Gestion du risque opérationnel par le contrôle interne au sein du secteur bancaire: cas de la société générale de Mauritanie

2. Les métiers transversaux face aux risques opérationnels

Les métiers transverses sont en général en charge de risques particuliers (système d'information, déclarations réglementaires...) ou ont des contraintes spécifiques (confidentialité des informations pour les ressources humaines) qui impliquent parfois des traitements particuliers.

Ces métiers transversaux regroupent les systèmes d'information, la sécurité de l'information, les ressources humaines, la logistique ou encore les services juridiques.

Les métiers transversaux jouent un rôle majeur dans le dispositif de maîtrise des risques opérationnels et ce, à tous les niveaux.

Ainsi, la réforme de Bâle II, a induit les banques à modifier leur organisation interne même si en France cette évolution avait déjà été entreprise par le Règlement CRBF 97/02, qui prévoyait déjà une réorganisation pyramidale des banques avec des contrôles de premier, second et troisième niveau, notamment dans la lutte des établissements bancaires contre le blanchiment des capitaux ou contre le financement du terrorisme.

Ainsi la gestion des risques opérationnels suppose une organisation des lignes métiers associant les fonctions opérationnelles.

3. La conception d'un modèle de mesure du risque opérationnel

Plusieurs points de départ sont possibles lorsqu'il s'agit de développer un modèle de mesure du risque opérationnel. Tous ne conduisent pas au même point d'arrivée. Il est donc toujours préférable d'avoir d'emblée une vision claire du résultat final, et de réfléchir ensuite aux différentes composantes qui vont permettre de l'atteindre.

1.1. L'assurance de l'apport du modèle

Les responsables du risque dans les banques ont des exigences bien précises concernant l'apport d'un modèle de risque opérationnel. Pour être véritablement efficace à des fins de gestion, un tel modèle doit être en mesure d'apporter une réponse concrète aux questions suivantes :

Quels sont les risques opérationnels les plus importants ?

Comment dimensionner le portefeuille de la banque par rapport à ces facteurs de risque ?

Quel impact le risque opérationnel le plus important peut-il avoir sur le Profit&Loss ?

Quels sont les pires scénarios pour la banque ?

Que peut-on faire pour limiter les pertes si telle situation de crise se produit ?

Il est bien entendu possible d'étendre la liste à d'autres aspects de la gestion du risque opérationnel, pour peu qu'ils s'articulent autour de ceux mentionnés précédemment :

Identification des risques, impact de ces risques sur le P&L et sur la charge en capital, benchmarking. Cependant, il vaut mieux marquer un temps d'arrêt à ce stade, construire le modèle de mesure permettant de répondre à ces questions, le tester, procéder aux nécessaires et inévitables ajustements (paramètres, choix de la distribution, hypothèses, etc.) afin d'obtenir des estimations plus crédibles, et voir comment le modèle de mesure fonctionne en pratique^14(*). Observer en quoi le modèle modifie ou fait évoluer les pratiques de gestion du risque opérationnel fournit un test intéressant de ces étapes successives.

Ce n'est qu'après avoir éprouvé un modèle de mesure que l'on peut envisager de la perfectionner. Pour que ce travail soit véritablement efficace, il faut se fixer une ligne de conduite. Les améliorations apportées doivent répondre avant tout à une préoccupation réelle du risk management, et non pas être un alibi pour toujours plus de sophistication stérile. En d'autres termes, l'objectif ultime doit rester une gestion du risque opérationnel plus performante. On peut très bien gérer les risques opérationnels sans avoir un très bon modèle qui mesure ces risques, même s'il faut bien admettre que cela est de moins en moins le cas, surtout pour les banques de premier plan. Quoi qu'il en soit, il serait faux de croire que la gestion du risque opérationnel, c'est avant tout des modèles mathématiques réservés aux seuls quants^15(*). On reproche souvent aux quants de réduire la gestion des risques à des modèles mathématiques. Or, la gestion des risques, c'est d'abord une organisation, un système d'information, des reportings, des règles de décision et un ensemble de procédures et de normes. De nombreux professionnels considèrent d'ailleurs que l'on peut très bien gérer les risques financiers sans avoir un très bon modèle (mathématique) pour les mesurer. Sans doute, mais cela est de moins en moins le cas, car la gestion des risques bancaires et financiers s'est considérablement sophistiquée ces dernières années.

1.2. Les écueils à éviter lors de l'implantation

Une fois qu'il est spécifié dans ses grandes lignes, le modèle de mesure - indépendamment de sa forme et de son degré de technicité - doit impérativement s'ancrer dans un système intégré de gestion du risque opérationnel. Cela permet de se sentir « confortable » sur deux points. Au fur et à mesure du développement du modèle de mesure, on est assuré que les différentes hypothèses, modifications et aménagements divers sont envisagés en cohérence avec la ligne directrice fixée par le risk management (très vraisemblablement, améliorer la gestion du risque opérationnel). Et c'est aussi une garantie que ces ajustements successifs s'alignent sur les processus de gestion déjà en place dans l'institution.

Là encore, Bâle II constitue un point de départ commode. Un système intégré de gestion du risque opérationnel se décompose en cinq étapes :

É Étape 1 : identification ;

É Étape 2 : mesure ;

É Étape 3 : surveillance (monitoring) ;

É Étape 4 : exigence de fonds propres ;

É Étape 5 : contrôle.

Cette figure ci-dessous représente ce système intégré, et met en exergue trois propriétés essentielles de ce dernier : (1) il s'applique à toutes lignes de métier au sein de l'institution, que celles-ci soient ou non incluses dans la classification proposée par Bâle II ; et (2) il s'applique à tous les nouveaux produits bancaires et nouvelles initiatives en amont de leur lancement.

Source : Balle II

Cette figure illustre également la nécessité d'améliorer en permanence le système. Ce principe de gestion du risque opérationnel mérite d'ailleurs d'être élevé au rang de règle d'or.

Sans ce processus d'amélioration à cycle continu, le système représenté sur la Figure peut facilement et rapidement se déliter. Plus exactement, il est facile de tomber dans une spirale incessante de pseudo-perfectionnements dans l'espoir totalement vain de définir un système « parfait » sans jamais pour autant en retirer quelque chose de vraiment utile sur un plan pratique. Certes, il est tentant de chercher à spécifier de prime abord un modèle de mesure dont on espère qu'il intègre tous les facteurs de risque susceptibles d'influer sur le niveau de risque opérationnel. Le problème est que cela rallonge inutilement le délai de mise à disposition du modèle. En outre, les raffinements méthodologiques peuvent parfois atteindre un tel degré de sophistication, que le modèle de mesure devient de fait difficilement compréhensible pour le senior management de la banque. Nul doute que l'utilité d'un tel modèle s'en trouve particulièrement réduite, et qu'il y a de fortes chances pour que le projet ne soit pas soutenu par ces cadres expérimentés.

* ¹⁴A ce propos, il n'est jamais inutile de rappeler qu'un modèle n'est rien d'autre qu'une représentation simplifiée de la réalité, autrement dit du risque véritable encouru. Par conséquent, il ne faut jamais perdre de vue qu'un modèle de mesure ne produit qu'une estimation du risque réel, et rien de plus.

* ¹⁵Les quants ou analystes quantitatifs sont des matheux qui font des "maths durs" afin de développer de nouveaux modèles de pricing (tarification), de mesure des risques...