Rechercher sur le site:
 
Web Memoire Online
Consulter les autres mémoires    Publier un mémoire    Une page au hasard

Le processus de gestion et de mesure du risque opérationnel selon les exigences de comité de Bâle


par Kawtar TanTan
Université TIME
Traductions: Original: fr Source:

précédent sommaire suivant

SECTION II : LA DÉMARCHE D'IMPLÉMENTATION D'UN DISPOSITIF DE GESTION DU RISQUE OPÉRATIONNEL

Le déploiement d'un dispositif de gestion du risque opérationnel efficace représente un défi pour les établissements de crédits, en fait depuis les premières publications du comité de Bâle relatives au risque opérationnel, les établissements de crédit se trouvent dans l'obligation de prendre les démarches nécessaires pour réussir l'implémentation du processus de gestion du risque opérationnel conformément aux exigences des accords de Bâle II.

Même si le Maroc de sa part a adopté l'approche standard pour la mesure du risque opérationnel et prévoit, à moyen terme, l'utilisation des approches avancées dans et d'autre part la Tunisie qui est en phase préparatoire pour l'utilisation de l'approche standard ; leurs établissements bancaires ont intérêt à adopter une méthodologie qui aide à définir et mettre en place une approche structurée au niveau de leurs organisations pour identifier, évaluer et gérer le risque opérationnel de manière efficace et à un coût supportable, car la gestion des risques opérationnels, c'est d'abord une organisation, un système d'information, des reporting, des règles de décision et un ensemble de procédures et de normes. En fait le choix de l'approche de mesure du risque opérationnel que se soit l'approche standard ou avancée nécessite des prés requis au niveau organisationnel, outils, procédure et système d'information.

En veillant au respect des exigences de l'accord de Bâle II pour la gestion du risque opérationnel et afin de réussir une gestion active de ce dernier risque, on propose le cadre conceptuel suivant  :  

Et pour arriver aux fins de ce cadre conceptuel, nous présentons les facteurs clés pour réussir une gestion active du risque opérationnel.

1. Cartographie des risques :

La conception d'une cartographie des risques constitue la première étape, absolument cruciale, dans l'identification des pertes, et donc dans l'estimation des risques, au sein d'une organisation. Son exploitation est une phase-clé, fondamentale, a la fois pour la modélisation de la distribution des pertes et le calcul du capital, mais aussi pour la gestion active des risques.

Plusieurs étapes sont à parcourir afin d'aboutir à la conception d'une cartographie des risques.

Etape 1 : Découpage de l'activité par ligne de métier selon les critères du régulateur.

Etape 2 : Décomposer chaque ligne de métier en processus : Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle.et le manuel de procédure représente un outil intéressant pour cette phase.

Etape3 : A chaque étape du processus on associe ensuite les incidents susceptibles d'en perturber le déroulement et d'entraîner le non réalisation des objectifs du processus (en termes de résultat concret, ou en termes de délais).

Etape 4 : Pour chaque événement le risque est évalué en terme de


·  Probabilité d'occurrence


·  Perte encourue en cas de réalisation.

Etape 5 : Construire une matrice de risque : il s'agit d'un graphe à deux dimension, la sévérité et la fréquence.la matrice est divisé en zones selon le niveau de risque et la nécessité des contrôles.

En fait Le recueil, la formulation, et la qualification des risques opérationnels en vue de la cartographie est un processus « bottom-up ».

Cette cartographie s'appuie sur une analyse des processus métier à laquelle on croise la typologie des risques opérationnels.

Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l'analyse des données plus facile et rapide, et sur le plan organisationnel à la ligne métier où l'incident a eu lieu.

la collecte des données de perte interne par un établissement bancaire constitue la première des conditions quantitatives d'agrément par le comité de Bâle dans les méthodes de mesures complexes, donc la collecte des données d'incidents est un point clé de l'organisation de gestion des risques et il convient de mettre en place des canaux de communications facilitant la remontée des informations venant de toutes les entités, département vers un département central qui centralise toute l'information afin de constituer une base de données des incidents.

2. Constitution d'une base de données :

Pour légitimer l'emploi des méthodes standards ou avancé, la banques devra être dotée d'un dispositif de collectes des incidents accessible par touts les entités et la conception d'une base de donné dédier pour stocker les incidents et en vue de posséder les 3 ans d'historique de pertes requis par le régulateur et qui doit être actualisé d'une manière permanente.

La collecte des événements de perte s'appuie sur la cartographie précédemment établie pour le recensement et le référencement des incidents. Elle permet par ailleurs, par un effet rétroactif, de peaufiner cette cartographie.

En effet, les risques opérationnels sont par nature diffus et existent dans chaque service, chaque entité et à tout niveau organisationnel de la banque. La formulation et la centralisation des risques opérationnels par processus métier imposent donc de faire appel aux lignes de reporting préexistantes et tenter de regrouper celles-ci dans un système cohérent et standardisé.

Cette option de collecte de données peut être la plus aisée à mettre en oeuvre. Ainsi chaque entité spécialisée dans la gestion d'un type de risque en assure aussi le reporting des pertes. En voici quelques exemples :

Sécurité informatique : la cellule de maintenance et de sécurité informatique est chargée de rapporter l'ensemble des incidents, pannes informatique, attaques du système ayant eu lieu au sein de l'organisation et engendrer un impacte négative sur le compte de perte et profit du service de la banque ou un manque à gagner clairement identifiable.

Erreur administratif et encodage erronés : le département de comptabilité encode toutes perte diverses venant d'erreurs d'encodage, de traitement et de manipulation involontaire dans un compte spécifique de pertes et profits. Cela vaut pour toutes les écritures comptables non accompagnées d'une pièce justificative. Le département de comptabilité constitue un allié objectif et une aide précieuse pour les gestionnaires des risques opérationnel.

Fraude interne ou externe : que se soit l'audit interne, ou comité de supervision ; chaque banque possède un service spécifiquement dédié à la traque de fraudes interne- les irrégularités du personnels- et de fraudes externes- tentatives de vols, d'effraction, de détournement de fonds.

Les pertes, dédommagements, les couts divers encourus par la banque pour des raisons d'infraction à la législation sont recensées à la comptabilité mais aussi au service juridique.

On constate qu'il existe plusieurs lignes de reporting, fonctionnel, hiérarchique, comptable et on veillera à éviter les doubles comptages en attribuant à chaque incident un code unique d'identification.

Il faut rappeler que les pertes a intégré dans la base de donné des incident selon le comité de Bâle sont les pertes réelles, affectant le compte de résultats, et non les pertes potentielles ou manque à gagner et que la majorité des banques utilise un seuil en dessous duquel elle ne collecte pas les pertes opérationnelles car l'insignifiance des montant ne vaut pas la perte de temps et d'argent pour la collecte de l'événement en question.

De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'information pour le management des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d'avoir été constituées d'une manière fiable et réaliste.

L'utilisation des seules données interne est insuffisante pour modéliser l'ensemble de la distribution, les grands événements, rare ou catastrophique, n'y sont pas forcément représentés. Dés lors, l'inclusion de pertes externe venant d'autre établissement s'avère indispensable. D'où l'existence également des bases de données provenant de sources externes est utile, toutefois ces données nécessitent un effort d'interprétation et d'adaptation à la situation propre de l'établissement et se pose la délicate question du choix des pertes à intégrer.

Les deux ingrédients interne et externe sont des données « objectives » utilisées principalement pour le développement d'une méthodologie statistique dont le but est de dériver une distribution de perte agrégées annuelles.

L'analyse de scénarios et environnement opérationnel de la banque sont deux éléments plus « subjectifs ». Les scénarios offrent notamment la possibilité de compléter le modèle statistique. Les divers outils de contrôle de l'environnement opérationnel (indicateurs de risque ou de performance..) doivent permettre à la banque de développer une approche plus qualitative.

Donc par une combinaison de ces quatre éléments on peut arriver à une vision complète et dynamique du profil de risque opérationnel.

3. La définition de procédures de contrôle:

La base de données d'incidents opérationnels fournit une image, encore statique, des pertes opérationnelles à charge d'une organisation. Correctement interprétée, cette image fournit une liste de priorités de contrôle et d'investigation pour le gestionnaire de risques et des départements concernés.

Les procédures de contrôle et de validation des incidents notifiés dans la base de données pourront s'appuyer sur un workflow, outil qui permettra aux managers : de contrôler la pertinence des informations remontées par les collaborateurs ; d'être avertis en temps réel des événements intervenus dans leur service pour rapidement mettre en place des actions correctives.

Une fois les risques identifiés sont cartographiés, hiérarchisés, et codifiés dans des procédures. L'étape suivante consiste de s'assurer que le dispositif du contrôle interne est efficace de façon continue et que le risque est correctement maîtrisé.

Le contrôle se fait par un système de contrôle interne efficace, l'efficacité de ce dernier est garanties par le respect de certains principes comme le principe de séparation de tache c'est-à-dire une indépendance entre l'activité opérationnel, d'enregistrement, de protection et conservations des biens et la taches de contrôle intégré, le principe d'instauration de contrôle réciproques des taches, des moyens de protection et des moyens de preuves, le principe de bonne sélection du personnel et de sa formation

L'organisation des contrôles repose sur des contrôles à deux niveaux :

Les contrôles de 1er niveau regroupent tous les contrôles permanents (à priori et à posteriori) mis en oeuvre au niveau de chaque entité opérationnelle et permettant de vérifier l'exhaustivité et la régularité des opérations traitées. Ils comprennent, des contrôles quotidiens qui assurent la sécurité et la qualité des opérations traitées et qui reposent sur le respect permanent des règles et procédures en vigueur (séparation des fonctions, délégation de pouvoirs et signatures, etc.) et une supervision formalisée par la hiérarchie pour vérifier la correcte application des règles et procédures au quotidien.

Les contrôles à priori regroupent tous les contrôles quotidiens mis en place afin qu'aucune erreur ne se produise. Les contrôles à posteriori ont pour objectif de détecter les anomalies que les contrôles à priori n'ont pas permis d'éviter. Pour les processus opérationnels longs, le contrôle de 1er niveau peut être assuré par plusieurs services ou personnes.

Les contrôles de 2ème niveau sont confiés à toute personne ou organe chargé de vérifier périodiquement que les contrôles de 1er niveau sont correctement réalisés : contrôle du fonctionnement de la surveillance permanente, de vérifier l'application des procédures, d'apprécier la qualité des traitements effectués et de s'assurer de la prise en compte des exigences de contrôle interne.

L'audit interne et/ou externe fait partie des contrôles de 2ème niveau il doit aider l'organisation en identifiant et en évaluant les risques significatifs et contribuer à l'amélioration des systèmes de management des risques et de contrôle.

Le renforcement du système d'information représente un outils de contrôle et de maitrise du risque opérationnel par le biais de la sécurité informatique qui se matérialise par la limitation des accès aux champs non exploitables par un département, par un changement des mots de passes selon un calendrier fixer au paravent, l'instauration des mécanisme autorisation et validation afin d'éviter les dépassements...

Et afin de maitriser les risques découlant du système informatique, il ya lieu de procéder a un audit informatique pour avoir un seuil d'assurance dans le système et le contrôle interne.

Le contrôle de conformité de l'application des procédures de contrôle décrite par l'organisation de gestion du risque opérationnel permet de détecter les défaillances de contrôle donc produire des plans d'action afin de maitriser le risque.

On peut conclure que tous les organismes de contrôle de la banque sont impliqués dans la maitrise du risque opérationnel.

4. La Conception des outils de suivi du risque opérationnel.

Après l'identification des pertes vient leur surveillance à l'aide des outils suivants :

§ Les tableaux de bord :

Ils doivent être spécifiquement conçus pour chaque type de département et selon la nature, le type d'incidents à rapporter. Ils permettent de communiquer efficacement l'enjeu et les causes des événements opérationnels au sein de l'organisation.ils sont un moyen puissant pour impliquer le management des différents départements dans la gestion quotidienne des risques opérationnels. 

Ils mettent en évidence l'évolution des pertes au cours du temps pour un même département, formant ainsi une base précieuse d'évaluation de mesure de gestion de risque prises par les managers concernés. Ils permettent aussi de comparer entre elles les performances de départements similaires. Mais les tableaux de bord seuls ne fournissent pas une limite acceptable à ne pas dépasser. Pour disposer de points de référence, il faut faire appel aux indicateurs- clés de risque de performances.

§ Les indicateurs-clés de risques et de performance :

Les indicateurs clés de performance ouvrent le champ à l'aspect prospectif de la gestion des risques, outre leur aspect prospectif d'identification, constituent pour les départements des limites à ne pas dépasser. Ces limites seront propres à chaque établissement, en fonction de son appétit pour le risque et l'ampleur des contrôles et des critères de qualité qu'il veut mettre en place.

De types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque relativement au risque, ils sont revus périodiquement.

Les indicateurs de risque sont en effet de deux types, des indicateurs- clés de risque ( key risks indicators) spécifiques à chaque activité et constituent des indices de perte ou des dangers à venir et d'autre part on a les indicateurs-clés de performances ( key performance indicators) qui constituent des mesures d'évaluation de la qualité d'une activité.

Chaque activité disposera de son propre ensemble d'indicateur, spécifique à la nature des taches effectuées, au mode d'organisation des fonctions, au niveau d'automatisation des opérations, au niveau des flux financiers impliqués ou de la législation en vigueurs.

En effet il n'existe pas de liste standard d'indicateurs de risque et de performances pour l'ensemble des institutions bancaires. On peut citer les indicateurs de risque suivants :

Ressources humaines : rotation du personnel, pourcentage d'employés intérimaires, plaintes de la clientèle ...

Système : interruption du système, tentative d'intrusion informatique...

Traitement et procédures : corrections d'écritures, plaintes et contestations...

Donc il ya lieu de la conception d'une base de donné pour la constitution des indicateurs de risque et de performance.

Une procédure de reporting bien défini permet aussi un suivi du risque opérationnel.

Le modèle de risque n'est pas figé : sous l'effet des plans d'actions correctives, des risques disparaîtront, des cotations évolueront, de nouveaux risques apparaîtront. S'il n'est pas mis à jour, le modèle de risque présentera à terme une vision biaisée de la réalité, avec des conséquences non négligeables sur le calcul d'exigence en fonds propres. A ce titre, le projet des risques peut être qualifié d'exercice permanent.

5. Mesure du risque opérationnel :

Si tout les prés requis organisationnel ci-dessus indiqués sont présentes, il ya lieu de quantifié le risque résiduel.

Le régulateur propose trois approches pour évaluer l'exposition à ce type de risque :

Approche de base : un pourcentage, provisoirement fixé à 15 %, du PNB moyen des trois années précédentes ;

Approche standard : identique à l'approche de base, mais pourcentages différenciés par ligne métier (entre 12 et 18% du PNB de chaque ligne de métier) ;

Approche avancée (AMA) : l'établissement détermine son exposition sur la base de modèles internes.

Le dispositif incite à opter pour la méthode avancée, celle-ci étant en principe moins consommatrice en fonds propres réglementaires. En retour, l'économie se « paye » par la mise en place d'une organisation spécifique visant à un meilleur contrôle des risques opérationnels, et en définitive, à la réduction des pertes. Ainsi, contrairement à l'approche de base, l'approche standard impose que soient identifiés et évalués les risques opérationnels. L'approche avancée requiert quant à elle la nomination d'une entité indépendante responsable de la mise en place d'une stratégie de réduction des risques opérationnels.

Dans notre démarche pour mettre en place un dispositif de gestion du risque opérationnel, on a visé l'approche de mesure standard et complexe.

Au sein des banques, le calcul de la charge en capital revêt une importance toute particulière qui dépasse la simple dimension réglementaire. Elle répond en effet à plusieurs objectifs : Perception plus fine du risque au sein de la banque ; Optimisation du couple rentabilité/risque ; Amélioration des procédures organisationnelles.

6. Disposer d'autres instruments d'atténuation du risque opérationnel :

Il n'est pas possible de maîtriser tous les risques (par exemple, les catastrophes naturelles). On peut en revanche utiliser des instruments ou programmes d'atténuation des risques pour réduire l'exposition à ces risques, leur fréquence et/ou leur gravité.

L'externalisation de certains activités peut réduire le profil de risque d'un établissement en transférant certaines activités spécialisées à des entreprises qui ont plus d'expertise et d'envergure pour gérer les risques qui y sont associés.

Les polices d'assurance, notamment, surtout si elles garantissent un paiement rapide et certain, peuvent être utilisées pour externaliser le risque de pertes peu fréquentes mais aux conséquences graves, qui peuvent résulter de divers événements comme l'indemnisation de tiers au titre d'erreurs et omissions, la perte physique de titres, la fraude d'un employé ou d'un tiers.

Les investissements dans les techniques appropriées de traitement des données et de sécurité informatique jouent aussi un rôle important pour l'atténuation du risque.

7. Mise en place des plans de secours et de continuité d'exploitation

Pour des raisons qui peuvent échapper au contrôle de la banque, un incident grave peut l'empêcher d'exécuter entièrement ou partiellement ses obligations, en particulier quand ses infrastructures physiques, de télécommunications ou d'informatique ont été endommagées ou rendues inaccessibles. Cette situation peut à son tour provoquer de lourdes pertes financières pour la banque, ainsi que des perturbations générales du système financier par l'intermédiaire de canaux comme le système de paiements. Cette éventualité nécessite que les banques mettent en place des programmes de reprise et de continuité d'exploitation, en rapport avec sa taille et avec la complexité de ses activités, prenant en compte divers types de scénarios plausibles auxquels la banque peut être exposée.

Les banques devraient identifier les processus cruciaux, notamment ceux qui dépendent de fournisseurs extérieurs ou d'autres tiers, dont la reprise rapide est prioritaire. Pour ces processus, les banques devraient identifier des solutions de secours permettant de rétablir le service en cas de panne. Il convient de prêter une attention particulière à la capacité de restaurer les archives électroniques ou physiques nécessaires à la reprise de l'activité. Quand les archives sont dupliquées sur un autre site, ou quand les activités de la banque devraient reprendre dans d'autres locaux, il faudrait veiller à ce que ces facilités de secours soient suffisamment éloignées du site principal pour réduire le risque d'une mise hors service simultanée. Les banques devraient revoir périodiquement leurs programmes de reprise et de continuité d'exploitation pour s'assurer qu'ils restent adaptés au niveau de leurs activités et stratégies.

8. Politique de communication et de documentation :

La politique de communication et de formation sont des éléments importants afin de s'assurer que chaque employé au sein de l'organisation a connaissance des développements en matière de processus de gestion des risques opérationnels et comprend la manière dont ce processus s'intègre dans la gestion quotidienne de l'organisation.

Il est important de rappeler que l'unité de gestion du risque opérationnel n'est pas la seul responsable et que l' implication de tous les niveaux de management au sein de l'organisation est nécessaire afin qu'une démarche de gestion du risque opérationnels porte tous ses effets, en effet la mise en place d'un tel projet occasionne un impact important sur la culture de l'organisation.il est dés lors primordial que l'ensemble des niveaux de management( du conseil d'administration au responsable de ligne de service) participe activement à la mise en oeuvre en étant des moteurs dans le changement culturel.

Chaque étape du processus de gestion des risques opérationnels doit être documentée. La documentation doit couvrir au minimum : les hypothèses, les méthodes, sources de données et les résultats du processus de gestion des risques opérationnels.

Une documentation suffisante :

ü Démontre que le processus de gestion des risques opérationnels est mené correctement.

ü Elle matérialise l'existence et la mise en oeuvre d'une approche systématique d'identification et d'analyse des risques.

ü Elle formalise le processus de communication et de validation des plans d'actions.

ü Elle matérialise les responsabilités pour les risques identifiés

ü Elle facilite le processus permanent de suivi et de surveillance

ü Elle fournit une trace d'audit

ü Elle permet de partager et communiquer les informations au travers de l'organisation.

9. Mise en place d'un processus d'amélioration continue :

La gestion des risques est un véritable processus global et intégré. Ce processus et la méthodologie sous-jacente doivent être revus, évalués et mis à jour régulièrement afin de s'assurer que les concepts et processus clefs sont toujours pertinents.

Ce processus d'amélioration continue s'effectue au travers de :

ü La surveillance et la revue du processus d'implémentation et des changements culturels.

ü La responsabilisation du personnel

ü L'intégration avec d'autres systèmes ou unités opérationnels tels que la planification stratégique, l'audit interne et l'évaluation de performance.

Cet aspect d'amélioration des méthodologies de gestion des risques représente une composante importante du processus de mesure et de gestion des risques opérationnels.

Cependant, le dispositif de gestion du risque opérationnel est un projet qui n'est pas facile à mettre en place en plus se n'est pas un projet de type « Big Bang », c'est un projet qui demande une démarche bien étudier et progressive afin d'aboutir a la réalisation des objectifs prédéfinis, jusqu'à maintenant on ne peut pas présenté un modèle type de dispositif de gestion du risque opérationnel mais chaque établissement de crédit est en mesure de prendre en considération les facteurs clés développer ci-dessus pour modéliser un dispositif adéquat au niveau de maturité de son l'établissement.

précédent sommaire suivant








® Memoire Online 2007 - Pour tout problème de consultation ou si vous voulez publier un mémoire: webmaster@memoireonline.com