. Par exemple, une nouvelle loi exige certains documents pour l'elaboration d'un dossier de credit. Si la personne en charge du dossier n'est pas au courant de cette loi, elle peut ne pas demander certains documents au client, ce qui va entrainer un risque possible de credit ou une mise en cause de l'etablissement par les autorites de controle telles que l'Autorite de Controle Prudentiel ou la encore la l'Autorite des Marches Financiers.

La qualite des ressources humaines est donc un facteur essentiel des risques operationnels: il faut donc s'assurer du bon recrutement du personnel et d'un reel suivi a travers notamment de la formation professionnelle.

Changements au niveau organisationnel

Le changement est un facteur de risque important dans le cadre des risques operationnels. Les operationnels doivent pouvoir s'adapter au changement organisationnel. Plusieurs dimensions sont a prendre en compte dans la conduite du changement:

  • La dimension globale: l'analyse diagnostic est une etape cruciale dans la modification de l'organisation. Sont alors pris en compte les aspects techniques, sociaux, culturels et politiques qui peuvent influer sur le resultat du changement. Les contraintes en amont et en aval doivent etre prises en consideration. Au moment d'elaborer les propositions de modification, cela permet de distinguer celles qui sont souhaitables et celles qui sont possibles compte tenu du degre d'acceptabilite de l'organisation actuelle.
  • La dimension previsionnelle: l'anticipation est un facteur cle de succes du changement d'organisation. Il est essentiel de pouvoir evaluer les evolutions du marched'ordre economique, technologique, social et culturel. La banque doit etre capable de s'adapter et d'etre souple vis-a-vis des contraintes environnementales. Aucune organisation n'est figee.
  • La dimension pedagogique: la communication est necessaire dans ce domaine afin d'expliquer les raisons du changement d'organisation et la maniere dont va s'operer ce changement. Toute modification d'organisation peut entrainer des mecontentements, des inquietudes et des incomprehensions, ce qui peut mener a l'augmentation de risques operationnels. En effet, il est important que chacun identifie la nature du changement et l'impact sur sa fonction afin qu'il n'y ait pas de confusion.

Taux de rotation du personnel

Le taux de rotation du personnel est un facteur de risque operationnel. Deux aspects sont a prendre en compte:

  • Dans les agences, il est important de s'assurer qu'aucune relation privilegiee ne s'est creee entre le conseiller par exemple et son client.
  • C'est pourquoi les banques mettent en place un systeme de rotation du personnel: tous les 3 ans par exemple, le personnel d'agence change d'agence pour ainsi changer de client. Cela permet d'eviter les situations de cooptation qui pourraient deboucher sur des delits ou detournements de procedures de controle.

  • Dans les services du siege, il est d'usage de verifier a l'inverse que le personnel reste plus de trois ans. En effet, il s'agit de la duree requise pour etre performant dans un domaine d'activite. On estime que pendant un an, l'employe apprend le metier. L'annee suivante il experimente en detail. La troisieme annee, l'employe est considere comme 'expert' dans sa specialite. Il a donc moins de risques de commettre des fautes d'ordre operationnel. Il est donc necessaire de s'assurer de la bonne marche du service a travers la duree passee par chaque employe sur un poste. Cela permet de limiter les risques.

Facteurs externes

Evolutions du secteur bancaire

Le secteur bancaire connait depuis plusieurs annees des evolutions notamment par la multiplication des fusions.

De nombreux regroupements ont eu lieu depuis quelques annees. Comme on peut l'observer sur le graphique suivant, en 20 ans, le nombre d'etablissements de credit a diminue de 70%, ce qui est considerable. Plus le groupe est important, plus les risques inherents sont nombreux. Il est en effet plus difficile de maitriser des risques lorsqu'on represente une grosse structure. L'evolution du secteur bancaire a donc augmente les risques operationnels du fait du nombre grandissant des fusions, regroupements.

Evolution du nombre d'etablissements financiers de 1986 a 2009

Progres technologiques

De nouveaux projets informatiques apparaissent regulierement pour limiter les risques operationnels. Il est donc important de s'informer pour etre a la pointe de la technologie dans ce domaine.

Tout d'abord, il faut veiller a la protection des donnees car la malveillance est un risque encouru. Un systeme d'infrastructure sain et stable est essentiel dans la gestion du risque operationnel.

De plus, le degre de maitrise de la technologie est un des facteurs du risque operationnel. Plus la technologie est avancee, plus la maitrise devient difficile. Il faut donc s'assurer que la nouvelle technologie s'adapte a l'operationnel, et qu'inversement l'operationnel reussit a s'approprier le nouvel outil.

QUATRIEME PARTIE: Maitrise du risque operationnel

Etablir une cartographie

Collecte des donnees

La premiere etape pour l'elaboration d'une cartographie des risques operationnels est de collecter les donnees. On s'appuie ici sur ce qui est reellement arrive.

Ces donnees sont en realite des incidents produits lors d'operations. Ces incidents sont declares par les operationnels.

Un outil specifique peut servir a la collecte des donnees. Des qu'un probleme survient, les lignes metiers l'enregistrent dans l'outil et detaillent les causes de l'incident. Trois etapes se succedent: la declaration de l'incident, le traitement de l'incident et sa cloture. A chaque phase, la direction des risques analyse la situation afin de detecter la cause qui a conduit a la defaillance de l'operation.

Definition des indicateurs

A l'aide de l'outil, on peut detecter les zones de risques qui se dessinent. L'outil prend alors la forme d'un outil d'alerte. Les indicateurs refletent la survenance d'incidents probables. Il s'agit ici de ce qui va arriver.

Parmi les indicateurs, plusieurs categories se distinguent:

  • les indicateurs d'alerte, lies aux facteurs de risque (ex: volumetrie, turnover des equipes)
  • les indicateurs de risques averes, lies aux consequences (ex: nombre d'erreurs, de litiges)
  • les indicateurs de couts/ressources (ex: niveau de ressources allouees au controle des risques operationnels)
  • les indicateurs de pertes (ex: pertes financieres liees aux incidents, aux erreurs, dedommagements clientele)

Pour definir un indicateur, on determine un seuil d'alerte et un seuil critique. Le seuil d'alerte avertit du risque encouru. Le seuil critique montre l'aggravation de la situation et du non suivi de la politique de risques. Cela peut avoir de lourdes consequences et doit donc etre traite au plus vite.

Mise en place de la cartographie

Objectifs

La cartographie definit le couple processus generique/type de risque. Il s'agit la de ce qui peut arriver. La cartographie permet de visualiser le dispositif de maitrise des risques mis en place par rapport au risque encouru.

La cartographie n'a pas pour objectif de faire disparaitre totalement les risques mais de les maitriser au mieux et de les reduire. Il s'agit de prevenir les incidents ou de d'eviter les pertes.

Construction

La cartographie s'appuie sur une analyse des processus metier, a laquelle on confronte la typologie des risques operationnels definie en amont.

Dans un premier temps, on definit des processus associes a chaque activite de la banque. On peut choisir de traiter l'exhaustivite des processus ou ceux consideres comme majeurs. Par exemple, au sein de l'activite Cheques, un processus majeur peut etre 'gerer les remises de cheque'. A ce processus, va etre relie un risque identifie. Un risque provient d'une cause, survient lors d'un evenement et provoque des consequences. Un risque represente le dysfonctionnement d'un processus a un instant T.

L'identification des evenements de risques s'appuie sur l'expertise, la connaissance et l'experience des operationnels.

On construit ensuite une cartographie des risques en associant processus au type de risque.

Pour cela, il existe trois etapes essentielles dans la methode de cotation:

  • Mesure de l'impact unitaire: on evalue les montants unitaires moyens et les montants maximum de sinistralite qui peuvent etre atteints
  • Mesure de la frequence: on evalue le nombre moyen d'evenements associes a ce risque et la frequence maximale possible
  • Mesure du pourcentage de fiabilite de controle des risques: on evalue les dispositifs de maitrise des risques, appeles protection pour les impacts et prevention pour la frequence.

Ainsi on peut calculer la criticite de la situation grace a cette formule:

Criticite = Frequence x probabilite d'occurrence x detectabilite

Grace aux calculs des experts on peut elaborer un schema type qui refletera le degre de risque encouru par les activites:

Dispositif de maitrise des risques

  • Lorsque le risque est eleve mais le dispositif de maitrise des risques est insuffisant, cela presente un danger pour l'activite. Il faut donc mettre en place un plan d'action afin de reequilibrer l'ensemble. Deux types de plans d'action peuvent exister: le plan d'action de prevention comme par exemple la mise en place de procedures : il a pour objectif d'anticiper et de reduire la probabilite de survenance du risque; le plan d'action d'attenuation comme par exemple la souscription a une assurance : il a pour objectifs de reduire les effets et les consequences de la survenance d'un risque.
  • Lorsque le risque est faible ainsi que le dispositif de maitrise de risques, la situation n'est pas alarmante car il y a peu d'enjeux mais il faut tout de meme ameliorer le positionnement.
  • Lorsque le risque est faible et le dispositif de maitrise des risques est eleve, cela montre une situation convenable. Cependant, on peut se demander si un tel dispositif de maitrise des risques est necessaire pour un risque faible. Cela peut engendrer un cout eleve par rapport au risque encouru et donc une mauvaise gestion des risques.
  • Lorsque le risque est eleve ainsi que le dispositif de maitrise des risques, le positionnement est ideal, et necessite peut etre une deuxieme expertise afin de reverifier ce resultat.

On a donc en resume le schema suivant:

Limites et difficultes

Une premiere limite de la cartographie des risques est liee a l'exhaustivite de la tache. En effet, il est quasiment impossible de recenser tous les types de risques qui pourraient survenir. On se concentre generalement sur les risques lies aux processus majeurs d'une organisation.

Cela entraine une autre difficulte: la subjectivite de l'exercice. En effet, la notion de processus majeur est par definition a caractere subjectif. Un processus sera considere comme majeur a un certain niveau ou dans une certaine organisation tandis qu'il demeurera de plus faible importance dans d'autres contextes.

La notion meme de risque peut egalement presenter une difficulte. Il est tres difficile de definir ce qu'est reellement un risque. Plusieurs definitions peuvent apparaitre. Une de ces definitions est la survenance d'un evenement indesirable qui peut avoir comme consequences des pertes pour l'organisation, tant au niveau humain que financier.

Les moyens de controles des risques

Organisation des controles permanents

Structure et objectifs

Les controles permanents sont une structure en etroite relation avec la Conformite dans les entites bancaires. Cette direction est devenue indispensable dans le secteur bancaire depuis la reforme du CRBF 97.02 visee a l'arrete du 30 mars 2005, qui verifie en permanence que les operations sont effectivement realisees en respectant les regles, les procedures et les mesures de gestion des risques, definies dans la politique de risque de l'etablissement.

Les controles permanents sont des controles realises au quotidien par les operationnels et leur hierarchie dans le cadre du traitement des operations. Lors de la mise en place des controles, il est important de prendre en compte le rapport cout / benefice et de ne pas deployer des systemes de controle interne couteux, quitte a accepter un certain niveau de risque.

L'objectif est de s'assurer que les operations sont effectuees par une personne habilitee et suivant des procedures propres a chaque etablissement.

Pour cela, le schema delegataire est un outil essentiel au bon deroulement des operations. Le schema delegataire definit les montants autorises par fonction et poste dans l'entreprise. Chaque direction, departement ou service possede sa propre charte de fonctionnement et doit la suivre. Les perimetres peuvent evoluer en fonction de facteurs tant internes lies a l'organisation comme par exemple un changement d'organigramme qu'externes comme l'evolution du marche ou encore la reglementation. Le principe est d'attribuer des limites planchers pour les operationnels et des montants plus importants pour les responsables.

Mise en place des plans de controle

Les plans de controles ont pour objectif de limiter les risques operationnels dans chaque structure, tant au niveau du siege que du reseau.

Les plans de controles sont etablis en collaboration avec les responsables de l'activite. A partir de themes, des points de controles sont identifies afin de determiner la chaine metier.

Des questions sont alors posees afin de verifier que la politique de risque a bien ete respectee a chaque etape de l'operation. Le choix des controles est une phase delicate car il depend de plusieurs facteurs (systeme d'information mis en place, objectifs du controle, competence du personnel...). Comme le souligne Antoine Sardi dans 'Audit et controle interne bancaire', le controle doit etre unique, cible et reel. L'objectif de ces controles est egalement de sensibiliser les equipes a la culture du controle. Cela doit faire partie integrante de leur activite et ne plus etre considere comme une contrainte et une perte de temps.

Les plans de controle peuvent porter sur un echantillon ou sur l'exhaustivite des operations. Le temps consacre au controle contraint generalement a ne prendre en compte qu'une partie des operations. Le choix de la taille de l'echantillon va influer sur le resultat final. L'echantillon peut etre defini en fonction de la volumetrie des operations ou de façon aleatoire en pourcentage de l'activite.

Les plans de controles fonctionnent generalement sur du declaratif, ce qui peut poser un probleme de fiabilite des reponses apportees et donc des resultats. A chaque operation, le collaborateur doit pouvoir apporter la preuve de son controle, par exemple sous la forme du check list. Cela permet de verifier point par point la presence de documents, signatures ou encore le respect du schema delegataire. C'est un moyen de formaliser le controle.

Dans le cadre de plans de controles portant sur des echantillons, rien ne garantit que les dossiers ont ete pris de maniere aleatoire et donc conformement aux regles. Il est certain que le collaborateur peut choisir un dossier sur lequel il est sur d'avoir respecte la politique de risque, et donc d'obtenir un resultat positif aux controles. Cela devient la limite du systeme de plans de controle. L'interet est de deceler les failles du systeme et de ne pas obtenir a chaque controle des resultats eleves.

Apres avoir renseigne les formulaires de controles et obtenu les resultats, l'objectif est de mettre en place un plan d'action pour resoudre les problemes rencontres, ou du moins d'ameliorer le systeme de protection contre les risques. Le responsable de l'activite est l'acteur majeur de cette derniere etape.

Les plans de continuite d'activite

Les plans de continuite d'activite consistent a mettre en œuvre une procedure specifique en cas de crise majeure. Une serie de taches a effectuer est declinee en fonction de scenario possible.

Les plans de continuite d'activite regroupent les plans de continuite operationnels lies a l'activite meme du departement ainsi que des plans dits 'transverses' car communs a toutes les activites tels que les plans de communication, les plans de gestion des ressources humaines ou encore les plans d'hebergement des equipes.

Par exemple, dans le cas d'une indisponibilite du systeme d'information, il s'agit de savoir quels vont etre les processus appliques pour permettre d'assurer a minima l'activite. En effet, l'informatique est devenue un outil incontournable dans les banques aujourd'hui. La plupart des services sont dependants du systeme d'information. S'il devient indisponible, cela peut avoir de forts impacts sur la production et la vie meme de l'etablissement. Il est donc necessaire de s'assurer qu'une solution de secours existe pour eviter des pertes significatives.

Apres avoir etabli de façon theorique une procedure de secours, il est utile et parfois obligatoire (par exemple dans le cadre du Referentiel de Securite Cheque) de tester en reel les plans de continuite operationnels. Cela permet de tester l'operationnalite du plan de secours, tant sur le plan humain (mobilisation et disponibilite des equipes, respect des procedures) que sur le plan technique (bascule de lignes telephoniques par exemple).

Depuis quelques annees, les plans de continuite d'activite deviennent incontournables dans les etablissements de credit.

Source: PRMIA/Audisoft Consultants

Audit interne

L'audit interne est un acteur majeur d'une banque. Sa fonction est d'assurer des controles periodiques, c'est-a-dire des controles ponctuels realises a posteriori.

Elle assure par ses missions regulieres d'inspection un controle de la mise en œuvre de la politique de la direction generale en matiere de securite, de respect des regles internes et de la reglementation.

Contrairement a la direction des controles permanents qui a le role d'accompagnateurs aupres des services, l'audit est une structure qui demeure independante et qui n'a pas d'implication dans la definition et la mise en œuvre des politiques et outils de maitrise des risques operationnels.

L'audit mesure l'efficacite et la qualite du dispositif de maitrise des risques et elabore ensuite des recommandations pour ameliorer ce dispositif.

Il existe plusieurs demarches d'audit mais 4 etapes sont generalement communes: Preparer la mission, realiser la mission, restituer les resultats et suivre la mise en œuvre des plans d'action.

Preparer la mission

Cette premiere etape consiste a prendre connaissance du contexte de la mission, identifier les risques specifiques du domaine d'activite et prendre contact avec les differents interlocuteurs. A partir de la lettre de mission, les auditeurs vont entreprendre une demarche de collecte d'informations. Par suite, ils redigent une note d'approche qui permet d'organiser la mission d'audit.

Realiser la mission

Cette deuxieme phase a pour objectifs de valider les risques potentiels identifies lors de la premiere phase, prendre connaissance du dispositif de controle interne existant et definir ses aspects positifs et ses limites. Pour cela, apres avoir presente les differents objectifs et le deroulement de la mission, des entretiens sont realises avec les collaborateurs concernes. Des tests sont realises afin d'etablir les forces et les faiblesses du service audite.

Restituer les resultats

Cette troisieme etape consiste a rediger un rapport d'audit communique aux principaux responsables concernes puis de faire valider ce projet de rapport par les audites avant de le diffuser a l'ensemble des destinataires. Le but est que les audites reconnaissent l'exactitude des resultats, raisonnements et recommandations.

Suivre la mise en œuvre des plans d'actions

La derniere etape a pour objectif de suivre les actions mises en application a la suite du plan defini et d'analyser le rapport d'avancement du plan d'actions adresse par le domaine audite. Ce rapport presente les recommandations qui sont appliquees et celles qui ne le sont pas et le pourcentage de realisation.

CONCLUSION:

Les risques operationnels ont donc pris une place de plus en plus importante au sein des banques, notamment par une prise de conscience generale due aux pertes passees et par la nouvelle reglementation imposant leur calcul.

Les consequences graves d'une mauvaise gestion des risques operationnels poussent les etablissements de credit a etre de plus en plus precis sur l'evaluation et la maitrise de ces risques, bien que souvent difficiles a etablir du fait de leur nature.

La transparence de l'etablissement, autant en interne (entre les differents services) qu'en externe (vis-a-vis des autorites de controle prudentiel) est une source indeniable de limitation de risques operationnels.

Cette transparence passe entre autre par la declaration systematique et quotidienne, de chaque incident recense, de l'agence au siege, de l'operationnel au chef de departement afin de determiner leur probabilite d'occurrence. De nombreux outils de declaration d'incidents sont developpes aujourd'hui pour repondre a cette demande. Plus l'etablissement aura une 'photographie' precise des incidents qui surviennent au sein de l'entite, plus il sera facile de contrer ces incidents et donc de diminuer les risques.

La difficulte pour les decideurs est de faire accepter ce controle par les operationnels. En effet, cela peut etre perçu comme une remise en cause de leur travail et donc de leur place au sein de l'etablissement. Il faut donc s'appuyer sur des formations sensibilisant le personnel sur les bienfaits du controle des risques operationnels, sans qu'il se sente 'pris au piege'.

Bibliographie

  • OUVRAGE: CONTROLE INTERNE BANCAIRE : OBJECTIF CONFORMITE, B. Bon Michel et G. Chappoteau, edition Editea, 2008
  • AUDIT ET CONTROLE INTERNE BANCAIRES, A. Sardi, edition Afges, 2002
  • CONTROLE INTERNE DES RISQUES: CIBLER, EVALUER, ORGANISER, PILOTER, MAITRISER, J-L Masselin, H-P Maders, edition Organisation, 2006
  • BALE II, A. Sardi, AFGES Editions, 2004
  • PREVENTION ET GESTION DES RISQUES OPERATIONNELS, C. Jimenez, P. Merlier, Revue Banque edition, coll. ' Comptabilite Controle ', 2004
  • GESTION ET CONTROLE DES RISQUES BANCAIRES, P. Dumontier, D. Dupre, C. Martin, Revue Banque, 2008
  • MESURE INTEGREE DU RISQUE DANS LES ORGANISATIONS, B.A. Aubert, J-G. Bernard, Les presses de l'universite de Montreal, 2004
  • LA GESTION DES RISQUES FINANCIERS, T.Roncalli , Economica, 2004
  • ETUDES/REVUES ETUDE DU RAPPORT ANNUEL DE LA COMMISSION BANCAIRE, 2003
  • CRBF 97-02 LA BANQUE CHANGE D'UNIVERS O. Pastre, Revue d'economie financiere, septembre 2009
  • GESTION DES RISQUES (dossier) Banque strategie, n°273, septembre 2009

Writing Services

Essay Writing
Service

Find out how the very best essay writing service can help you accomplish more and achieve higher marks today.

Assignment Writing Service

From complicated assignments to tricky tasks, our experts can tackle virtually any question thrown at them.

Dissertation Writing Service

A dissertation (also known as a thesis or research project) is probably the most important piece of work for any student! From full dissertations to individual chapters, we’re on hand to support you.

Coursework Writing Service

Our expert qualified writers can help you get your coursework right first time, every time.

Dissertation Proposal Service

The first step to completing a dissertation is to create a proposal that talks about what you wish to do. Our experts can design suitable methodologies - perfect to help you get started with a dissertation.

Report Writing
Service

Reports for any audience. Perfectly structured, professionally written, and tailored to suit your exact requirements.

Essay Skeleton Answer Service

If you’re just looking for some help to get started on an essay, our outline service provides you with a perfect essay plan.

Marking & Proofreading Service

Not sure if your work is hitting the mark? Struggling to get feedback from your lecturer? Our premium marking service was created just for you - get the feedback you deserve now.

Exam Revision
Service

Exams can be one of the most stressful experiences you’ll ever have! Revision is key, and we’re here to help. With custom created revision notes and exam answers, you’ll never feel underprepared again.