|
||
|
|
||
|
|
SECTION II: DÉFINITIONS DU RISQUE OPÉRATIONNELPour être appréhendé et géré, un risque doit être connu et identifié. La première étape dans la mise en oeuvre d'une stratégie de gestion des risques opérationnels est donc de définir avec assez de précision les périmètres de ce risque. Plusieurs définitions ont été attribuées à la notion de risque opérationnel : Vanini (2002) définit le risque opérationnel comme « le risque de déviation entre le profit associé à la production d'un service et les attentes de la planification managériale. Le R.O. correspond à l'écart enregistré, positif ou négatif, par rapport au profit attendu ». King (2001) définit le risque opérationnel comme le risque qui « ne dépend pas de la façon de financer une entreprise, mais plutôt de la façon d'opérer son métier », et « le risque opérationnel est le lien entre l'activité du travail d'une entreprise et la variation de résultat du travail ». Kuritzkes (Wharton, 2002) définit le risque opérationnel comme un risque non financier ayant 3 sources : le risque interne (ex : « rogue trader »), le risque externe c'est à dire tout événement extérieur incontrôlable (ex : une attaque terroriste) et le risque stratégique (ex : un affrontement dans une guerre de prix). D'autre ont défini le risque opérationnel comme le risque de pertes imprévisible en conséquence de dysfonctionnements des systèmes d'information ou des contrôles internes. Certains le définissent comme le risque de perte consécutive a différents types d'erreurs humaines ou techniques ; ou le définir par défaut c'est-à-dire tout sauf le risque de crédit et de marché d'autre part il est défini en tant que risque résiduel. Les travaux de normalisation qui ont été menés dans le secteur bancaire, ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi n'est pas nouveau, l'évolution de la réglementation bancaire le replace au premier rang des préoccupations au travers de normes que l'on désigne communément sous le terme de « Bâle II ». En fait le débat sur la définition du risque opérationnel a commencé avec le comité de Bâle. Le risque opérationnel correspond, dans un premier lieu, aux « risques de pertes directes et indirectes résultant de l'inadéquation ou de la défaillance de procédures, de personnes et de systèmes ou résultant d'événements extérieurs ». (Second document consultatif).Cette définition a été critiquée, car il est difficile de calculer certaines pertes indirectes. En effet avec les accords de « Bâle2 » le risque opérationnel est désormais défini et circonscrit. L'appréciation de la solvabilité bancaire, jusqu'ici mesurée à travers le « ratio Cooke », va prendre en compte à partir de fin 2006 les risques opérationnels, en sus des risques de crédit et des risques de marché. Ceci se fera à travers un nouveau ratio qui est le « ratio Mc Donough ». Le comité de Bâle a essayé de délimiter de manière précise le périmètre des risques opérationnels dans une définition claire, commune et applicable à l'ensemble d'un groupe bancaire. La réforme prudentielle bancaire indique que : « Le risque opérationnel se définit comme le risque de perte résultant de carences ou de défaillances attribuables à des procédures, personnes et systèmes internes ou à des événements extérieures.la définitions inclut le risque juridique, mais exclut le risque stratégique et d'atteinte a la réputation ». Et c'est cette définition de comité de Bâle qui va être prise en considération dans la suite de notre travail ainsi que ces exigences pour la gestion du risque opérationnel. 1. Les composantes du risque opérationnel : Selon la définition communément admise par « Bâle II », le risque opérationnel se décompose en quatre sous ensembles. ü le risque lié au système d'information : Ce risque peut être lié à une défaillance matérielle suite a l'indisponibilité soit provisoire ou prolongée des moyens (installations immobilières, matériels, systèmes informatiques ou dispositifs techniques ...) nécessaires à l'accomplissement des transactions habituelles et à l'exercice de l'activité, pannes informatiques résultant d'une défaillance technique ou d'un acte de malveillance ; une panne d'un réseau externe de télétransmission rendant temporairement impossible la transmission d' ordres sur un marché financier ou le débouclement d'une position ; un système de négociation ou de règlement de place en défaut ou débordé ; baugue logiciel et obsolescence des technologies (matériel, langages de programmation,...). ü le risque lié aux processus : Ce risque est du au non respect des procédures ; aux erreurs provenant de l'enregistrement des opérations, la saisie, les rapprochements et les confirmations tels que : un double encaissement de chèque, un crédit porté au compte d'un tiers et non du bénéficiaire, le versement du montant d'un crédit avant la prise effective de la garantie prévue, le dépassement des limites et autorisations pour la réalisation d'une opération, etc.... ü le risque lié aux personnes : ce risque est naît du fait que les exigences attendues des moyens humains (exigence de compétence et de disponibilité, exigence de déontologie...) ne sont pas satisfaites, peut être lié à l'absentéisme, la fraude, l'incapacité d'assurer la relève sur les postes clés ... Ce risque peut être involontaire ou naître d'une intention délibérée, résultant souvent d'une intention frauduleuse. Les « erreurs involontaires » sont souvent coûteuses ; leur prévention comme leur détection précoce dépendent de la qualité du personnel, de sa vigilance, comme de ses capacités d'adaptation aux évolutions techniques mais aussi de la technicité des opérations à traiter et de la qualité du matériel et de la logistique utilisés. Quant au « risque volontaire », il va de la simple inobservation des règles de prudence, du conflit d'intérêts entre opérations pour son propre compte et opérations pour le compte de l'établissement ou du client, jusqu'à la malveillance et la réalisation d'opérations carrément frauduleuses. ü le risque lié aux événements extérieurs : Ce risque peut être à l' origine de risque politique, catastrophe naturelle, environnement réglementaire. ü Le risque juridique : Le risque opérationnel inclus le risque juridique qui
se définit comme suit : Risque de perte résultant de
l'application imprévisible d'une loi ou d'une réglementation,
voire de l'impossibilité d'exécuter un contrat. Il réside
dans la possibilité que des procès, des jugements
défavorable ou l'impossibilité d'un droit perturbe ou
compromettre les opérations ou la situation d'un
établissement. Les composantes du risque opérationnel peuvent être représenté selon le schéma suivant :
Figure 2: les composantes du risque opérationnel Les risques opérationnels peuvent être classés en trois domaines : la fraude, la sécurité et les procédures. La fraude vise tant les événements externes (faux chèques...) que les malversations internes. La sécurité porte, quant à elle, sur la sécurité physique des bâtiments et des actifs (incendies, dégâts divers...) et sur la sécurité informatique et des systèmes. L'aspect du risque opérationnel relatif aux procédures couvre les pertes éventuelles découlant de pratique contraires à la réglementation, ainsi que les pertes provenant d'erreurs dans les procédures de traitement des opérations. Le risque stratégique et le risque d'atteinte à la réputation sont exclus du périmètre du risque opérationnel. En fait le risque d'atteinte à la réputation est défini : l'éventualité qu'une publicité défavorable justifié ou non, concernant les pratiques et connexion d'une banque n'entraine une perte de confiance dans l'intégrité de l'établissement. C'est l'ensemble des menaces qui affectent a long terme la confiance des partenaires de la firme ; en fait c'est risque bien réel mais souvent sous-jacent à un risque opérationnel (blanchissement) avéré et il est extrêmement difficile de la quantifier. Le risque stratégique se défini comme : risque lié aux chois stratégique d'une firme pour s'adapter a son environnement concurrentiel. Les choix stratégiques doivent respecter les attentes des actionnaires et des clients, assurer la croissance des revenues et l'amélioration de la qualité de ces services et produits. Donc risque de perte de revenus encourus par une banque qui n'adapte pas ces produits, activités et services commerciale au besoins et usage en vigueur sur son marché de prédilection. Donc les choix stratégiques ont un impact sur ces revenus futures mais impact peu aisé a mesurer car indirect et désynchronisé par rapport a la période à laquelle le choix stratégique a été opéré. Mais reste qu'il ya difficulté de différencier le risque stratégique du risque opérationnel, si l'implémentation des choix stratégiques est la cause directe (implémentation de système défaillant) des pertes assimilable a l'une ou l'autre des catégories de risque opérationnel, ces pertes serait de facto considérées comme des pertes opérationnel. Concernant les quasis pertes qui sont les incidents qui n'ont pas d'impact monétaire sur le compte de résultats de la banque, mais qui auraient pu avoir lieu, si un événement fortuit ne l'avait pas empêché de se produire (contrôle interne..). Elles ne sont pas intégrer dans la base de données des pertes au titre du risque opérationnel. Quant aux pertes opérationnelles associées au risque de crédit qui sont liées au risque de crédit (carence de gestion de sureté, par exemple, les supbrimes déjà évoqués), ces risque sont traités comme risque de crédit, c'est que les pertes ne sont pas assujetties à une exigence de fonds propres en regard du risque opérationnel mais ils sont notifiées dans la base de données des perte opérationnel afin de les gérées. La définition réglementaire du risque opérationnel englobe sept catégories d'événements, dont le lieu de survenance se répartit en huit lignes d'activités possibles. 2. Typologie proposée par le Comité pour le risque opérationnel : Le comité de Bâle II adopte une classification assez précise des différents types de risque opérationnel et des lignes d'activités qui peuvent le générer. Ces événements constituent la catégorisation centrale des causes de pertes opérationnelles .les sept catégories principales d'événements7(*) sont les suivants : 1- Fraudes internes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation ou la politiques de l'entreprise impliquant au moins une partie interne à l'entreprises. Exemple : Transaction non enregistrée intentionnellement, Détournement de capitaux, d'actifs, Contrefaçon, Destruction malveillante de capitaux... 2- Fraudes externes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation de la part d'un tiers. Exemple : Vol, contrefaçon, piratage, vol d'informations 3- Pratiques en matière d'emploi et de sécurité sur le lieu de travail : pertes résultant d'actes non conformes à la législation ou aux conventions relatives à l'emploi, la santé ou la sécurité, de demandes d'indemnisation ou d'atteinte à l'égalité ou actes de discrimination. Exemple: Questions liées aux rémunérations, avantages liés à la résiliation d'un contrat, Activités syndicales, Responsabilité civile (chutes...), Événements liés à la réglementation sur la santé et la sécurité du personnel, Rémunération du personnel. 4- Client, produits et pratique commerciales : pertes résultant d'un manquement non - intentionnel ou du à la négligence, à une obligation professionnelle envers des clients spécifiques, ou de la nature ou conception d'un produit. Exemple : violation du devoir fiduciaire, de recommandation, Connaissance de la clientèle, conformité, diffusion d'informations, Atteinte à la vie privée, Vente agressive, Opérations fictives, Utilisations abusives d'information ... 5- Dommages aux actifs corporels : destruction ou dommages résultant d'une catastrophe naturelle ou d'autre sinistre. Exemple : Tremblement de terre, cyclone, Vandalisme, terrorisme. 6- Dysfonctionnement de l'activité et des systèmes : pertes résultant de dysfonctionnement de l'activité ou des systèmes (informatique et télé- communication) 7- Exécution, livraison et gestion des processus : pertes résultant d'un problème dans le traitement d'une transaction ou dans la gestion des processus ou de relation avec les contreparties commerciales et fournisseurs. Exemple : Mauvaise communication, erreur de saisie de donnée ou erreur de chargement, non respect des dates limites, anomalie du système, erreur comptable ,non respect des reporting réglementaires, Etats externes imprécis, documents légaux manquants ou incomplets, Enregistrement de la clientèle incorrect, Perte, négligence ou dommage aux actifs des clients, Conflits avec des tiers, Chaque type d'événement est ensuite réparti en deux niveaux successifs de sous-catégories, pour une identification précise de la nature de l'événement lors du reporting réglementaire. Outre la nature de l'événement, le type de l'activité ou s'est produite la perte peut être aussi une estimation de la cause de la perte opérationnelle. Le comité définit huit lignes d'activités, elles mêmes subdivisées en deux sous niveaux successifs. 3. Les métiers de la banque générant le risque opérationnel Les lignes de métiers qui peuvent générer le risque opérationnel identifiées par le comité de Bâle2 sont les suivantes : (cf. annexe 2) L1- financement des entreprises : financement d'entreprise, collectivité locale et administration publique, les banques d'affaires et service et conseil. L2- négociation et vente : c'est l'activité de marché, tenu de marché, vente d'action, prise de position pour compte propre et trésorerie. L 3-banque de détail : c'est l'activité pour les particuliers : prêt et dépôt ; les carte ; banque privé. L4-banque commerciale : assure le financement des exportations et du commerce ; affacturage ; crédit bail et les prêts... L5- paiement et règlement : pour la clientèle extérieur ; transfert de fond, compensation et règlement... L6-fonctions d'agent : conservation, prestation d'agent aux entreprises L7- gestion d'actif : c'est la gestion des portefeuilles L8- courtage de détail Chaque métier est subdivisé en deux niveaux. En effet une étude menée par le comité de Bâle sur un échantillon de 30 banques a permis de mettre en lumière les résultats des collectes d'informations sur des incidents dans la catégorie du risque opérationnel et par type d'activité métier. Cela a permis de donner une vision sur la disparité du risque opérationnel entre les différents métiers de la banque. Le tableau suivant présente les résultats de l'étude cette matrice de 56 cellules est globale (ne tient pas compte des niveaux de lignes de métier et de catégorie d'événement).
* * * L'identification des risques opérationnels générés par leurs activités demeure une étape fondamentale pour que les établissements de crédits puissent assurer les moyens adéquats pour leur quantification et leur gestion. Cette démarche d'identification et de gestion autonome est apparue ces dernières années comme une discipline séparée vue l'importance et l'impact de ces risques sur les banques quand ils interviennent. * 7 Voir annexe 1 (annexe 7 de la convergence international de la mesure et des normes de fonds propres) |
